آموزش کریو کنترل – سیاستهای ترافیکی از قوانینی تشکیل شدهاند که بر اساس اهمیتشان مرتب شدهاند. قوانین از بالا به پایین تهیه شده اند و ابتدا قانون حسابها(matched rules) اعمال شدهاست. ترتیب قوانین با استفاده از دکمه جهت (بالا یا پایین) در قسمت راست صفحه نمایش و یا با کشیدن قوانین(drag) در داخل لیست قابل تغییر است.
یک قانون مطلق (بدون امکان تغییر) هست که مانع انتقال کل ترافیک میشود و در آخر لیست آمدهاست. این قانون نمیتواند حذف شود. اگر قانونی برای یک ترافیک خاص شبکه نباشد، قانون مطلق کل بستهی دادهها (packet) را از بین میبرد.
توجه
برای کنترل اتصالات کاربر به سرورهای WWW یا FTP و فیلترینگ از فیلتر محتوا ( content filter) به جای قوانین ترافیکی ( traffic rules) در کریوکنترل استفاده کنید.
پیکربندی قوانین ترافیک
اگر هیچ قانون ترافیکی در کریو کنترل خود ندارید، از configuration wizard استفاده کنید. (به Traffic Rules بروید و بر روی More Actions > Configure in Wizard کلیک کنید.)
برای ایجاد قوانین خود به مثالهای زیر توجه کنید:
قوانین کلی
به صورت پیشفرض، کریوکنترل ازاتصال برای همهی سرویسها جلوگیری می کند. به منظور ایجاد قانون دسترسی برای یک سرویس، برای مثال، اجازه به گروهی از کاربران برای استفاده از SSH برای دسترسی به سرورها در اینترنت:
۱- به قسمت قوانین ترافیک) (Traffic Rules در اینترفیس مدیریتی بروید.
۲- بر روی اضافهکردن(Add) کلیک کنید.
۳- دردیالوگ باکس اضافه کردن قانون جدید را بزنید (Add New Rule)، برای قانون نامی دلخواه تایپ کنید، برای مثال، دسترسی SHH برای یک گروه خاص. (Allow SHH to a group)
۴- نوع قانون (Rule Type) را کلی (Generic) انتخاب کنید.
۵- بر روی بعدی(Next) کلیک کنید.
۶- بر روی کاربر و گروه (User and Group) کلیک کنید.
۷- در دیالوگ باکس انتخاب گزینهها (Select Items)، بر روی یک گروه(group) یا یوزر دو بار کلیک کنید. در مثال ما گروه Allowed SHH (اجازه دسترسی به SHH)
۸- بر روی بعدی (next) کلیک کنید.
۹- اینترفیسها (Interfaces)را انتخاب کنید.
۱۰- در دیالوگ باکس انتخاب گزینهها (Select Items)،اینترفیسهای اینترنت (Internet Interfaces) را انتخاب کنید.
۱۱- بر روی بعدی (Next) کلیک کنید.
۱۲- بر روی سرویسها (Services) کلیک کنید.
۱۳- در دیالوگ باکس انتخاب گزینهها (Select Items)، دو بار بر روی SHH کلیک کنید.
این قانون به کاربران اجازهی استفاده از SHH برای دسترسی به سرورهای اینترنت را میدهد.
مپ کردن پورت (Port Mapping)
برای این که مثلا همهی سرویس های Kerio Connect که در شبکهی محلی (Local) قرار داده شدهاند و به Kerio Control وصل شده اند اجازه دسترسی از اینترنت داشته باشند ، این مراحل را طیکنید:
۱- در اینترفیس مدیریتی، به قوانین ترافیک (Traffic Rules) بروید.
۲- بر روی اضافه کردن(Add) کلیک کنید.
۳- در قسمت اضافه کردن قانون جدید(Add New Rules) ، اسم قانون را به دلخواه بنویسید.
۴- Port Mapping را انتخاب کنید.
۵- در قسمت Host، اسم هاست (hostname) و یا آدرس IP سرور SMTP (در مثال ما) که در شبکهی محلی شما وجود دارد را بنویسید.
۶- در کنار فیلد Service، گزینهی select را بزنید.
۷- در دیالوگ انتخاب گزینهها (Select Items) ، تیک گروه سرویسهای اتصال کریو(Kerio Connect Services) (در مثال ما) را بزنید.
۸- بر روی Finish کلیک کنید.
۹- قانون را به بالاترین قسمت جدول قوانین ترافیکی انتقال دهید.
اکانت کاربران و گروهها در قوانین ترافیکی
در قوانین ترافیکی، مبدا/ مقصد (source/destination) به وسیلهی اکانت کاربران یا گروه مشخص میشود. در قوانین ترافیکی، هر نام کاربری نمایندهی آدرس آیپی هاستی که کاربر به آن متصل است میباشد. این به این معنی است که این قانون در مورد کاربرانی اعمال میشود که در فایروال احراز هویت شده است. ( در واقع وقتی کاربر خارج میشود (log out) این قانون دیگر اعمال نمیشود.)
اجازه به یک کاربر مشخص برای اتصال به اینترنت
در شبکهی خصوصی و با اتصال اینترنتی که از طریق NAT ایجاد شده است، میتوانید در قسمت مبدا (Source) در قوانین NAT مشخص کنید که کدام کاربر به اینترنت دسترسی داشتهباشد.
این قبیل قوانین به کاربرانی که احراز هویت شدهاند اجازهی اتصال میدهد. بدین منظور لازم است که صفحهی ورود اینترفیس کریوکنترل را به صورت دستی بازکنند و نامشان را تأیید کنند.
مهم
با تعریف این قانون (تعریف یک کاربر مشخص)، تمام روشهای تأیید خودکار بیفایده هستند. (مانند هدایت کردن (redirecting) به صفحهی ورود، احراز هویت NTLM، احراز هویت خودکار از طریق یک هاست مشخص)
احراز هویت خودکار (هدایت شدن به صفحهی ورود) وقتی انجام میشود که اتصال به اینترنت فراهم شده باشد.
این قانون NAT هر گونه اتصال را بلاک میکند مگر اینکه نام کاربر تأیید شده باشد.
فعال کردن تأیید کاربر یا کابران مشخص به صورت خودکار
مسئلهی تأیید خودکار کاربر با انجام مراحل زیر قابل حل است:
۱- قانونی تعریف کنید که اجازهی دسترسی نامحدود به سرویس HTTP را بدهد و آن را در قسمت قانون NAT قراردهید.
۲- در قسمت قوانین محتوا(Content Rules) ، به کاربران مشخصی اجازهی دسترسی به هر وبسایتی را بدهید و از هر گونه دسترسی به دیگرکاربران جلوگیری کنید.
کاربرانی که هنوز احراز هویت نکردهاند، و تلاش دارند به وبسایتی وارد شوند، به صورت خودکار به صفحهی احراز هویت ، هدایت میشوند (یا به وسیلهی NTLM احراز هویت میشوند و یا از طریق هاست مربوطه لاگین میشوند). بعد از احراز هویت موفقیتآمیز، کاربران مشخص شده در قوانین NAT اجازهی دسترسی به دیگر سرویسهای اینترنت را خواهند داشت. کاربرانی که در این قانون مشخص نشدهاند، اجازهی دسترسی به هیچ گونه وبسایت و یا دیگر سرویسهای اینترنت را نخواهند داشت.
توجه
در این مثال، فرض شدهاست که کلاینت های هاست از Kerio Control DNS Forwarder و یا از سرور لوکال DNS استفاده میکنند. (ترافیک به سرویسهای DNS اجازهی دسترسی خواهد داد.) اگر کلاینتی از سرورDNS در اینترنت استفاده میکند، باید درقسمت قانونی که اجازهی دسترسی به اینترنت نا محدود را میدهد سرویس DNS را اضافه کنید.
فعال کردن بازرس پروتکل در قوانین ترافیکی
کریوکنترل شامل بازرسی پروتکل است که همهی ترافیک پروتکل های اپلیکیشن (مانند HTTP و FTP) را مانیتور میکند. بازرسان ارتباطات را فیلتر میکنند و یا بر اساس نوع پروتکل رفتار فایروال را مطابقت می دهد.
۱- در اینترفیس مدیریتی، به قوانین ترافیکی(Traffic Rules) بروید.
۲- بر روی بالای جدول (header) راست کلیک کنید و Columns>Inspectors را انتخاب کنید.
۳- در قسمت قانون ، بر روی ستون Inspectors دو بار کلیک کنید و بازرس پروتکل مناسب را انتخاب کنید.
مهم
هر بازرس فقط باید برای سرویس مربوطه استفاده شود.
در صورت استفاده از بازرس نامناسب عملکرد سرویس تحت تأثیر قرار میگیرد.
۴- بر روی Apply کلیک کنید.
منبع: GFI
