Kerio Control چیست؟معرفی و آموزش پیکربندی فایروال کریو

فایروال Kerio Control یک فایروال مدیریت تهدید واحد است که شامل جلوگیری از نفوذ، فیلتر کردن محتوا، گزارش فعالیت، مدیریت پهنای باند و شبکه خصوصی مجازی است. با Kerio Control می توانید از شبکه خود در برابر ویروس ها، بدافزارها و فعالیت های مخرب محافظت کنید. این راه حل امنیتی آسان برای مدیریت، شامل فایروال و روتر نسل بعدی، تشخیص و پیشگیری از نفوذ (IPS)، آنتی ویروس gateway ،VPN و فیلتر کردن محتوای وب و برنامه است.

این قابلیت های جامع با انعطاف پذیری بی نظیر در استقرار، Kerio Control را به گزینه ای ایده آل برای مشاغل کوچک و متوسط ​​تبدیل کرده است.

 

چگونه با فایروال Kerio Control یکپارچگی شبکه خود را حفظ کنید:

ـ از سرورهای خود با بازرسی عمیق پکت ها و مسیریابی پیشرفته شبکه، از جمله پشتیبانی همزمان از IPv4 و IPv6 محافظت کنید.

ـ سیاست (پالیسی) های ترافیک داخلی و خارجی را ایجاد کنید، ارتباطات را با URL خاص، برنامه، نوع ترافیک، دسته محتوا و حتی زمان خاصی در روز محدود کنید.

ـ با تجزیه و تحلیل مبتنی بر Snort و یک پایگاه داده به طورمنظم بروز شده از قوانین و آدرس های IP در بلک لیست، یک transparent layer برای جلوگیری از نفوذ اضافه کنید.

ـ از ورود ویروس ها، کرم ها، تروجان ها و جاسوس افزارها به شبکه خود با Kerio Antivirus محافظت کنید.

ـ ارتباطات client-to-site را با Kerio high performance ایمن کنید، یا از یک VPN IPsec استاندارد مانند آنهایی که از قبل در دستگاه های تلفن همراه قرارداده شده اند استفاده کنید.

ـ برای ایجاد ارتباطات امن به سرور با عملکرد بالا بین دفاتر دارای Kerio Control، از تکنولوژی VPN برتر و آسان در نصب Kerio استفاده کنید. یا برای ایجاد اتصال VPN امن به یک دفتر کار از راه دور بدون استفاده از Kerio Control، می توانید از پروتکل VPN IPsec استاندارد استفاده کنید.

 

شبکه Zero Trust Network یا ZTN چیست؟

 

مدیریت پهنای باند با استفاده از Kerio Control:

ـ می توانید ترافیک شبکه را اولویت بندی و نظارت کنید تا ترافیک هایی با اهمیت بیشتر سریع تر انتقال یابند.

ـ توزیع ترافیک اینترنت در چندین لینک با ایجاد load balancing، غیرفعال کردن و فعال کردن مجدد لینک به صورت خودکار برای اطمینان از دسترسی مداوم به اینترنت.

 ـ از شبکه خود در برابر ترافیک وب و برنامه هایی مانند پخش جریانی ویدیو یا مسدود کردن شبکه های peer-to-peer محافظت کنید.

ـ به تنظیمات امنیتی دسترسی پیدا کنید، کاربران و پهنای باند را مدیریت کرده و سیاست های ترافیک را با خیال راحت و ایمن از یک رابط کاربری مبتنی بر وب تنظیم کنید. می توانید ان را از طریق دسکتاپ یا از راه دور مدیریت کنید.

 

ما یک سناریو به شکل زیر ایجاد کردیم:

فایروال Kerio Control

که تنظیمات آن به شرح زیر است:

ـ Kerio می تواند load balance بین دو لینک اینترنت ایجاد کند.

ـ WAN 1 دارای پنج آدرس IP static و سرویس های هاستی که پشت سرورهای فایروال قرار دارند است.

ـ WAN 2 دارای آدرس IP dynamic است و از مرورگر وب برای دسترسی به اینترنت استفاده می کند.

ـ چهار شبکه مجزا در پشت فایروال (LAN ، تلفن ، DMZ ، Guest) وجود دارد.

ـ Server DHCP در Kerio Control به طور خودکار IP را به همه شبکه ها اختصاص می دهد.

ـ کاربران در local domain controller احراز هویت می شوند.

ـ برای دسترسی به وب، احراز هویت کاربران از طریق سرور RADIUS انجام می شود.

ـ Kerio Control شبکه های peer-to-peer را ممنوع می کند.

ـ Kerio Control یک  VPN tunnel از راه دور را نگهداری می کند.

ـ کاربران از راه دور با استفاده از VPN به کامپیوترها و دستگاه های تلفن همراه متصل می شوند.

ـ Kerio Control  میتواند 1مگابیت بر ثانیه برای ترافیک VoIP رزرو کند.

ـ Kerio Control دسترسی Guest را حداکثر به 1 مگابیت در ثانیه محدود می کند.

ـ شرکت ها می توانند گزارش هفتگی کلیه فعالیتهای کاربران را دریافت کنند.

ـ Kerio Control هر روز به طور خودکار پیکربندی خود را در MyKerio ذخیره می کند.

ـ Kerio Control سه مدل appliance دارد که شامل: نرم افزاری(Software Appliance)، مجازی(Virtual Appliance)، یا سخت افزاری(Hardware Appliance) است (نسخه های سخت افزاری در آمریکای شمالی، استرالیا و اتحادیه اروپا موجود است). ویژگی ها و عملکرد محصول در همه نسخه ها تقریباً یکسان است.

 

Software Appliance:

  1. فایل ISO قابل بارگیری
  2. به صورت ایمیج بر روی USB و CD
  3. بر روی سخت افزار استاندارد نصب شده است

 

Virtual Appliance:

  1. بصورت هارد دیسک مجازی با فرمت (VHD) برای Microsoft Hyper-V موجود است
  2. در قالب برنامه مجازی سازی با فرمت (OVF) برای VMware ESX / ESXi موجود است
  3. به عنوان VMware از قبل ساخته شده با فرمت (VMX) موجود است

 

Hardware Appliance:

ـ Hardware Appliance NG100:

  1. شامل 3x Gb ports
  2. شامل GHz Dual Core Intel Bay Trail, 4 GB RAM, 32 GB SSD3

ـ Hardware Appliance NG110:

  1. 3x Gb ports
  2. GHz Dual Core Intel Braswell, 8GB RAM, 32GB SSD24

ـ Hardware Appliance NG300:

  1. 4x Gb ports
  2. GHz quad core Intel Atom, 4 GB RAM, 32 GB SSD4

ـ Hardware Appliance NG310:

  1. 6x Gb RJ45, 2x GbE SFP
  2. 2GHz quad core Intel Atom Quad Core, 8GB, 32GB SSD

ـ Hardware Appliance NG500:

  1. 6x Gb ports
  2. 6GHz quad core Intel Core i5, 4 GB RAM, 32 GB SSD

ـ Hardware Appliance NG510:

  1. 6x Gb
  2. 4GHz quad core Intel Core i5, 16GB RAM, 32GB SSD

ـ Hardware Appliance NG511:

  1. 6x + 8 x GbE
  2. 4GHz quad core Intel Core i5, 16GB RAM, 32GB SSD

 

نصب و به روزرسانی Kerio Control:

می توانید ایمیج Kerio Control را از وب سایت Kerio دانلود کنید. برای راهنمایی در مورد نصب، به نصب Kerio Control مراجعه کنید. اگر نسخه های Virtual یا Software Applianceرا نصب می کنید، مطمئن شوید که سخت افزار شما با سیستم مورد نیاز مطابقت دارد.

 

دسترسی به Kerio Control:

پس از نصب، Kerio به طور خودکار اینترنت و اینترفیس های شما را شناسایی می کند. برای شناسایی موفقیت آمیز اینترفیس های شبکه، قبل از نصب Kerio Control را به تجهیزات شبکه مناسب (به عنوان مثال مودم، سوئیچ، اکسس پوینت و غیره) متصل کنید. با وارد کردن آدرس IP فایروال می توانید از طریق یک مرورگر وارد محیط فایروال شوید و ان را مدیدیت کنید. توجه داشته باشید که کامپیوتر و فایروال شما باید در یک رنج IP باشند.

نسخه های Virtual و Software Appliance شامل یک رابط مدیریت جداگانه هستند که ادمین می تواند مستقیماً از سیستم عامل(OS) به آن دسترسی پیدا کند.اما فقط شامل ویژگی های ضروری است و زمانی مفید است که شما قادر به دسترسی تحت وب نیستید. از قابلیت های این رابط می توان به موارد زیر اشاره کرد:

  • اجازه مدیریت از راه دور از شبکه های غیرقابل اعتماد
  • تنظیم مجدد کارخانه
  • خاموش کردن / ریستارت کردن
  • کانفیگ پارامترهای TCP / IP

فایروال Kerio Control

نحوه ی فعال سازی Kerio Control:

هنگامی که برای اولین بار وارد محیط اینترفیس Kerio می شوید، Activation Wizard باز می شود. در این بخش می توانید پارامتر های اساسی را تنظیم کنید:

  • زبان پیش فرض را انتخاب کنید
  • اتصال اینترنت را تأیید کنید
  • تاریخ و زمان محلی را تنظیم کنید
  • لایسنس را فعال کنید
  • یک پسورد برای مدیریت اختصاص دهید
  • هشدارها و نوتیفیکیشن ها را تنظیم کنید
  • امکان مدیریت را از MyKerio فعال کنید

 

نحوه ی تعریف Interface های شبکه و اتصال:

اینترفیس های شبکه در Kerio Control مسیریابی بین شبکه های محلی و اینترنت را فراهم می کنند. شما باید قبل از هر نوع تنظیمات فایروال دیگر، پارامترهای شبکه را پیکربندی کنید و اتصال اینترنت خود را تعریف کنید. ادمین می تواند اینترفیس های شبکه و اتصال اینترنت را در قسمت Configuration > Interfaces مدیریت کند. این قابلیت ها عبارتند از:

  • اینترفیس ها را به صورت گروهی سازمان دهید
  • کانفیگ load balancing لینک اینترنت
  • اینترفیس های VLAN را اضافه کنید
  • ایجاد tunnels VPN
  • پارامترهای TCP / IP را به اینترفیس های شبکه اختصاص دهید
  • اینترفیس های اتصال L2TP ، PPPoE یا Dial-up اضافه کنید و تنظیمات بیشتر.

در سناریوی ما، Kerio Control بین دو لینک اینترنتی و مسیرهای چهار شبکه Local(محلی)، load balance ایجاد می کند.

 

در این سناریو تنظیمات زیر را انجام دادیم:

ـ به هر اینترفیس شبکه برچسب زدیم.

ـ پارامترهای شبکه را برای هر اینترفیس شبکه تعریف کردیم.

ـ آدرس های IP اضافی را به WAN 1 تعریف کردیم (در بخش interface properties).

ـ واسط های WAN 1 و WAN 2 را به گروه Internet Interfaces منتقل کردیم.

ـ Interface DMZ را به گروه Other Interfaces و Guest Interface را به گروه Guest Interfaces منتقل کردیم

ـ LAN و تلفن را به گروه Trusted / Local Interfaces منتقل کردیم.

ـ در قسمت بالا برای نحوه ی وصل شدن فایروال به اینترنت Multiple Internet Links – Load Balancing را به عنوان اتصال اینترنت انتخاب کردیم.

ـ و برای هر Internet Interface یک لینک برابر با 1 تعریف کردیم.

فایروال Kerio Control

اختصاص پارامترها به local networks:

Kerio Control می تواند با نقش DHCP Server، مدیریت شبکه را ساده کند. DHCP به طور خودکار پارامترهای شبکه را به دستگاه های متصل اختصاص می دهد. ادمین می تواند سرور DHCP را درقسمت  Configuration > DHCP Serverمدیریت کند.

در سناریوی ما، سرور DHCP به طور خودکار IP را به همه شبکه ها اختصاص می دهد. در اینجا ما DHCP Server را فعال کردیم. به فایروال اجازه دادیم تا به طور خودکار scope ایجاد کند.

دستگاه ها به شبکه متصل می شوند و پارامترهای شبکه را به طور خودکار دریافت می کنند. برای دستگاه هایی که به Static IP نیاز دارند، رزرو می کنیم.

فایروال Kerio Control

اتصال به directory service:

Kerio Control با احراز هویت کاربران از Apple Open Directory یا Microsoft Active Directory می تواند مدیریت کاربران را ساده کند. ادمین می تواند سرویس های دایرکتوری را در بخش Configuration > Domains and User Login مدیریت کند. در سناریوی ما، کاربران در برابر یک local domain controller احراز هویت می شوند. Kerio Control به دامین متصل می شود و ادمین Kerio Connect را برای احراز هویت کاربران از سرور دایرکتوری پیکربندی می کند.

 

فایروال Kerio Control

 

اجرای سیاست های امنیتی و دسترسی:

Kerio Control از طریق پیشگیری از نفوذ، Rule های ترافیک شبکه و آنتی ویروس Kerio امنیت را اعمال می کند. این ویژگی ها به طور خودکار پیکربندی می شوند و اطمینان می دهند که فایروال فقط مجاز به برقراری ارتباط شبکه است.

برای امنیت بیشتر، ادمین می تواند Rule های ترافیکی و قوانین محتوا (Content Rules) را پیکربندی کند.

Content Rules انواع فعالیتهای وب مجاز یا رد شده کاربران در شبکه را تعریف می کند. به عنوان مثال عبارتند از:

  • انتقال انواع فایل های خاص
  • رسانه های جریانی
  • دسترسی از راه دور
  • وب سایت های شبکه های اجتماعی
  • وب سایت های خرید آنلاین
  • برنامه های خاص

در سناریوی ما، کاربران از طریق RADIUS برای دسترسی به وب احراز هویت می شوند و Kerio Control شبکه های peer-to-peer را ممنوع کرده است.

امکان احراز هویت همیشگی برای کاربران فراهم شده است و احراز هویت کلاینت ها به صورت WPA2، در قسمت  Domains and User Login > Authentication Options وجود دارد که می توانید آن را فعال کنید.

در Content Filter، هم می توان قاعده پیش فرض ترافیک peer-to-peer را فعال کرد.

فایروال Kerio Control

در Traffic Rules انواع ارتباطات شبکه مجاز یا ممنوع را تعریف می کنیم. به طور پیش فرض، فایروال یک خط مشی اساسی ایجاد می کند که به همه انواع ترافیک خروجی اجازه می دهد. نمونه هایی از این قوانین عبارتند از:

  • مجاز یا ممنوع کردن نوع خاصی از سرویس های شبکه (به عنوان مثال SMTP).
  • باز کردن پورت ها برای اتصالات ورودی (Port mapping).
  • مجبور کردن ترافیک خاص خروجی از طریق یک اینترفیس.

در سناریوی ما، فایروال ترافیک ورودی را به سرورهای مستقر در شبکه DMZ هدایت می کند. ادمین قوانين port mapping را ايجاد مي کند تا به ارتباطات ورودي اجازه دهد.

فایروال Kerio Control

امکان دسترسی از راه دور:

می توانید از VPN (Virtual Private Networking) استفاده کنید تا به کاربران از راه دور یا کل شبکه ها، اجازه دسترسی به خدمات داخل شبکه محلی را بدهید. Kerioاز IPSec برای دسترسی و تانل سازی (tunneling) بین دستگاه تلفن همراه با درگاه های VPN استفاده می کند. همچنین می توانید از پیاده سازی اختصاصی Kerio VPN برای دسترسی از راه دور از سیستم عامل های دسکتاپ و تونل زدن به سایر فایروال های Kerio Control استفاده کنید. می توانید تنظیمات مربوط به VPN را درVPN server interface ازقسمت Interfaces dialog box مدیریت کنید.

ـ در سناریوی ما، یک Tunnel  VPN ایجاد کردیم که کاربران می توانند از راه دور، با استفاده از VPN به شرکت متصل می شوند.

ـ قاعده ترافیک پیش فرض را به نام VPN Services فعال کردیم.

ـ الگوی کاربران را اصلاح کردیم تا به همه کاربران اجازه دهیم با استفاده از VPN متصل شوند.

ـ در بخش Authentication یک گواهی SSL امضا شده را نصب کردیم و آن را به سرور VPN اختصاص می دهیم.

ـ یک Tunnel VPN به شرکت ایجاد می کنیم.

ـ یک کلید از پیش اشتراک شده را به سرور IPsec VPN اختصاص می دهیم.

ـ کاربران باید حساب های IPsec / L2TP را بر روی دستگاه تلفن همراه خود اضافه کنند.

ـ کاربران بایدClient  Kerio VPN را روی کامپیوتر یا لپ تاپ خود نصب و پیکربندی کنند.

فایروال Kerio Control

مدیریت پهنای باند:

Kerio Control دارای چندین ویژگی برای کمک به شما در نظارت بر فعالیت شبکه و بهینه سازی دسترسی به اینترنت است.

 

ـ Active Hosts:

فعالیتهای هاست در شبکه در زمان واقعی را نشان می دهد. می توانید ببینید که کدام دستگاه ها بیشترین پهنای باند را مصرف می کنند، چه زمانی شبکه بیشتر فعال است و چه نوع فعالیت هایی در حال انجام هستند.

همچنین در قسمت Status > Traffic Charts می توانید، مجموع توان عملیاتی برای موارد مختلف از جمله اینترفیس های شبکه، traffic rules یا bandwidth rules را مشاهده کنید. این اطلاعات به شما کمک می کند تا نحوه جریان داده ها از طریق شبکه را شناسایی کنید.

 

ـ Interfaces:

اینترفیس ها به شما امکان می دهد ترافیک شبکه را بین چندین لینک اینترنتی توزیع کنید. با استفاده از Traffic Rules می توانید مسیریابی اتصالات خروجی را بیشتر تنظیم کنید.

 

ـ Bandwidth Management and QoS:

مدیریت پهنای باند و QoS به شما امکان می دهد بر اساس شرایط مختلف، ترافیک را در اولویت قرار دهید.

در سناریوی ما، همانطور که قبل هم اشاره کردیم، 1 مگابیت بر ثانیه برای بازدید VoIP ذخیره می کنیم و دسترسی مهمان را به حداکثر 1 مگابیت در ثانیه محدود کردیم. و ترافیک های دیگر محدودیت دانلود و اپلود ندارند.

برای هر لینک اینترنت(wan1,WAN2) پهنای باند اینترنت را تعریف میکنیم. به عنوان مثال در این جا سرعت اپلود و دانلود را 79 مگابیت برثانیه تعریف کردیم. البته ناگفته نماند که SIP VoIP یک رول به صورت دیفالت است که ما مقدار آن را روی 1 مگابیت در ثانیه قرار دادیم. و دسترسی مهمان هم به عنوان رول جدید تعریف کردیم.

 

فایروال Kerio Control

ـ ایجاد و مشاهده گزارشات:

Kerio Control دارای یک قابلیت گزارش گیری به نام Kerio Control Statistics است. Kerio Control Statistics فعالیتهای کاربران معتبر(تایید شده) را در یک پایگاه داده محلی در فایروال ثبت می کند. ادمین ها و کاربران با دسترسی بالا می توانند از طریق وب یا از طریق ایمیل به اطلاعات آماری در صورت تقاضا، دسترسی پیدا کنند.

در سناریوی ما، ادمین گزارش هفتگی کلیه فعالیتهای کاربران را دریافت می کند، یک آدرس ایمیل برای یوزر ادمین تعیین میکنیم و گزارش گیری را به صورت هفتگی انتخاب میکنیم.

فایروال Kerio Control

ـ بکاپ گیری به صورت اتوماتیک:

در صورتی که سخت افزار مشکل پیدا کند یا مشکلات دیگری برای فایروال به وجود بیاید، می توانید از بکاپ استفاده کنید. بکاپ می تواند به صورت دستی یا اتوماتیک در MyKerio انجام شود. در سناریوی ما، بکاپ به صورت خودکار و روزانه انجام می شود.

 

خاموش یا ریستارت کردن:

روش اول با استفاده از کنسول مدیریتی:

ابتدا وارد کنسول مدیریتی Kerio Control شوید، سپس پسورد را وارد کنید.

 

فایروال Kerio Control

بعد از ورود، در سمت راست گزینه های Shutdown و Restart را مشاهده می کنید. با انتخاب گزینه ی Restart، فایروال را مجددا راه اندازی کنید و با انتخاب گزینه ی Shutdown می توانید فایروال را خاموش کنید.

روش دوم دسترسی تحت وب:

ابتدا IP و پورت فایروال را به همراه https در مرورگر وارد کنید، بعد از وارد کردن یوزر و پسورد وارد بخش Status شوید، سپس به قسمت System Health بروید. در قسمت پایین صفحه دو گزینه ی Reboot و Power Off وجود دارد که می توانید فایروال را خاموش یا ریست کنید.

 

Zone-Based Firewall چیست؟

 

برگشت به بالا
محصول با موفقیت به سبد خرید اضافه شد.