تعریف – فایروال: فایروال یا دیوار آتش در واقع برنامه ای است که دسترسی به یک یا چند کامپیوتر را در شبکه کنترل می‌کند. به طور کلی‌تر کلیه ی بسته‌ها اطلاعاتی منتقل شده از/به یک یا چند کامپیوتر توسط فایروال کنترل می‌شود. (این تعریف دقیق و فنی نیست)

این کنترل دسترسی می‌تواند بر مبنای آدرس یا محدوده ی آدرس باشد. یعنی این که مثلا از آدرس (های) خاصی دسترسی کامل به کامپیوتر حفاظت شده توسط فایروال مسدود شود.

کنترل دسترسی می‌تواند بر حسب پورت یا سرویس باشد. مثلا سرویس FTP روی یک سرور توسط فایروال مسدود می‌شود.

ترکیب محدودیت‌های فوق بنا بر امکانات یک سیستم فایروال می‌تواند برای کاربران خاص یا در یک محدوده ی زمانی تعریف شود. به عنوان مثال کاربر A می‌تواند فقط در محدوده ی ساعتی ۱۰-۱۲ از آدرس ۸۰٫۱۹۱٫۱۰۸٫۵ به کامپیوتر حفاظت شده توسط فایروال، روی پورت ۲۱ پروتوکل TCP – که همان سرویس FTP است – دسترسی داشته باشد.

به علاوه این محدودیت دسترسی می‌تواند همراه با محدودیت حجم ترافیک شبکه هم تعریف گردد. این همان کاری است که در یک شبکه برای محدودیت دانلود یا آپلود انجام می‌دهیم.

فایروال‌ها امکانات بسیار متنوع تری دارند که در چند سطر بالا به موارد مقدماتی اشاره کردم. لازم است که اطلاعات پایه ای راجع به فایروال‌ها داشته باشید تا بتوانید با هر سیستم فایروال اعم از سخت‌افزاری یا نرم‌افزاری کار کنید.

تعریف- سرور فایروال: کامپیوتری که روی آن موتور فایروال کریو نصب می‌شود. این کامپیوتر الزاما سیستم عامل ویندوز سرور نیست و می‌تواند از ویندوز کلاینت هم استفاده نماید.

مراحل نصب فایروال کریو ساده است و در ادامه ی این بخش به صورت تصویری آن را خواهید دید.

  • پس از اجرای برنامه ی نصب، در صفحه ی نخست چاره ای جز زدن دکمه ی Next ندارید!
  • در صفحه ی دوم نیز باید I accept را انتخاب کنید تا به صفحه ی بعدی بروید.
  • در صفحه ی سوم مسیر نصب برنامه را شامل درایو و پوشه ی مورد نظر تان انتخاب می‌نمایید.

در صفحه ی چهارم گزینه‌های نصب را تعیین می‌نمایید.

WinRoute Engine Monitor: یک برنامه ی کوچک که وضعیت اجرای فایروال کریو را نشان می‌دهد و در عین حال می‌توانید توسط آن فایروال را متوقف نمایید. در بخش Startup Preference می‌توانید تعیین کنید که فایروال به هنگام بالا آمدن ویندوز اجرا شود یا خیر.

VPN Support: امکان ایجاد اتصال وی پی ان توسط فایروال کریو را نصب می‌نماید. لیکن فعال سازی آن در مرحله ی تنظیمات پس از نصب صورت می‌گیرد.

Administration Console: پانل مدیریت فایروال را نصب می‌کند. اگر این گزینه را فعال کنید روی خود سرور (کامپیوتری که فایروال کریو روی آن نصب می‌شود) امکان مدیریت فایروال را نخواهید داشت. در نتیجه باید کنسول مدیریت را روی کامپیوتر دیگری نصب کنید و به هنگام اجرای آن آدرس ای پی یا نام سرور فایروال را همراه با کاربر و گذرواژه ی مدیر فایروال وارد نمایید.


در صفحه ی بعدی باید نام کاربر و گذرواژه ی مربوط به مدیر فایروال را تعیین نمایید. توجه داشته باشید که این داده‌ها به صورت رمزنگاری شده ذخیره می‌شوند و در صورت فراموشی، نمی‌توانید آن‌ها را بازیابی کنید.


اگر به صورت ریموت دسکتاپ یا ترمینال سرویس به سرور فایروال وصل شده اید و در این حالت فایروال کریو را نصب می‌کنید باید توجه داشته باشید که بلافاصله پس از نصب، تمامی‌پورت‌های دسترسی توسط فایروال به صورت پیش فرض مسدود می‌شود و شما امکان وارد شدن به سرور را از دست می‌دهید.

توصیه می‌کنم اگر سروری که برای فایروال در نظر گرفته اید با تعداد قابل توجهی کلاینت مرتبط است، عملیات نصب و تنظیم فایروال را مستقیم پشت سرور انجام دهید. اگر امکان حضور در محل سرور را ندارید ترجیحا موقعیت به گونه ای باشد که یک نفر دیگر در محل استقرار سرور حضور داشته باشد تا در صورت لزوم بتواند یک سری دستورالعمل‌های مقدماتی را انجام دهد.

اگر شرایط به گونه ای است که مجبور هستید فایروال را از راه دور نصب کنید باید در نظر داشته باشید که باید آدرس IP تان را در مرحله بعدی نصب اعلام نمایید تا پس از اجرای فایروال، مجوز دسترسی از این آدرس برای شما تنظیم شده باشد. این آدرس آی پی باید ثابت (Static) باشد و اگر به فرض اتصال اینترنت شما به گونه ای است که در هر بار اتصال آدرس متفاوتی دریافت می‌کنید ممکن است دچار دردسر شوید.

چرا که اگر پس از تعیین آدرس فعلی تان به عنوان نقطه ی دسترسی مجاز، اتصال شما قطع شود و با آدرس دیگری دوباره به اینترنت وصل شوید فایروال به شما اجازه ی دسترسی به سرور را از آدرس IP جدید تان نخواهد داد.


در مرحله ی پایانی از شما خواسته می‌شود که که کامپیوتر را مجدد راه‌اندازی نمایید.

پس از بالا آمدن دوباره ی ویندوز اگر نشان ضربدر قرمز روی آیکن برنامه ی Engine Monitor باشد به معنی آن است که هنوز سرویس فایروال کریو اجرا نشده است. در بخش Manage -> Services and Applications -> Services می‌توانید وضعیت سرویس Kerio Firewall را بررسی نمایید. با راست کلیک روی آیکن می‌توانید گزینه ی Start Kerio Engine را انتخاب کنید تا اجرای فایروال آغاز شود.


در نخستین بار پس از نصب فایروال که ویندوز بالا می‌آید، برنامه ی کریو از شما سؤالی مبنی بر اجرای پانل مدیریت فایروال می‌پرسد که از این طریق تنظیمات آن را انجام دهید. اگر این کار را انجام ندهید به طور پیش فرض تمامی‌دسترسی‌ها از طریق همه ی کارت‌های شبکه مسدود خواهد گردید. اگر به این سؤال پاسخ مثبت بدهید پانل مدیریت فایروال اجرا خواهد گردید.


نام کاربر مدیر و گذرواژه را –که به هنگام نصب برنامه تعیین کرده اید – وارد نمایید. اگر پانل مدیریت را از کامپیوتر دیگری به جز سرور فایروال اجرا می‌نمایید می‌توانید در بخش Host نام یا آدرس آی پی سرور را وارد نمایید. سپس دکمه ی Connect را بزنید. می‌توانید اطلاعات ورود به پانل مدیریت (نام سرور، کاربر و گذرواژه) را توسط دکمه ی Save As… ذخیره نمایید. مثلا هم زمان از طریق کامپیوتر تان چند فایروال را کنترل می‌کنید که هر کدام را با آدرس‌های آی پی و نام کاربری شان به یک نام دلخواه ذخیره می‌نمایید و برای اتصال به هر کدام کافی است که روی نام آن – که در فهرست صفحه ی Administration Console می‌بینید – کلیک نمایید.


آیکن سفید و آبی در گوشه ی پایین صفحه نشان می‌دهد که فایروال روی همین کامپیوتر در حال اجرا است. البته اگر از راه دور به کنسول مدیریت فایروال متصل شوید آیکن مذکور چیزی را نشان نمی‌دهد.

نکته: پیش از اجرای تنظیمات مطمئن شوید که کارت شبکه ی محلی و اتصال اینترنت روی سرور فایروال به درستی تنظیم شده اند و کار می‌کنند.

در نخستین اجرای کریو پنجره ی Network rules Wizard را خواهید دید که در چند مرحله سؤالاتی را از شما می‌پرسد و توضیحاتی راجع به هر مرحله به شما نشان می‌دهد که فهم آن کار آسانی خواهد بود. پس از اتمام این چند مرحله، فایروال به طور مقدماتی شروع به کار می‌کند و البته شما هم می‌توانید تظیمات را بعدا به صورت دستی تغییر دهید.


گام دوم – تعیین نوع اتصال اینترنت: در این مرحله بسته به تنظیمات شبکه تان سه گزینه نمایش داده خواهد شد:

  • اگر یک کارت شبکه را برای اتصال به مودم لیزلاین یا دی اس ال و … استفاده می‌کنید، گزینه ی نخست را باید استفاده نمایید.
  • اگر از کانکشن ISDN یا PPPoE استفاده می‌نمایید باید گزینه ی دوم را انتخاب نمایید. لازم است که پیش از اجرای برنامه، کانکشن‌ها را ساخته باشید و نام کاربر و گرواژه ی اتصال را نیز ذخیره کرده باشید.
  • گزینه ی سوم هم برای اتصال ماهواره به کار می‌رود.


در صورتی که بیش از یک اتصال اینترنت استفاده می‌نمایید، می‌توانید در این مرحله گزینه ی اصلی تان را انتخاب نمایید و در مراحل بعدی اتصال پشتیبان تان را هم معرفی نمایید.

گام سوم- اتصال اینترنت: در مرحله ی سوم بسته به این که نوع اتصال اینترنت را چگونه تعیین کرده اید، اتصال مورد نظر تان را انتخاب می‌نمایید. در این مثال کامپیوتر سرور ما توسط مودم لیزلاین و به طور مستقیم به اینترنت وصل می‌شود. به همین دلیل با توجه به گزینه ی انتخاب شده ی مرحله ی قبلی، کارت شبکه ای را که به اینترنت متصل است انتخاب می‌نمایید. در این جا پیش از اجرای تنظیمات کریو، نام Local Area Connection را در بخش Network Connections از کنترل پانل به Wan تغییر داده ایم.


گام چهارم – سیاست‌های خروجی: در این مرحله پنجره ی Outbound Policy نمایش داده می‌شود. در واقع شما تعیین می‌کنید که کاربران شبکه ی محلی تان با چه سرویس هایی به اینترنت دسترسی پیدا کنند.

  • گزینه ی نخست این امکان را فراهم می‌آورد که کاربران شبکه ی محلی به تمامی‌سرویس‌های اینترنت (یا اینترانت) دسترسی پیدا کنند.
  • گزینه ی دوم ۸ سرویس منتخب و مشهور را به شما نشان می‌دهد که می‌توانید هر کدام از این ۸ مورد را هم غیر فعال نمایید. سرویس هایی مانند وب، ایمیل، DNS و FTP و … در این مرحله قابل دسترس هستند. البته بعد از این هم می‌توانید سرویس‌های دلخواه تان را به این فهرست بیفزایید.


گام پنجم – وی پی ان:
در این مرحله می‌توانید گزینه‌های مربوط به سرویس وی پی ان کریو را انتخاب کنید. در این صورت مراحل بعدی به گونه ای خواهد بود که تنظیمات وی پی ان را انجام دهید. با توجه به این که وی پی ان مقوله ای جدا از محتوای این سری مقاله آموزشی می‌باشد و هدف نهایی این مقاله ی آموزشی راه‌اندازی سرویس Lan Accounting است، مرحله ی مربوط به تنظیمات وی پی ان را نادیده می‌گیریم و به عهده ی خودتان می‌گذاریم. در ضمن اگر از سرویس وی پی ان دیگری مانند PPTP میکروسافت استفاده می‌نمایید می‌توانید این گزینه‌ها را غیر فعال نموده، به گام بعدی بروید.


گام ششم – سیاست‌های ورودی:
اگر در شبکه ی داخلی تان سرور هایی دارید که قرار است از طریق اینترنت قابل دسترس باشند، در این مرحله می‌توانید مشخص نمایید. در صورتی که چنین سرور هایی ندارید می‌توانید این مرحله را رد کنید.


مثلا ممکن است یک سرور وب داشته باشید که به دلیل نبود آی پی اختصاصی، به طور مستقیم به اینترنت وصل نباشد. در این بخش می‌توانید آدرس آی پی داخلی آن را وارد نمایید. حالا اگر کاربری بخواهد صفحه وب سایتی را که روی سرور وب قرار دارد، ببیند کافی است که آدرس آی پی (و در صورت لزوم شماره ی پورت خاص) سرور فایروال را در نوار آدرس مرورگر اینترنت وارد نماید. فایروال پس از دریافت درخواست دسترسی به سرور وب (مثلا روی پورت ۸۰) درخواست مذکور را به آدرس آی پی داخلی سرور وب هدایت (دایورت یا فوروارد) می‌کند.

به عنوان مثال در شبکه ی داخلی ما سرور با آدرس ۱۹۲٫۱۶۸٫۰٫۳ سرویس وب و سرور دیگری با آدرس ۱۹۲٫۱۶۸٫۰٫۱۰ سرویس بانک اطلاعاتی MS SQL Server را اجرا می‌نماید. البته در فایروال کریو (یا هر فایروال دیگری) سرویس‌های مشهور با نام شان نمایش داده می‌شوند و بقیه ی سرویس‌ها یا نرم‌افزار‌های شبکه ای را باید از طریق شماره ی پورت شناساند. البته در برخی فایروال‌ها فارغ از هر تبعیضی باید تمامی‌سرویس‌های شبکه را به صورت شماره ی پورت مشخص نماییم.

دکمه ی Add را بزنید تا پنجره ی Inbound Mapping باز شود. سرویس مورد نظر را از فهرست باز شوی Service انتخاب نمایید. در بخش تعیین محل اجرای سرویس می‌توانید آدرس ای پی سرور مربوط به آن را وارد نمایید. اگر سرویس مذکور روی سرور فایروال اجرا می‌شود می‌توانید گزینه ی Firewall را انتخاب نمایید. در این صورت به ساده گی پورت مربوط به آن سرویس برای دسترسی مستقیم روی سرور فایروال باز می‌شود.



پس از انتخاب سرویس‌ها فهرستی مانند زیر خواهید داشت. به گام بعدی بروید.


گام هفتم – استفاده ی مشترک از اینترنت: در بخش Internet Sharing یا همان NAT می‌توانید تعیین کنید که تمامی‌کامپیوتر‌های شبکه ی محلی از طریق سرور فایروال به اینترنت دسترسی داشته باشند. در این حالت تنظیمات ای پی باید به گونه ای باشد که در کامپیوتر‌های کلاینت شبکه، پارامتر Default Gateway برابر با آدرس ای پی سرور فایروال تعریف شود. البته می‌توانید با استفاده از سرویس پروکسی که در کریو تنظیم می‌نمایید، بدون نیاز به Gateway امکان دسترسی فیلتر شده به اینترنت را فراهم کنید که در قسمت‌های بعدی به آن اشاره خواهیم کرد.


گام هشتم – پایان: تمام شد! فایروال کریو را با داشتن کمترین اطلاعات راجع به آن راه‌اندازی کردید. حال می‌توانید برای تنظیمات بیشتر به صورت دستی عمل کنید.


در بخش بعدی مروری کلی به امکانات مختلف فایروال کریو خواهیم داشت.