آموزش آموزش کریو کنترل

پیکر‌بندی قوانین ترافیک (traffic rules) در کریو کنترل

آموزش کریو کنترل ترافیک رول
محسن فلسفی
نوشته شده توسط محسن فلسفی

آموزش کریو کنترل – سیاست‌های ترافیکی از قوانینی تشکیل شده‌اند که بر اساس اهمیتشان مرتب شده‌اند. قوانین از بالا به پایین تهیه شده اند و ابتدا قانون حساب‌ها(matched rules)  اعمال شده‌است. ترتیب قوانین با استفاده از دکمه جهت (بالا یا پایین) در قسمت راست صفحه نمایش و یا با کشیدن قوانین(drag) در داخل لیست قابل تغییر است.

یک قانون مطلق (بدون امکان تغییر) هست که مانع انتقال کل ترافیک می‌شود و در آخر لیست آمده‌است. این قانون نمی‌تواند حذف شود. اگر قانونی برای یک ترافیک خاص شبکه نباشد، قانون مطلق کل بسته‌ی داده‌ها (packet) را از بین می‌برد.

توجه

برای کنترل اتصالات کاربر به سرورهای WWW یا FTP و فیلترینگ از فیلتر محتوا ( content filter) به جای قوانین ترافیکی ( traffic rules) در کریوکنترل استفاده کنید.

پیکربندی قوانین ترافیک

اگر هیچ قانون ترافیکی در کریو کنترل خود ندارید، از configuration wizard استفاده کنید. (به Traffic Rules بروید و بر روی More Actions > Configure in Wizard کلیک کنید.)

آموزش کریو کنترل - کریو کنترل رول ها

برای ایجاد قوانین خود به مثال‌های زیر توجه کنید:

قوانین کلی

به صورت پیش‌فرض، کریوکنترل ازاتصال برای همه‌ی سرویس‌ها جلوگیری می‌ کند. به منظور ایجاد قانون دسترسی برای یک سرویس، برای مثال، اجازه به گروهی از کاربران برای استفاده از SSH برای دسترسی به سرورها در اینترنت:

۱- به قسمت قوانین ترافیک) (Traffic Rules در اینترفیس مدیریتی بروید.

۲- بر روی اضافه‌کردن(Add) کلیک کنید.

۳- دردیالوگ باکس اضافه کردن قانون جدید را بزنید (Add New Rule)، برای قانون نامی دلخواه تایپ کنید، برای مثال، دسترسی SHH برای یک گروه خاص. (Allow SHH to a group)

۴- نوع قانون (Rule Type) را کلی (Generic) انتخاب کنید.

کریو کنترل قوانین کلی

۵- بر روی بعدی(Next) کلیک کنید.

۶- بر روی کاربر و گروه (User and Group) کلیک کنید.

۷- در دیالوگ باکس انتخاب گزینه‌ها (Select Items)، بر روی یک گروه(group) یا یوزر دو بار کلیک کنید. در مثال ما گروه Allowed SHH (اجازه دسترسی به SHH)

کریو کنترل انتخاب گروه

۸- بر روی بعدی (next) کلیک کنید.

۹- اینترفیس‌‌ها (Interfaces)را انتخاب کنید.

۱۰- در دیالوگ باکس انتخاب گزینه‌ها (Select Items)،اینترفیس‌های اینترنت (Internet Interfaces) را انتخاب کنید.

۱۱- بر روی بعدی (Next) کلیک کنید.

۱۲- بر روی سرویس‌ها (Services) کلیک کنید.

۱۳- در دیالوگ باکس انتخاب گزینه‌ها (Select Items)، دو بار بر روی SHH کلیک کنید.

این قانون به کاربران اجازه‌ی استفاده از SHH برای دسترسی به سرورهای اینترنت را می‌دهد.

کریو کنترل SSH

مپ کردن پورت (Port Mapping)

برای این‌ که مثلا همه‌ی سرویس های Kerio Connect که در شبکه‌ی محلی (Local) قرار داده شده‌اند و به Kerio Control وصل شده اند اجازه دسترسی از اینترنت داشته باشند ، این مراحل را طی‌کنید:

۱- در اینترفیس مدیریتی، به قوانین ترافیک (Traffic Rules) بروید.

۲- بر روی اضافه کردن(Add) کلیک کنید.

۳- در قسمت اضافه کردن قانون جدید(Add New Rules) ، اسم قانون را به دلخواه بنویسید.

۴- Port Mapping را انتخاب کنید.

۵- در قسمت Host، اسم هاست (hostname) و یا آدرس IP سرور SMTP (در مثال ما) که در شبکه‌ی محلی شما وجود دارد را بنویسید.

۶- در کنار فیلد Service‌، گزینه‌ی select را بزنید.

۷- در دیالوگ انتخاب گزینه‌ها (Select Items) ، تیک گروه سرویس‌های اتصال کریو(Kerio Connect Services) (در مثال ما) را بزنید.

کریو کانکت

۸- بر روی Finish کلیک کنید.

۹- قانون را به بالاترین قسمت جدول قوانین ترافیکی انتقال دهید.

اکانت کاربران و گروه‌ها در قوانین ترافیکی

در قوانین ترافیکی، مبدا/ مقصد (source/destination) به وسیله‌ی اکانت کاربران یا گروه مشخص می‌شود. در قوانین ترافیکی، هر نام کاربری نماینده‌ی آدرس آی‌پی هاستی که کاربر به آن متصل است می‌باشد. این به این معنی است که این قانون در مورد کاربرانی اعمال می‌شود که در فایروال احراز هویت شده است. ( در واقع وقتی کاربر خارج می‌شود (log out) این قانون دیگر اعمال نمی‌شود.)

اجازه به یک کاربر مشخص برای اتصال به اینترنت

در شبکه‌ی خصوصی و با اتصال اینترنتی که از طریق NAT ایجاد شده است، می‌توانید در قسمت مبدا (Source)  در قوانین NAT مشخص کنید که کدام کاربر به اینترنت دسترسی داشته‌باشد.

کریو کنترل NAT

این قبیل قوانین به کاربرانی که احراز هویت شده‌اند اجازه‌ی اتصال می‌دهد. بدین منظور لازم است که صفحه‌ی ورود اینترفیس کریوکنترل را به صورت دستی بازکنند و نامشان را تأیید کنند.

مهم

با تعریف این قانون (تعریف یک کاربر مشخص)، تمام روش‌های تأیید خودکار بی‌فایده هستند. (مانند هدایت کردن (redirecting) به صفحه‌ی ورود، احراز هویت NTLM، احراز هویت خودکار از طریق یک هاست مشخص)

احراز هویت خودکار (هدایت شدن به صفحه‌ی ورود) وقتی انجام می‌شود که اتصال به اینترنت فراهم شده‌ باشد.

این قانون NAT هر گونه اتصال را بلاک می‌کند مگر اینکه نام کاربر تأیید شده باشد.

فعال کردن تأیید کاربر یا کابران مشخص به صورت خودکار

مسئله‌ی تأیید خودکار کاربر با انجام مراحل زیر قابل حل است:

۱- قانونی تعریف کنید که اجازه‌ی دسترسی نا‌محدود به سرویس HTTP را بدهد و آن را در قسمت قانون NAT قرار‌دهید.

کریو کنترل HTTP

۲- در قسمت قوانین محتوا(Content Rules) ، به کاربران مشخصی اجازه‌ی دسترسی به هر وبسایتی را بدهید و از هر گونه دسترسی به دیگرکاربران جلوگیری کنید.

کریو کنترل مدیریت محتوا

کاربرانی که  هنوز احراز هویت نکرده‌اند، و تلاش دارند به وبسایتی وارد ‌شوند، به صورت خودکار به صفحه‌ی احراز هویت ، هدایت می‌شوند (یا به وسیله‌ی NTLM احراز هویت می‌شوند و یا از طریق هاست مربوطه لاگین می‌شوند). بعد از احراز هویت موفقیت‌آمیز، کاربران مشخص شده در قوانین NAT اجازه‌ی دسترسی به دیگر سرویس‌های اینترنت را خواهند داشت. کاربرانی که در این قانون مشخص نشده‌اند، اجازه‌ی دسترسی به هیچ گونه وبسایت و یا دیگر سرویس‌های اینترنت را نخواهند داشت.

توجه

در این مثال، فرض شده‌است که کلاینت های هاست از  Kerio Control DNS Forwarder و یا از سرور لوکال DNS استفاده می‌کنند. (ترافیک به سرویس‌های DNS اجازه‌ی دسترسی خواهد داد.) اگر کلاینتی از سرورDNS در اینترنت استفاده می‌کند، باید درقسمت قانونی که اجازه‌ی دسترسی به اینترنت نا محدود را می‌دهد سرویس DNS را اضافه کنید.

فعال کردن بازرس پروتکل در قوانین ترافیکی

کریوکنترل شامل بازرسی پروتکل‌ است که همه‌ی ترافیک‌ پروتکل های اپلیکیشن‌ (مانند HTTP و FTP) را مانیتور می‌کند. بازرسان ارتباطات را فیلتر می‌کنند و یا بر اساس نوع پروتکل رفتار فایروال را مطابقت می دهد.

۱- در اینترفیس مدیریتی، به قوانین ترافیکی(Traffic Rules) بروید.

۲- بر روی بالای جدول (header) راست کلیک کنید و Columns>Inspectors را انتخاب کنید.

۳- در قسمت قانون ، بر روی ستون Inspectors دو بار کلیک کنید و بازرس پروتکل مناسب را انتخاب کنید.

مهم

هر بازرس فقط باید برای سرویس مربوطه استفاده شود.

در صورت استفاده از بازرس نامناسب عملکرد سرویس تحت تأثیر قرار می‌گیرد.

۴- بر روی Apply کلیک کنید.

منبع: GFI

سرفصل های آموزش کریو کنترل

[تعداد رای:4]

درباره نویسنده

محسن فلسفی

محسن فلسفی

Network Admin
زمینه تخصصی:
Microsoft MCSE - VMware VCP - Mikrotik MTCNA - Kerio Control
علایق شخصی:
ترجمه متون و ویدیو های فان زبان انگلیسی
جهت ارتباط با من:
mohsen.falsafi@gmail.com

دیدگاهتان را بنویسید