آشنایی و نصب Kerio WinRoute Firewall

سیستم قدیمی خود را فایروال کنید!
استفاده بهینه از ابزارهای موجود، پارامتری بسیار مهم و کلیدی در مدیریت یک مجموعه است. فرض کنید از شما هم به عنوان یک مدیرشبکه، همین انتظار در قبال سازمان و یا مجموعهای که در آن کار میکنید وجود داشته باشد. اگر نیاز به فایروالی قوی دارید و سیستمی نسبتاً قدیمی هم در مجموعه وجود دارد که نیازی به آن نیست، میتوانید این سیستم را تبدیل به فایروالی قوی و مقتدر کنید! برای این منظور سراغ فایروال Kerio WinRoute میرویم. در قسمت اول تنظیمات اولیه را بررسی خواهیم کرد و در قسمت بعدی نیز با تنظیمات پیشرفته آن آشنا خواهیم شد.

به چه سیستم سختافزاری نیاز دارید؟
بله، به همین سادگی میتوان از ابزارهای موجود استفاده بهینه برد؛ هر چند باید در نظر داشته باشید که سیستم موردنظر باید استانداردهای اولیه و حداقلی را داشته باشد (حداقل پنتیوم 4 با 512 مگابایت حافظه اصلی). البته مشخصات این سیستم به بار ترافیکی که قرار است در سرویسدهی به شبکه به کار گیرد بستگی خواهد داشت. اما حداقل نکتهای که مطمئناً به آن نیاز خواهید داشت وجود دو کارت شبکه روی آن است. یک کارت شبکه باید به شبکه داخلی (LAN) و کارت شبکه دیگر باید به ابزاری که اینترنت مجموعه را تامین میکند (مانند مودم ADSL، روتری دیگر و یا ...) متصل باشد.

نصب فایروال
پس از آن که سیستم موردنظر را انتخاب کردید، سیدی قابل بوت کریو را درون سیدیرام آن سیستم قرار داده و با آن کامپیوتر را بوت کنید. پس از این کار صفحه اول نرمافزار نمایان خواهد شد. اکنون نوع زبان را تعیین کرده و با فشردن کلید F8 شرایط این برنامه را پذیرفته و مراحل نصب را آغاز کنید.

نکته: با نصب این برنامه روی سیستم، هارددیسک موجود آن به طور کامل پاک خواهد شد و یک سیستمعامل مبتنی بر لینوکس که مخصوص اجرای برنامه است روی آن قرار خواهد گرفت. از این رو، قبل از ادامه مراحل نصب، از عدم نیاز به فایلهای موجود در سیستم مطمئن شوید.در صفحه Ready to Install با تایپ عددی (که خود برنامه به شما اعلام خواهد کرد!) تایید کنید که اطلاعات موجود در هارددیسک کاملاً پاک شود. پس از انجام این مراحل، کپی اطلاعات آغاز خواهد شد و پس از پایان نصب و راه اندازی مجدد سیستم، عملاً فایروال به مدار شبکه متصل میشود.

تنظیمات اولیه
پس از اتمام مراحل نصب و راهاندازی مجدد، صفحهای مانند شکل 1 ظاهر خواهد شد (Local/Administrative …) که در آنجا باید برای کارتهای شبکه سیستم، یک آدرس آیپی مشخص کنید. برای انجام این کار دو روش وجود دارد:
ابتدا این که با انتخاب گزینه Assign IP address dynamically… مشخص کنید که آدرس آیپی از طریق سرور DHCP تخصیص داده شود و یا با انتخاب گزینه
 Assign Static … این آدرس را بصورت دستی وارد کنید. در صفحه بعدی نیز کلمه عبور برای ورود به کنسول مدیریت برنامه را تعیین کنید.

شکل 1

در آخرین گام باید زمان و تاریخ سیستم را هم مشخص نمایید. سپس با زدن Enter سرویس فایروال اجرا خواهد شد.

ورود به صفحه تنظیمات
پس از راهاندازی کامل فایروال، زمان آن میرسد که وارد صفحه تنظیماتی آن شوید. برای انجام این کار دو راه وجود دارد: اول آن که با آدرس آیپی و شماره پورت مخصوص (از طریق مرورگر اینترنتی) این کار را انجام دهید و دوم آن که توسط نرم‌افزار Administration Console تنظیمات مورد نیاز را اعمال کنید.
توجه داشته باشید که در روش اول امکانات کمتری در اختیارتان قرار خواهد گرفت. اما در صورت استفاده از نرمافزار کنسولی، قادر خواهید بود تنظیمات پیشرفتهتری را روی فایروال انجام دهید. با توجه به آن که در این قسمت نمیخواهیم وارد مقولههای پیشرفته شویم، ادامه کار با همان روش اول پی خواهیم گرفت و در قسمت دوم این مقاله کنسول مدیریتی را بررسی خواهیم کرد.
اکنون همان طور که در شکل 2 ملاحظه میکنید آدرس آیپی و شماره پورت مورد نیاز برای ورود به صفحه تنظیمات در اختیار شما قرار خواهد گرفت و با وارد کردن آنها به صفحه مورد نظر خواهید رفت. پس از ورود، با صفحهای مانند شکل 3 مواجه خواهید شد. همانطور که ملاحظه میکنید در اینجا قسمتهای گوناگونی وجود دارد که در ادامه به آنها و نحوه تنظیم کردنشان خواهیم پرداخت.

شکل 2

شکل 3

تنظیم رابط های شبکه (Interfaces)
مطمئناً اولین و پایهایترین تنظیم برای هر فایروال، تنظیم رابطهای شبکهای آن است. در اغلب سناریوها دو رابط شبکه متصل به یک فایروال به این ترتیب تنظیم میشوند: اولین رابط به روتر (و یا هر ابزاری که اینترنت مجموعه را تامین میکند) و دومین رابط به شبکه داخلی. همانطور که در شکل 4 ملاحظه میکنید، قسمت اول 
(Internet Interfaces) مشخص کننده رابط شبکه و آدرس آیپی است که برای اتصال به اینترنت به کار گرفته میشود. در صورت وجود این کارت، برای تغییر در تنظیمات آن فقط کافیست بر روی آن دوبار کلیک کنید. اگر هم اصلاً رابطی تعریف نشده بود تنها کافیست روی دکمه Add کلیک کنید.

شکل 4

ممکن است اتصال به اینترنت در مجموعه شما از طریق روتر و یک آدرس آیپی مشخص صورت نپذیرد؛ بطور مثال امکان دارد شبکهتان از طریق PPPoE (و یا PPTP) به اینترنت متصل شود. در صورتی که چنین سناریویی وجود داشته باشد میتوانید روی دکمه Add کلیک کرده و گزینه PPPoE را برگزینید. با این کار صفحهای برای تنظیم کردن اتصال مورد نظر باز خواهد شد. در این صفحه (شکل 5) تنظیمات ISP را وارد کنید. 

شکل 5

در صورتی که مایل باشید زمانهای برقراری اتصال اینترنت را محدود کنید میتوانید با مراجعه به برگه Dialing Settings با انتخاب گزینه Always keep line… و تعیین محدوده زمانی (که به طور پیشفرض همیشگی یا همان Always است) مشخص کنید ارتباط با ISP در چه زمانهایی انجام شود. گزینه Never connect the line... هم مشخص میکند چه زمانهایی ارتباط قطع باشد.

نکته: در حال حاضر در بازههای زمانی تنها گزینه Always قابل مشاهده است. اما در ادامه روش تعیین بازههای دیگر را نیز آموزش خواهیم داد. در صورت انتخاب آخرین گزینه Hangup if idle و تعیین زمان (بر اساس دقیقه) مشخص خواهید کرد اگر ترافیک شبکهای روی اتصال اینترنتتان نبود، پس از مدتی ارتباط قطع شود.

نکته: انتخاب این گزینه تنها در زمانی که اینترنت شما دارای محدودیتهای زمانی و یا دانلودی دارد توصیه میشود.

قوانین ترافیکی (Traffic Policy)
مهمترین بخش تنظیمات هر فایروال، تعیین قوانین ترافیک شبکهای آن است. بطور مثال چه پورتهایی (در چه مسیری) باز باشند، ترافیک از چه منبعی با چه پورتی به کدام مقصد هدایت شود و...

اصولاً تنظیمات این قسمت ساده و قابل فهم است و بطور مثال برای اضافه کردن یک قانون جدید کافیست روی دکمه New کلیک کنید. با این کار گزینه جدیدی در بالای فهرست قوانین اضافه خواهد شد. سپس در ستون Name نام قابل فهمی برای آن تعیین کنید و در ستون Source مشخص کنید منبع ورود دادهها از کجا خواهد بود. با کلیک روی این قسمت صفحهای باز میشود که میتوانید منبع را از اشیای مختلف تعیین کنید. بطور مثال، این منبع میتواند از آدرسهای وبسایتهای خاص معرفی شود و یا یکی از رابطهای شبکهای باشد (اگر رابط شبکهای اینترنت را برگزینید، یعنی هر آنچه که از اینترنت بسمت فایروال میآید). جالب آنکه منبع موردنظر میتواند یک کاربر و یا گروهی از کاربران باشد. برای درک بهتر این موضوع مثالی را مطرح میکنیم، فرض کنید یکی از کارکنان شرکت فقط حق دارد در روز، طی ساعات خاصی به آدرس سایتی مراجعه کند، اما قرار است این سایت برای دیگران مسدود باشد. پس کافیست در قسمت منبع نام آن کاربر را وارد کنید و بقیه نتظیمات را مطابق با ساختاری که در ادامه توضیح داده خواهد شد پیگیری کنید.
در قسمت Destination هم باید مقصد ترافیک را تعیین کنید که این کار مانند بخش منبع انجام خواهد شد. در ستون Services قادر خواهید بود سرویس موردنظر را مشخص کنید. برای این کار روی آن کلیک کنید تا صفحه تنظیمات آن باز شود. در این صفحه با کلیک روی دکمه Port میتوانید شماره پورت خاصی را (از نوع TCP یا UDP) مشخص کنید. اما اگر پروتکل خاصی مانند POP3 مدنظرتان باشد میتوانید روی دکمه Services کلیک کنید و از فهرستی که نمایش داده خواهد شد سرویس موردنظرتان را انتخاب کنید (در مثال بیان شده، اینجا میتوانید آدرس وب موردنظرتان را وارد کنید).

نکته: توجه داشته باشید که سرویسهای موجود در این قسمت قابل اضافه و یا اصلاح هستند که در ادامه مقاله به آن خواهیم پرداخت.

در ستون Action هم نحوه برخورد با ترافیک تعیین میشود؛ در صورتی که گزینه Allow را انتخاب کنید ترافیک شبکهای مجاز خواهد بود، و با تعیین Deny هم مسدود خواهد شد. در این شرایط اگر کاربری تلاش در برقراری این ترافیک را داشته باشد، با پیغام خطای فایروال روبرو خواهد شد. با انتخاب Drop ترافیک موردنظر مجدداً مسدود خواهد شد با این تفاوت که این بار هیچ پیغام خطایی در کار نخواهد بود!
در ستون Log هم میتوانید مشخص کنید که گزارشگیری از این ترافیک چگونه انجام شود: بر اساس پکتها، نحوه اتصال یا هردو و یا هیچکدام از آنها!
در ستون Translation هم می‎توانید عملیات NAT (از منبع) و MAP (به مقصد) را تعیین کنید. به طور مثال فرض کنید که از نرمافزاری استفاده میکنید که باید توسط پورت خاصی اتصال ورودی داشته باشد. با تعیین درست منبع (بطور مثال اینترنت) و مقصد (که شبکه داخلی خواهد بود) و تعیین نوع و شماره پورت در قسمت سرویس، شرایط را مهیا ساختهاید که ترافیک موردنظر به سمت مقصد نهایی در شبکه شما هدایت شود. اما هنوز یک نکته مهم باقیمانده است، این ترافیک تا شبکه داخلی خواهد آمد، اما قرار است به کدام هاست هدایت شود؟ جواب این پرسش در همین ستون Translation داده خواهد شد. با کلیک روی این قسمت صفحهای مانند شکل 6 باز خواهد شد. همانطور که در شکل ملاحظه میکنید، در قسمت Destination NAT با معرفی آدرس آیپی هاست موردنظر، میتوانید مسیر ترافیک موردنظر را دقیقاً به همان هاستی که میخواهید تعیین کنید. در قسمت Valid Time هم میتوانید مشخص کنید قانون ایجاد شده در چه بازه زمانی اعمال شود. 

شکل 6

قوانین بر اساس محتوا (Content Filtering)
پس از اعمال قوانین ترافیکی در شبکه، دومین مبحثی که کاربرد زیادی در مدیریت ترافیک اینترنتی خواهد داشت اعمال قوانین بر اساس محتوای اطلاعات رد و بدل شده خواهد بود. این قسمت خود شامل دو بخش خواهد شد که بطور جداگانه به آنها خواهیم پرداخت.

پروتکل HTTP
با ورود به این قسمت، سه زبانه در اختیارتان قرار خواهد گرفت که در ادامه آنها را بررسی خواهیم کرد.

زبانه اول (URL Rules) 
این زبانه برای تعیین قوانین بروی آدرسهای وبسایتها است. شاید این قسمت در سازمان شما کاربرد زیادی داشته باشد، برای مثال ممکن است مایل باشید آدرس وبسایت خاصی برای همه کاربران در ساعات خاص بسته باشد و یا در صورتی که کاربران بخواهند به یک سایت مراجعه کنند مسیر آنها تغییر کرده و کاربران به سایت دیگری هدایت شوند (لطفاً از این امکان سوءاستفاده نفرمایید!) 
برای شروع روی دکمه Add کلیک کنید، در ستون اول نامی برای قانون خود تعیین کنید و سپس با کلیک روی قسمت مربوط به ستون Action چهار گزینه در اختیارتان قرار خواهد گرفت.
گزینه اول، Allow access to web site: تعیین خواهد کرد که دسترسی به نشانی موردنظر باز باشد. توجه داشته باشید با انتخاب این گزینه چندین گزینه اختیاری دیگر هم در اختیارتان قرار خواهد گرفت که در ادامه به آنها خواهیم پرداخت.
گزینه اول Filter out HTML Java Applet مشخص خواهد کرد سایت موردنظر در صورت استفاده از Java Applet در صفحات خود، مسدود شود. 
گزینه دوم (ActiveX Object ....) هم مانند گزینه اول در مورد ActiveXها است. گزینه سوم هم در مورد کدهای اسکرپیتی در HTML و جلوگیری از اجرای آنها کاربرد خواهد داشت. گزینه چهارم برای جلوگیری از کدهای اسکریپتی است که باعث اجرای صفحات بازشو (Pop-Up) میشوند. گزینه پنجم برای جلوگیری از Cross-domainها (تکنولوژی که در AJAX استفاده میشود) است. گزینه ششم هم برای جلوگیری از بازشدن صفحاتی بکار میرود که کلمات غیر مجاز (Forbidden words) درون آنها قرار داشته باشد، تعیین این کلمات را در برگه بعدی همین قسمت بررسی خواهیم کرد. با انتخاب گزینه آخر هم تعیین خواهید کرد صفحه موردنظر توسط ضدویروس فایروال اسکن نشود. 
گزینه دوم، Deny access to the Web site: با انتخاب این گزینه از ورود به سایت تعیین شده جلوگیری بعمل خواهد آمد. در نظر داشته باشید در پایین صفحه کادری در اختیارتان قرار خواهد گرفت که در آنجا میتوانید پیغامی که قرار است به کاربر (هنگام مراجعه به سایت موردنظر) نمایش داده شود را وارد کنید. با انتخاب آخرین گزینه (Users can unlock this rule) هم مشخص خواهید کرد که کاربر درصورت تایید پیغام هشدار قادر به باز کردن سایت موردنظر خواهد بود. 
گزینه سوم Drop the Web… site هم دقیقاً مانند گزینه قبلی است، با این تفاوت که کاربر با ورود به نشانی موردنظر فقط با یک صفحه سفید مواجه خواهد شد!
گزینه چهارم Redirect to URL این امکان را در اختیار شما قرار میدهد که کاربر را به صفحه دیگری هدایت کنید. بطور مثال تنظیم میتواند به این صورت انجام شود که کاربر با وارد کردن آدرس سایت www.computernews.ir به سایتwww.rayanekhabar.com فرستاده شود. 
پس از پایان یافتن تنظیمات ستون قبلی، به ستون URL خواهیم رفت. در اینجا نشانی وبسایت موردنظرتان را وارد کنید. در ستون User کاربرانی که شامل این قانون خواهند شد را مشخص کنید (نحوه تعریف کاربران در انتهای مقاله بررسی خواهد شد). در ستون MIME Type نوع محتوایی که شامل این قانون میشوند را تعیین کنید (در حالت پیشفرض هر نوع محتوا که با علامت * نمایش داده شده است). در ستون Valid Time بازه زمانی موردنظرتان را وارد کنید و با انتخاب گزینهای که در آخرین ستون قرار دارد میتوانید گزارشی متداول از وضعیت این قانون در اختیار داشته باشید.

زبانه دوم (Forbidden words)همانطور که از نام آن پیداست برای تعیین کلماتی بکار میرود که در صورت استفاده شدن در متن، سرتیتر و بطور کلی محتوای وبسایت، فایروال را به آن واکنش نشان خواهد داد. بطور پیش فرض کلمات غیراخلاقی، هک و یا کرک در این فهرست قرار گرفتهاند. البته با زدن دکمه Add میتوانید کلمات جدیدی را نیز به آن اضافه کنید.

زبانه سوم (Kerio Web Filter) 
با توجه به تنظیمات خاص و امکانات ویژه این بخش، توضیح در مورد آنرا به قسمت بعدی این مقاله موکول خواهیم کرد.

پروتکل FTP
پروتکل دیگری که میتوان براساس محتوای آن در کریو قوانین را اعمال کرد FTP است (شکل 7). همانطور که میدانید FTP بیشتر برای Upload و Download کردن فایلها در اینترنت کاربرد دارد. ممکن است سازمان شما بنا به دلایلی (مانند صرفه جویی در پنهای باند!) دانلود برخی فایلها را ممنوع کرده باشد. در چنین سناریوهایی میتوانید قانون ایجاد کرده و طی آن دانلود و یا آپلود هرگونه فایل با بافت موردنظر (مثلاً 3gp) را برای گروهی از کاربران ممنوع کنید و یا حتی در بازهزمانی اداری این کار را محدود کرده و پس از اتمام ساعت کاری، مجدداً آنرا آزاد گذارید. 

شکل 7

برای ایجاد یک قانون روی دکمه New کلیک کنید و در ستون Name، یک نام برای قانون خود تعیین نمایید. در ستون Action دو گزینه در اختیار شما قرار دارد، Allow (باز نگه داشتن دسترسی) و Deny (بستن دسترسی). در ستون Properties تنها یک گزینه در اختیار شما قرار دارد و آن هم امکان اسکن و یا عدم اسکن ترافیک FTP مورد نظر توسط ضدویروس فایروال است. در ستون Server میتوانید سرور (و گروهی از سرورهای) خاصی را جهت اعمال قوانین خود تعیین کنید، در نظر داشته باشید که به طور پیشفرض، تمامی سرورها (یعنی هر سروری در دنیا!) در حالت انتخاب قرار دارد.
ستون Condition همان طور که از نام آن پیداست برای تعیین شرایط قانون در نظر گرفته شده است.

در قسمت Condition چند گزینه وجود دارد. گزینه اول به این معنی است که هر ترافیک FTP شامل قانون شود. گزینه دوم و سوم به ترتیب مربوط به فقط دانلود و فقط آپلود خواهد بود، گزینه چهارم نیز هر دو (یعنی دانلود و آپلود) را شامل میشود. در نظر داشته باشید با انتخاب سه گزینه اشاره شده کادری با نام File Name در پایین صفحه وجود خواهد داشت که در آن میتوانید یک، چند فایل و یا حتی نوع آن را مشخص کنید. بطور مثال اگر در این کادر تایپ کنید *.3gp کلیه فایلهایی که بافت 3GP دارند شامل این قانون خواهند شد. آخرین گزینه این قسمت یعنی FTP Command درباره فرامینی است که میتوان برای سرور FTP ارسال کرد. 
در ستون Users، کاربرانی که شامل این قانون خواهند شد را تعیین کنید. در ستون Valid Time بازه زمانی قرار میگیرد و آخرین ستون (log) هم برای گزارشگیری از وضعیت قانون خواهد بود.

تعاریف (Definitions)
همانطور که از ابتدای مقاله ملاحظه کردید، در قسمتهای مرتبط با تعیین قوانین با مواردی چون بازه زمانی، گروههای وبسایتی، سرویسهای شبکهای و ... برخورد کردید. در حقیقت این موارد تعاریف از قبل تعیین شدهای هستند که بعضی از آنها قبلاً توسط سازندگان کریو آماده شده است و برخی دیگر توسط هر مدیر شبکهای و بنا به نیاز وی تعیین خواهد شد. در ادامه به این بخشها بطور مجزا خواهیم پرداخت.

گروهبندی شبکه داخلی (Address Groups)
این قسمت برای تعیین منابع داخلی شبکه در نظر گرفته میشود. همانطور که ملاحظه میکنید این قسمت خالی است، زیرا باید بر اساس نیاز شبکه هر سازمان بطور خاص چیدمان شود. بطور مثال فرض کنید مایلید 2 گروه در این قسمت داشته باشید، گروه اول سرورهایی که نیاز به ارتباط مستقیم با اینترنت دارند مانند WSUS، میل سرور و وب سرور. برای این منظور روی Add کلیک کنید. اکنون در قسمت
 Create new نامی برای گروه سرورهای خود تعیین کنید (مانند :
Servers which directory connected to the Internet). اکنون در قسمت Type گزینه Host را برگزینید و سپس در قسمت Hostname/IP نشانی آیپی و یا نام اولین سرور را وارد کنید. در قسمت Description هم میتوانید توضیحاتی در مورد سرور (و یا هاست) موردنظر خود وارد کنید. با کلیک روی OK اولین گروه کاری شما با نام Server …. ایجاد خواهد شد. برای اضافه کردن سرور بعدی روی Add مجدداً کلیک کنید اکنون گزینه Select existing را در حالت انتخاب قرار داده و از فهرست بازشوی مقابل آن گروهی که قبلاً ایجاد کردید را برگزینید. سپس با انتخاب هاست بعدی، دومین سرور موردنظر نیز به این گروه اضافه خواهد شد. 
اکنون که گروه اول را تشکیل دادید، شاید نیاز باشد گروه از آدرسهای آیپی را هم در یک گروه قرار دهید. بطور مثال فرض کنید در ساختار شبکه شما، افرادی که در یک واحد کار میکنند محدوده آیپی مشخصی دارند، مثلاً کلیه کارکنان واحد مالی در سرور DHCP به گونهای تعریف شدهاند که محدوده آیپی آنها 172.17.12.x باشد. در این سناریو 172.17 برای کلیه سیستمهای سازمان مشترک است، 12، مختص به واحد مالی خواهد بود و x هم متغیر برای هر کلاینت در این واحد خواهد بود. 
فرض کنید در سازمان شما سیستمهایی که در واحد مالی هستند (بدون درنظر گرفتن این که چه کاربری پای آنها نشسته است) نباید هیچگونه ارتباطی با سرورهای FTP داشته باشند. مشخصاً برای اعمال این قانون اول باید گروهی برای واحد مالی درنظر گرفت. برای این کار روی Add کلیک کرده و گزینه Create new را در حالت انتخاب قرار دهید. اکنون نامی برای این گروه درنظر بگیرید، سپس در قسمت Type گزینه Address Range را برگزینید و سپس مانند شکل 8 محدود آدرس مورد نظر را وارد کنید. 

شکل 8

گروهبندی نشانیهای اینترنتی (Address Groups)در این قسمت میتوانید نشانیهای اینترنتی را به شکلهای مختلف گروه بندی کنید. بطور پیش فرض خود برنامه چندین گروه ایجاد کرده بطور مثال گروه موتورهای جستجوگر (که نشانی گوگل و ... درون آن قرار گرفته است). اضافه کردن گروه هم دقیقاً مشابه همان روشی است که در بخش قبلی بررسی کرده بودیم.

بازه زمانی (Time Range)
یکی از بخشهای مهم در قسمت تعاریف، همین بازه زمانی است! مطمئناً در قسمت قوانین ستون Valid Time را مشاهده کردهاید. فهرست بازشوی این ستون در حقیقت بازههای زمانیاش را از فهرستی که در این قسمت ملاحظه میکنید دریافت میکند. بطور پیش فرض هیچ بازه زمانی در اینجا وجود ندارد، پس برای اضافه کردن آن روی دکمه Add کلیک کنید. همانطور که در شکل 9 ملاحظه میکنید صفحهای باز خواهد شد که در آن قادر خواهید بود، ساعت و یا روزهایی که مایلید در بازه زمانی موردنظرتان تحت پوشش قرار گیرد را تعیین شوند. 

شکل 9

سرویسها (Services)اگر خاطرتان باشد در قسمت تعیین قوانین اشارهای به سرویسها یا همان پروتکلهای از پیش تعیین شده کریو کرده بودیم. فهرستی که در این بخش ملاحظه میکنید همان سرویسهایی است که در آنجا استفاده میکردید. در این فهرست میتوانید پورتهای جدیدی را تعریف کنید و یا موارد موجود را ویرایش کنید.

کاربران و گروهها (Users and Groups)
در این مقاله فرض ما بر این است که شبکه شما دامین کنترلر دارد 
(Active Directory). از این رو در ابتدای کار، مرحله الحاق فایروال به دامنه شبکه را انجام خواهیم داد. برای انجام آن به قسمت Domain and Authentication مراجعه کنید. در آنجا برگه Active Directory را برگزینید. روی دکمه Join Domain کلیک کنید، تا صفحه مربوط به آن باز شود. در قسمت Active Directory domain name نام دامنه خود را وارد کنید. در قسمت Domain account… شناسه کاربری که دسترسی مدیریتی دامنه را داشته باشد (Domain Admin) را وارد نمایید. سپس روی Next کلیک کرده و در صفحه بعدی نشانی آیپی سرور دامین کنترلر را وارد کنید. پس از گذراندن این مراحل، فایروال به دامنه شبکه شما ملحق خواهد شد.

اکنون به قسمت Users مراجعه کنید، سپس از فهرست بازشوی Domain نام دامنه را انتخاب کنید، سپس میبینید که کاربران موجود در اکتیو دایرکتوری در اینجا نیز ملاحظه خواهند شد. در این قسمت میتوانید محدودیتهایی را برای کاربران ایجاد کنید، اما باتوجه به طولانی بودن این مبحث، توضیحات آن را به شماره آینده موکول خواهیم کرد.