• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

راهنمای Arkagate

آرکاگیت

درباره Arkagate

یک راه حل چند منظوره شبکه است که مجهز به مجموعه ای از بیش از ۸۰ عملکرد برای ایمن و سالم نگه داشتن عملیات شبکه برای یک شرکت معمولی است.

Aekagate به عنوان یک دروازه جهانی اینترنت بر روی سیستم عامل FreeBSD ساخته شده است. Arkagate با ارائه مجموعه کاملی از خدمات امنیتی شبکه سازمانی ، مانیتور مفصل ترافیک و حسابداری کاربر ، کنترل دسترسی ، نامه الکترونیکی ، پروکسی ، پرونده ، jabber و سرورهای Voice over IP ، از راه حلهای معمول مدیریت یکپارچه تهدید جایگزین می کند ، همه اینها مشترک ، کنترل ، گزارش و پیکربندی مشترک هستند. Arkagate به عنوان یک روتر هوشمند عمل می کند ، بین شبکه شرکتی شما و اینترنت متصل است و شبکه شما را ایمن می کند ، ترافیک را کنترل می کند و سیاست های امنیتی و کاربردی شرکت را اعمال می کند.

نصب و راه اندازی

این قسمت از راهنما شامل مروری بر نیازهای سیستم و مشخصات فنی سرور است که برای عملکرد صحیح  Arkagate مورد نیاز است. همچنین ، در این قسمت می توانید راهنمای نصب گام به گام Arkagate را پیدا کنید.

برای نصب  Arkagate باید فایل ایمیج نصبی را از لینک زیر دانلود کنید.

www.Arka.ir

پس از رایت فایل روی  cd یا usb باید از طریق آن در رایانه ای که می خواهید Arkagate را نصب کنید ، راه اندازی کنید.

پس از آن می توانید آن را روی یک درایو USB با هر ابزار دیگری برای ایجاد درایوهای بوت بنویسید (به عنوان مثال Rufus)

شما به یک کامپیوتر با دو کارت شبکه ، دیسک سخت با ظرفیت حداقل ۴۰ گیگابایت نیاز دارید.

پس از راه اندازی از فلش ، باید پیام زیر را مشاهده کنید:

پس از آن برنامه نصب اجرا می شود. شما باید موافقت نامه مجوز را بپذیرید ، رابط شبکه را برای پیکربندی آینده Arkagate انتخاب کنید و برای نصب هارد دیسک تعریف کنید.

 

در بعضی موارد تهیه Arkagate  با رایانه جداگانه ضرورتی ندارد ، زیرا می توانیم یک ماشین مجازی داشته باشیم. به عنوان مثال می توانید Arkagate  را بر روی ماشین مجازی مبتنی بر سرور یا حتی ایستگاه کاری در محیط دفتر کوچک اجرا کنید ، که صرفه جویی قابل توجهی را به همراه خواهد داشت.

در حال حاضر Arkagate از محیط های مجازی زیر پشتیبانی می کند:

VMWare Workstation и VMWare ESXi

 

Virtual Box

 

Microsoft Hyper-V

سناریوهای نصب

متناسب با شمای کلی سازمان Arkagate در شبکه قرار می گیرد.

Leased line

xDSL line

As a dedicated service

Web interface

پس از نصب ، می توانید رابط وب را از طریق هر رایانه از شبکه محلی خود باز کنید. فقط آدرس IP را که هنگام نصب مشخص کرده اید و پورت ۸۱ (IP:81) را در مرورگر وارد کنید.

ما توصیه می کنیم از Mozilla Firefox یا Google Chrome استفاده کنید.

پس از وارد کردن آدرس IP ، فرم لاگین به سیستم را مشاهده خواهید کرد.

هنگام ورود به رابط وب ، از root بعنوان لاگین به سیستم و رمز ورود ۰۰۰۰۰ (پنج صفر پشت سر هم) استفاده کنید.

صفحه اصلی

رابط وب به دو قسمت تقسیم می شود. نوار کناری سمت چپ شامل لیست گروهی ماژول های سیستم است و در قسمت سمت راست منوی ماژول انتخاب شده قرار دارد.

مجموعه ای از ابزارک های سفارشی (“Users and Statistics”, “Network”, “Security”, “Fileserver”, “Mail”, “Jabber”, “IP telephony”, “Maintenance”)

در پنجره صفحه اصلی Arkagate  وجود دارد.

Users

کاربر یک شی مهم در Arkagate  است.  مدیران سیاست ها ، محدودیت ها و قوانین مختلفی را برای کاربر اعمال می کند. داده های آماری برای هر کاربر جمع آوری می شود ، زیرا کوچکترین موجود برای گزارش است. کاربران می توانند در گروه ها و برای اعمال جمعی سیاست ها ، قوانین و محدودیت ها برای کل گروه جمع شوند. انتقال کاربر از یک گروه به گروه دیگر با کشیدن و رها کردن آسان است.

برای افزودن کاربران یا گروه ها بهArkagate   ، باید از ماژول “User” استفاده کنید و یکی از گزینه های زیر را انتخاب کنید:

Add

Wizard

Import

Adding a user or a group

در پنجره اصلی “Users” “Add” را انتخاب کنید. اگر شی “User” انتخاب شده باشد ، فرم جدیدی باز می شود که در آن باید نام ، توضیحات ، امتیازات را در Arkagate   کاربر ، ورود به سیستم و رمز ورود مشخص کنید. همچنین می توانید اطلاعات تکمیلی را وارد کنید.

انواع اعتبارسنجی کاربر

 

مجوز توسط IP

در مواردی که کاربران شبکه LAN دارای آدرس IP ثابت یا آدرس IP دینامیک هستند که کاملاً با آدرس MAC مرتبط هستند ، استفاده می شود. کاربر برای کلیه پروتکل ها و مطابق با قوانین و شرایط تعیین شده جهانی و شخصی به شبکه خارجی دسترسی پیدا می کند.

به منظور ارائه آدرس IP به کاربر ، لازم است نام کاربری را در لیست کاربران انتخاب کنید. صفحه اطلاعات این کاربر باز خواهد شد.

پس از آن برگه “آدرس IP / MAC” را انتخاب کنید ، روی “افزودن” کلیک کرده و آدرس اختصاص داده شده به این کاربر را کلیک کنید.

پس از آن آدرس اختصاص داده شده در لیست آدرس های کاربر ظاهر می شود. به هر کاربر می توان هر تعداد آدرس IP اختصاص داد. همچنین می توان طیف وسیعی از آدرس ها را در قالب “آدرس / پیشوند” به کاربر اختصاص داد.

مجوز توسط Mack

این نوع مجوزها وقتی شبکه از آدرسهای پویا استفاده می کند راحت هستند ، اما Arkagate  به عنوان سرور DHCP استفاده نمی شود. برای اختصاص آدرس MAC به کاربر ، به برگه  IP / MAC address  بروید و “Add MAC  ” را کلیک کنید.

احراز هویت با پسورد

در طی تلاش برای استفاده از اینترنت Arkagate  ، کاربر را مجبور می کند نام کاربری / رمز عبور خود را ارائه دهد. این “مجوز ورود / رمز ورود” نامیده می شود.

روند مجوز می تواند از ۲ مکانیزم استفاده کند:

با ورود نام کاربری و گذرواژه در مرورگر که بصورت اتوماتیک برای کاربران باز می شود.

توسط دامین

این مکانیسم فقط زمانی امکان پذیر است که سیستم Arkagate  به Active Directory متصل باشد و کاربران از دامنه وارد شوند.

User personal module.

 

Overall report.

این برگه گزارش کلی از پیش تعیین شده را برای کاربر نشان می دهد. در حاوی داده های عمومی کاربر است (وضعیت ، ورود به سیستم ، ورود به سیستم آدرس آدرس ، آدرس IP ، سرعت و آمار روزانه ، هفتگی ، ماهانه) ؛ آمار ساعتی برای ترافیک ورودی / خروجی ۲۴ ساعت گذشته ، ۵ آدرس IP و دامنه های بازدید شده. و همچنین ۵ دسته برتر ترافیک مورد استفاده قرار می گیرد.

 

Rules and restrictions

این برگه به ​​شما امکان می دهد قوانین ، سهمیه ها و مسیرها را مانند ماژول “”Rulesets تنظیم کنید. به طور پیش فرض ، کاربر قوانینی را از نقشی که به او اختصاص داده شده به ارث می برد. قانون پیش فرض قابل حذف نیست.

برای افزودن استفاده از OpenVPN ، باید به تب Menu – Network – VPN – “Users”  بروید. در آنجا پارامترها را پیدا خواهید کرد:

کادر تأیید “Push default route to client” – Arkagate  به عنوان دروازه پیش فرض روی دستگاه متصل نصب می کند

فیلد “Remote network addresses”- به شما امکان می دهد جفت های آدرس IP / Mask را از طریق دستگاه کاربر تنظیم کنید.

فیلد “Load VPN client certificate”- به شما امکان می دهد گواهی پایان کاربر را انتخاب کنید.

و برای تایید فشردن “Save”, “Refresh”

Statistics

این برگه راهی برای ایجاد الگوهای سفارشی برای گزارشات کاربر ارائه می دهد. می توانید دستورالعمل های مربوط به این عملکرد را در منو –  “Users and Statistics” – “Reports management” – “Reports designer” پیدا کنید.

این برگه شامل لیستی از تمام رویدادهای مربوط به کاربر است.

Blocking rule

پس از انتخاب “Add” ، پنجره تنظیمات deny rule را مشاهده خواهید کرد. در این پنجره زمینه های زیر وجود دارد:

destination,protocol,port,source,duration,“

Send ICMP Unreachable” checkbox;

به طور پیش فرض همه قسمت ها خالی هستند که به معنی منطبق کردن هر مقدار در هر زمینه است. بنابراین اگر یک قانون پیش فرض انکار ایجاد کنید و آن را برای یک کاربر یا یک گروه اعمال کنید ، فایروال تمام ارتباطات کاربر یا گروه را که از طریق Arkagate انجام می شود کاملاً مسدود می کند. وقتی مکان نما را روی قسمت مربوطه قرار می دهید ، می توانید مقادیر قابل قبولی را بررسی کنید ، در عوض می توانید مقداری را از لیست کشویی انتخاب کنید که شامل اشیایی باشد که قبلاً برای Arkagate شناخته شده اند.

کادر تأیید “Send ICMP Unreachable”  دستور ارسال این پیام را به عنوان پاسخ به یک دستور ping صادر می کند و بسته ICMP مسدود می شود.

Application firewall blocking rule

قسمت “Protocol” شامل لیستی از پروتکل های محبوب کتابخانه nDPI است.

https://github.com/ntop/nDPI

 

Permitting rule

پس از انتخاب “Add” ، پنجره تنظیمات انکار قانون را مشاهده خواهید کرد. در این پنجره زمینه های زیر وجود دارد:

destination, protocol, port, source, duration,“Allow traffic even if the user is disabled” checkbox

به طور پیش فرض همه قسمت ها خالی هستند که به معنی منطبق کردن هر مقدار در هر زمینه است. بنابراین اگر شما یک قانون مجاز پیش فرض ایجاد کنید و آن را برای یک کاربر یا یک گروه اعمال کنید ، فایروال به شما اجازه می دهد هر یک از کاربران یا گروه ها از طریق Arkagate ارتباط برقرار کنند. وقتی مکان نما را روی قسمت مربوطه قرار می دهید ، می توانید مقادیر قابل قبولی را بررسی کنید ، در عوض می توانید مقداری را از لیست کشویی انتخاب کنید که شامل اشیایی باشد که قبلاً برای Arkagate  شناخته شده اند.

کادر تأیید “Allow traffic even if the user is disabled”  به این معنی است که حتی اگر کاربر غیرفعال شده یا از سهمیه وی بیشتر شده باشد ، وی همچنان به منابعی که در قانون تعیین شده دسترسی خواهد داشت.

Speed limit

می توانید وقتی مکان نما را روی قسمت مربوطه قرار می دهید ، مقادیر قابل قبولی را بررسی کنید یا می توانید از لیست کشویی مقداری را انتخاب کنید که شامل اشیایی باشد که قبلاً برای Arkagate  شناخته شده اند. سه روش وجود دارد که می تواند بسته به جسمی که برای آن اعمال می شود ، اعمال شود:

To object

برای یک گروه یا کاربر اعمال خواهد شد. با این روش ، هر گروه (حتی اگر شامل زیر گروه هایی نیز باشد) محدودیت سرعت را دارند که در قانون تنظیم شده است.

For each user

برای یک گروه یا کاربر اعمال خواهد شد. با این روش ، هر کاربر ، از جمله کاربران در گروه ها ، محدودیت سرعت را دارند که در قانون تنظیم شده است

For each IP

برای یک گروه یا کاربر اعمال خواهد شد. با این روش ، هر آدرس IP که کاربر دارد ، از جمله کاربران در گروه ، دارای محدودیت سرعت است که در قانون تنظیم شده است

اگر کادر تأیید “محدودیت Arkagate ” علامت گذاری شود ، این قانون همچنین اتصالات برقرار شده با Arkagate  را محاسبه می کند (به عنوان مثال ، دسترسی به ftp یا رابط وب

Bandwidth allocation

تخصیص پهنای باند یک ابزار QOS (کیفیت خدمات) است. این برای رزرو کانال ارتباطی استفاده می شود ، به عنوان مثال ، برای تلفن معتبر IP باید پهنای باند لازم و پورت های تلفن IP تنظیم شود ، و قانون باید به کاربران مناسب اختصاص یابد.

وقتی کادر ” borrow bandwidth from parent ” ، علامت گذاری می کنید ترافیکی که در این قانون تنظیم شده است ، می تواند از پهنای باند بزرگتر استفاده کند ، در صورتی که کانال اشغال نباشد ، در قانون مشخص شده است

قسمت ” priority ” هنگامی که کانال بیش از حد بارگذاری می شود کار می کند: اولویت بیشترین بازدید برای اولین بار انجام می شود.

مهم: برای   Arkagateنسخه ۶ این قانون با لیست زیر درایورهای کارت رابط شبکه سازگار است:

ae, age, alc, ale, an, ath, aue, axe, bce, bfe, bge, bxe, cas, cxgbe, dc, de, ed, em, ep, epair, et, fxp, gem, hme, igb, ipw, iwi, ixgbe, jme, le, msk, mxge, my, nfe, nge, npe, qlxgb, ral, re, rl, rum, sf, sge, sis, sk, ste, stge, ti, txp, udav, ural, vge, vr, vte, wi, xl.

Quota

قانون سهمیه برای محدود کردن میزان ترافیکی که کاربر گروه می تواند مصرف کند استفاده می شود. هنگام ایجاد سهمیه ، لازم است مقدار داده بارگیری شده در روز / هفته / ماه تنظیم شود ، همچنین می توانید منبع ، پروتکل و پورت را تعیین کنید ، سهمیه اعمال خواهد شد. اگر مبلغ ۰ تنظیم شود ، سهمیه این دوره غیرفعال خواهد بود.

وقتی کاربر یا گروه از سهمیه خود بیشتر شود ، قانون انجام می شود. یا دسترسی کاربر / گروه رد خواهد شد (به استثنای منابعی که در قانون مجاز ” allow always ” (مشخص شده است) ، یا محدودیت سرعت اثر خواهد داشت (مانند قانون محدودیت سرعت)

کادر تأیید “ایجاد قانون عبور برای روش CONNECT”  “به این معنی است که بسته های دارای روش CONNECT برای شناسایی URL مقصد هنگام فعال بودن فیلتر https با جایگزینی گواهی مجاز خواهند بود. همچنین لازم است هنگام باز کردن صفحه https به کاربر پیام “بیش از حد نصاب” نشان داده شود.

Route

قانون “مسیر” برای مسیریابی ترافیک مبتنی بر سیاست نه تنها بین شبکه های داخلی ، بلکه همچنین به ISP های مختلف نیز استفاده می شود. هنگام تنظیم قانون ” through gateway ” آدرس IP دستگاه  Gateway باید تنظیم شود. غالباً این قانون زمانی استفاده می شود که Arkagate بر روی سرور با رابط شبکه واحد مستقر شود

وقتی کادر علامت “عدم پردازش ترافیک با فایروال” علامت گذاری شود ، برای تمام بسته های مطابق با این قانون ، قوانین فایروال اعمال نمی شود. لازم به ذکر است که اگر این کادر انتخاب علامت گذاری نشود و TCP از طریق Arkagate  ایجاد شود ، فایروال پس از ۳۰ ثانیه از کار افتادن ، اتصال را قطع می کند.

وقتی

قانون  “Through interface” مسیریابی ترافیک از طریق یکی از رابط های شبکه  Arkagate ایجاد خواهد شد.

قانونی “Through provider” برای مسیریابی ترافیک از طریق یکی از ISP های Arkagate  ایجاد خواهد شد.

DLP

اگر این قانون را اضافه کنید ، در صورت راه اندازی ماژول DLP فعال می شود ، کادر تأیید “استفاده از DLP برای پروکسی” علامت زده می شود و ترافیک از طریق پروکسی عبور می کند.

پنجره محاوره ای هنگام ایجاد قانون نشان داده نمی شود ، این قانون فقط برای آبجکتی که انتخاب می کنید (کاربر ، گروه یا مجموعه قوانین) اعمال می شود.

Content filtering rule

اگر این قانون را اضافه کنید ، در صورت راه اندازی ماژول فیلتر محتوای ، فیلتر محتوای صفحات فعال می شود.

Traffic categories

این ماژول در منوی “Users and statistics” قرار دارد. این ماژول می تواند برای ترکیب بسیاری از آدرس های IP و URL ها ، جستجوی گزارشات ، پسوند فایل ها در دسته های نام برده استفاده شود. از Traffic categories برای مسدود کردن قوانین ، قوانین مجاز و رد کردن قوانین پروکسی در ماژول Rulesets  استفاده می شود که به عنوان “مقصد” برای برخی از کاربران یا گروهی از کاربران استفاده می شود.

در پنجره ماژول می توانید تمام گروه های موجود گروه ترافیک را مشاهده کنید. گروههای از پیش تعریف شده را نمی توان ویرایش یا حذف کرد ، فقط می توانید محتوای آنها را صادر کنید.

SkyDNS traffic categories.

در صورت خرید مجوز SkyDNS ، گروه های دارای نشان SkyDNS پر می شوند.

Kaspersky traffic categories

در صورت خرید مجوز برای ماژول های آزمایشگاه کسپرسکی ، گروه های دارای نشان آزمایشگاه کسپرسکی پر می شوند.

برای ایجاد دسته ترافیک خود ، که شامل مجموعه ای از آدرس های IP ، URL ها ، پسوند فایل ها ، جستجوی گزارشات یا mime-types است ، باید دکمه “Add” را فشار دهید و “Traffic category” را انتخاب کنید.

Reports

می توانید سیستم آمار را در Arkagate به صورت دستی پیکربندی کنید ، یا از گزارش های داخلی استفاده کنید. همه آنها را می توان در “Users and statistics ” مشاهده کرد. از منو- Reports

هر ریپورتی ساختاری از گرافیک و اعداد است که اطلاعات را برای هر دوره زمانی نمایش می دهد. همه گزارش ها از اطلاعات مربوط به دوره انتخاب شده – یک روز ، یک هفته ، یک ماه یا هر بازه زمانی دیگر که تعیین می کنید ، تولید می شوند.

Report management

این ماژول امکان مدیریت و پیکربندی سرویس های “Statistics” و “Counters” را فراهم می کند و همچنین امکان پیکربندی گزارش های این سرویس ها (فرم های پیش فرض یا سفارشی) را فراهم می کند.

Settings

برگه “تنظیمات” امکان تنظیم پارامترها برای مشاهده و ذخیره لاگهای مربوط به این سرویس ها را فراهم می کند

اگر “Firewall blocks logging” انتخاب شود در یک گزارش خواهید دید چه چیزی توسط فایروال مسدود شده است

Arkaauth

اگر “Reports by traffic categories”  انتخاب شود برای گزارشات از نوع  “HTTP details”  برای هر URL یک دسته وجود ایجاد می شود.

این ماژول مسئول احراز هویت سرور Arkaauth است ، با استفاده از آن کاربران می توانند با استفاده از ابزار مجوز Arkaauth مجاز به Arkagate شوند.

Settings

اگر تیک  “Automatically create a permitting rule” تنظیم شده باشد ، در قوانین مجاز فایروال ، قانون Access for xauth  جهت – ورودی به Arkagate از طرف موارد زیر ایجاد می شود.

Direction – incoming to Arkagate ; source – local networks, DMZ networks; destination – self; Protocol – TCP; destination port – Authentication program port; Interface – local interfaces, VPN interfaces, DMZ

Captive portal

این ماژول توانایی دسترسی کاربران به Arkagate را برای دسترسی به اینترنت فراهم می کند.

 

علاوه بر این ، این تنظیمات و عملکرد دو سرور است: سرور مجوز پیام کوتاه و سرور مجوز وب.

فایروال همه درخواست های TCP به پورت های ۸۰ و ۴۴۳ را از همه کاربران ناشناخته رهگیری کرده و به ماژول Captive Portal هدایت می کند. یک پنجره مجوز وجود دارد که برای کاربر غیر مجاز در مرورگر نمایش داده می شود.

لازم به ذکر است که هیچ مرورگری اجازه نمایش پنجره مجوز پورتال Captive را در حالت خودکار ندارد. در این حالت کاربر باید به آدرس زیر وارد شود:

<IP_Arkagate>:81/portal

توانایی انتخاب حالت کار درگاه پورتال در برگه “تنظیمات” وجود دارد: ۱) فقط به عنوان یک سرور مجوز وب تیک “Login / password authorization”. ۲) فقط به عنوان یک سرور مجوز پیام کوتاه  (“SMS تیکauthorization”) ۳) همکاری به عنوان دو سرور.

برای تغییر مسیر صحیح به صفحه لاگین ، هنگام دسترسی کاربر به منابع https ، لازم است گواهی نهایی مربوطه را در قسمت “گواهی” تنظیم کنید و همچنین از  transparent proxy (سروری است که ارتباط بین کاربر نهایی یا دستگاه و اینترنت را قطع می کند) استفاده کنید.

هر کاربر مجاز در پورتال Captive به عنوان یک جلسه بر اساس آدرس MAC کاربر ذخیره می شود. احراز هویت توسط آدرس MAC به جای احراز هویت توسط آدرس IP مورد استفاده قرار می گیرد تا از مواردی با جایگزینی آدرس IP یا مواردی که آدرس IP یک جلسه منقضی نشده از طریق DHCP برای کاربر دیگری صادر می شود ، جلوگیری شود.

NETWORK

Network settings wizard

Network settings wizard

در اولین ورود به رابط وب ، ماژول “فایروال” دارای تنظیمات “پیکربندی نشده” است. تنظیمات اولیه هنگامی که ماژول “Firewall” در وضعیت فعال باشد نهایی می شود. برای دستیابی به این مهم لازم است حداقل رابط شبکه ((Provider وlocal network  در “Providers and Networks”  ایجاد شود. توصیه می شود برای پیکربندی اولیه رابط های شبکه ، Wizard شبکه را شروع کنید.

Types of network interfaces

در مرحله اول جادوگر تمام رابط های شبکه پیدا شده را نمایش می دهد. برای هر یک از آنها باید نوع آن را مشخص کنید.

Type توضیحات
Don’t use از رابط استفاده نمی شود
Local network رابط داخلی سرور این شبکه کاربران را خواهد داشت.
Local network VLAN همانند شبکه محلی معمول اما با استفاده از فناوری VLAN کار می کند. اجازه می دهد تا چندین شبکه محلی مجازی در یک رابط فیزیکی ایجاد کنید.
Provider رابط سرور خارجی با آدرس IP پیکربندی ثابت.
Provider PPPoE رابط سرور خارجی از طریق پروتکل PPPoE به ISP متصل می شود.
Provider DHCP رابط سرور خارجی با آدرس IP پویا از سرور DHCP ارائه دهنده دریافت شده است.
Provider VLAN رابط سرور خارجی با آدرس IP پیکربندی شده استاتیک و شناسه VLAN که Subnet به آن متصل است.
DMZ network رابط داخلی سرور این شبکه می تواند سرورهای شرکتی با آدرس های IP قابل دسترسی خارجی داشته باشد. از این نوع پیکربندی شبکه برای افزایش امنیت سرورها و محدود کردن سطح دسترسی به آنها با کمک فایروال استفاده می شود.
PPTP provider over IP رابط سرور خارجی  که متصل شده به Provider از طریق پروتکل PPTP با آدرس IP ثابت در شبکه “خاکستری” موجود در Provider
PPTP provider over DHCP رابط سرور خارجی  که متصل شده به Provider از طریق پروتکل PPTP با آدرس IP داینامیک در شبکه خصوصی موجود در Provider که از سرور Dhcp ip می گیرد.
DMZ network VLAN رابط سرور داخلی مشابه شبکه DMZ فقط بدون شناسه Vlan

شبکه خاکستری به عنوان شبکه ای بین یک درگاه شبکه خصوصی مجازی داخلی و سیستم دسترسی به شبکه محلی بی سیم که شامل داده های طبقه بندی شده رمزگذاری شده منفرد است ، وجود دارد.

جدول تبدیل Subnetmask به پیشوند شبکه:

Mask پیشوند
۲۵۵٫۲۵۵٫۲۵۵٫۰ /۲۴
۲۵۵٫۲۵۵٫۲۵۵٫۱۲۸ /۲۵
۲۵۵٫۲۵۵٫۲۵۵٫۱۹۲ /۲۶
۲۵۵٫۲۵۵٫۲۵۵٫۲۲۴ /۲۷
۲۵۵٫۲۵۵٫۲۵۵٫۲۴۰ /۲۸
۲۵۵٫۲۵۵٫۲۵۵٫۲۴۸ /۲۹
۲۵۵٫۲۵۵٫۲۵۵٫۲۵۲ /۳۰
۲۵۵٫۲۵۵٫۲۵۵٫۲۵۴ /۳۱
۲۵۵٫۲۵۵٫۲۵۵٫۲۵۵ /۳۲

پیکربندی Provider

در مرحله بعدی لازم است ارائه دهنده خود را پیکربندی کنید. برای انجام این کار باید آدرس و پیشوند شبکه ، آدرس gateway و آدرس سرور DNS  را وارد کنید.

در ماژول ” Providers and networks ” می توانید لیست تمام شبکه های خارجی ، داخلی و مجازی متصل به  Arkagate را پیدا کنید. ابتدا ببینیم یک شی rout مسیریاب چیست. این هست:

Wan: شبکه ای به نام Provider در Arkagate

Lan: شبکه ، به طور مستقیم به Arkagate متصل است.

IntenalNetwork: شبکه ای ، که مستقیماً به Arkagate  متصل نیست ، اما توسط برخی از روترها جدا شده است.

User: واحد نهایی برای مسیریابی

Provides priority

هنگام ایجاد ، به هر ارائه دهنده یکی از سه اولویت ممکن تعیین می شود:

priority توضیحات
main ترافیک کاربران از طریق این Provider انجام می شود. اگر دو یا چند کانال اینترنتی دارید ، می توانید همه آنها را به عنوان “main” در اولویت قرار دهید. ترافیک از طریق سرور پروکسی عبور نمی کند ، بلکه با استفاده از توازن پویا بین این کانال ها تقسیم می شود ، که به شما امکان می دهد پهنای باند آنها را برای استفاده بهتر ترکیب کنید. ترافیکی که از طریق پروکسی عبور می کند از طریق کانال “پیش فرض” هدایت می شود.
backup در حالی که ارائه دهنده main کار می کند استفاده نمی شود. اگر ارائه دهنده اصلی خراب باشد ، کانال پشتیبان به جای خود قرار می گیرد.
additional به جز موارد مشخص شده در مسیرهای ثابت در  Arkagateاستفاده نخواهد شد.

این طرح بیانگر نحوه تنظیم سه ارائه دهنده در Arkagate  است. ارائه دهنده اصلی ۱ دروازه پیش فرض برای همه کاربران و سرویس ها است. ارائه دهنده ۲ : تا زمانی که ارائه دهنده ۱ فعال است ، ارائه دهنده ۲ فعال نیست. ارائه دهنده ۳ به عنوان یکی دیگر از موارد تنظیم می باشد. برای کاربر خاصی مسیر ثابت برای استفاده از این ارائه دهنده مشخص شده است.

 

برگه “دستگاه های خارجی” برای افزودن روترهای سیسکو است.

زبانه Providers Monitor  ماژول سرویس مربوطه را باز می کند که وضعیت ارائه دهندگان را کنترل کرده و بین آنها جابجا می شود. در صورت لزوم می توان این سرویس را غیرفعال کرد.

Rules

برگه Rules  اجازه می دهد تا قوانین فایروال را برای کل ترافیکی که از طریق این ارائه دهنده ارائه می شود تنظیم کنید. می توانید قانون ، مسیر و محدودیت سرعت را بلاک یا مجاز کنید. تمام قوانینی که در اینجا تنظیم کرده اید در لیست دیوار آتش نیز وجود خواهد داشت.

Trace

Trace (traceroute) ابزاری برای بررسی مسیر درخواست به میزبان خاص است. بسته ای را برای میزبان ارسال می کند و اطلاعات تمام روترهای بین راه را نشان می دهد.

این ابزار اجازه می دهد تا برای بررسی موارد مسیریابی ، و همچنین اگر یک بسته در حال رها شدن است – برای تعیین اینکه ، در کدام مراحل نقص وجود دارد.

Poll DNS

نظرسنجی DNS امکان ارسال درخواست های مختلف به سرورهای DNS را برای بررسی اشتباهات پیکربندی آنها فراهم می کند.

برای استفاده از این ابزار ، باید نام دامنه را وارد کنید و نوع رکورد را انتخاب کنید ، همچنین می توانید یک DNS خاص برای بررسی تنظیم کنید. اطلاعات بیشتر را می توانید در مستندات ماژول DNS بیابید.

نظرسنجی DNS امکان ارسال درخواست های مختلف به سرورهای DNS را برای بررسی اشتباهات پیکربندی آنها فراهم می کند.

برای استفاده از این ابزار ، باید نام دامنه را وارد کنید و نوع رکورد را انتخاب کنید ، همچنین می توانید یک DNS خاص برای بررسی تنظیم کنید. اطلاعات بیشتر را می توانید در مستندات ماژول DNS بیابید.

 

Domain information

اطلاعات دامنهwhois  اجازه می دهد تا اطلاعات مربوط به صاحب دامنه یا دامنه آدرس های IP و همچنین اطلاعات اضافی (تاریخ ثبت ، مخاطبین ، نوع دامنه ، ثبت کننده و غیره) را از پایگاه داده WHOIS بدست آورید.

Dump

برای راه اندازی نرم افزار ، باید یک شبکه ارتباطی را انتخاب کنید که برای جمع آوری اطلاعات شما استفاده می شود. برای فیلتر کردن پیام ها ، می توانید یک پروتکل را انتخاب کنید ، یک پورت را مشخص کرد و همچنین برای ترافیک شبکه را برای آدرس IP مشخص شده ، “میزبان” یا “منبع / مقصد” انتخاب کرد.

Network interfaces

ابزار ” Network interfaces” امکان بررسی وضعیت هر رابط شبکه در Arkagate را فراهم می کند. خروجی دستور “ifconfig” را نشان می دهد , امکان چک کردن آدرس های IP برای هر یک از رابط ها و واسط های مجازی را می دهد.

Route table

برای آزمایش امنیت در شبکه محلی می توانید از اسکن شبکه استفاده کنید. این امکان را می دهد تا در دسترس بودن ایستگاه های کاری محلی را بررسی کنید ، و درگاه های باز را در شبکه بررسی کنید. همچنین ، اگر Arkagate خود را به عنوان میزبان برای تجزیه و تحلیل تنظیم کنید ، می توانید سیستم را برای وجود پورت های باز نیز بررسی کنید.

حالت اقدام
Addresses availability ARKAGATE بررسی می کند که آیا ایستگاه های کاری انتخاب شده بصورت آنلاین هستند. می توانید یک میزبان یا یک زیر شبکه تنظیم کنید. در این حالت ، ARKAGATE همه آدرس ها را یکی یکی بررسی می کند.
Port scanning ARKAGATE بررسی می کند که کدام درگاه ها روی میزبان مشخص شده یا همه میزبانهای زیر شبکه مشخص شده باز هستند
Version information ARKAGATE نسخه های هر سرویس را روی هر پورت میزبان انتخاب شده یا هر میزبان زیر شبکه مشخص شده بررسی می کند

Firewall

فایروال در ARKAGATE یک سیستم نرم افزاری در سطح هسته است که بر اساس مجموعه ای از قوانین ، ترافیک را کنترل و فیلتر می کند. هدف اصلی فایروال حفاظت از شبکه ها و منابع داخلی شرکت ها از دسترسی غیر مجاز است. همچنین ، در ARKAGATE ، دیوار آتش وظیفه ترجمه آدرس شبکه NAT  و انتقال پورت PF  را دارد.

در صفحه اولیه ماژول می توانید وضعیت آن ، دکمه “غیرفعال کردن” یا “فعال کردن” ، (در صورت غیر فعال بودن ماژول) و آخرین پیام های ورود به سیستم را پیدا کنید.

توجه! اگر فایروال را خاموش کنید ، فقط قوانین NAT عمل می کنند. همه قوانینی که دسترسی نامطلوب را مسدود می کنند نیز خاموش خواهند شد که ممکن است منجر به نقض امنیت شود. توصیه می شود که فایروال را فقط درصورت لزوم خاموش کنید.

همچنین بخاطر داشته باشید که پس از راه اندازی مجدد ARKAGATE با فایروال خاموش ، قوانین pf ، از جمله قوانین NAT به طور کامل پاک می شود و در این حالت کاربران از طریق همه پروتکل ها به جز HTTP به اینترنت دسترسی نخواهند داشت.

Settings

برگه “تنظیمات” امکان ایجاد دسترسی اساسی به ARKAGATE را بدون ایجاد قوانین اضافی برای دیوار آتش فراهم می کند. می توانید آدرس های IP یا زیر شبکه هایی را تعیین کنید که از طریق ssh اجازه دسترسی به رابط وب و کنسول بازیابی ARKAGATE را داشته باشند. اگر می خواهید از هرجایی به کنسول ARKAGATE دسترسی داشته باشید ، می توانید زیرشبکه ۰٫۰٫۰٫۰/۰ را تنظیم کنید.

توجه! چنین تنظیماتی ناامن تلقی می شود زیرا از این طریق همه می توانند برای دسترسی به سیستم تلاش کنند.

قبل از اجازه دسترسی ، توصیه می شود رمز عبور را برای یک رمز عبور قوی تغییر دهید (کمتر از ۸ نماد شامل اعداد و حروف بزرگ و کوچک).

” Maximum number of active connections” به تعیین حد مجاز همه اتصالات به سیستم کمک می کند.

پارامتر ” Firewall mode” برای تعیین اینکه کدام ماژول – pf یا ipfw – ا بتدا شروع می شود. در برخی موارد اتصال VPN از طریق ARKAGATE می تواند توسط NAT ماژول pf مختل شود. در چنین شرایطی می توانید دنباله راه اندازی را به pf → ipfw تغییر دهید.

Rules

برگه Rules ابزار اصلی مدیر سیستم در تنظیم و نگهداری فایروال است. این لیست به دو قسمت تقسیم می شود: لیست interface  (درخت مانند) و لیست قوانین خود. وقتی روی یک رابط کلیک می کنید ، قوانین مربوط به آن را مشاهده خواهید کرد.

قوانین فایروال به صورت زیر دسته بندی می شوند:

Permitting rule

Blocking rule

Priority

Route

Speed limits

به طور پیش فرض هرگونه اتصال از خارج توسط فایروال مسدود می شود. در طول نصب چندین قانون استاندارد اضافه می شود که برای خدمات اصلی بسیار مهم است: mail server (25, 110, 143 ports), FTP-server (21 and 10000-10030 ports), web-server (80 port), DNS server (53 UDP port) and VPN-server (port 1723 and GRE protocol). همچنین دو قانون مجاز پیش فرض اضافی وجود دارد: دسترسی به منابع samba (ports 139, 445) and to DNS zones     transfer (port 53 TCP), و همچنین قانونی که درخواست های ICMP-requests را مجاز می کند.

این قوانین اجباری نیستند ، در صورت لزوم می توانید آنها را خاموش ، ویرایش یا حذف کنید.

Events

زبانه “Events”  تمام آنچه در فایروال اتفاق می افتد را نشان می دهد. این به صفحات تقسیم شده است ، می توانید با دکمه های “بعدی” و “قبلی” بین آنها حرکت کنید یا شماره صفحه را در قسمت مناسب وارد کنید تا مستقیماً به آن ادامه دهید. در گوشه بالا و سمت راست یک خط جستجو وجود دارد. می توانید از آن برای جستجوی سوابق خاص استفاده کنید.

برگه همیشه وقایع مربوط به تاریخ فعلی را نشان می دهد. برای بررسی رویدادهای روز دیگر ، تاریخ ها را در تقویم در گوشه بالا سمت چپ ماژول انتخاب کنید.

در سمت راست پانل بالا یک منوی کشویی “همه پیام ها” وجود دارد که به شما امکان می دهد لیست رویدادها را با استفاده از برخی معیارها فیلتر کنید: پیام های سیستم ، پیام های سرویس ، خطاها ، پیام های دیگر.

Route

پس از انتخاب “Add” ، پنجره تنظیمات Route را مشاهده خواهید کرد. در این پنجره زمینه های زیر وجود دارد:

جهت، مقصد،پروتکل، درگاه، مدت زمان، کادرهای انتخاب “از طریق دروازه” ، “از طریق رابط” ، “از طریق ارائه دهنده” ، کادر انتخاب ” Do not process traffic with firewall”.

می توانید وقتی مکان نما را روی قسمت مربوطه قرار می دهید مقادیر قابل قبولی هستند یا می توانید مقداری را از لیست کشویی انتخاب کنید که شامل اشیایی است که قبلاً برای  Arkagate شناخته شده اند. قانون “Rout” برای مسیریابی ترافیک مبتنی بر سیاست نه تنها بین شبکه های داخلی ، بلکه همچنین به ISP های مختلف نیز استفاده می شود.

هنگام تنظیم قانون “از طریق دروازه” آدرس IP دستگاه دروازه باید تنظیم شود. غالباً این قانون زمانی استفاده می شود که Arkagate بر روی سرور با رابط شبکه واحد مستقر شود.

وقتی کادر علامت ” Do not process traffic with firewall ” علامت گذاری شود ، برای همه بسته های مطابق با این قانون ، قوانین فایروال اعمال نمی شود. لازم به ذکر است ، اگر این کادر انتخاب علامت گذاری نشود و TCP از طریق Arkagate ایجاد شود ، فایروال پس از ۳۰ ثانیه از کار افتادن ، اتصال را قطع می کند.

وقتی قانون “Through interface”  تنظیم شد ، قانون مسیریابی ترافیک از طریق یکی از رابط های شبکه Arkagate ایجاد می شود.

هنگامی که قانون  “Through provider” تنظیم می شود  قانون مسیریابی ترافیک از طریق یکی از ISP های Arkagate ایجاد می شود.

 

Port forwarding

ماژول “Port Forwarding” در منوی “Network” قرار دارد. این ماژول برای سازماندهی دسترسی به رایانه مستقر در شبکه محلی از خارج استفاده می شود: برای اتصال به ویندوز سرور از طریق RDP ، برای اتصال به وب سرور محلی و غیره

برای ایجاد یک پورت فوروارد ، باید پروتکل ، پورت فوروارد (که در سرور باز می شود و اتصالات از خارج به آن برقرار می شود) و همچنین پورت مقصد و میزبان (پورت و آدرس ایستگاه کاری که برای دسترسی به آن نیاز دارید) در صورت لزوم ، شما همچنین می توانید رابط کاربری یا گروهی از رابط ها را تعیین کنید که میزبان این انتقال پورت باشند.

در صورت لزوم ، می توانید رابط یا گروهی از رابط ها را که میزبان این پورت فوروارد هستند ، تعیین کنید.

همچنین ، اگر برای اتصال به میزبان مقصد به میزبان های محلی برای استفاده از هدایت درگاه ایجاد شده نیاز دارید ، می توانید گزینه “allow connecting from local area network” را روشن کنید.

توجه! به این ترتیب اتصالات محلی از طریق NAT انجام می شود و میزبان مقصد با چنین اتصالی رفتار می کند گویا توسط خود Arkagate آغاز شده است. اگر برای میزبان مقصد Arkagate دروازه پیش فرض نیست ، توصیه می شود گزینه استفاده از “NAT”  را در حمل و نقل پورت روشن کنید.

اگر Arkagate دروازه پیش فرض میزبانی نیست که درخواست به آن هدایت می شود ، مفید است که استفاده از ” NAT” را برای چنین تغییر مسیر فعال کنید.

برای اینکه قانون اجازه برای پورت فوروارد به صورت خودکار ایجاد شود ، می توانید کادر تأیید مناسب را در گزینه های انتقال پورت پر کنید. اگر ترجیح می دهید دسترسی را به صورت جداگانه فراهم کنید ، می توانید قانون را به صورت دستی اضافه کنید. این باید شامل پورت مقصد و پورت فوروارد باشد که در قسمت “Destination” با کاما تقسیم شده است. بقیه قسمتها را می توان با توجه به نیاز شما تنظیم کرد.

Domain name service (DNS)