¶ مرور کلی Kerio Control
Kerio Control یک فایروال مدیریت تهدیدات یکپارچه (UTM) است که امکاناتی مانند جلوگیری از نفوذ (IPS)، فیلترینگ محتوا، گزارشگیری از فعالیتها، مدیریت پهنای باند و شبکه خصوصی مجازی (VPN) را ارائه میدهد.
این راهنما، دستورالعملهای گامبهگام و کلی برای پیادهسازی Kerio Control در یک سناریوی رایج را در اختیار شما قرار میدهد.
در این سناریو:
- Kerio Control بین دو لینک اینترنتی مختلف Load Balancing ایجاد میکند.
- WAN 1 دارای پنج آدرس IP استاتیک است و دسترسی به سرورهای پشت فایروال را فراهم میکند.
- WAN 2 دارای یک آدرس IP داینامیک است و عمدتاً برای مرور وب و دسترسی کلی به اینترنت استفاده میشود.
- چهار شبکهی مجزا در پشت فایروال قرار دارند: LAN، تلفنها، DMZ و Guest.
- سرور DHCP در Kerio Control بهصورت خودکار پیکربندی IP را برای همهی این شبکهها اختصاص میدهد.
- کاربران با استفاده از کنترلر دامنهی محلی (Local Domain Controller) احراز هویت میشوند.
- کاربران برای دسترسی به وب از طریق RADIUS احراز هویت میشوند.
- Kerio Control استفاده از شبکههای Peer-to-Peer را مسدود میکند.
- یک تونل VPN با یک دفتر راه دور توسط Kerio Control حفظ میشود.
- کاربران از طریق VPN با رایانهها و دستگاههای همراه از راه دور متصل میشوند.
- Kerio Control مقدار ۱ مگابیت بر ثانیه از پهنای باند را برای ترافیک VoIP رزرو میکند.
- دسترسی مهمانها به حداکثر ۱ مگابیت بر ثانیه محدود میشود.
- رئیس شرکت گزارش هفتگی از تمام فعالیتهای کاربران را دریافت میکند.
- Kerio Control هر روز بهطور خودکار پیکربندی خود را در MyKerio ذخیره میکند.
¶ انتخاب نوع استقرار
Kerio Control در سه نسخه قابل استفاده است: نرمافزاری (Software)، مجازی (Virtual) و سختافزاری (Hardware Appliance).
(نسخههای سختافزاری تنها در آمریکای شمالی، استرالیا و اتحادیه اروپا در دسترس هستند.)
ویژگیها و قابلیتهای Kerio Control در همهی نسخهها تقریباً یکسان هستند.
| نسخه | توضیح |
|---|---|
| Software Appliance |
فایل ISO قابل دانلود قابل رایت روی رسانه نصب (مثلاً فلش USB یا CD) قابل نصب روی سختافزار معمولی |
| Virtual Appliance |
دیسک سخت مجازی (VHD) برای Microsoft Hyper-V قالب OVF برای VMware ESX/ESXi مهمان مجازی VMware از پیش ساختهشده (VMX) |
| Hardware Appliance NG100 |
3 پورت گیگابیت پردازنده 1.3 گیگاهرتز دو هستهای Intel Bay Trail، حافظه 4 گیگابایت RAM، حافظه داخلی 32 گیگابایت SSD |
| Hardware Appliance NG110 |
3 پورت گیگابیت پردازنده 2.24 گیگاهرتز دو هستهای Intel Braswell، حافظه 8 گیگابایت RAM، حافظه داخلی 32 گیگابایت SSD |
| Hardware Appliance NG300 |
4 پورت گیگابیت پردازنده 2.4 گیگاهرتز چهار هستهای Intel Atom، حافظه 4 گیگابایت RAM، حافظه داخلی 32 گیگابایت SSD |
| Hardware Appliance NG310 |
6 پورت گیگابیت RJ45، 2 پورت گیگابیت SFP پردازنده 2.2 گیگاهرتز چهار هستهای Intel Atom، حافظه 8 گیگابایت، حافظه داخلی 32 گیگابایت SSD |
| Hardware Appliance NG500 |
6 پورت گیگابیت پردازنده 3.6 گیگاهرتز چهار هستهای Intel Core i5، حافظه 4 گیگابایت RAM، حافظه داخلی 32 گیگابایت SSD |
| Hardware Appliance NG510 |
6 پورت گیگابیت پردازنده 3.4 گیگاهرتز چهار هستهای Intel Core i5، حافظه 16 گیگابایت RAM، حافظه داخلی 32 گیگابایت SSD |
| Hardware Appliance NG511 |
6 + 8 پورت گیگابیت پردازنده 3.4 گیگاهرتز چهار هستهای Intel Core i5، حافظه 16 گیگابایت RAM، حافظه داخلی 32 گیگابایت SSD |
¶ نصب و بهروزرسانی Kerio Control
میتونین ایمیج Kerio Control رو از وبسایت رسمی Kerio دانلود کنین. برای راهنمایی نصب، به بخش Installing Kerio Control مراجعه کنین.
اگر نسخهی Virtual یا Software Appliance رو نصب میکنین، مطمئن بشین سختافزار با الزامات سیستم سازگار باشه.
بعد از نصب، نرمافزار بهصورت خودکار برای بهروزرسانیها بررسی میکنه. اگر نسخهی جدیدی در دسترس باشه، از طریق پنل مدیریت وب بهت اطلاع داده میشه. برای اطلاعات بیشتر به بخش Upgrading Kerio Control مراجعه کنین.
¶ دسترسی به Kerio Control
بعد از نصب، Kerio Control بهصورت خودکار رابطهای اینترنت و شبکهی محلی رو شناسایی میکنه.
برای شناسایی موفق رابطهای شبکه، قبل از نصب باید Kerio Control رو به تجهیزات مناسب مثل مودم، سوییچ یا اکسسپوینت وصل کرده باشی.
برای دسترسی کامل به بخش مدیریت، فقط کافیه IP فایروال رو تو مرورگر وارد کنی.
توجه داشته باش که سیستم مدیریتی باید توی همون Subnet با فایروال قرار داشته باشه.
نسخههای Virtual و Software Appliance یک رابط مدیریتی داخلی هم دارن که از طریق خود سیستمعامل قابل دسترسیه.
این پنل ساده فقط شامل قابلیتهای ضروریه و وقتی که به پنل وب دسترسی نداری خیلی به کارت میاد. امکانات این پنل شامل موارد زیره:
- فعالسازی مدیریت از راه دور از شبکههای غیرمطمئن
- بازگردانی به تنظیمات کارخانه (Factory Reset)
- خاموش یا ریستارت کردن سیستم
- تنظیم پارامترهای TCP/IP
¶ فعالسازی Kerio Control
وقتی که مدیر برای اولین بار وارد پنل مدیریتی وب میشه، «جادوگر فعالسازی» (Activation Wizard) بهصورت خودکار باز میشه. این جادوگر، تنظیمات اولیه سیستم رو انجام میده:
- انتخاب زبان پیشفرض
- بررسی اتصال به اینترنت
- تنظیم تاریخ و زمان محلی
- فعالسازی لایسنس
- تعیین رمز عبور برای مدیریت
- فعالسازی هشدارها و اعلانها
- فعالسازی امکان مدیریت از طریق MyKerio
برای جزئیات بیشتر، به بخش Configuring the Activation Wizard و Managing Kerio Control appliances in MyKerio مراجعه کن.
¶ تعریف اینترفیسهای شبکه و اتصال اینترنت
در Kerio Control، رابطهای شبکه مسئول مدیریت ارتباط بین شبکههای داخلی و اینترنت هستن.
قبل از هر نوع پیکربندی دیگه، باید پارامترهای شبکه رو تنظیم کنی و اتصال اینترنت رو مشخص کنی.
از مسیر Configuration > Interfaces میتونی رابطها و اتصالات رو مدیریت کنی. امکانات این بخش شامل:
- گروهبندی کارت شبکهها
- فعالسازی Load Balancing لینکهای اینترنت
- افزودن VLAN
- ساخت تانل VPN
- تنظیم پارامترهای TCP/IP برای هر کارت شبکه
- افزودن اینترفیس L2TP، PPPoE یا Dial-up
برای اطلاعات بیشتر، به Configuring network interfaces مراجعه کن.
¶ سناریوی نمونه – تنظیمات اولیه شبکه
در این مثال، Kerio Control بین دو خط اینترنت Load Balance انجام میده و به چهار شبکه داخلی مسیر میده:
مدیر برای هر رابط شبکه یک نام اختصاص میده.
- پارامترهای شبکه بهصورت جداگانه برای هر رابط تنظیم میشن.
- IPهای اضافی برای رابط WAN 1 تعریف میشن (از طریق گزینه Define additional IP addresses…).
- رابطهای WAN 1 و WAN 2 به گروه Internet Interfaces منتقل میشن.
- رابط DMZ به گروه Other Interfaces منتقل میشه.
- رابط Guest به گروه Guest Interfaces منتقل میشه (بیشتر در: Configuring the guest network).
- رابطهای LAN و Phones در گروه Trusted/Local Interfaces قرار میگیرن.
- گزینه Multiple Internet Links - Load Balancing برای اتصال اینترنت انتخاب میشه.
- وزن برابر (1) برای هر خط اینترنت تعیین میشه تا بهصورت مساوی تقسیم بشن.
¶ اختصاص پارامترها به شبکههای لوکال
Kerio Control میتونه با عملکرد بهعنوان یک سرور DHCP، مدیریت شبکه رو سادهتر کنه.
DHCP (پروتکل پویای پیکربندی میزبان) بهصورت خودکار پارامترهای شبکه رو به دستگاههای متصل اختصاص میده.
مدیر سیستم میتونه DHCP رو از مسیر Configuration > DHCP Server مدیریت کنه.
برای اطلاعات بیشتر، به بخش DHCP server in Kerio Control مراجعه کن.
¶ سناریوی نمونه – پیکربندی خودکار DHCP
در سناریوی نمونه، سرور DHCP موجود در Kerio Control بهصورت خودکار پیکربندی IP رو برای تمام شبکهها انجام میده:
- ادمین، DHCP Server در Kerio Control رو فعال میکنه.
- اجازه داده میشه که Kerio Control محدودههای IP (scopes) رو بهصورت خودکار ایجاد کنه.
- دستگاهها به شبکه متصل میشن و بهصورت خودکار پارامترهای شبکه (IP، Gateway، DNS و...) دریافت میکنن.
- برای دستگاههایی که نیاز به IP ثابت دارن، مدیر رزرو IP تعریف میکنه (Reservation).
¶ اتصال به دایرکتوری سرویس
Kerio Control میتونه فرآیند مدیریت کاربران رو سادهتر کنه؛
با این روش که احراز هویت کاربران از طریق سرویسهای دایرکتوری مثل Apple Open Directory یا Microsoft Active Directory انجام بشه.
مدیر سیستم میتونه سرویسهای دایرکتوری رو از مسیر
Configuration > Domains and User Login تنظیم و مدیریت کنه.
برای جزئیات بیشتر به بخش Connecting Kerio Control to directory service مراجعه کنید.
¶ سناریوی نمونه – اتصال به دامین لوکال
در سناریوی نمونه، کاربران از طریق کنترلر دامنهی محلی احراز هویت میشن:
- مدیر، Kerio Control رو به دامین لوکال متصل میکنه.
- سپس، Kerio Control طوری پیکربندی میشه که کاربران رو از سرور دایرکتوری (مثل AD) نقشهبرداری (Map) کنه و دسترسی بده.
¶ اجرای سیاستهای امنیتی و دسترسی در Kerio Control
Kerio Control امنیت شبکه را از طریق این قابلیتها تضمین میکند:
- جلوگیری از نفوذ (Intrusion Prevention)
- قوانین ترافیکی (Traffic Rules)
- آنتیویروس Kerio
این قابلیتها بهصورت پیشفرض پیکربندی میشوند و تضمین میکنند که فقط ارتباطات مجاز از طریق فایروال عبور کنند.
برای امنیت بیشتر، مدیر شبکه میتواند موارد زیر را نیز پیکربندی کند:
- قوانین ترافیکی (Traffic Rules) برای تعیین اینکه چه نوع ترافیکی مجاز یا ممنوع است.
- قوانین محتوایی (Content Rules) برای محدود کردن دسترسی به انواع خاصی از محتوا.
مثالهایی از قوانینی که میتوان تعریف کرد:
- جلوگیری از دانلود یا آپلود فرمتهای خاص فایل
- محدود کردن دسترسی به وبسایتهای پخش ویدئو یا موسیقی
- ممنوعیت دسترسی ریموت به منابع شبکه
- مسدود کردن شبکههای اجتماعی
- بستن سایتهای خرید اینترنتی
- محدود کردن اپلیکیشنهای خاص
برای اطلاعات بیشتر مراجعه کنید به:
پیکربندی فیلتر محتوا و آگاهی از برنامهها در Kerio Control
¶ سناریوی نمونه – احراز هویت و مسدودسازی P2P
در سناریوی این مستند:
کاربران برای دسترسی به اینترنت از طریق RADIUS احراز هویت میشوند و Kerio Control ارتباطات Peer-to-Peer را مسدود میکند.
- مدیر سیستم گزینههای «همیشه نیاز به احراز هویت کاربران» (Always require users to be authenticated) و «فعالسازی احراز هویت برای کلاینتهای WPA2 enterprise» (Enable WPA2 enterprise clients authentication) را در مسیر Domains and User Login > Authentication Options فعال میکند.
- در بخش Content Filter، مدیر سیستم قانون پیشفرض مربوط به ترافیک Peer-to-Peer را فعال میکند.
قوانین ترافیک (Traffic Rules) مشخص میکنند که چه نوع ارتباطات شبکهای مجاز یا غیرمجاز هستند. بهطور پیشفرض، فایروال یک سیاست پایهای ایجاد میکند که تمام ترافیک خروجی را مجاز میداند. نمونههایی از قوانین ترافیک عبارتند از:
- مجاز یا مسدود کردن یک سرویس خاص شبکهای (مثلاً SMTP)
- باز کردن پورتها برای اتصالهای ورودی (Port Mapping) — برای اطلاعات بیشتر به «پیکربندی قوانین ترافیک» مراجعه کنید.
- مجبور کردن ترافیک خروجی خاص به استفاده از یک رابط شبکه مشخص — برای اطلاعات بیشتر به «پیکربندی مسیریابی مبتنی بر سیاست» مراجعه کنید.
در سناریوی مثال، فایروال ترافیک ورودی را به سرورهایی که در شبکه DMZ قرار دارند مسیریابی میکند. مدیر سیستم قوانین Port Mapping ایجاد میکند تا اتصالهای ورودی مجاز شوند. برای جزئیات بیشتر به بخشهای «پیکربندی قوانین ترافیک – چندمسیری (Multihoming)» و «پیکربندی منطقه DMZ» مراجعه کنید.
¶ فعالسازی دسترسی از راه دور (Remote Access)
میتونی از شبکه خصوصی مجازی (VPN) استفاده کنی تا کاربران راه دور یا حتی شبکههای کامل به سرویسهای داخل شبکه محلی دسترسی پیدا کنن.
Kerio Control از IPsec برای دسترسی دستگاههای موبایل و تونلسازی با دروازههای VPN شخص ثالث استفاده میکنه. همچنین میتونی از پیادهسازی اختصاصی Kerio VPN برای دسترسی از سیستمعاملهای دسکتاپ و تونلسازی به دیگر فایروالهای Kerio Control استفاده کنی.
تنظیمات مربوط به VPN در بخش VPN Server از گفتوگوی Interfaces قابل مدیریت هست.
برای جزئیات بیشتر:
- پیکربندی Kerio VPN Tunnel
- پیکربندی IPsec VPN
- مدیریت گواهی SSL
در سناریوی مثال، Kerio Control یک تونل VPN با دفتر راه دور حفظ میکنه و کاربران با استفاده از VPN از کامپیوترها و دستگاههای موبایل به شبکه متصل میشن.
- مدیر، قانون پیشفرض ترافیک با نام VPN Services را فعال میکند.
- مدیر، الگوی کاربران (User Template) را طوری تغییر میدهد که همه کاربران اجازه اتصال با VPN را داشته باشند.
- مدیر، یک گواهی SSL امضاشده نصب کرده و آن را به سرور VPN اختصاص میدهد.
- مدیر، یک تونل Kerio VPN به دفتر شعبه ایجاد میکند.
- مدیر، یک کلید از پیش اشتراکگذاریشده (Preshared Key) برای سرور IPsec VPN تنظیم میکند.
- کاربران، حسابهای IPsec / L2TP را روی دستگاههای موبایل خود اضافه میکنند.
- کاربران، کلاینت Kerio VPN را روی رایانههای دسکتاپ یا لپتاپ نصب و پیکربندی میکنند.
¶ مدیریت پهنای باند (Bandwidth Management)
Kerio Control شامل چندین قابلیت است که به شما کمک میکنند فعالیتهای شبکه را پایش کرده و دسترسی به اینترنت را بهینهسازی کنید.
| بخش | توضیح |
|---|---|
| Active Hosts |
فعالیتهای لحظهای تمام میزبانهای شبکه را نمایش میدهد. میتوانید ببینید کدام دستگاهها بیشترین پهنای باند را مصرف میکنند، چه زمانی شبکه بیشترین فعالیت را دارد و چه نوع فعالیتهایی در حال انجام هستند. برای اطلاعات بیشتر به بخش «نظارت بر میزبانهای فعال» مراجعه کنید. در بخش وضعیت > نمودارهای ترافیک، مجموع نرخ انتقال داده برای موارد مختلف نمایش داده میشود، از جمله رابطهای شبکه، قوانین ترافیک یا قوانین پهنای باند. این اطلاعات به شما کمک میکند تا نحوهی جریان داده در شبکه را تحلیل کنید. |
| Traffic Charts | مجموع نرخ انتقال داده (Throughput) را برای موارد مختلفی نمایش میدهد، از جمله رابطهای شبکه، قوانین ترافیک یا قوانین پهنای باند. این اطلاعات به شما کمک میکند تا نحوهی جریان داده در شبکهتان را شناسایی کنید. |
| Interfaces | به شما امکان میدهد ترافیک شبکه را بین چندین لینک اینترنتی تقسیم کنید. همچنین میتوانید مسیردهی اتصالات خروجی را با استفاده از قوانین ترافیک (Traffic Rules) تنظیم دقیقتری کنید. برای اطلاعات بیشتر به بخش «پیکربندی مسیریابی مبتنی بر سیاست» مراجعه کنید. |
|
Bandwidth Management and QoS |
به شما اجازه میدهد تا ترافیک شبکه را بر اساس شرایط مختلف اولویتبندی کنید. برای اطلاعات بیشتر به بخش «پیکربندی مدیریت پهنای باند» مراجعه کنید. |
در سناریوی نمونه، Kerio Control مقدار ۱ مگابیت بر ثانیه از پهنای باند را برای ترافیک VoIP رزرو میکند و دسترسی کاربران مهمان را به حداکثر ۱ مگابیت بر ثانیه محدود مینماید.
- مدیر شبکه پهنای باند اینترنت را برای هر لینک اینترنتی تعریف میکند.
- مدیر شبکه قانون پیشفرض به نام SIP VoIP را فعال کرده و مقدار آن را روی ۱ Mbps تنظیم میکند.
- مدیر شبکه یک قانون جدید برای محدود کردن Guest Interfaces به ۱ Mbps اضافه میکند.
¶ ساخت و مشاهدهی گزارشها
Kerio Control دارای قابلیت گزارشگیریای به نام Kerio Control Statistics است. این ابزار، فعالیتهای کاربران احراز هویتشده را در یک پایگاه داده محلی روی فایروال ثبت میکند. کاربران دارای سطح دسترسی مناسب میتوانند اطلاعات آماری را بهصورت درخواستی از طریق یک رابط وب ویژه یا از طریق ایمیل مشاهده کنند. برای اطلاعات بیشتر، به بخش پیکربندی آمار و گزارشها مراجعه کنید.
در سناریوی نمونه، رئیس شرکت گزارش هفتگی از تمام فعالیتهای کاربران دریافت میکند.
- مدیر شبکه یک آدرس ایمیل برای حساب کاربری رئیس تعریف میکند.
- مدیر شبکه فایروال را برای جمعآوری آمار مصرف اینترنت پیکربندی میکند.
- مدیر شبکه ارسال منظم گزارشهای ایمیلی برای رئیس شرکت را تنظیم میکند.
¶ پیکربندی پشتیبانگیری خودکار
میتوانید از تنظیمات Kerio Control نسخه پشتیبان تهیه کنید تا در صورت بروز خرابی سختافزاری یا سایر انواع بحرانها، آن را روی سیستم دیگری بازیابی نمایید. این پشتیبانگیری میتواند بهصورت دستی از طریق Configuration Assistant انجام شود یا بهطور خودکار در MyKerio ذخیره گردد.
در سناریوی نمونه، Kerio Control بهصورت روزانه بهطور خودکار پیکربندی خود را در MyKerio ذخیره میکند.
برای اطلاعات بیشتر، به بخش ذخیرهسازی پیکربندی در MyKerio مراجعه کنید.