فایروال کریو – بخش چهارم، مدیریت مصرف کاربران LAN Accounting

by | شبکه کامپیوتر

در بخش چهارم و پایانی این سری مقاله به محدودیت مصرف اینترنت و به بیان دیگر سهمیه بندی مصرف اینترنت در شبکه ی محلی می‌پردازیم.

در این مقاله نخست فرض بر این داریم که شما در شبکه تان اکتیو دایرکتوری دارید و روش کار را نیز در همین نوع شبکه بیان می‌کنیم. در پایان مقاله برای شبکه‌های عادی نیز روشی را یاد می‌دهیم که شما بتوانید بدون اکتیو دایرکتوری هم از این امکان فایروال کریو استفاده نمایید.

محدود کننده ی پهنای باند Bandwidth Limiter

این پنجره را از شاخه ی Configuration باز کنید. دو بخش برای تنظیم این بخش هست که می‌توانید از هر کدام به دلخواه استفاده نمایید. نخست تبادل بسته‌های داده ی حجیم (Large Data Transfers) که از این طریق می‌توانید برای داده‌های حجیم محدودیت ایجاد کنید به طوری که فشاری به پهنای باند وارد نکنند و باعث نگردند که تمام سرعت اینترنت توسط یک یا چند کاربر به طور کامل اشغال شود. در واقع می‌توانید برای داده‌هایی که از شبکه ی بیرون به داخل منتقل می‌شوند (یا همان دانلود‌ها) و همچنین داده‌های داخل به بیرون (یا همان آپلود‌ها) برای کاربرانی که سهمیه ی دانلود یا آپلودشان تمام شده است، محدودیت در سرعت ایجاد کنید. البته این دو هیچ وابسته گی به هم ندارند و می‌توانید به صورت مستقل نیز از این محدودیت‌ها استفاده نمایید. چرا که

توجه داشته باشید که در این بخش از نرم‌افزار کریو فایروال، محدودیت‌ها بر حسب کیلوبایت بر ثانیه (KB/s) است در حالی که سرویس دهنده‌ها پهنای باند را بر حسب کیلوبیت بر ثانیه (Kb/s) یا مگابیت بر ثانیه (Mb/s) محاسبه می‌کنند. هر ۸ بیت یک بایت را تشکیل می‌دهند بنا بر این برای مثال ۲۵۶ کیلوبیت بر ثانیه یعنی ۳۲ کیلوبایت بر ثانیه. یا ۱ مگابیت بر ثانیه یعنی ۱۲۸ کیلوبایت بر ثانیه.

تعیین مقدار محدودیت‌ها

در بخش بالای این پنجره مقدار محدودیت سرعت برای دانلود و آپلود را برای تبادل داده‌های حجیم می‌توانید تعیین کنید. با این کار پهنای باند مورد نظر شما برای داده‌های حجیم و باقی مانده ی پهنای باند برای ترافیک‌های دیگر اختصاص داده می‌شود.

تجربه نشان داده که اگر این میزان را حدود ۹۰ درصد کل پهنای باند تعیین کنید کارآیی مطلوب را خواهد داشت. اگر خیلی بیشتر از این مقدار باشد در آن صورت سرعت لازم برای سایر ترافیک‌های اینترنت باقی نمی‌ماند و اگر خیلی کمتر از این مقدار باشد در آن صورت بخش بزرگی از پهنای باند بدون استفاده می‌ماند.

نکته: برای این که تنظیمات این بخش بهینه باشد لازم است که با مقادیر واقعی پهنای باند کار کنید که این مقدار با آنچه سرویس دهنده ی اینترنت (ISP) به شما اعلام کرده در عمل متفاوت است. یکی از راه‌های تشخیص پهنای باند واقعی استفاده از نمودار‌های آماری ترافیکی است. این کار را باید در فاصله ی زمانی که می‌دانید حداکثر پهنای باند در حال استفاده است انجام دهید. (بخش Statistics نرم‌افزار کریو)

در بخش پایین این پنجره محدودیت سرعت دانلود و آپلود برای کاربرانی که سهمیه ی دانلود و آپلود آن‌ها به پایان رسیده است، تعریف می‌شود. این پهنای باند بین کاربرانی که سهمیه ی شان تمام شده است به اشتراک گذاشته می‌شود. یعنی مجموع ترافیک این کاربران با همدیگر برابر با مقداری خواهد بود که در این جا تعیین نموده اید.

هیچ مقدار بهنیه ای برای این بخش توصیه نشده است و مدیر سیستم باید خود تصمیم بگیرد. باید این مقادیر رو به گونه ای تنظیم کنید که فعالیت این کاربران اثر نامطلوب روی کاربران دیگر نداشته باشد.

نکته: در نظر داشته باشید که می‌توان کاربری را که سهمیه اش به پایان رسیده به طور کامل مسدود کرد که دسترسی به اینترنت نداشته باشد. محدودیتی که در اینجا تعریف شده است برای مواردی به کار می‌رود که نخواهیم کاربر را به طور کامل مسدود کنیم و صرفا سرعت دسترسی اینترنت را برای شان کم کنیم.

تنظیمات پیشرفته

دکمه ی Advanced را برای تنظیمات پیشرفته ی محدود کننده ی پهنای باند کلیک کنید. این پارامتر‌ها فقط برای داده‌های حجیم اعمل می‌شود. این تنظیمات برای کاربرانی که سهمیه ی اینترنت شان به پایان رسیده باشد، اعمال نخواهد شد.

Services

برخی سرویس‌ها به نظر می‌آید که پر مصرف باشند، در حالی که در عمل این طور نیستند. مثلا سرویس تلفن اینترنتی (Voice Over IP – VOIP) یکی از این‌ها است. در فایروال کریو این امکان هست که در بخش محدود کننده ی پهنای باند تعدادی از سرویس‌ها را از این امر مستثنی کنیم که این محدودیت روی آن‌ها اعمال نشود.

در عین حال می‌توانیم محدودیت پهنای باند را فقط برای سرویس‌های خاصی تعریف کنیم. مثلا زمانی که بخواهیم دانلود از طریق HTTP و FTP را محدود کنیم.

پنجره ی Services این امکان را می‌دهد سرویس‌هایی را که قرار است محدودیت پهنای باند بر آن‌ها اعمال شود، تعریف نماییم:

Apply to all services: محدودیت ترافیک به تمامی‌سرویس‌هایی که بین شبکه ی محلی و اینترنت جریان دارند، اعمال می‌شود.

Apply to the selected services only: محدودیت ترافیک فقط برای سرویس‌های تعیین شده اعمال می‌شود و دیگر سرویس‌ها بدون محدودیت خواهند بود.

Apply to all except the selected services: سرویس‌های تعیین شده بدون محدودیت خواهند بود و به جز این‌ها، تمامی‌سرویس‌ها شامل محدودیت ترافیک خواهند شد.

روی دکمه ی Select Services کلیک کنید تا پنجره ی انتخاب سرویس‌ها باز شود. با نگه داشتن کلید Ctrl یا Shift صفحه کلید می‌توانید هم زمان چند سرویس را انتخاب نمایید. تمامی‌سرویس‌ها در بخش Configuration->Definition->Services تعریف شده اند.

بسته به اولویت سازمان می‌توانید سرویس‌ها را محدود کنید. مثلا در سازمانی که ارسال و دریافت اطلاعات از طریق ایمیل، اولویت بالاتری نسبت به دانلود از طریق وب و … دارد، می‌توانید سرویس‌های مربوط به ایمیل یعنی POP3، SMTP و IMAP را بدون محدودیت تعریف نمایید و بقیه ی سرویس‌ها به طور خودکار محدود خواهند شد.

محدودیت بر مبنای آدرس آی پی و محدوده ی زمانی

گاهی ممکن است بخواهیم که محدودیت پهنای باند را فقط روی آدرس خاصی اعمال نماییم. مثلا سرور ایمیل که در شبکه ی داخلی قرار دارد و ممکن است ترافیک سنگین از شبکه ی بیرونی (اینترنت) روی این سرور قرار گیرد. در چنین حالتی مثلا اگر ایمیل‌های ورودی به سرور ایمیل زیاد باشد ممکن است تمامی‌ترافیک را در لحظاتی به خود اختصاص دهد و باعث شود که مثلا دانلود از صفحات وب و سایر سرویس‌ها به طور کامل متوقف شود. در این حالت وقتی که محدودیت پهنای باند را روی آدرس آی پی سرور ایمیل اعمال می‌کنیم، در نتیجه ایمیل‌ها با تأخیر وارد سرور می‌شوند ولی در عوض بقیه ی سرویس‌ها از کار نمی‌افتند.

یا این که ممکن است ترافیک به سمت یک آدرس آی پی خاصی در اینترنت (مثلا سرور وب شرکت) محدود کنیم.

این گروه آدرس آی پی می‌توانند شامل هر آدرسی خواه در شبکه ی داخلی یا در شبکه ی اینترنت باشند. زمانی که کامپیوتر‌های کلاینت در شبکه ی داخلی دارای آی پی ثابت باشند (یعنی از DHCP استفاده نکنند) از این طریق می‌توانیم کاربران خاصی را از روی آدرس شان محدود کنیم.

همچنین محدودیت پهنای باند را در محدوده ی زمانی خاص هم می‌توان اعمال کرد. مثلا در ساعت کاری.

این دو پارامتر در بخش Constraints (قید‌ها) تنظیم می‌شوند.

در بخش بالای برگه ی Constraints روش اعمال محدودیت پهنای باند بر مبنای آدرس آی پی را انتخاب نمایید و همچنین می‌توانید از همین جا به طور مستقیم گروه‌های آدرس آی پی را نیز تعریف نمایید.

Apply to all traffic: محدودیت برای تمامی‌آدرس‌های آی پی اعمال می‌شود. در این حالت بخش IP Address Group غیر فعال است.

Apply to the selected address group only: اگر یکی از آدرس ای پی‌های مربوط به یک اتصال به این گروه آدرس متعلق باشد، محدودیت اعمال می‌شود و در غیر این صورت اعمال نخواهد شد.

Apply to all except the selected address group: محدودیت پهنای باند اعمال نخواهد شد اگر حداقل یکی از آی پی‌های مربوط به اتصال شبکه به گروه آدرس انتخاب شده متعلق باشد. در بقیه ی موارد محدودیت اعمال می‌شود.

در بخش پایین این پنجره فاصله ی زمانی برای اعمال محدودیت پهنای باند را می‌توانید تعیین کنید یا این که از طریق دکمه ی Edit یک فاصله ی زمانی جدید تعریف و استفاده کنید.

تنظیم پارامتر‌ها برای تشخیص داده‌های حجیم

در برگه ی Advanced باید دو مقدار را تعیین کنیم، حداقل اندازه ی داده‌های انتقالی بر حسب کیلوبایت و فاصله ی زمانی توقف انتقال داده. مقدار‌های پیش فرض (۲۰۰کیلوبایت و ۵ ثانیه) پس از آزمایش‌های متعدد در شرایط واقعی تعیین شده اند.

توجه داشته باشید که تغییر این مقادیر ممکن است باعث افت کارآیی محدود کننده ی پهنای باند شود. مگر در موارد استثنایی (برای آزمایش) که بخواهید مقادیر مورد نظر خودتان را در این بخش قرار دهید.

تشخیص اتصالات با انتقال داده ی حجیم

در این بخش اطلاعاتی را در مورد روش تشخیص داده‌های حجیم بیان می‌کنیم که البته برای استفاده از محدود کننده ی پهنای باند به دانستن این‌ها نیاز ندارید.

ترافیک شبکه برای سرویس‌های مختلف فرق می‌کند. برای مثال مرورگر‌های وب معمولا یک یا چند اتصال را برای باز کردن سایت‌ها استفاده می‌کنند تا مقدار مشخصی از داده‌ها (شامل اشیای داخل صفحه) را دریافت و سپس اتصال را ببندند. سرویس‌های ترمینال (مانند telnet و SSH) معمولا یک اتصال باز را برای انتقال داده‌های کم حجم ولی طولانی مدت استفاده می‌کنند. داده‌های حجیم معمولا بدین روش عمل می‌کنند که جریان داده را به صورت پیوسته و با مکث‌های زمانی کوتاه بین بسته‌های اطلاعاتی انتقال می‌دهند.

دو پارامتر اصلی در هر اتصال بررسی می‌شوند: حجم داده ی انتقالی و بیشترین زمان توقف یا بی کار بودن انتقال داده. اگر حجم داده‌ها بدون سپری شدن فاصله ی زمانی توقف انتقال داده، از میزان مشخصی بیشتر بشود، اتصال مذکور به صورت انتقال داده ی حجیم در نظر گرفته می‌شود و محدودیت‌های تعیین شده روی آن اعمال می‌گردد.

اگر زمان توقف، از میزان تعریف شده بیشتر شود، شمارنده ی انتقال داده دوباره مقدار صفر می‌گیرد و محاسبه از اول آغاز می‌شود. این یعنی اگر یک اتصال در طول زمان کارکرد خود یک بار از این پارامتر‌ها عبور نماید به عنوان اتصال با داده ی حجیم در نظر گرفته خواهد شد.

چند مثال

تنظیم پیش فرض به این صورت است: حداقل باید ۲۰۰ کیلوبایت متقل شود و در مدت انتقال آن توقف به مدت ۵ ثانیه یا بیشتر صورت نگیرد.

۱- در شکل زیر یک اتصال می‌بینید که پس از انتقال قطعه ی سوم داده‌ها، به صورت انتقال داده ی حجیم در نظر گرفته خواهد شد.در این مرحله، انتقال داده به حجم ۲۰۰ کیلوبایت صورت می‌گیرد در حالی که زمان توقف ۳ ثانیه است.

۲- در شکل زیر اتصال به صورت داده ی حجیم در نظر گرفته نمی‌شود چون پس از ۱۵۰ کیلوبایت، ۵ ثانیه توقف هست و پس از آن ۱۵۰ کیلوبایت دیگر منتقل می‌شود.

۳- در شکل زیر نخست ۱۰۰ کیلوبایت داده منتقل می‌شود و پس از آن ۶ ثانیه مکث هست. به همین دلیل شمارنده ی داده‌ها دوباره صفر می‌شود. سپس سپس سه بلوک ۱۰۰ کیلوبایتی داده منتقل می‌شوند. وقتی بلوک سوم داده‌ها منتقل می‌شود فقط ۲۰۰ کیلوبایت در شمارنده ثبت شده است. (تا زمانی که ۵ ثانیه سپری نشده باشد). چون فاصله زمانی توقف بین بلوک دوم و سوم داده‌ها ۳ ثانیه (کمتر از ۵ ثانیه ی تعیین شده) است، این اتصال از نوع انتقال داده ی حجیم در نظر گرفته می‌شود.

شناسایی کاربران

فایروال کریو این امکان را به مدیر شبکه می‌دهد که وضعیت ترافیک شبکه (بسته‌های اطلاعاتی، اتصال، صفحه وب یا اشیای FTP) مربوط به هر کاربر را نظارت نماید. نام کاربر در هر گزینه ی فیلترینگ (filtering rule)، آدرس آی پی کامپیوتری را که کاربر از آن وصل شده است، نشان می‌دهد. (مثلا تمام کامپیوتر‌هایی که کاربر هم اکنون از طریق آن‌ها وصل شده است) به عبارت دیگر یک گروه کاربری تمامی‌ادرس آی پی‌هایی را که اعضایش در حال حاضر از آن‌ها متصل شده اند، نشان می‌دهد.

در کنار محدودیت‌های دسترسی، شناسایی کاربران نیز می‌تواند برای نظارت بر کارکرد آنان با واسط کاربری کریو استار (Kerio StaR)، در بخش گزارش‌ها (Logs) ، فهرست اتصالات فعال و مرور کلی کاربران و کامپیوترها به کار برود. اگر کاربر شناسایی شده ای از یک کامپیوتر وصل نشده باشد، فقط آدرس آی پی آن در بخش گزارش‌ها و آمار نشان داده می‌شود. در بخش آمار (Statistics) ترافیک این کامپیوتر‌ها در یک گروه به نام کاربران ناشناس (not logged in) نمایش داده می‌شود.

روش‌های شناسایی کاربران توسط فایروال

هر کاربری که در کریو تعریف شده باشد می‌تواند توسط فایروال شناسایی شود و این شناسایی به سطح دسترسی و مجوز‌های کاربر، بستگی نخواهد داشت.

روش دستی: از طریق واسط کاربری وب کریو در مرورگر اینترنت

https://server:4081

http://server:4080

(نام سرور و شماره ی پورت فرضی هستند و می‌توانید آن‌ها را تغییر دهید. به جای نام سرور آدرس آی پی هم می‌توانید به کار ببرید)

در ضمن برای دیدن آمار استفاده ی کاربر در صفحه ی وب می‌توانید از آدرس‌های زیر استفاده نمایید:

https://server:4081/star

http://server:4080/star

و البته کاربر پس از ورود به این صفحه در فایروال هم به همین نام و آدرس شناسایی خواهد شد.

هدایت توسط مرورگر (redirection): هنگام ورود به یک سایت اینترنتی، بدون توجه به این که آیا ورود به این صفحه برای کاربران شناسایی شده مجاز باشد یا خیر.

استفاده از NTLM: اگر مرورگر اکسپلورر میکروسافت یا فایرفاکس موزیلا به کار ببرید و کاربر در شبکه ی دامین ویندوز ان تی یا اکتیو دایرکتوری شناسایی شده باشد، در این حالت بدون نمایش صفحه ی ورود به فایروال، کاربر شناسایی خواهد شد. برای این کار تنظیماتی لازم است که اشاره خواهم کرد.

خودکار: آدرس آی پی کامپیوتر‌هایی را که قرار است کاربران شان به طور خودکار شناسایی شوند، می‌توانید به نام کاربر‌ها منتسب کنید. در این حالت هر ترافیک شبکه ای که از آدرس آی پی مورد نظر تشخیص داده شود، فرض بر این خواهد بود که کاربر مشخصی (که شما تعیین کرده اید) در حال استفاده از شبکه است. در عین حال کاربر می‌تواند از کامپیوتر‌های دیگر هم با روش‌های قبلی که بیان کردیم شناسایی شود. آدرس آی پی برای شناسایی خودکار یک کاربر می‌تواند در بخش user account تعیین گردد.

توجه داشته باشید اگر بیش از یک کاربر از یک کامپیوتر استفاده می‌کنند، روی آن کامپیوتر شناسایی خودکار کاربر را تعریف نکنید. نکته ی بعدی این که اگر آدرس آی پی کامپیوتر به گونه ای هست که در فاصله‌های زمانی ممکن است تغییر کند (مثلا تنظیم عمومی‌با DHCP) در این حالت هم شناسایی خودکار کاربر ممکن نیست. مگر این که آدرس آی پی را به صورت دستی تنظیم کنید یا در تنظیماتDHCP به گونه ای باشد که روی آدرس مک (Mac Address) کارت شبکه شماره ی آی پی ثابتی تعیین شده باشد.

روش هدایت توسط مرورگر بدین روش است: کاربر آدرس صفحه ی وب دلخواه خود را در مرورگر وارد می‌کند. اگر کاربر شناسایی نشده باشد، توسط کریو به صفحه ی ورود کاربر هدایت می‌شود. پس از ورود نام کاربری و گذرواژه، به طور خودکار به صفحه وب مورد نظر هدایت خواهد شد و اگر ورود به صفحه وب مذکور ممنوع شده باشد در این مرحله یک صفحه نمایش داده می‌شود که در آن پیغام ممنوعیت ورود به صفحه ی وب مورد نظر نمایش داده خواهد شد.

کاربران بسته به تظیمات کریو برای ورود به فایروال به صفحه ی امن (https) یا صفحه ی وب معمولی (http) هدایت می‌شوند. اگر هر دو حالت در تنظیمات فعال شده باشند، به طور پیش فرص صفحه ی امن نمایش داده خواهد شد.

گزینه‌های پیشرفته ی شناسایی کاربران

پارامتر‌های ورود و خروج را می‌توانید در برگه ی Authentication Options پنجره ی Users تنظیم کنید.

هدایت به صفحه ی شناسایی کاربر

اگر گزینه ی Always require users to be authenticated when accessing web pages را فعال نمایید، برای دسترسی به هر سایت باید کاربر شناسایی شود. روش شناسایی بستگی به مرورگر دارد:

Direct access: مرورگر به طور خودکار به صفحه ی شناسایی کاربر هدایت می‌شود و پس از ورود نام کاربر و گذرواژه از طریق واسط وب کریو، اگر اطلاعات شناسایی روشن باشد، صفحه ی وب نمایش داده خواهد شد.

Winroute proxy server: مرورگر یک پنجره برای ورود نام کاربری و گذرواژه نشان می‌دهد و پس از شناسایی موفق کاربر، صفحه ی وب نمایش داده می‌شود.

اگر گزینه ی Always require users to be authenticated when accessing web pages غیر فعال شود، صفحه ی شناسایی کاربر فقط هنگام دیدن صفحه‌هایی که در بخش URL rules برای کاربران شناسایی نشده در دسترس نیستند، نمایش داده خواهد شد.

نکته: شناسایی کاربر در هر دو مورد دسترسی به یک صفحه ی وب (یا سرویس‌های دیگر) و برای نظارت بر کارکرد یک کاربر مشخص لازم است.

Force non-transparent proxy server authentication

در شرایط عادی یک کاربر که از یک کامپیوتر مشخص به فایروال وصل شده است، با آدرس آی پی آن کامپیوتر شناسایی می‌شود تا زمانی که به صورت دستی از سیستم خارج شود یا به خاطر فعال نبودنش به طور خودکار خارج گردد. اما اگر کامپیوتر کلاینت امکان اتصال چند کاربر به صورت هم زمان را داشته باشد، (مانند ترمینال سرویس میکروسافت، سیتریکس یا سوئیچ کاربر در ویندوز ایکس پی، سرور ۲۰۰۳ ، ویستا، سون و سرور ۲۰۰۸) فایروال فقط برای نخستین کاربری که از اینترنت استفاده کند، شناسایی را انجام می‌دهد و بقیه ی کاربران با همان نام کاربر نخست شناسایی می‌شوند.

در مورد HTTP و HTTPS این مانع نادیده گرفته می‌شود. در کامپیوتر‌هایی که چند کاربر از آن‌ها استفاده می‌کنند، تنظیم بخش اتصال اینترنت مرورگر را به طور خودکار از طریق سرور پروکسی کریو انجام دهید. (توضیح کامل این کار در راهنمای نرم‌افزار هست) و گزینه ی Enable non-transparent proxy server را فعال نمایید. در این حالت برای هر صفحه ی جدید در هر مرورگر، نیاز به شناسایی کاربر خواهد بود.

الزام کاربران برای وارد کردن اطلاعات شناسایی برای هر صفحه ی جدید مرورگر، برای کاربرانی که روی کامپیوتر شان به صورت انفرادی کار می‌کنند دردسر ساز می‌شود. بدین منظور می‌توانید این قاعده را بر روی کامپیوتر‌های با ادرس آی پی خاص به کار ببندید. گزینه ی Apply only
for these IP addresses البته به شرطی که آدرس آی پی کامپیوترهای چند کاربره متغیر نباشد.

Automatic authentication (NTLM)

با فعال سازی شناسایی خودکار کاربر اگر از مرورگر اینترنت اکسپلورر (۵٫۰۱ یا بالاتر) یا فایرفاکس (نگارش ۱٫۳ یا بالاتر) استفاده نمایید، شناسایی خودکار کاربر از طریق NTLM ممکن خواهد شد.

در این حالت به نام کاربر و گذرواژه نیازی نخواهد بود و شناسایی از طریق کاربری که به ویندوز وارد شده است انجام می‌گیرد. این روش شناسایی فقط در سیستم عامل ویندوز قابل استفاده است.

خروج خودکار کاربران به هنگام فعال نبودن شان

پارامتر Timeout یک فاصله ی زمانی بر حسب دقیقه است که در این مدت کاربر می‌تواند با اینترنت کار نکند. پس از گذشتن این زمان، کاربر به طور خودکار از فایروال خارج می‌شود. مقدار پیش فرض آن ۱۲۰ دقیقه است.

این گزینه برای زمانی که کاربر فراموش می‌کند از فایروال خارج شود، کارایی دارد. پس بهتر است این گزینه را غیر فعال نکنید چون در این صورت داده‌های مربوط به ورود یک کاربر ممکن است توسط کاربر دیگر استفاده شود.

با این مقدمات وارد مرحله ی LAN Accounting می‌شویم.

نرم‌افزار‌های متعددی برای بحث کنترل مصرف اینترنت یا همان LAN Accounting هم اکنون در بازار هستند که امکانات آن‌ها بیشتر به درد سرویس دهنده‌های حرفه ای اینترنت می‌خورد تا یک سازمان. برای ISP هم تعداد ساعت‌های مصرف می‌تواند مهم باشد و هم حجم داده‌های ارسالی (upload) و دریافتی (download). در حال حاضر که اینترنت پر سرعت با تکنولوژی DSL بیشتر استفاده می‌شود عملا مقوله ای به نام تعداد ساعت مصرف ماهیانه مطرح نیست و صرفا حجم مصرف محاسبه می‌گردد.

در این بخش راه‌اندازی سرویس LAN Accounting را به صورت گام به گام در نرم‌افزار فایروال کریو توضیح خواهم داد. برای این که راه‌اندازی این سرویس برای خواننده ی مطلب آسان باشد، جزئیاتی را که در این روش به کار نمی‌روند، توضیح نمی‌دهم و در مطالب تکمیلی به صورت مفصل از راهنمای نرم فزار ترجمه و منتشر خواهم کرد.

برای شبکه ای که می‌خواهیم اکانتینگ اینترنت راه‌اندازی کنیم، شرایط زیر در نظر گرفته شده اند:

  • شبکه ی سیستم عامل ویندوز با سرور ۲۰۰۳ یا بالاتر و کلاینت‌های ویندوز ایکس پی یا بالاتر
  • سرویس اکتیو دایرکتوری برای یک دامین (اتصال به چند دامین در نظر گرفته نشده است)
  • تمامی‌کامپیوتر‌ها و کاربرانی که از اینترنت استفاده می‌کنند به اکتیو دایرکتوری متصل هستند
  • کامپیوتر‌ها به طور مستقیم به مودم یا روتر وصل نیستند و سروری که نرم‌افزار کریو بر روی آن نصب شده است، از حداقل دو کارت شبکه استفاده می‌نماید که یکی از آن‌ها به اینترنت و دیگری به شبکه ی داخلی (مثلا با محدوده ی آی پی ۱۹۲٫۱۶۸٫۰٫x) وصل است.

گام نخست: معرفی کاربران – اتصال به اکتیو دایرکتوری

کریو به دو طریق می‌تواند کاربران را مدیریت کند:

  • سیستم داخلی (Local User Database)
  • اکتیو دایرکتوری

در سیستم داخلی معمولا نام کاربران و گذرواژه ی آن‌ها در فایلی داخل پوشه ی نصب برنامه ی کریو ذخیره می‌شود که به لحاظ ایمنی در سطح پایین تری است. اگر شبکه ی تان اکتیو دایرکتوی باشد، استفاده از سیستم داخلی برای کاربران باعث دوباره کاری برای آن‌ها در ورود نام و گذرواژه خواهد شد.

یک روش آن است که نام کاربران به صورت داخلی تعریف می‌شود ولی شناسایی آن‌ها از طریق گذرواژه در اکتیو دایرکتوری انجام می‌شود. در این حالت لازم است که نام کاربر در کریو منطبق با نام آن در سرور ویندوز باشد.

روش دیگر ورود (import) اطلاعات کاربران از اکتیو دایرکتوری است که نام کاربران فایروال منطبق بر نام کاربری آن‌ها در سرور ویندوز خواهد بود و این روش، مدیریت آن‌ها را آسان‌تر می‌سازد. ولی هر گونه تغییر در کاربران یا غیر فعال شدن آن‌ها نیاز مند به این است که ورود کاربران از سرور ویندوز دوباره صورت بگیرد و در شبکه‌هایی که تغییر و تحولات زیاد صورت می‌گیرد یا تعداد کاربران زیاد است این روش می‌تواند مشکلات عدم انطباق را به دنبال داشته باشد.

استفاده از سیستم داخلی کریو برای کاربران یک مزیت دارد و آن هم برای زمانی است که سرور اکتیو دایرکتوری به هر دلیل (مثلا خرابی) در دسترس نباشد. در شبکه‌هایی که اینترنت پرکاربرد و حیاتی است و فقط یک سرور اکتیو دایرکتوری (Domain Controller) مجزا از سرور فایروال وجود دارد، می‌توانیم برای احتیاط از این روش استفاده نماییم که در صورت از کار افتادن سرور اکتیو دایرکتوری، کاربران به مشکل برخورد نکنند.

لیکن ممکن است سیاست امنیتی که توسط شما به عنوان مدیر شبکه پیاده می‌شود بر این قاعده استوار شود که کار در شبکه باید همراه با اکتیو دایرکتوری باشد. البته برای پیاده سازی درست و پایدار چنین روشی لازم است که مقدمات آن را پیش بینی کرده باشید که از حوصله ی این بحث خارج است و به مبحث دیگری در باره ی نصب سرور‌های ویندوز مربوط می‌شود.

روش دیگر استفاده ی مستقیم از اکتیو دایرکتوری (mapping) است که نام کاربران و گذرواژه ی آنان در کریو ذخیره نمی‌شود. در این روش لازم است که:

  • کامپیوتری که فایروال روی آن نصب شده است باید متعلق به دامین مورد نظر باشد.
  • سرور دامین کنترلر اکتیو دایرکتوری باید به عنوان سرویس دهنده ی نام اولیه (Primary DNS Server) تعریف شده باشد.

در بخش Authentication Options گزینه‌های مروبط به شناسایی کاربران را فعال نمایید. با توجه به این که از روش شناسایی مستقیم اکتیو دایرکتوری استفاده می‌کنید، این که کاربر ناشناس از طریق کامپیوتر لپ تاپ یا هر وسیله ی دیگری به شبکه متصل شود و از اینترنت بدون گذاشتن رد پا استفاده نماید، امکان پذیر نخواهد بود.

دو گزینه ی مربوط به Web Authentication را پیش‌تر توضیح داده ایم. البته تصویر پیشین مربوط به نگارش ۶٫۵ و این تصویر مربوط به نگارش ۶٫۲ است که گزینه‌های کمتری دارد.

در صفحه ی مربوط به تنظیمات اکتیو دایرکتوری، گزینه ی Map user accounts… را فعال نمایید و نام دامین مورد نظر را به طور کامل وارد کنید. در این مثال نام دامین worknet.local است. بخش Description اختیاری است.

برای دسترسی به اطلاعات کاربران لازم است که نام و گذرواژه ی یک کاربر با اختیار دسترسی به اکتیو دایرکتوری را در بخش Domain Access وارد نمایید. به طور معمول ممکن است بخواهید همان کاربر پیش فرض Administrator را استفاده نمایید.

من ترجیح می‌دهم کاربری را استفاده کنم که ویژه ی همین برنامه باشد و جای دیگر به کار نرود. در نظر داشته باشید مثلا اگر کاربر Administrator یا هر کاربر مدیر شبکه را که در جای دیگر هم استفاده می‌کنید ممکن است مجبور شوید گذرواژه ی آن را هر چند وقت یک بار تغییر دهید. به محض تغییر گذرواژه، دسترسی به اکتیو دایرکتوری توسط فایروال کریو از بین می‌رود و هیچ کاربری شناسایی نخواهد شد و در نهایت تمام کاربران به هنگام ورود به صفحه ی وب با درخواست نام کاربر و گذرواژه رو در رو می‌شوند.

همان طور که در تصویر بعدی می‌بینید کاربری به نام KWAdmin را در این بخش به کار برده ام. در واقع این کاربر را در بخش Active Directory Users and Computers ایجاد می‌نماییم. البته این کاربر باید عضو گروه Domain Admins باشد یا ممکن است از روی همان کاربر Administrator اصلی کپی کرده باشیم.

برای ایمنی بیشتر می‌توانید در بخش Logon to مشخصات کاربر در اکتیو دایرکتوری، ورود آن را فقط روی کامپیوتر سرور فایروال مجاز اعلام کنید. چرا که این کاربر ویژه ی دسترسی به اطلاعات کاربران در اکتیو دایرکتوری توسط فایروال کریو است و جای دیگر کاربرد ندارد. بدین ترتیب امکان سؤ استفاده ی احتمالی از این کاربر را از میان می‌برید.

به علاوه لازم است بخش NT Authentication را نیز فعال نمایید. در بخش NT domain name همان طور که می‌بینید نام دامین اکتیو دایرکتوری بدون پسوند و با حروف بزرگ نوشته شده است.

به طور پیش فرض برنامه ی کریو به نخستین سرور دامین کنترلر برای دریافت اطلاعات کاربران مراجعه می‌نماید. اگر بیش از یک سرور دامین کنترلر در شبکه تان دارید یعنی علاوه بر سرور اصلی (Primary Domain Controller) سرور (های) پشتیبان (Backup Domain Controller) دارید می‌توانید نام آن‌ها را وارد نمایید. بدین منظور در بخش Domain Access دکمه ی Advanced را بزنید تا صفحه مربوط به تنظیمات پیشرفته ی سرور باز شود. در بخش Connection گزینه ی Automatically connect… به طور پیش فرض انتخاب شده است که باعث می‌شود نرم‌افزار کریو به نخستین سرور در دسترس برای دریافت اطلاعات کاربران اکتیو دایرکتوری متصل شود. اگر گزینه ی بعدی Always connect to … را انتخاب نمایید می‌توانید نام سرور را خود تان تعیین کنید.

همچنین در بخش Security می‌توانید تعیین نمایید که از اتصال امن رمز گذاری شده برای دسترسی به بانک اطلاعاتی کاربران استفاده نمایید، به شرطی که سرور شما برای این نوع اتصال از پیش تنظیم شده باشد.

برای اعمال تنظیم‌های گفته شده، دکمه ی Apply در پایین پنجره را بزنید. حال در برگه ی User Accounts فهرست Domain را باز کنید.

پس از انتخاب دامین، فهرست کاربران ظاهر می‌شود. اگر اطلاعات را درست وارد نموده باشید باید پس از انتخاب نام دامین (در این جا worknet.local) بتوانید نام کاربران را ببینید.

در این پنجره با استفاده از بخش Search می‌توانید نام کاربران را جستجو نمایید.

در عین حال گزینه ی hide disabled user accounts در پایین همین پنجره به شما امکان می‌دهد که فهرست را خلوت‌تر کنید و فقط کاربران فعال را در این فهرست ببینید.

توجه داشته باشید که فعال یا غیر فعال بودن در نرم‌افزار فایروال کریو مطرح است نه در اکتیو دایرکتوری. یعنی اگر یک کاربر را در اکتیو دایرکتوری غیر فعال (disabled) کنید در کریو همچنان در دسترس خواهد بود.

تعیین الگوی کلی برای کاربران (Domain template)

دکمه ی Template را در بخش سمت راست پایین پنجره ی User Accounts می‌بینید. تنظیمات این بخش به صورت الگو برای تمامی‌کاربران اینترنت به صورت پیش فرض اعمال می‌گردد مگر این که برای کاربر (های) دلخواهی تنظیمات اختصاصی (individual) به کار ببریم.

پنجره ی Template سه برگه برای تنظیمات عمومی‌کاربران دارد.

Rights: برای تنظیم مجوز‌ها که از دو بخش مجوز‌های مدیریتی (Administrative rights) و مجوز‌های اضافی (Additional rights) تشکیل شده است.

مجوز‌های مدیریتی به صورت دکمه ی رادیویی سه گزینه ای است که فقط یکی از آن‌ها را می‌توانید انتخاب نمایید:

No access to administration: به طور پیش فرض این گزینه فعال است و باعث می‌شود که هیچ کدام از کابران به جز کاربر Admin داخلی فایروال به گزینه‌های مدیریتی تنظیمات دسترسی نداشته باشند.

Read only access to administration: دسترسی فقط خواندنی بخش‌های مدیریتی که در این حالت می‌توانند تنظیمات بخش مدیریتی را فقط ببینند.

Full access to administration: دسترسی کامل به مدیریت. در حالت عادی فقط کاربر Admin داخلی کریو این اختیار را دارد.

توجه داشته باشید در یک شبکه به صورت پیش فرض باید تمامی‌کاربران بدون اختیار مدیریت باشند و هر گونه سطح دسترسی دیگری باید به صورت اختصاصی به آن‌ها داده شود.

بخش مجوز‌های اضافی نیز شامل گزینه‌های دیگری از جمله مجوز اتصال به طریق وی پی ان، امکان استفاده از شبکه‌های نقطه به نقطه و … است که به طور پیش فرض برای تمام کاربران شبکه غیر فعال هستند.

بخش Quota شاید مهم‌تر از بقیه باشد. در این برگه بخش محدودیت انتقال داده (Transfer quota) وجود دارد که ترافیک روزانه و ماهیانه را می‌توانید محدود نمایید.

گزینه ی Enable daily limit برای محدویت روزانه است. هنگامی‌که آن را فعال می‌نمایید در بخش Direction می‌توانید جهت ترافیک را مشخص کنید. Download برای دریافتی‌ها، Upload برای ارسالی‌ها و All traffic برای مجموع هر دو. در جعبه متن Quota هم می‌توانید مقدار را بر حسب مگابایت (MB) و گیگابایت (GB) تعیین نمایید.

گزینه ی Enable monthly limit نیز به روشی مشابه محدودیت ماهیانه را تعیین می‌نماید.

توجه داشته باشید که اگر میزان ترافیک روزانه و ماهیانه را هم زمان محدود می‌کنید، مقدار‌های آن‌ها باید با هم متناسب باشند. مثلا اگر مجموع ترافیک ارسال و دریافت روزانه را ۵۰ مگابایت تعیین کنید، میزان ماهیانه باید کمتر از ۱۵۰۰ مگابایت (هر ماه ۳۰ روز کاری در نظر می‌گیریم) باشد تا محدودیت ماهیانه معنا دار باشد. اگر تقویم کاری عادی یعنی همراه با تعطیلی باشد مثلا ۲۵ روز، در این صورت مقدار ترافیک ماهیانه باید کمتر از ۱۲۵۰ مگابایت باشد. یا اگر مجموع ترافیک ارسال و دریافت روزانه را ۵۰ مگابایت محدود می‌کنید و مثلا در ترافیک ماهیانه فقط دانلود یا فقط آپلود را محاسبه کنید باید میزان ترافیک را (با فرض ۳۰ روز کاری) کمتر از حالت پیشین در نظر بگیرید.

نکته ی بعدی این که برای این تعیین حدود بهتر است ابتدا به مدت چند روز شبکه اینترنت را بدون محدودیت انتقال داده استفاده نمایید تا آمار کاربران و نوع پروتوکل‌ها و میزان ارسال و دریافت آنان را بتوانید برآورد کنید.

و همان طور که در شکل نیز می‌بینید می‌توان فقط ترافیک روزانه یا فقط ترافیک ماهیانه را محدود کرد و الزامی‌به استفاده از هر دو محدودیت نیست.

بخش Quota exceed action مربوط به حالتی است که میزان مصرف یک کاربر از مقدار تعیین شده اش (روزانه یا ماهیانه) بیشتر شود. در این حالت دو گزینه در دسترس است:

Block any further traffic : مسدود کردن کاربر تا آغاز دور بعدی. مثلا اگر سهمیه ی روزانه به پایان رسیده باشد تا آغاز روز بعدی کاربر را مسدود می‌کند. همچنین اگر جمع سهمیه‌های روزانه ی استفاده شده از سهمیه ی ماهیانه بیشتر شود تا آغاز ماه بعدی (تقویم میلادی) کاربر مسدود خواهد بود.

Don’t block further traffic: در این حالت کاربر مسدود نمی‌شود و از پهنای باندی که به این منظور در بخش bandwidth limiter تعیین شده به صورت اشتراکی با سایر کاربرانی که آن‌ها هم سهمیه شان را تمام کرده اند استفاده می‌کند.

گزینه ی آخر Notify user… در صورتی که سهمیه ی کاربر تمام شود از طریق ایمیل به او خبر می‌دهد. البته برای استفاده از این امکان باید آدرس ایمیل سرور و … در بخش مربوط به آن فعال شده باشد که در این مبحث به آن نپرداخته ایم.

برگه ی آخر content rules است که مربوط به بخش اسکن و فیلتر محتوایی صفحات وب می‌باشد و محتوا‌های خاصی را به کاربر اجازه می‌دهد که استفاده نمایند.

تمامی‌این تنظیمات که گفتیم برای همه ی کاربر‌ها از طریق الگوی کلی (Domain template) اعمال می‌شوند.

برای دیدن ویدئوی کوتاه مربوط به این بخش اینجا را کلیک کنید.

ویرایش کاربر

برای تغییر یک کاربر نخست آن را انتخاب نمایید. همان طور که در تصویر بعدی می‌بینید گزینه‌های Add و Remove در این حالت که کاربران مستقیما در اکتیو دایرکتوری تعریف می‌شوند، غیر فعال است. این دکمه‌ها فقط برای زمانی فعال می‌شوند که اطلاعات کاربران در داخل نرم‌افزار کریو (به ترتیبی که پیش از این اشاره کردیم) ذخیره شوند.

با زدن دکمه ی Edit پنجره ی ویرایش مشخصات کاربر در کریو باز می‌شود.

برای قطع دسترسی یک کاربر اکتیو دایرکتوری به اینترنت کافی است در این جا گزینه ی Account disabled را انتخاب و تنظیمات را ذخیره نماییم.

برگه ی Groups گروه کاربری مربوط به اکتیو دایرکتوری را نشان می‌دهد و در این حالت که ما تنظیم کرده ایم (یعنی Active Directory mapping) قابل تغییر نیست.

برگه ی IP addresses مربوط به شناسایی خودکار کاربر است. یعنی آدرس آی پی یا گروه آدرس خاصی را به یک کاربر اختصاص می‌دهد و اگر درخواست از روی کامپیوتر با آدرس آی پی مزبور باشد برای این کاربر خاص در نظر می‌گیرد. در حالتی که آی پی کلاینت‌ها ثابت باشد و هر کامپیوتر کاربر مشخص داشته باشد می‌توانید از این روش برای تسریع شناسایی کاربر استفاده نمایید.

در بخش VPN client address در صورتی که کاربر برای اتصال به فایروال از وی پی ان استفاده می‌کند می‌توانید آدرس خاصی را به طور ثابت به او نسبت دهید.

ابتدای کار که پنجره ی ویرایش کاربر را باز می‌کنید به طور پیش فرض گزینه ی This user’s configuration is defined by domain template فعال است و برگه‌های Rights، Quota و Content rules غیر فعال هستند. چون این تنظیمات را از الگوی کلی کاربران استفاده می‌کند. اگر بخواهیم تمامی‌شرایط یک کاربر، جداگانه تنظیم شوند باید گزینه ی تنظیم اختصاصی یا همان this user has an individual configuration را فعال نمایید. در این حالت سه برگه ی مذکور نیز فعال می‌شوند.

مثلا ممکن است بخواهید یک یا چند کاربر محدودیت ترافیک نداشته باشند در حالی که الگوی کلی برای همه شان محدودیت ترافیک قرار داده است. در این حالت می‌توانید کاربران را به صورت اختصاصی تنظیم کنید و محدودیت ترافیک آن‌ها را تغییر داده یا غیر فعال نمایید.

یا مثلا می‌خواهید یکی از کاربران (مثلا مدیر سازمان که مهارت فنی در زمینه ی فایروال ندارد) بتواند میزان مصرف کاربران را ببیند در این صورت پس از تنظیم اختصاصی در بخش Rights می‌توانید گزینه ی Read only access to administration را فعال نمایید تا بدون امکان دستکاری در تنظیمات بتواند آمار استفاده ی کاربران را ببیند.

برای دیدن ویدئوی کوتاه مربوط به این بخش اینجا را کلیک کنید.

مشاهده ی آمار کاربران

داخل برنامه ی مدیریت فایروال کریو می‌توانید آمار کاربران را مشاهده نمایید. برای این کار کافی است در پانل سمت چپ روی گزینه ی Statistics در بخش Status کلیک کنید. در بخش آمار سه برگه می‌بینید.

Top 20 users: همان طور که از نامش پیدا است آمار ۲۰ کاربری که بیشتر از بقیه مصرف داشته اند نشان می‌دهد. با انتخاب دوره ی زمانی می‌توانید آمار را به صورت روزانه، هفتگی، ماهیانه و کلی ببینید. مثالی که در این عکس می‌بینید آمار استفاده را به صورت توزیع فراوانی نشان داده است. کاربران هر کدام با یک رنگ مشخص شده اند و رنگ خاکستری مربوط به کاربران شناسایی نشده است. دلیل بودن کاربران شناسایی نشده در آمار این است که در این مورد خاص فایروال به گونه ای تنظیم شده است که شناسایی کاربران الزامی‌نباشد.

User statistics: آمار کاربران. در این بخش می‌توانید تک تک کاربران را انتخاب و آمار استفاده ی آن‌ها را به صورت روزانه، هفتگی، ماهیانه و کلی ببینید. این صفحه از دو بخش تشکیل شده است. بالای صفحه که فهرست کاربران و میزان استفاده ی آن‌ها به تفکیک بازه ی زمانی در ستون‌های کنار هم نشان داده می‌شود و پایین صفحه که در آن نمودار با جزئیات بیشتر بر حسب ترافیک (محور عمودی) و زمان (محور افقی) نمایش داده می‌شود. رنگ سبز برای دانلود و رنگ قرمز برای آپلود مشخص شده است.

در تصویر زیر ترافیک روزانه ی یک کاربر را به تفکیک نوع سرویس استفاده شده می‌بینید.

برگه ی آخر Interface statistics است که ترافیک را به تفکیک کارت شبکه نشان می‌دهد.

در نگارش ۷ فایروال کریو امکانات آماری وسیع تری وجود دارد که مستندات آن را از روی کارهای انجام شده ی واقعی به زودی منتشر خواهم کرد.

آن چه در این سری ۴ بخشی آموزش فایروال کریو منتشر کردم امکانات پر کاربرد این نرم‌افزار را در بر می‌گرفت و سعی کردم توضیحات به گونه ای باشد که برای افراد مبتدی نیز قابل فهم گردد.