فایروال کریو – بخش سوم، مرور جزئیات

by | شبکه کامپیوتر

در این قسمت مروری به امکانات و بخش‌های مختلف فایروال کریو وبنروت خواهم داشت. تصاویری از محیط نرم‌افزار می‌بینید که جزئیات بیشتری را در اختیار شما می‌گذارند. اتظیمات صورت گرفته به گونه ای است که در برخی بخش‌ها پیغام خطا یا اخطار فایروال کریو نمایش داده شود. لازم است یادآوری کنم که پرداختن به تمامی‌امکانات این نرم‌افزار در حوصله ی این مطلب نمی‌گنجد. کتاب راهنمای کاربران فایروال کریو وینروت ۴۰۰ صفحه است که فشرده سازی ۴۰۰ صفحه در ۱۰ صفحه نیز امکان ندارد. در این سلسله مطالب، مدیریت شبکه ی کوچک و کنترل پهنای باند و مصرف اینترنت و … را بحث خواهم کرد.

شکل زیر صفحه ی اصلی کنسول مدیریت کریو را نشان می‌دهد.


Configuration: تنظیمات فایروال کریو که شامل بخش‌های زیر است:

  • Interfaces: فهرست کارت‌های شبکه و اتصالات اینترنت و وی پی ان در این بخش قرار دارد. برای اتصالات دیال آپ یا دی اس ال تنظیمات خاصی از جمله نحوه ی اتصال و زمان‌های مجاز برای استفاده از آن‌ها را می‌توانید اعمال نمایید. همچنین امکان استفاده از اتصال پشتیبان برای اینترنت وجود دارد؛ روش کار بدین صورت است که دو اتصال (کارت شبکه) مختلف برای اینترنت تعریف و برای بررسی متصل بودن هر کدام شان یک آدرس آی پی را مشخص می‌نمایید. فایروال کریو از طریق دستور Ping متصل بودن هر کدام از آن‌ها را لحظه به لحظه بررسی می‌کند و در صورت قطع اتصال اصلی اینترنت، بلافاصله اتصال پشتیبان را استفاده می‌نماید. (به جزئیات و تشریفات لازم برای استفاده از این امکان اشاره نکرده ام)
  • Traffic Policy: نحوه ی دسترسی از شبکه ی داخلی به شبکه ی بیرون، پورت‌های مجاز، اشتراک اتصال به اینترنت (NAT) ، یا هدایت درخواست پورت‌های خاص از بیرون به یک آدرس آی پی داخلی (Port Forwarding) و … در این بخش تنظیم می‌شود. در بخش قبلی این مقاله ویزارد مربوط به این بخش را به طور خلاصه مرور کردیم.


تنظیمات ترافیک شبکه -که توسط ویزارد ابتدای نصب اعمال شده است- در این شکل می‌بینید. هر کدام از قوانین، دارای یک نام دلخواه هستند که این نام‌ها برای قابل درک بودن آن برای کاربر است.

به عنوان مثال اولین قانونی که می‌بینید با نام ICMP traffic می‌باشد.

  • پارامتر Source (مبداء) Firewall یا همان سروری است که کریو روی آن نصب می‌باشد.
  • پارامتر Destination (مقصد) برابر با Any (هر مقصدی) تنظیم شده است.
  • پارامتر Service برابر با Ping تنظیم شده است و در ستون Action علامت تیک سبز رنگ می‌بینید که به معنی مجاز بودن این سرویس است.

این قانون بدان مفهوم است که از روی سرور فایروال می‌توانیم به هر مقصدی دستور Ping را برای بررسی اتصال اجرا نماییم. در این مورد خاص دستور Ping به مقصد فایروال تعریف نشده است و این یعنی به طور پیش فرض از هیچ آدرسی (کامپیوتری) چه در شبکه ی داخلی و چه از شبکه ی بیرون ( Wan یا همان اینترنت) امکان اجرای دستور Ping به مقصد فایروال نیست. مثلا اگر آدرس آی پی کارت شبکه ی اینترنت سرور فایروال برابر ۷۸٫۳۸٫۱۵۵٫۳ باشد و از یک کامپیوتر در خارج از شبکه ی محلی دستور ping 78.38.155.3 را اجرا نماییم پیغام خطای تایم اوت را دریافت خواهیم کرد. همچنین اگر آدرس آی پی کارت شبکه ی داخلی سرور فایروال (مثلا) ۱۹۲٫۱۶۸٫۰٫۹ باشد و از کامپیوتر داخل شبکه ی محلی دستور ping 192.168.0.5 را اجرا کنیم باز هم پیغام خطای تایم اوت را دریافت خواهیم کرد. اگر این کار یعنی مسدود کردن ping به مقصد فایروال را انجام ندهیم در این حال یک یا چند مهاجم می‌توانند با اجرای دستور‌های ping متعدد با سایز داده ی بزرگ (large packet size) ترافیک سرور فایروال را به طور نامطلوب بالا ببرند و در نتیجه سرعت واکنش آن و سرعت اینترنت در کل شبکه افت خواهد کرد.

در ردیف سوم قانونی به نام NAT می‌بینید.

از مبداء شبکه ی محلی (Lan) و همچنین کلاینت هایی که با شماره گیری به سرور فایروال وصل شده اند، می‌توانند به مقصد اینترنت (Wan) و فقط با سرویس‌های تعیین شده (ستون Service) دسترسی مجاز (نماد تیک سبز رنگ) داشته باشند. اگر سرویس دیگری مانند کنفرانس اینترنتی تصویری با نرم‌افزار یاهو مسنجر لازم داشته باشید باید پورت‌های مربوط به آن را در ستون Service اضافه نمایید.

نکته: برای دسترسی به فهرست پورت‌های پروتوکل TCP و UDP می‌توانید به آدرس زیر مراجعه نمایید:

http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

در ستون Translation تنظیمات مربوط به NAT (یا همان Network Address Translation) را انجام می‌دهید. به طور پیش فرض Source NAT مربوط به اشتراک استفاده از اینترنت در شبکه ی محلی یا همان (Internet Sharing) است.

ردیف چهارم Local Traffic:

همان طور که می‌بینید ویزارد تنشیمات شبکه به طور پیش فرض تمامی‌ترافیک‌های مربوط به شبکه ی محلی (مبداء و مقصد Lan و Firewall و VPN و Dial in) را برای تمامی‌سرویس‌ها (Service: Any) مجاز در نظر گرفته است. لیکن شما می‌توانید ترافیک شبکه ی داخلی را نیز بنا به سیاست هایی که دارید محدود نمایید. مثلا سرور مربوط به بخش حسابداری ممکن است لازم باشد که از دسترس یک سری آدرس خاص دور باشد. در این صورت ترافیک از مبداء (Source) آی پی‌های مذکور به مقصد (Destination) سرور برنامه ی حسابداری باید ممنوع (Action: Deny) شود.


در شکل بالا دو قانون دیگر (به رنگ صورتی) می‌بینید. به خاطر دارید، در ویزارد تنظیمات شبکه، بخش Inbound Policy آدرس آی پی ۱۹۲٫۱۶۸٫۰٫۱۰ را برای سرور دیتابیس و ۱۹۲٫۱۶۸٫۰٫۳ را برای سرور وب (HTTP) تعیین کردیم. همان طور که می‌بینید هر گونه درخواست دسترسی به این سرویس‌ها از بیرون (Source: Wan) به مقصد فایروال به آدرس آی پی داخلی ترجمه خواهد شد.


در بخش Translation باید Destination NAT را به مقصد آی پی داخلی مورد نظر تنظیم نماییم.

  • Bandwidth Limiter: محدود کننده ی پهنای باند. که هم سرعت اینترنت و هم میزان ترافیک را می‌تواند برای آی پی‌های خاص یا در محدوده ی زمانی معینی محدود کند. برای بخش Lan Accounting از این بخش استفاده خواهیم کرد.


  • Content Filtering: فیلتر محتوایی. این بخش دارای سه نوع فیلترینگ می‌باشد:
    • HTTP: شامل فیلتر آدرس‌های وب، افزایش سرعت با استفاده از Cache، واژه‌های ممنوع و … می‌باشد. مثلا می‌توان با گروه بندی آدرس ها، دسترسی به گروهی از آن‌ها را مسدود نمود. یا استفاده از اکتیو ایکس ها، پنجره‌های بازشو (Popup) و … را فعال یا غیر فعال کرد. به دلیل مخالف بودنم با فیلترینگ به این بخض نخواهم پرداخت. نحوه ی کار آن به گونه ای است که بدون نیاز به راهنما می‌توانید از آن استفاده نمایید.
    • FTP: در این بخش می‌توانید پروتوکل انتقال فایل را کنترل کنید. از آن جا که این پروتوکل می‌تواند ترافیک قابل توجهی را به شبکه تحمیل کند می‌توانید محدودیت‌های مورد نظر تان را اعمال نمایید. مثلا می‌توانید دریافت فایل‌های فیلم و موزیک را از طریق ftp مسدود نمایید. یا برای پیشگیری از خروج اطلاعات سازمان تان فرمان STOR را مسدود کنید.
    • Antivirus: این نگارش از فایروال کریو وینروت به طور پیش فرض از ضد ویروس مک آفی استفاده می‌نماید. در عین حال می‌توانید ضد ویروس هایی را که خودتان نصب کرده اید به آن معرفی کنید. این ضد ویروس روی محتوای مربوط به پروتوکل‌های HTTP و FTP و همچنین ایمیل‌ها نظارت می‌نماید و در صورت کشف آلوده گی به ویروس از انتقال محتوای آلوده پیشگیری می‌نماید.


  • DHCP Server: یک سرور دی اچ سی پی تمام و عیار برای آدرس دهی کلاینت‌های شبکه در اختیار شما قرار می‌دهد. اگر مایل باشید می‌توانید به عنوان سرور پشتیبان DHCP تنظیم کنید و به صورت غیر فعال نگه دارید و در صورت از کار افتادن سرور اصلی شبکه تان، از سرویس DHCP کریو استفاده نمایید.


  • DNS Forwarder: درخواست نام دامنه را به آدرس سرور DNS ی که شما تعیین می‌کنید می‌فرستد. برای کار با این سرویس لازم است که در خصوص DNS اطلاعات کافی داشته باشید. در ضمن می‌توانید تعیین کنید که تمامی‌درخواست‌های نام به آدرس ثابتی ارسال شوند


یا این که نام یا آدرس آی پی‌های خاصی به سرور DNS مجزا فرستاده شوند.


  • Definition: تعاریف. در این بخش مقادیر اولیه ای را می‌توانید تعریف کنید که در بخش‌های مختلف کریو به عنوان پارامتر استفاده خواهند شد. این مقادیر اولیه شامل گزینه‌های زیر هستند:
    • Address Group: گروه آدرس ها. می‌توانید آدرس آی پی خاص یا محدوده ای از آدرس‌ها را تعریف و نام گذاری نمایید و مثلا محدودیت پهنای باند را فقط برای این گروه از آدرس‌ها اعمال نمایید.

  • Time Range: محدوده ی زمانی. محدوده ی زمانی را به چند روش متنوع می‌توانید تعریف نمایید و همانند گروه آدرس‌ها در بخش‌های مختلف فایروال کریو به عنوان پارامتر استفاده نمایید. مثلا دسترسی به وب سایت هایی را در محدوده ی زمانی خاص ممنوع کنید.

  • Services: در این بخش تعدادی از سرویس‌های مشهور را همراه با پارامترهای تنظیم شده از جمله نوع و شماره ی پورت و … را می‌بینید. در عین حال خود تان هم می‌توانید سرویس هایی را که در این فهرست نیست یا حتی برای عملکرد‌های خاصی روی پورت‌های معین، یک نام تعیین کنید و همانند آدرس و محدوده ی زمانی در بخش‌های مختلف کریو به عنوان پارامتر استفاده نمایید.
  • Demand Dial: در صورتی که یک نام مربوط به شبکه ی داخلی در دسترس نباشد (مثلا شبکه هایی که در دو محل جدا از هم هستند) در این بخش می‌توانیم تعیین کنیم که از طریق اتصال شبکه ای راه دور به آن دسترسی پیدا کند. عملکرد این بخش به تنظیمات خاصی در Routing Table نیز وابسته است که در این مقاله اشاره ای به این دو بخش نخواهیم کرد.
  • Routing Table: جدول مسیر دهی که به صورت استاتیک و دینامیک امکان تعریف پارامتر‌های مسیر دهی را فراهم می‌نماید.
  • Logs and Alerts: تنظیمات مربوط به گزارش‌های عملکرد شبکه و کاربران و آدرس‌ها و ترافیک مصرفی و … در این بخش قابل دسترس است. همچنین می‌توانید تنظیم کنید که گزارش‌ها و اخطار‌ها چه مدت نگهداری شوند یا این که چند وقت یک بار پاک شوند. تنظیم نحوه ی اطلاع رسانی از طریق ایمیل یا پیامک نیز در این بخش صورت می‌گیرد. مثلا می‌توان فایروال را به گونه ای تنظیم کرد که اگر یک کاربر مهاجم پورت‌های مربوط به فایروال را (برای نفوذ غیر مجاز) اسکن نماید، یک ایمیل یا پیامک به مقصد دلخواه شما ارسال شود.
  • Advanced: تنظیمات پیشرفته شامل تنظیمات امنیتی IPSec ، امکان دسترسی به کنسول وب فایروال از آدرس آی پی خاص، تنظیمات SMTP، ذخیره ی آمار کاربران و همچنین مسدود سازی برنامه‌های اشتراک و انتقال فایل P2P در این بخش صورت می‌گیرد.

Users and Groups: تنظیمات کاربران و گروه‌های کاربری. اتصال به اکتیو دایرکتوری و تعیین حدود اختیارات کاربران در این بخش انجام می‌شود. در بحث Lan Accounting به این بخش به صورت جامع تری خواهیم پرداخت.

Status: وضعیت فعلی شامل کاربران متصل به فایروال، اتصالات، آمار استفاده، کلاینت‌های وی پی ان و پیغام‌های خطا از طریق این بخش قابل مشاهده و مدیریت می‌باشد.


Logs: گزارش‌های جزء به جزء از فعالیت‌های مختلف مانند سایت‌ها و صفحاتی که کاربران باز می‌کنند، گزارش‌های امنیتی، گزارش‌های مربوط به فیلتر‌های اعمال شده به صورت لحظه به لحظه و … در این بخش می‌توانید ببینید.


به عنوان مثال یک کاربرد این بخش می‌تواند بررسی کیفیت اتصال اینترنت باشد. اگر از کانکشن دی اس ال استفاده می‌کنید و در بخش Dial به صورت Persistent (دائم متصل) تنظیم کرده اید اگر قطعی اتصال پیش بیاید و اتصال‌های پشت سر هم ناموفق باشد در این صورت هر بار خطای اتصال به اینترنت در گزارش ثبت می‌گردد. این کار برای ISP هایی که مرتب بهانه‌های جور وا جور به مشتری تحویل می‌دهند مناسب است. این تنظیم خاص (Persistent) و گزارش مربوط به آن می‌تواند مدت زمانی قطع بودن اینترنت را به طور مستند نشان دهد. اگر کانکشن به صورت Manual تنظیم شود در این صورت پس از قطع شدن تا زمانی که توسط مدیر سیستم دوباره متصل نشده است هیچ گزارش خطای احتمالی ثبت نمی‌شود و نمی‌توانید به طور مستند زمان خرابی سرور‌های ISP را اعلام کنید.

Load Balancing: یکی از امکانات دیگر فایروال کریو امکان Network Load balancing است که به شما امکان می‌دهد دو اتصال اینترنت را با یکدیگر ترکیب کرده، سرعت کلی اینترنت را در شبکه ی داخلی تان افزایش دهید. برای این کار شرایط خاصی لازم است از جمله این که کارت شبکه ی متصل به شبکه ی محلی باید بیش از یکی باشد. تنظیمات این بخش در این سری مقالات آموزش داده نشده اند.

در قسمت بعدی که قسمت پایانی این مقاله است نحوه ی اجرای Lan Accounting را به صورت گام به گام همراه با توضیح مفاهیم فنی خواهید دید.