endian firewall 2.4 - โรงพยาบาลพระสมุทร ... · 2012. 5. 11. ·...
TRANSCRIPT
11/05/55
1
Endian Firewall 2.4.1Overview
Endian Firewall Community คือ ลนุีกซป์ระเภทหนึงทีออกแบบมาเพือความปลอดภัย ซึงถูกเปลียนทุกระบบเพือมาเป็น อุปกรณ์ทางด ้ านความปลอดภัยของเครือข่ายด ้ วยการทํางานแบบ Unified Threat Management (UTM)* ตัวซอฟท์แวร์ถูกออกแบบให ้ ใช ้ งานได ้ ง่าย ง่ายต่อการต ิดตั งใช ้ งานและการจัดการ โดยคุณลักษณะทีเพิมเข ้ ามาได ้ แก่...
Stateful packet inspection firewall**
Application-level proxies for various protocols (HTTP, FTP, POP3, SMTP) with Antivirus supportVirus and spamfiltering for email traffic (POP and SMTP)Content filtering of Web trafficVPN solution (based on OpenVPN)
ข ้ อดีทีสําคัญของ Endian Firewall คือเป็น software แบบ Open source สนับสนุนโดย บริษัท Endian S.r.l.* Network firewall + E-mail spam filtering + Anti-virus capability + IDS or IPS = UTM** Stateful packet inspection firewall
Endian Firewall Community คืออะไร?
11/05/55
2
ทําไมถึงตองใช EFW? แลวมันดีอยางไร?
• 1. ท่านไม่ต ้ องเสียเงินซือ Firewall จากค่ายดังๆ ในราคาแพงๆ เพราะ EFW ทําได ้หมด และเป็น OpenSource
• 2. ท่านไม่จําเป็นต ้ องรู ้ คําสัง Linux มากมายหรือขึนสูง เพราะท่านสามารถ configทุกอย่างได ้ จาก Web Browser***3. ไม่จําเป็นต ้ องจัดหา จัดซือเครืองใหม่ๆ เครืองแรง เพราะเราไม่ต ้ องการใช ้ งานมากมายขนาดประมวลผล3D เครืองทีมีๆอยู่ก ็เพียงพออยู่แล ้ ว
• 4. ท่านไม่ต ้ องจ ้ าง consult, ไม่ต ้ องจ ้ างใครมาติดตังให ้ และเบือทีต ้ องให ้ คนอืน config และก็ไม่ตรงตามความต ้ องการ ปัญหาเหล่านีจะหมดไป เพราะท่านจะเป็นคนทําเอง แก ้ ไขเอง ไม่มีค่าใช ้ จ่าย
• 5. มีแหล่ง community ดีๆที ThaiAdmin อยู่แล ้ ว ไม่ต ้ องกลัว ว่าท่านจะอยู่คนเดียว อย่างเดียวดาย
" ถ ้าน ับข ้อดีได้ครบท ั ง 5 ข ้อแล ้ว เรามาเร ิมก ันเลยดีกว่าคร ับ ^o^ "
***Web Browser : โปรแกรมทีใช ้ ในการเปิดเวบต่างๆ เช่น Internet Explorer, FireFox, Safari, Chrome, etc...
การ Download EFW
เราสามารถดาวน์โหลดจากเว็บไซต์ https://sourceforge.net/projects/efw/files/Development/EFW-2.3-RC1/EFW-COMMUNITY-2.3-rc1-200909171932.iso/download ซึงมีขนาด 123 MB. ซึงหลังจาก download เราจะได ้ เป็นไฟล์ ISO ให ้ ใช ้ โปรแกรมทีสามารถเขียนไฟล์ ISO ได ้ เขียนลงแผ่น CD เท่านัน ซึงความเร็วทีใช ้ ในการเขียน CD ตรงนี ควรใช ้ speed ทีไม่ต ้ องสูงมากเพือป้องกันการอ่านแผ่นไม่ได ้ ผมแนะนําที 4x ~ 12X ครับจะผิดพลาดน ้ อย
ปัจจุบันได ้ พัฒนามาถึง version 2.5.1 (Release 30-Jan-2012) สามารถดาวน์โหลดได ้ ที http://www.endian.com/en/community/download/
11/05/55
3
การจัดเตรียม Hardware พื้นฐาน
• ความตองการระบบของ Endian Firewall Community Edition มีดังน้ี• การดแลนตามจํานวน Zone ท่ีเรามี ซ่ึงจะพูดถึงอีกครั้งตอนท่ีเราทําการออกแบบระบบ
network• ตัวอุปกรณฮารดแวรท่ีมีความเขากันไดกับ Linux operating system ซ่ึงสามารถดูได
ท่ีน่ี Linux.com article for more details. คุณสามารถทดลองตรวจสอบความเขากันไดของระบบดวยการทดลองติดต้ัง CentOS 4.6 operating system. ถาการติดต้ัง CentOS สามารถติดต้ังไดอยางปกติ และสามารถใชงานระบบเครือขาย ซีดีรอม และเปดใชงานท่ีเก็บขอมูลตางๆ ไดอยางน้ันถือไดวาตัวอุปกรณของคุณมีความเขากันไดกับระบบเปนอยางดี ปญหาสวนใหญในการติดต้ังอุปกรณเกิดขึ้นจาก driver ไมมีมาใหใน version ท่ีเปนของ linux แตคุณก็สามารถหลีกเล่ียงปญหาดังกลาวดวยการใชการดแลนท่ีมี chipset เปนของทาง Realtek หรือ Intel การดจอแบบออนบอรดท่ีเปนของ intel หรือ Nvidiaและพยายามหลีกเล่ียงการใชซอฟทแวร Raid ยังไงการเลือกใช hardware ใหนึกถึงความเปนจริงในการออกแบบระบบวา เราจะตองเพิ่มอุปกรณ และความตองการมากนอยแคไหน ขึ้นอยูกับการใชงานเปรียบเทียบกับขนาดของระบบท่ีจะตองรองรับ
การนําอุปกรณ Computer เกาเพื่อนํามาติดตั้ง Endian Firewall
ถาคุณมีอุปกรณคอมเกา คุณสามารถนํามันมาใชติดต้ังสําหรับระบบ Network ขนาดเล็กโดยอาจจะมีผูใชสัก 25 คนรวมกับการเช่ือมตอ Vpn 5 connection โดยระบบดังกลาวมีดังนี้...
• Recommend Spec :Pentium 3.1 GHz.512 MB. RAM8 GB. Hard Disk Drive1 x 100 Mb. Network Cards (Green & Red ในขาเดียวกัน)พัดลมที่มีแรงลมดีและรองรับการทํางาน 24 hrs. x 365 days
สําหรับระบบขนาดกลางที่มีผูใช 50 คนข้ึนไปและการเช่ือมตอ vpn 10 connections ขอแนะนําใหเปนเสปคดังนี้:
• Performance Spec :Pentium4 2.8 GHz. up1~4 GB. RAM up20~80 GB. Hard Disk Drive (Caching, Logging)*
4 x 100 Mb. Network Cards (Green, Red, Blue, Orange ตามการใชงาน)พัดลมที่มีแรงลมดีและรองรับการทํางาน 24 hrs. x 365 days
*Caching : คือการชวยลดภาระการดาวนโหลดไฟลตางๆจาก ISP โดยตรง Client จะดาวนโหลดขอมูลตางๆจาก EFW กอนไปดาวนโหลดท่ี ISP โดยตรง*Logging : การเก็บ Log ใน EFW เน่ืองจากตาม พรบ. ตองเก็บอยางนอย 90 วัน ซึ่งอาจจะตองใชเน้ือท่ีมาก...
11/05/55
4
รูปแบบเครือข่ายการใช ้ งานแบบเต็มระบบของ Endian Firewall
เริ่มการติดตั้งโปรแกรม1. ขั นแรกให ้ ทําการติดตั งโดยใส่แผ่น CD ทไีรทม์าจากหัวข ้ อทีแล ้ วลงใน CD-Rom Drive แล ้ วเปิดเครืองจะปรากฎดังรูปถ ้ าไม่ขึนแบบนีแสดงว่าท่านยังไม่ได ้ ตั ง Boot ที CD-Rom Drive ให ้ ไปปรับแต่งให ้ ถูกต ้ อง....
11/05/55
5
2. เมือกด Enter เข ้ ามาจะพบหน ้ าจอแบบด ้ านล่างนีครับ ในทีนีเราเลือกภาษาอังกฤษนะครับ แล ้ วกด Enter ไปขั นตอนต่อไป..
3. เมือพบหน ้ าจอนี เป็นหน ้ าจอต ้ อนรับ เพือเริมการติดตั ง กด Enter ผ่านไปได ้ เลยครับ
11/05/55
6
4. หน้านีสําหร ั บแจ ้งท่านว่า หล ั งจากลง EFW ข้อมูลใน HDD ของท่านจะสูญหายท ังหมด เพราะ Endian จะทําการแบ่งเนือทีใหม่ท ั งหมดให ้เล ือก Yes แล ้วกด Enter ต่อไปได้เลยคร ั บ
5. หน ้ านีต ้ องการบอกท่านว่าต ้ องการใช ้ งาน console ผ่าน Serial หรือไม่ ถ ้ าเราใช ้ ก็ Yes แต่ในทีนีผมไม่ได ้ ใช ้ นะครับ เพราะเราดูผ่าน ขา Green อยู่แล ้ ว.... ผมจึงเลือก No แล ้ วกด Enter ไปเลยครับ.....
11/05/55
7
6. ถ ้ าขึนหน ้ าจอแบบนี ให ้ รอสักประมาณ 5-10 นาทีครับ ระบบกําลังติดตั ง ช่วงนีเดินเล่นก่อนได ้ ครับ
7. ถ ้ ามาถึงตรงนีแล ้ ว เขาต ้ องการให ้ กําหนด IP Address ของวงใน หรือทีเราเรียกว่าขอ Green ครับ ให ้ เปลียน IP เป็น Class เดียวกันกับ IP ทีใช ้ ในหน่วยงาน เช่น 192.168.1.xxx (ตามรูปล่างด ้ านขวา) แล ้ วก็กด Enter ต่อไป
11/05/55
8
8. เมือกําหนด IP Address ไปแล ้ ว ระบบจะทําการ Eject แผ่น CD ให ้ ครับ... แต่ถ ้ าถาดไม่ออก และมีข ้ อความแบบนีไม่ต ้ องตกใจครับ EFW ต ้ องการให ้ เราเอาแผ่นออก เพราะระบบจะทําการรีบูตใหม่ครับ
9. EFW ถูกติดตั งเสร็จสมบูรณ์แล ้ ว กด Enter เพือ Reboot ระบบใหม่อีกครั ง...
11/05/55
9
10. ระบบจะ Shutdown อัตโนมัติ ให ้ รอประมาณ 10 วินาที ไม่ต ้ องทําอะไรครับ
11. หลังจากรีบูตขึนมาใหม่แล ้ ว จะพบหน ้ าตาแบบนี ถ ้ าไม่ขึนให ้ เช็คดูแผ่น CD ครับ ว่าเอาออกรึยัง.... ?ส่วนหน ้ าจอนีเราไม่ต ้ องกดอะไรเพิมครับ รออย่างเดียว
11/05/55
10
12. ระบบกําลังโหลด config ต่างๆขึนมาตามลําดับครับ
13. หลังจากทีบูตเรียบร ้ อยแล ้ ว จะพบหน ้ าตาแบบด ้ านล่างครับ ในหน ้ าจอจะบอกว่า ขา Green IP อะไร....
0-Shell : คอมมานด ์สําหรับคนทีเก่งๆ linux ก็สบายไปครับ ใครทีไม่เก่งหรือไม่รู ้ ไม่ต ้ องกลัวครับ เดียวเรามีว ิธีเข ้ าแบบง่ายๆในบทต่อไป
1-Restore Factory : เวลาทีเรา config ผิด แล ้ วทําให ้ ไม่สามารถเข ้ า EFW ได ้ เราไม่ต ้ องลงใหม่ทั งหมดนะครับ ให ้ เลือกข ้ อนีระบบจะ Clear ทุกอย่างให ้ เหมือนกับตอนลงเสร็จใหม่ๆเลยครับ
2-Reboot : ใช ้ เวลาที EFW แฮงคห์รือมีปัญหา เราก็เลือกข ้ อนีเพือให ้ ระบบ รีบูตใหม่ได ้ ทันทีครับ
จบขั นตอนการติดตั งครับ....
11/05/55
11
การปร ับแต่งค่าเร ิมต้น
ก่อนอืนเราต ้ องตรวจสอบก่อนว่าเครืองคอมพิวเตอร์ทีติดตั ง EFW สามารถติดต่อกับเครืองอืนๆในเครือข่ายได ้หรือไม่ เนืองจาก LAN Card มี 2 ใบต ้ องทดสอบว่าใบไหนเป็น eth0 โดยต่อสาย LAN เข ้ ากับ LAN Card ใบใดใบหนึงก่อน และใช ้ คําสัง ping จากเครืองคอมพิวเตอร์เครืองอืนๆทีอยู่ในเครือข่ายเดียวกันหาก eth0 ของตั งเป็น 192.168.1.254 ให ้ ใช ้ คําสัง ping 192.168.1.254 (การ ping ให ้ คลิกทีเมนู start > run แล ้ วพิมพ์ ping 192.168.1.254) หากต่อสายถูกจะได ้ ผลลัพธ์ลักษณะเดียวกันกับภาพข ้ างล่าง
หมายเหตุ – อ ้ างอิงจากประสบการณ์ หากใช ้ เครืองคอมพิวเตอร์ทีมี Lan Card แบบ onboard ระบบมักจะมองเห็น Lan Card แบบ onboard เป็น eth1 (Red) และ มองเห็น Lan Card แบบ PCI เป็น eth0 (Green )
1. ให ้ เรากดปุ ่ ม>>> เพือเริมการ config เลยนะครับ
หลังจากทีติดตั ง Endian Firewall และทําการทดสอบ eth0 หรือ Green แล ้ วเราจะเข ้ ามาสู ่การ Config ซึงจะทําผ่านทางหน ้ าเว็บโดยให ้ เราพิมพ์ http:// ตามด ้ วย ip ทีเรากําหนดในขั นตอนที 7 ของการติดตั งและกําหนด IP ของ Green ก็จะได ้ หน ้ าต่างตามรูปข ้ างล่างนี
11/05/55
12
2. กําหนดค่าต ิดตั งภาษาเป็น English(English)และเขตเวลา Asia/Bangkok
3. คลิ กที Accept License เพิมยอมรับในสิทธิของการใช ้ ซอฟท์แวร์
11/05/55
13
4. ในขั นตอนนีจะเป็นการทํา Restore จากไฟล์ Backup ในกรณีทีคุณเคยติ ั ดตั ง Endian Firewall ไว ้ ก่อนแล ้ วสามารถ Restore ตัวระบบให ้ กลับมาทํางานได ้ อีกครังทันที แต่ถ ้ าเป็นการติดตั งใหม่ให ้ เลือก NO และกดทีปุ ่ ม>>>
ในกรณีทีเป็นการ Restore ให ้ เลือกตัวเลือกเป็น Yes และกดปุ ่ ม>>> จากนันระบบจะให ้ Browse เพือใส่ไฟล์ Config ทไีด ้ Backup ไว ้ และเริมต ้ นระบบต่อได ้ ในทันที
5. จากนันให ้ ทําการกําหนดรหัสผ่านเพือใช่ในการเข ้ าเว็บและการ Remote โดยใช ้ SSH เพือการตั งค่าระบบ ทั งนีการตั งค่ารหัสต ้ องมีความยาวไม่น ้ อยกว่า 6 ตัวอักษรนะครับ เมือตั งค่าเสร็จแล ้ วให ้ กดปุ ่ ม>>>
11/05/55
14
6. Step1/7 Choose type of RED interface
เลือก ETHERNET STATIC คลิก >>>
7. Step 2/7: Choose network zones การกําหนดรูปแบบของระบบเครือข่ายว่ามี Network Zone ไหนบ ้ างซึงในขั นตอนนีจะมี Zone ทีเกียวข ้ องระหว่าง Blue กับ Orange ซึงสามารถอธิบายได ้ ดังนี...• Orange Zone ส่วนใหญ่จะใช ้ ในการทํา DMZ เพือใช ้ ในการวาง Server เพือให ้ บริการต่างๆ ด ้ วยการ Map กับ Public IP ที
ได ้ รับจาก ISP• Blue Zone ส่วนใหญ่ใช ้ ในการทํา Wifi Zone เพือให ้ ปลอดภัยกับการใช ้ งาน* ในส่วนนีเราจะข ้ ามเรือง Blue & Orange ออกไปก่อนนะครับ เพราะป้องกันความสับสนของทุกท่านให ้ เลือกเป็น None ไปก่อนแล ้ วกดปุ ่ ม>>>
11/05/55
15
8. Step 3/7: Network preferences ทีหน ้ าจอนีกําหนดเพิมแค่ในส่วนของ Hostname : เป็น endian กับ Domainname : เป็น pkhos อันนีแล ้ วแต่จะตั งเป็นอะไรนะครับ จากนันคลิก >>>
9. Step 4/7: Internet access preferences หน ้ านีเป็นการกําหนด IP address ให ้ Red ซึงเป็น eth1 ซึง IP ต ้ องเป็น Class เดียวกับ Router สมมุต ิ Router ทีใช ้ IP 192.168.1.5 (ค่า Default ทีมากับเครือง ส่วนใหญ่คือ 192.168.1.1) เราจึงกําหนดให ้ Red IP address เป็น 192.168.1.3 และ Default gateway : 192.168.1.5 จากนันคลิก >>>
11/05/55
16
10. Step 5/7: configure DNS resolver ให ้ ระบุ DNS ของ ISP ทีเราใช ้ บริการ ตัวอย่างในภาพเป็นของ TOT
ถ ้ า DNS Server ของรายอืนๆ ก็มีดังนีครับTrueDNS: 203.144.207.29 / 203.144.207.49
TTT ( 3BB )DNS : 202.69.137.137 / 202.69.137.138
HiNet by CAT :DNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134
HiNet by TTTDNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134
11. Step 6/7: Apply configuration
คลิกที OK apply configuration
12. Step 7/7: End เสร็จสินการกําหนดค่าเบืองต ้ นครับ ให ้ ทําการคลิก Logout
11/05/55
17
13. จากนันให ้ เปิด Browser ข ึนมาใหม่แล ้ วให ้ พิมพ์ http://ตามด ้ วย IP Green Zone จะได ้ ตามรูปคลิก Yes
14. ใหใ้ส่รหัส login โดย default ในส่วนของ Webconfig User จะเป็น Admin ส่วน password จะเป็นตามทีเรากําหนดในขั นตอนที 5
15. และเมือรหัสผ่านถูกต ้ องคุณก็จะได ้ พบหน ้ า Dash Board ตามหน ้ าจอข ้ างล่างดังนี
~ ก็จะจบในส่วนของการเร ิมต ้นระบบนะคร ั บ ~
11/05/55
18
การ Config Endian DHCP Server
ไปที Service -> DHCP-SERVER จากนันทําการกําหนดค่าของ DHCP เพือให ้ เครือง Client สามารถ ออนไลน์โดยให ้ ใช ้ IP ทีกําหนดโดย Endian Firewall โดยในช่อง Start Address ให ้ ใส่ IP แรกในช่วงของ DHCP และ End address คือ IP สุดท ้ ายของ IP ตัวอย่างดังภาพข ้ างล่าง
การ Config Endian Firewall เบ ื องต้นแบบหล ั กสูตรเร่งร ั ด
การตั งค่าที Firewall -> Outgoing Traffic เป็นการออกกฎ ในการเชือมต่อออกไปที Internet เพือให ้ ขั นตอน Config น ้ อยทีสุดเท่าทีจะทําได ้ โดยให ้ ไปคลิ ก Disable port 80 และ 443 เพือทําการบล๊อกไม่ให ้ user เล่นเน็ตได ้ ในกรณีทียังไม่ทําการยืนยันตน พร ้ อมทั งป้องกันปัญหาทีว่า user ทําการแก ้ ไข proxy ทีเครืองเพือจะเล่นเน็ตโดยไม่ยืนยันตน
11/05/55
19
การเซ็ต Proxy พืนฐาน
Proxy คือการเก็บข ้ อมูลทีเราได ้ download เปิดดู หรือใดๆก็ตามทีมาจาก internet มาเก็บไว ้ ในเครือง Proxy server ซึงเป็นอีก 1 ความสามารถที Endian ทําได ้ โดยก่อนทีเราจะเริมใช ้ งาน Proxy ระบบจะต ้ องมีความพร ้ อมดังนี• เครือง Client ออนไลน์และสามารถ ping มายัง เครือง Endian ได ้ เรียบร ้ อยแล ้ ว• การกําหนดค่า Proxy ทีเครือง Client ว ิธีการขึนอยู่กับ Browser ทีใช ้ แต่ Concept ทุก Browser เหมือนกันคือ
จะต ้ องรู ้ IP และ Port ของ Proxy-Server
เริมต ้ นการใช ้ ให ้ไปที Proxy แล ้ วทําการ Enable HTTP Proxy เพือให ้ มันทํางาน
เมือระบบ Proxy เริมต ้ นทํางานแล ้ วจะได ้หน ้ าตาดังภาพข ้ างล่าง
11/05/55
20
จากนันเข ้ าสู ่ Proxy Setting
• ในช่อง Port Used by Proxy เป็นการกําหนดค่า Port ของ Proxy server• Error Langauge การแจ ้ งเตือนError ต่างๆว่าเป็นภาษาอะไร• Visible Hostname เป็นการกําหนด ชือเครือง Proxy-server นะครับ• Email Used For notification อันนีเป็นอีเมล์ของผู ้ ดูแลระบบ เอาไว ้ แจ ้ งเวลางานเข ้ า• Minimum download size ขนาดทีเล็กทีสุดทีอนุญาตให ้ download• Maximum upload Size คือขนาดทีใหญ่ทีสุดทอีนุญาตให ้ upload ได ้• Allowed port คือ port ทีอนุญาตใิห ้ เชือมต่อผ่าน proxy รวมถึงในส่วน SSL• Log Settings ให ้ ทําเครืองหมายทังหมด เพราะ log ทีเก็บจะเชือมโยงถึงกัน ซึงในขั นตอนนีจะมีตัวทีทําหน ้ าทีเก็บการใช ้
งานของผู ้ ใช ้ คือ log user agent• By pass transparent proxy เนืองจากในรูปแบบการ config ของเราใช ้ เป็นแบบต ้ อง Authentication เพราะฉะนันใน
ส่วนนีจ ึงไม่ได ้ ใช ้ งานนะครับ• Cache Size on harddisk อันนีเราจะกําหนดขนาดของ proxy ใน harddisk ยิงมากก็เก็บได ้ มากแต่ ด ้ วยความทีข ้ อมูล
มาก การทีจะดึงหน ้ าเว็บใน cache ขึนมาแสดงจึงช ้ าตามไปด ้ วย ขอให ้ ดูความเหมาะสมในเรือง Harddiskทีใช ้ จํานวนuser และลักษณะของ cache ว่าเป็นอะไร
• Cache Size within Memory เป็นขนาด Cache ทีจะเข ้ าไปพักข ้ อมูลอยู่ใน Ram ปกติตรงจุดนีคือครึงหนึงของแรมทังหมดทีมี
• Maximum Object Size ขนาดของไฟล์ทีใหญ่ทีสุดทีจะถูกจัดเก็บใน proxy กําหนดใหญ่มากไป ก็มีผลในการทําให ้ เปิดเว็บได ้ ช ้ าลง เพราะส่วนใหญ่ทีทํา cache เพือให ้ เปิดเว็บได ้ เร็วข ึน คงไม่ได ้ มุ่งเน ้ นให ้ โหลดไฟล์จาก cache ได ้ เร็วข ึน
• Minimum Object size ขนาดของไฟล์ทีเล็กทีสุดทีจะถูกจัดเก็บใน proxy ปกติผมจะเก็บไฟล์เล็กมากกว่าไฟล์ใหญ่ เพราะข ้ อมูลใน internet เน็ตส่วนใหญ่จะเป็นไฟล์ jpg swf html ซึงขนาดก็ไม่น่าจะเกิน 1024Kb. หรือ ประมาณ 1 Mb.
• Clear Cache ในกรณีทีใช ้ ๆไปแล ้ วเปิดเว็บได ้ ช ้ าระบบเริม อืดมากๆ นานๆทีก็ให ้ Clear cache สักครังจะได ้ ล ้ าง index ทําให ้ squid ทํางานได ้ ดีข ึน
• Enable Offline mode ใช ้ ในกรณีทีระบบของ offline ระบบจะส่งข ้ อมูลออกจาก cache ไปอย่างเดียวทําให ้ ผู ้ ใช ้ ไม่ทราบว่าในขณะนัน internet ขาดการเชือมต่ออยู่
• Do not cache this destinations คือ ให ้ เราระบุ url ทีไม่ต ้ องการให ้ ระบบทําการเก็บ cache นะครับ• Upstream Proxy คือการเอา Proxy ของเราไปเกาะกับ proxy ของทีอืนซึงอาจจะมี speed และขนาดของ cache ที
ดีกว่า ใหญ่กว่า และเร็วกว่าโดย วิธีการกําหนดค่า คือใส่ ip:port username password จากนันให ้ Click Saveไปขันตอนถัดไป
ภาพตัวอย่าง
11/05/55
21
จากนันให ้ ไปทีเมนู Antivirus เพือจะกําหนดค่าขนาดของการแสกนเพราะตรงจุดนี ถ ้ าเราตั งค่าตัวเลขมากหมายถึง ขนาดของไฟล์ทีเวลาเราเปิดหน ้ าเว็บแล ้ วมีการโหลดไฟล์นามสกุลใดๆก็ตามจะต ้ องถูกแสกนไวรัสซึงจะทําให ้ ช ้ ามาก ถ ้ าเครืองไม่แรงจริงๆ ตรงนีควรจะกําหนดให ้ น ้ อยเข ้ าไว ้ จะช่วยได ้ มาก
เข ้ าสู ่ขั นตอนการทํา Authentication วิธีการยืนยันตัวตนในระบบทีเราใช ้ กันจะมีกันอยู่หลายวิธี ซึงจะมีแบบ Local ทีใช ้ การกําหนด username password ทีเครือง Endian เลยโดยตรง หรือแบบ Windows Authentication คือการใช ้ Ldap ของ Window Domain ในการตรวจสอบสิทธิของผู ้ ใช ้ หรือแบบ Radius Server ทีจะต ้ องเชือมเครือง Endian ให ้ ว ิงไปถาม Username และ Password จากเครือง Radius Server และทําการยืนยันตัวตน
11/05/55
22
จากในรูปข ้ างตน เป็นวิธีการกําหนด Authentication แบบ Local เพือให ้ ง่าย สะดวกรวดเร็วในการ ข ึนระบบใหม่โดยให ้ ทําตามขั นตอนดังนี
• Authentication Realm ตรงนีคุณอาจจะใช ้ เป็นชือให ้ เข ้ าใจว่า ผู ้ ใช ้ กําลัง login เข ้ ามาในระบบของ proxy เรานะครับ
• Number of Child Authentication children ก็คือจํานวนครั งที login ซําเข ้ ามาได ้ กีหน ้ าจอ• Number of different ips per user ก็คือจํานวนของ IP ทีต่างกัน ของ user คนเดียวกันนีทีใช ้
เชือมต่อเข ้ ามาได ้ มากสุดกี IP เช่น user ไป login ใช ้ comupter ได ้ หลายเครืองพร ้ อมๆ กันทีนีเราต ้ องการจํากัดให ้ user ที login วิงมาจากทีเครืองเดียวก็ให ้ ใส่แค่ 1 ในช่องนี
• Authentication cache TTL คือเวลาหลังจากที user login เข ้ ามาในระบบแล ้ วจะอยู่ได ้ นานแค่ไหน• User/IP Cache TTL คือระยะเวลาที user ใช ้ IP จากทีต่างๆ กันนันนานแค่ไหนซึงปกติก็จะให ้ นาน
เท่ากับ ข ้ อ 4• Min Password Lenght กําหนดความยาวตัวอักษรว่าจะใช ้ กีตัว ขอให ้ ทําจุดนีก่อนเพราะจะได ้ ไม่มี
ปัญหาตอนตั งรหัสผ่านของ user• Manage User คือส่วนทีเข ้ าไปตั งรหัสผ่านให ้ กับ user• Manage Group คือการ จัดกลุ่มโดยการกําหนด User ว่าอยู่ในกลุ่มไหน
หน ้ าต่างขั นตอนการเพิม USER เมือ Click ที Add NCSA user
11/05/55
23
จะได ้ หน ้ าต่างข ้ างล่างนี จากนันก็ใส่ user password จากนันกด create user
จากรูปตัวอย่าง Create User มา 2 คนคือ Admin กับ User
จากนันให ้ กลับมาทีหน ้ า Authentication
11/05/55
24
เมือกลับมาทีหน ้ า authentication ให ้ click ทีปุ ่ ม Manage Group เพือกําหนดกลุ่ม
เมือเข ้ ามาแล ้ วก็จะปรากฏหน ้ าต่างตามรูปข ้ างล่าง
11/05/55
25
หล ั งจากทําการเพิม Group admin และทําการ add user admin เข้าไปใน Group Admin และเมือเสร็จเร ียบร ้อยให ้กด Create Group เมือ add ทุก User และ ทุก Group แล ้วจะได้ด ั งภาพข้างล่าง
add ทุก User และ ทุก Group และจัดการเรือง Group แล ้ วให ้ กด Apply
11/05/55
26
เสร็จสินการกําหนด User และ Group
การกําหนด Group Policy ให้ม ีผลต่อการใช้งาน Internet แบบง่ายๆ
1. ให ้ เข ้ ามาที Proxy -> Access Policy จากนันให ้ ลบ Policy เก่าทิงทั งหมด2. แล ้ วให ้ กดปุ ่ ม Add Access Policy ใหม่จะได ้ เหมือนรูปข ้ างล่าง
11/05/55
27
การกําหนด Policy
ทําการกําหนด Policy โดยไล่ตามช่องไปดังนี1. Source Type เป็นตัวกําหนดจุดเริมต ้ นของ Policy ในตัวอย่าง เลือกเป็น Any เพราะต ้ องการให ้ Authentication
ทุกเครืองทีว ิงออกไป Internet
2. Destination ทีเราต ้ องการให ้ ว ิงออกไปผม เลือก Any เช่นกันเพราะต ้ องการทํา Authenticaiton กับ user ทีว ิง ออก internet
3. Authentication รูปแบบการเชือมต่อนีมีผลยังไง แบบไหน คือเป็นแบบอิงกลุ่ม หรือรายบุคคล ก็ให ้ กําหนดในช่อง Allowed Users
4. Time Restriction ผลของคําสังนีจะทํางานช่วงเวลาใด ให ้ เราเปิดปิดการทํางานเรืองเวลาทีตรงนี
5. Active Days ถ ้ าข ้ อ 4 เปิดใช ้ งาน ก็ให ้ กําหนดในช่อง Active Days ว่าวันไหนบ ้ างให ้ มีผลของ policy
6. Start Hours, Start Minutes, Stop Hours และ Stop Minutes ถ ้ าข ้ อ 4 เปิดใช ้ งาน จะต ้ องกําหนดลงไป ช่วงเวลา ทีมีผลของ policy
7. User Agents ให ้ มีการจํากัดการใช ้ Browser หรือไม่ ถ ้ าเราจะกําหนดให ้ click เลือกว่าใช ้ Browser อะไรได ้ บ ้ าง
8. Access Policy ให ้ เลือกเป็น Allow เพราะเราจะอนุญาตใิหใ้ช ้ เน็ตไดห้ลัง Authentication
9. Filter Profile ในส่วนนีเราอาจจะให ้ Endian ทําการ Filter เฉพาะ Virus อย่างเดียวก็ได ้
10. Position ตรงนีกําหนดลําดับของ Policy
11. Enable Policy Rule คือเปิดใช ้ งาน policy ตัวนีหรือไม่ จากนันกดปุ ่ ม Update Policy จะได ้ ดังรูปถัดไป
11/05/55
28
จากนันให ้ กด Apply เพือยืนยัน Policy ทีเราได ้ กําหนดไว ้ ให ้ ทํางาน เมือกด apply จะได ้ ดังรูปข ้ างล่าง
ถึงจุดนี user ทั งหมดทีเรา Set ไว ้ จะไม่สามารถเล่น internet ได ้ จนกว่าจะ login ที browser ด ้ วยusername และ password ทีเรากําหนดไว ้
ระบบก็จะแสดง Policy แบบสรุปทีเราได ้ กําหนดไป หลังจากนันให ้ ลอง Reboot ระบบอีกสักครังจากนันก็ให ้ ทดลองเปิดเว็บและ login ด ้ วยรหัสและรหัสผ่านทีกําหนดไว ้ ว่าใช ้ งานได ้ ไหม
11/05/55
29
การกําหนด Contentfilter เพือ block เนือหา,เว็บไซต์ต่างๆ
1. สร ้ าง Profile โดยการคลิ กที Create a Profile หรือจะทําการแก ้ ไข Profile เดิมทีมีอยู่ก็ได ้ ( content1 )
1.1 ตั งชือProfile Name : 1.2 Activate antivirus scan * สังเกตนิดนึงนะครับตรง activate antivirus scan หากใช ้ ไปแล ้ วมีปัญหา
ระบบช ้ า ลองติ กตัวนีออกก่อนนะครับ1.3 Platform for Internet Content Selection1.4 Max. score for phrases (50-300)1.5 ในส่วนของการทํางานจะแบ่งออกเป็น 3 ส่วนด ้ วยกัน
- Filters pages containing phrases of the following categories. (Content Filtering)ส่วนนีคือหน ้ ากรองทีมีวลีประเภทดังต่อไปนี (Content Filtering)
- Filter pages known to have content of the following categories. ( URL Blacklist ) ส่วนนีคือหน้า Filter รู ้จ ั กมีเนือหาประเภทด ั งต่อไปนี ( URL Blacklist )
- Custom black- and whitelists ส่วนนีคือ Custom บ ั ญชีขาวและส ี ดํา
หลังจากกําหนดค่าต่างๆ เรียบร ้ อยแล ้ วให ้ ทําการ Create profile หรือ Update profile
11/05/55
30
หลังจากสร ้ าง Contenfilter Profile เสร็จเรียบร ้ อยให ้ ทําการสร ้ าง Prolicy ที Tab Access Policyเพือกําหนดให ้ กลุ่มหรือผู ้ ใช ้ งานต่างๆ เมือต ้ องการให ้ใช ้ เงือนไขตามทีกําหนดไว ้ โดยมีขั นตอนการเพิมAdd access policy ตามทีกล่าวมาก่อนหน ้ านี จะแตกต่างเฉพาะในส่วนของ Filter profileใหเ้ลือกเงือนไข หรือ Profile ทีเราสร ้ างข ึน ดังรูปตัวอย่าง
หมายเหตุ : หลังจากทีมีการสร ้ างหรือกําหนดค่า Policy ใหม่ ต ้ องพิจารณาเรืองลําดับขั นตอนการทํางานให ้ดี เพราะจะมีผลต่อการทํางานได ้ โดยปกติจะตรวจสอบหรือทํางานจากบนลงล่างเมือเข ้ าเงือนไขหรือทํางานแล ้ วจะไม่ทํางานข ้ อถัดไป
การกําหนดใหเก็บ Log ไว 90 วันให ้ ไปทีเมนู Log ด ้ านซ ้ ายเลือก Setting ตรง Log summaries กําหนด Keep summaries for 90 days ครับ แล ้ วคลิกปุ ่ ม Save
11/05/55
31
การดู Log ทําได ้ โดยคลิกทีเมนู Log ด ้ านซ ้ ายเลือก Proxy ที Tab HTTP
หรือจะดูแบบอืนๆก็ลองเลือกดู ส่วนการส่งออกก็ได ้ เหมือนกัน แต่อันนีไม่ทราบรองรับตาม พรบ. หรือเปล่าคงต ้ องไปศึกษากฎหมายและผู ้ เชียวชาญอีกที
สําหรับผู ้ ทีเล่น MSN พอเรากําหนดให ้ เล่น Internet ต ้ องกรอก Username และ Password ก็จะเกิดปัญหา Online ไม่ได ้ ดังนันจึงต ้ องไปกําหนด Username และ Password ให ้ กับ MSN ดังนีครับ ที MSN ไปทีเมนู เครืองมือ >> ตัวเลือก >> การเชือมต่อ >> การตั งค่าขั นสูง
11/05/55
32
ระบุ IP ของ Proxy (192.168.xx.xxx) และ Port 8080 ระบุ Username และ Password ทีได ้ Authenticaiton ไว ้ คล ิกทดสอบ คลิกตกลง แล ้ วก็ตกลง (ดูรูปตัวอย่างข ้ างล่าง)
เสร็จส ินการกําหนดค่าให ้ กับ MSN
1
2ถ ้ าขึนแบบนี ก็ OK ใช ้ ได ้ คลิกตกลง
3