تعریف – فایروال: فایروال یا دیوار آتش در واقع برنامه ای است که دسترسی به یک یا چند کامپیوتر را در شبکه کنترل میکند. به طور کلیتر کلیه ی بستهها اطلاعاتی منتقل شده از/به یک یا چند کامپیوتر توسط فایروال کنترل میشود. (این تعریف دقیق و فنی نیست)
این کنترل دسترسی میتواند بر مبنای آدرس یا محدوده ی آدرس باشد. یعنی این که مثلا از آدرس (های) خاصی دسترسی کامل به کامپیوتر حفاظت شده توسط فایروال مسدود شود.
کنترل دسترسی میتواند بر حسب پورت یا سرویس باشد. مثلا سرویس FTP روی یک سرور توسط فایروال مسدود میشود.
ترکیب محدودیتهای فوق بنا بر امکانات یک سیستم فایروال میتواند برای کاربران خاص یا در یک محدوده ی زمانی تعریف شود. به عنوان مثال کاربر A میتواند فقط در محدوده ی ساعتی ۱۰-۱۲ از آدرس ۸۰٫۱۹۱٫۱۰۸٫۵ به کامپیوتر حفاظت شده توسط فایروال، روی پورت ۲۱ پروتوکل TCP – که همان سرویس FTP است – دسترسی داشته باشد.
به علاوه این محدودیت دسترسی میتواند همراه با محدودیت حجم ترافیک شبکه هم تعریف گردد. این همان کاری است که در یک شبکه برای محدودیت دانلود یا آپلود انجام میدهیم.
فایروالها امکانات بسیار متنوع تری دارند که در چند سطر بالا به موارد مقدماتی اشاره کردم. لازم است که اطلاعات پایه ای راجع به فایروالها داشته باشید تا بتوانید با هر سیستم فایروال اعم از سختافزاری یا نرمافزاری کار کنید.
تعریف- سرور فایروال: کامپیوتری که روی آن موتور فایروال کریو نصب میشود. این کامپیوتر الزاما سیستم عامل ویندوز سرور نیست و میتواند از ویندوز کلاینت هم استفاده نماید.
مراحل نصب فایروال کریو ساده است و در ادامه ی این بخش به صورت تصویری آن را خواهید دید.
-
پس از اجرای برنامه ی نصب، در صفحه ی نخست چاره ای جز زدن دکمه ی Next ندارید!
-
در صفحه ی دوم نیز باید I accept را انتخاب کنید تا به صفحه ی بعدی بروید.
-
در صفحه ی سوم مسیر نصب برنامه را شامل درایو و پوشه ی مورد نظر تان انتخاب مینمایید.
در صفحه ی چهارم گزینههای نصب را تعیین مینمایید.
WinRoute Engine Monitor: یک برنامه ی کوچک که وضعیت اجرای فایروال کریو را نشان میدهد و در عین حال میتوانید توسط آن فایروال را متوقف نمایید. در بخش Startup Preference میتوانید تعیین کنید که فایروال به هنگام بالا آمدن ویندوز اجرا شود یا خیر.
VPN Support: امکان ایجاد اتصال وی پی ان توسط فایروال کریو را نصب مینماید. لیکن فعال سازی آن در مرحله ی تنظیمات پس از نصب صورت میگیرد.
Administration Console: پانل مدیریت فایروال را نصب میکند. اگر این گزینه را فعال کنید روی خود سرور (کامپیوتری که فایروال کریو روی آن نصب میشود) امکان مدیریت فایروال را نخواهید داشت. در نتیجه باید کنسول مدیریت را روی کامپیوتر دیگری نصب کنید و به هنگام اجرای آن آدرس ای پی یا نام سرور فایروال را همراه با کاربر و گذرواژه ی مدیر فایروال وارد نمایید.
در صفحه ی بعدی باید نام کاربر و گذرواژه ی مربوط به مدیر فایروال را تعیین نمایید. توجه داشته باشید که این دادهها به صورت رمزنگاری شده ذخیره میشوند و در صورت فراموشی، نمیتوانید آنها را بازیابی کنید.
اگر به صورت ریموت دسکتاپ یا ترمینال سرویس به سرور فایروال وصل شده اید و در این حالت فایروال کریو را نصب میکنید باید توجه داشته باشید که بلافاصله پس از نصب، تمامیپورتهای دسترسی توسط فایروال به صورت پیش فرض مسدود میشود و شما امکان وارد شدن به سرور را از دست میدهید.
توصیه میکنم اگر سروری که برای فایروال در نظر گرفته اید با تعداد قابل توجهی کلاینت مرتبط است، عملیات نصب و تنظیم فایروال را مستقیم پشت سرور انجام دهید. اگر امکان حضور در محل سرور را ندارید ترجیحا موقعیت به گونه ای باشد که یک نفر دیگر در محل استقرار سرور حضور داشته باشد تا در صورت لزوم بتواند یک سری دستورالعملهای مقدماتی را انجام دهد.
اگر شرایط به گونه ای است که مجبور هستید فایروال را از راه دور نصب کنید باید در نظر داشته باشید که باید آدرس IP تان را در مرحله بعدی نصب اعلام نمایید تا پس از اجرای فایروال، مجوز دسترسی از این آدرس برای شما تنظیم شده باشد. این آدرس آی پی باید ثابت (Static) باشد و اگر به فرض اتصال اینترنت شما به گونه ای است که در هر بار اتصال آدرس متفاوتی دریافت میکنید ممکن است دچار دردسر شوید.
چرا که اگر پس از تعیین آدرس فعلی تان به عنوان نقطه ی دسترسی مجاز، اتصال شما قطع شود و با آدرس دیگری دوباره به اینترنت وصل شوید فایروال به شما اجازه ی دسترسی به سرور را از آدرس IP جدید تان نخواهد داد.
در مرحله ی پایانی از شما خواسته میشود که که کامپیوتر را مجدد راهاندازی نمایید.
پس از بالا آمدن دوباره ی ویندوز اگر نشان ضربدر قرمز روی آیکن برنامه ی Engine Monitor باشد به معنی آن است که هنوز سرویس فایروال کریو اجرا نشده است. در بخش Manage -> Services and Applications -> Services میتوانید وضعیت سرویس Kerio Firewall را بررسی نمایید. با راست کلیک روی آیکن میتوانید گزینه ی Start Kerio Engine را انتخاب کنید تا اجرای فایروال آغاز شود.
در نخستین بار پس از نصب فایروال که ویندوز بالا میآید، برنامه ی کریو از شما سؤالی مبنی بر اجرای پانل مدیریت فایروال میپرسد که از این طریق تنظیمات آن را انجام دهید. اگر این کار را انجام ندهید به طور پیش فرض تمامیدسترسیها از طریق همه ی کارتهای شبکه مسدود خواهد گردید. اگر به این سؤال پاسخ مثبت بدهید پانل مدیریت فایروال اجرا خواهد گردید.
نام کاربر مدیر و گذرواژه را –که به هنگام نصب برنامه تعیین کرده اید – وارد نمایید. اگر پانل مدیریت را از کامپیوتر دیگری به جز سرور فایروال اجرا مینمایید میتوانید در بخش Host نام یا آدرس آی پی سرور را وارد نمایید. سپس دکمه ی Connect را بزنید. میتوانید اطلاعات ورود به پانل مدیریت (نام سرور، کاربر و گذرواژه) را توسط دکمه ی Save As… ذخیره نمایید. مثلا هم زمان از طریق کامپیوتر تان چند فایروال را کنترل میکنید که هر کدام را با آدرسهای آی پی و نام کاربری شان به یک نام دلخواه ذخیره مینمایید و برای اتصال به هر کدام کافی است که روی نام آن – که در فهرست صفحه ی Administration Console میبینید – کلیک نمایید.
آیکن سفید و آبی در گوشه ی پایین صفحه نشان میدهد که فایروال روی همین کامپیوتر در حال اجرا است. البته اگر از راه دور به کنسول مدیریت فایروال متصل شوید آیکن مذکور چیزی را نشان نمیدهد.
نکته: پیش از اجرای تنظیمات مطمئن شوید که کارت شبکه ی محلی و اتصال اینترنت روی سرور فایروال به درستی تنظیم شده اند و کار میکنند.
در نخستین اجرای کریو پنجره ی Network rules Wizard را خواهید دید که در چند مرحله سؤالاتی را از شما میپرسد و توضیحاتی راجع به هر مرحله به شما نشان میدهد که فهم آن کار آسانی خواهد بود. پس از اتمام این چند مرحله، فایروال به طور مقدماتی شروع به کار میکند و البته شما هم میتوانید تظیمات را بعدا به صورت دستی تغییر دهید.
گام دوم – تعیین نوع اتصال اینترنت: در این مرحله بسته به تنظیمات شبکه تان سه گزینه نمایش داده خواهد شد:
- اگر یک کارت شبکه را برای اتصال به مودم لیزلاین یا دی اس ال و … استفاده میکنید، گزینه ی نخست را باید استفاده نمایید.
- اگر از کانکشن ISDN یا PPPoE استفاده مینمایید باید گزینه ی دوم را انتخاب نمایید. لازم است که پیش از اجرای برنامه، کانکشنها را ساخته باشید و نام کاربر و گرواژه ی اتصال را نیز ذخیره کرده باشید.
- گزینه ی سوم هم برای اتصال ماهواره به کار میرود.
در صورتی که بیش از یک اتصال اینترنت استفاده مینمایید، میتوانید در این مرحله گزینه ی اصلی تان را انتخاب نمایید و در مراحل بعدی اتصال پشتیبان تان را هم معرفی نمایید.
گام سوم- اتصال اینترنت: در مرحله ی سوم بسته به این که نوع اتصال اینترنت را چگونه تعیین کرده اید، اتصال مورد نظر تان را انتخاب مینمایید. در این مثال کامپیوتر سرور ما توسط مودم لیزلاین و به طور مستقیم به اینترنت وصل میشود. به همین دلیل با توجه به گزینه ی انتخاب شده ی مرحله ی قبلی، کارت شبکه ای را که به اینترنت متصل است انتخاب مینمایید. در این جا پیش از اجرای تنظیمات کریو، نام Local Area Connection را در بخش Network Connections از کنترل پانل به Wan تغییر داده ایم.
گام چهارم – سیاستهای خروجی: در این مرحله پنجره ی Outbound Policy نمایش داده میشود. در واقع شما تعیین میکنید که کاربران شبکه ی محلی تان با چه سرویس هایی به اینترنت دسترسی پیدا کنند.
-
گزینه ی نخست این امکان را فراهم میآورد که کاربران شبکه ی محلی به تمامیسرویسهای اینترنت (یا اینترانت) دسترسی پیدا کنند.
-
گزینه ی دوم ۸ سرویس منتخب و مشهور را به شما نشان میدهد که میتوانید هر کدام از این ۸ مورد را هم غیر فعال نمایید. سرویس هایی مانند وب، ایمیل، DNS و FTP و … در این مرحله قابل دسترس هستند. البته بعد از این هم میتوانید سرویسهای دلخواه تان را به این فهرست بیفزایید.
گام پنجم – وی پی ان:
در این مرحله میتوانید گزینههای مربوط به سرویس وی پی ان کریو را انتخاب کنید. در این صورت مراحل بعدی به گونه ای خواهد بود که تنظیمات وی پی ان را انجام دهید. با توجه به این که وی پی ان مقوله ای جدا از محتوای این سری مقاله آموزشی میباشد و هدف نهایی این مقاله ی آموزشی راهاندازی سرویس Lan Accounting است، مرحله ی مربوط به تنظیمات وی پی ان را نادیده میگیریم و به عهده ی خودتان میگذاریم. در ضمن اگر از سرویس وی پی ان دیگری مانند PPTP میکروسافت استفاده مینمایید میتوانید این گزینهها را غیر فعال نموده، به گام بعدی بروید.
گام ششم – سیاستهای ورودی:
اگر در شبکه ی داخلی تان سرور هایی دارید که قرار است از طریق اینترنت قابل دسترس باشند، در این مرحله میتوانید مشخص نمایید. در صورتی که چنین سرور هایی ندارید میتوانید این مرحله را رد کنید.
مثلا ممکن است یک سرور وب داشته باشید که به دلیل نبود آی پی اختصاصی، به طور مستقیم به اینترنت وصل نباشد. در این بخش میتوانید آدرس آی پی داخلی آن را وارد نمایید. حالا اگر کاربری بخواهد صفحه وب سایتی را که روی سرور وب قرار دارد، ببیند کافی است که آدرس آی پی (و در صورت لزوم شماره ی پورت خاص) سرور فایروال را در نوار آدرس مرورگر اینترنت وارد نماید. فایروال پس از دریافت درخواست دسترسی به سرور وب (مثلا روی پورت ۸۰) درخواست مذکور را به آدرس آی پی داخلی سرور وب هدایت (دایورت یا فوروارد) میکند.
به عنوان مثال در شبکه ی داخلی ما سرور با آدرس ۱۹۲٫۱۶۸٫۰٫۳ سرویس وب و سرور دیگری با آدرس ۱۹۲٫۱۶۸٫۰٫۱۰ سرویس بانک اطلاعاتی MS SQL Server را اجرا مینماید. البته در فایروال کریو (یا هر فایروال دیگری) سرویسهای مشهور با نام شان نمایش داده میشوند و بقیه ی سرویسها یا نرمافزارهای شبکه ای را باید از طریق شماره ی پورت شناساند. البته در برخی فایروالها فارغ از هر تبعیضی باید تمامیسرویسهای شبکه را به صورت شماره ی پورت مشخص نماییم.
دکمه ی Add را بزنید تا پنجره ی Inbound Mapping باز شود. سرویس مورد نظر را از فهرست باز شوی Service انتخاب نمایید. در بخش تعیین محل اجرای سرویس میتوانید آدرس ای پی سرور مربوط به آن را وارد نمایید. اگر سرویس مذکور روی سرور فایروال اجرا میشود میتوانید گزینه ی Firewall را انتخاب نمایید. در این صورت به ساده گی پورت مربوط به آن سرویس برای دسترسی مستقیم روی سرور فایروال باز میشود.
پس از انتخاب سرویسها فهرستی مانند زیر خواهید داشت. به گام بعدی بروید.
گام هفتم – استفاده ی مشترک از اینترنت: در بخش Internet Sharing یا همان NAT میتوانید تعیین کنید که تمامیکامپیوترهای شبکه ی محلی از طریق سرور فایروال به اینترنت دسترسی داشته باشند. در این حالت تنظیمات ای پی باید به گونه ای باشد که در کامپیوترهای کلاینت شبکه، پارامتر Default Gateway برابر با آدرس ای پی سرور فایروال تعریف شود. البته میتوانید با استفاده از سرویس پروکسی که در کریو تنظیم مینمایید، بدون نیاز به Gateway امکان دسترسی فیلتر شده به اینترنت را فراهم کنید که در قسمتهای بعدی به آن اشاره خواهیم کرد.
گام هشتم – پایان: تمام شد! فایروال کریو را با داشتن کمترین اطلاعات راجع به آن راهاندازی کردید. حال میتوانید برای تنظیمات بیشتر به صورت دستی عمل کنید.
در بخش بعدی مروری کلی به امکانات مختلف فایروال کریو خواهیم داشت.