11/05/55

1

Endian Firewall 2.4.1Overview

Endian Firewall Community คือ ลนุีกซป์ระเภทหนึงทีออกแบบมาเพือความปลอดภัย ซึงถูกเปลียนทุกระบบเพือมาเป็น อุปกรณ์ทางด ้ านความปลอดภัยของเครือข่ายด ้ วยการทํางานแบบ Unified Threat Management (UTM)* ตัวซอฟท์แวร์ถูกออกแบบให ้ ใช ้ งานได ้ ง่าย ง่ายต่อการต ิดตั งใช ้ งานและการจัดการ โดยคุณลักษณะทีเพิมเข ้ ามาได ้ แก่...

Stateful packet inspection firewall**

Application-level proxies for various protocols (HTTP, FTP, POP3, SMTP) with Antivirus supportVirus and spamfiltering for email traffic (POP and SMTP)Content filtering of Web trafficVPN solution (based on OpenVPN)

ข ้ อดีทีสําคัญของ Endian Firewall คือเป็น software แบบ Open source สนับสนุนโดย บริษัท Endian S.r.l.* Network firewall + E-mail spam filtering + Anti-virus capability + IDS or IPS = UTM** Stateful packet inspection firewall

Endian Firewall Community คืออะไร?

11/05/55

2

ทําไมถึงตองใช EFW? แลวมันดีอยางไร?

• 1. ท่านไม่ต ้ องเสียเงินซือ Firewall จากค่ายดังๆ ในราคาแพงๆ เพราะ EFW ทําได ้หมด และเป็น OpenSource

• 2. ท่านไม่จําเป็นต ้ องรู ้ คําสัง Linux มากมายหรือขึนสูง เพราะท่านสามารถ configทุกอย่างได ้ จาก Web Browser***3. ไม่จําเป็นต ้ องจัดหา จัดซือเครืองใหม่ๆ เครืองแรง เพราะเราไม่ต ้ องการใช ้ งานมากมายขนาดประมวลผล3D เครืองทีมีๆอยู่ก ็เพียงพออยู่แล ้ ว

• 4. ท่านไม่ต ้ องจ ้ าง consult, ไม่ต ้ องจ ้ างใครมาติดตังให ้ และเบือทีต ้ องให ้ คนอืน config และก็ไม่ตรงตามความต ้ องการ ปัญหาเหล่านีจะหมดไป เพราะท่านจะเป็นคนทําเอง แก ้ ไขเอง ไม่มีค่าใช ้ จ่าย

• 5. มีแหล่ง community ดีๆที ThaiAdmin อยู่แล ้ ว ไม่ต ้ องกลัว ว่าท่านจะอยู่คนเดียว อย่างเดียวดาย

" ถ ้าน ับข ้อดีได้ครบท ั ง 5 ข ้อแล ้ว เรามาเร ิมก ันเลยดีกว่าคร ับ ^o^ "

***Web Browser : โปรแกรมทีใช ้ ในการเปิดเวบต่างๆ เช่น Internet Explorer, FireFox, Safari, Chrome, etc...

การ Download EFW

เราสามารถดาวน์โหลดจากเว็บไซต์ https://sourceforge.net/projects/efw/files/Development/EFW-2.3-RC1/EFW-COMMUNITY-2.3-rc1-200909171932.iso/download ซึงมีขนาด 123 MB. ซึงหลังจาก download เราจะได ้ เป็นไฟล์ ISO ให ้ ใช ้ โปรแกรมทีสามารถเขียนไฟล์ ISO ได ้ เขียนลงแผ่น CD เท่านัน ซึงความเร็วทีใช ้ ในการเขียน CD ตรงนี ควรใช ้ speed ทีไม่ต ้ องสูงมากเพือป้องกันการอ่านแผ่นไม่ได ้ ผมแนะนําที 4x ~ 12X ครับจะผิดพลาดน ้ อย

ปัจจุบันได ้ พัฒนามาถึง version 2.5.1 (Release 30-Jan-2012) สามารถดาวน์โหลดได ้ ที http://www.endian.com/en/community/download/

11/05/55

3

การจัดเตรียม Hardware พื้นฐาน

• ความตองการระบบของ Endian Firewall Community Edition มีดังน้ี• การดแลนตามจํานวน Zone ท่ีเรามี ซ่ึงจะพูดถึงอีกครั้งตอนท่ีเราทําการออกแบบระบบ

network• ตัวอุปกรณฮารดแวรท่ีมีความเขากันไดกับ Linux operating system ซ่ึงสามารถดูได

ท่ีน่ี Linux.com article for more details. คุณสามารถทดลองตรวจสอบความเขากันไดของระบบดวยการทดลองติดต้ัง CentOS 4.6 operating system. ถาการติดต้ัง CentOS สามารถติดต้ังไดอยางปกติ และสามารถใชงานระบบเครือขาย ซีดีรอม และเปดใชงานท่ีเก็บขอมูลตางๆ ไดอยางน้ันถือไดวาตัวอุปกรณของคุณมีความเขากันไดกับระบบเปนอยางดี ปญหาสวนใหญในการติดต้ังอุปกรณเกิดขึ้นจาก driver ไมมีมาใหใน version ท่ีเปนของ linux แตคุณก็สามารถหลีกเล่ียงปญหาดังกลาวดวยการใชการดแลนท่ีมี chipset เปนของทาง Realtek หรือ Intel การดจอแบบออนบอรดท่ีเปนของ intel หรือ Nvidiaและพยายามหลีกเล่ียงการใชซอฟทแวร Raid ยังไงการเลือกใช hardware ใหนึกถึงความเปนจริงในการออกแบบระบบวา เราจะตองเพิ่มอุปกรณ และความตองการมากนอยแคไหน ขึ้นอยูกับการใชงานเปรียบเทียบกับขนาดของระบบท่ีจะตองรองรับ

การนําอุปกรณ Computer เกาเพื่อนํามาติดตั้ง Endian Firewall

ถาคุณมีอุปกรณคอมเกา คุณสามารถนํามันมาใชติดต้ังสําหรับระบบ Network ขนาดเล็กโดยอาจจะมีผูใชสัก 25 คนรวมกับการเช่ือมตอ Vpn 5 connection โดยระบบดังกลาวมีดังนี้...

• Recommend Spec :Pentium 3.1 GHz.512 MB. RAM8 GB. Hard Disk Drive1 x 100 Mb. Network Cards (Green & Red ในขาเดียวกัน)พัดลมที่มีแรงลมดีและรองรับการทํางาน 24 hrs. x 365 days

สําหรับระบบขนาดกลางที่มีผูใช 50 คนข้ึนไปและการเช่ือมตอ vpn 10 connections ขอแนะนําใหเปนเสปคดังนี้:

• Performance Spec :Pentium4 2.8 GHz. up1~4 GB. RAM up20~80 GB. Hard Disk Drive (Caching, Logging)*

4 x 100 Mb. Network Cards (Green, Red, Blue, Orange ตามการใชงาน)พัดลมที่มีแรงลมดีและรองรับการทํางาน 24 hrs. x 365 days

*Caching : คือการชวยลดภาระการดาวนโหลดไฟลตางๆจาก ISP โดยตรง Client จะดาวนโหลดขอมูลตางๆจาก EFW กอนไปดาวนโหลดท่ี ISP โดยตรง*Logging : การเก็บ Log ใน EFW เน่ืองจากตาม พรบ. ตองเก็บอยางนอย 90 วัน ซึ่งอาจจะตองใชเน้ือท่ีมาก...

11/05/55

4

รูปแบบเครือข่ายการใช ้ งานแบบเต็มระบบของ Endian Firewall

เริ่มการติดตั้งโปรแกรม1. ขั นแรกให ้ ทําการติดตั งโดยใส่แผ่น CD ทไีรทม์าจากหัวข ้ อทีแล ้ วลงใน CD-Rom Drive แล ้ วเปิดเครืองจะปรากฎดังรูปถ ้ าไม่ขึนแบบนีแสดงว่าท่านยังไม่ได ้ ตั ง Boot ที CD-Rom Drive ให ้ ไปปรับแต่งให ้ ถูกต ้ อง....

11/05/55

5

2. เมือกด Enter เข ้ ามาจะพบหน ้ าจอแบบด ้ านล่างนีครับ ในทีนีเราเลือกภาษาอังกฤษนะครับ แล ้ วกด Enter ไปขั นตอนต่อไป..

3. เมือพบหน ้ าจอนี เป็นหน ้ าจอต ้ อนรับ เพือเริมการติดตั ง กด Enter ผ่านไปได ้ เลยครับ

11/05/55

6

4. หน้านีสําหร ั บแจ ้งท่านว่า หล ั งจากลง EFW ข้อมูลใน HDD ของท่านจะสูญหายท ังหมด เพราะ Endian จะทําการแบ่งเนือทีใหม่ท ั งหมดให ้เล ือก Yes แล ้วกด Enter ต่อไปได้เลยคร ั บ

5. หน ้ านีต ้ องการบอกท่านว่าต ้ องการใช ้ งาน console ผ่าน Serial หรือไม่ ถ ้ าเราใช ้ ก็ Yes แต่ในทีนีผมไม่ได ้ ใช ้ นะครับ เพราะเราดูผ่าน ขา Green อยู่แล ้ ว.... ผมจึงเลือก No แล ้ วกด Enter ไปเลยครับ.....

11/05/55

7

6. ถ ้ าขึนหน ้ าจอแบบนี ให ้ รอสักประมาณ 5-10 นาทีครับ ระบบกําลังติดตั ง ช่วงนีเดินเล่นก่อนได ้ ครับ

7. ถ ้ ามาถึงตรงนีแล ้ ว เขาต ้ องการให ้ กําหนด IP Address ของวงใน หรือทีเราเรียกว่าขอ Green ครับ ให ้ เปลียน IP เป็น Class เดียวกันกับ IP ทีใช ้ ในหน่วยงาน เช่น 192.168.1.xxx (ตามรูปล่างด ้ านขวา) แล ้ วก็กด Enter ต่อไป

11/05/55

8

8. เมือกําหนด IP Address ไปแล ้ ว ระบบจะทําการ Eject แผ่น CD ให ้ ครับ... แต่ถ ้ าถาดไม่ออก และมีข ้ อความแบบนีไม่ต ้ องตกใจครับ EFW ต ้ องการให ้ เราเอาแผ่นออก เพราะระบบจะทําการรีบูตใหม่ครับ

9. EFW ถูกติดตั งเสร็จสมบูรณ์แล ้ ว กด Enter เพือ Reboot ระบบใหม่อีกครั ง...

11/05/55

9

10. ระบบจะ Shutdown อัตโนมัติ ให ้ รอประมาณ 10 วินาที ไม่ต ้ องทําอะไรครับ

11. หลังจากรีบูตขึนมาใหม่แล ้ ว จะพบหน ้ าตาแบบนี ถ ้ าไม่ขึนให ้ เช็คดูแผ่น CD ครับ ว่าเอาออกรึยัง.... ?ส่วนหน ้ าจอนีเราไม่ต ้ องกดอะไรเพิมครับ รออย่างเดียว

11/05/55

10

12. ระบบกําลังโหลด config ต่างๆขึนมาตามลําดับครับ

13. หลังจากทีบูตเรียบร ้ อยแล ้ ว จะพบหน ้ าตาแบบด ้ านล่างครับ ในหน ้ าจอจะบอกว่า ขา Green IP อะไร....

0-Shell : คอมมานด ์สําหรับคนทีเก่งๆ linux ก็สบายไปครับ ใครทีไม่เก่งหรือไม่รู ้ ไม่ต ้ องกลัวครับ เดียวเรามีว ิธีเข ้ าแบบง่ายๆในบทต่อไป

1-Restore Factory : เวลาทีเรา config ผิด แล ้ วทําให ้ ไม่สามารถเข ้ า EFW ได ้ เราไม่ต ้ องลงใหม่ทั งหมดนะครับ ให ้ เลือกข ้ อนีระบบจะ Clear ทุกอย่างให ้ เหมือนกับตอนลงเสร็จใหม่ๆเลยครับ

2-Reboot : ใช ้ เวลาที EFW แฮงคห์รือมีปัญหา เราก็เลือกข ้ อนีเพือให ้ ระบบ รีบูตใหม่ได ้ ทันทีครับ

จบขั นตอนการติดตั งครับ....

11/05/55

11

การปร ับแต่งค่าเร ิมต้น

ก่อนอืนเราต ้ องตรวจสอบก่อนว่าเครืองคอมพิวเตอร์ทีติดตั ง EFW สามารถติดต่อกับเครืองอืนๆในเครือข่ายได ้หรือไม่ เนืองจาก LAN Card มี 2 ใบต ้ องทดสอบว่าใบไหนเป็น eth0 โดยต่อสาย LAN เข ้ ากับ LAN Card ใบใดใบหนึงก่อน และใช ้ คําสัง ping จากเครืองคอมพิวเตอร์เครืองอืนๆทีอยู่ในเครือข่ายเดียวกันหาก eth0 ของตั งเป็น 192.168.1.254 ให ้ ใช ้ คําสัง ping 192.168.1.254 (การ ping ให ้ คลิกทีเมนู start > run แล ้ วพิมพ์ ping 192.168.1.254) หากต่อสายถูกจะได ้ ผลลัพธ์ลักษณะเดียวกันกับภาพข ้ างล่าง

หมายเหตุ – อ ้ างอิงจากประสบการณ์ หากใช ้ เครืองคอมพิวเตอร์ทีมี Lan Card แบบ onboard ระบบมักจะมองเห็น Lan Card แบบ onboard เป็น eth1 (Red) และ มองเห็น Lan Card แบบ PCI เป็น eth0 (Green )

1. ให ้ เรากดปุ ่ ม>>> เพือเริมการ config เลยนะครับ

หลังจากทีติดตั ง Endian Firewall และทําการทดสอบ eth0 หรือ Green แล ้ วเราจะเข ้ ามาสู ่การ Config ซึงจะทําผ่านทางหน ้ าเว็บโดยให ้ เราพิมพ์ http:// ตามด ้ วย ip ทีเรากําหนดในขั นตอนที 7 ของการติดตั งและกําหนด IP ของ Green ก็จะได ้ หน ้ าต่างตามรูปข ้ างล่างนี

11/05/55

12

2. กําหนดค่าต ิดตั งภาษาเป็น English(English)และเขตเวลา Asia/Bangkok

3. คลิ กที Accept License เพิมยอมรับในสิทธิของการใช ้ ซอฟท์แวร์

11/05/55

13

4. ในขั นตอนนีจะเป็นการทํา Restore จากไฟล์ Backup ในกรณีทีคุณเคยติ ั ดตั ง Endian Firewall ไว ้ ก่อนแล ้ วสามารถ Restore ตัวระบบให ้ กลับมาทํางานได ้ อีกครังทันที แต่ถ ้ าเป็นการติดตั งใหม่ให ้ เลือก NO และกดทีปุ ่ ม>>>

ในกรณีทีเป็นการ Restore ให ้ เลือกตัวเลือกเป็น Yes และกดปุ ่ ม>>> จากนันระบบจะให ้ Browse เพือใส่ไฟล์ Config ทไีด ้ Backup ไว ้ และเริมต ้ นระบบต่อได ้ ในทันที

5. จากนันให ้ ทําการกําหนดรหัสผ่านเพือใช่ในการเข ้ าเว็บและการ Remote โดยใช ้ SSH เพือการตั งค่าระบบ ทั งนีการตั งค่ารหัสต ้ องมีความยาวไม่น ้ อยกว่า 6 ตัวอักษรนะครับ เมือตั งค่าเสร็จแล ้ วให ้ กดปุ ่ ม>>>

11/05/55

14

6. Step1/7 Choose type of RED interface

เลือก ETHERNET STATIC คลิก >>>

7. Step 2/7: Choose network zones การกําหนดรูปแบบของระบบเครือข่ายว่ามี Network Zone ไหนบ ้ างซึงในขั นตอนนีจะมี Zone ทีเกียวข ้ องระหว่าง Blue กับ Orange ซึงสามารถอธิบายได ้ ดังนี...• Orange Zone ส่วนใหญ่จะใช ้ ในการทํา DMZ เพือใช ้ ในการวาง Server เพือให ้ บริการต่างๆ ด ้ วยการ Map กับ Public IP ที

ได ้ รับจาก ISP• Blue Zone ส่วนใหญ่ใช ้ ในการทํา Wifi Zone เพือให ้ ปลอดภัยกับการใช ้ งาน* ในส่วนนีเราจะข ้ ามเรือง Blue & Orange ออกไปก่อนนะครับ เพราะป้องกันความสับสนของทุกท่านให ้ เลือกเป็น None ไปก่อนแล ้ วกดปุ ่ ม>>>

11/05/55

15

8. Step 3/7: Network preferences ทีหน ้ าจอนีกําหนดเพิมแค่ในส่วนของ Hostname : เป็น endian กับ Domainname : เป็น pkhos อันนีแล ้ วแต่จะตั งเป็นอะไรนะครับ จากนันคลิก >>>

9. Step 4/7: Internet access preferences หน ้ านีเป็นการกําหนด IP address ให ้ Red ซึงเป็น eth1 ซึง IP ต ้ องเป็น Class เดียวกับ Router สมมุต ิ Router ทีใช ้ IP 192.168.1.5 (ค่า Default ทีมากับเครือง ส่วนใหญ่คือ 192.168.1.1) เราจึงกําหนดให ้ Red IP address เป็น 192.168.1.3 และ Default gateway : 192.168.1.5 จากนันคลิก >>>

11/05/55

16

10. Step 5/7: configure DNS resolver ให ้ ระบุ DNS ของ ISP ทีเราใช ้ บริการ ตัวอย่างในภาพเป็นของ TOT

ถ ้ า DNS Server ของรายอืนๆ ก็มีดังนีครับTrueDNS: 203.144.207.29 / 203.144.207.49

TTT ( 3BB )DNS : 202.69.137.137 / 202.69.137.138

HiNet by CAT :DNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134

HiNet by TTTDNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134

11. Step 6/7: Apply configuration

คลิกที OK apply configuration

12. Step 7/7: End เสร็จสินการกําหนดค่าเบืองต ้ นครับ ให ้ ทําการคลิก Logout

11/05/55

17

13. จากนันให ้ เปิด Browser ข ึนมาใหม่แล ้ วให ้ พิมพ์ http://ตามด ้ วย IP Green Zone จะได ้ ตามรูปคลิก Yes

14. ใหใ้ส่รหัส login โดย default ในส่วนของ Webconfig User จะเป็น Admin ส่วน password จะเป็นตามทีเรากําหนดในขั นตอนที 5

15. และเมือรหัสผ่านถูกต ้ องคุณก็จะได ้ พบหน ้ า Dash Board ตามหน ้ าจอข ้ างล่างดังนี

~ ก็จะจบในส่วนของการเร ิมต ้นระบบนะคร ั บ ~

11/05/55

18

การ Config Endian DHCP Server

ไปที Service -> DHCP-SERVER จากนันทําการกําหนดค่าของ DHCP เพือให ้ เครือง Client สามารถ ออนไลน์โดยให ้ ใช ้ IP ทีกําหนดโดย Endian Firewall โดยในช่อง Start Address ให ้ ใส่ IP แรกในช่วงของ DHCP และ End address คือ IP สุดท ้ ายของ IP ตัวอย่างดังภาพข ้ างล่าง

การ Config Endian Firewall เบ ื องต้นแบบหล ั กสูตรเร่งร ั ด

การตั งค่าที Firewall -> Outgoing Traffic เป็นการออกกฎ ในการเชือมต่อออกไปที Internet เพือให ้ ขั นตอน Config น ้ อยทีสุดเท่าทีจะทําได ้ โดยให ้ ไปคลิ ก Disable port 80 และ 443 เพือทําการบล๊อกไม่ให ้ user เล่นเน็ตได ้ ในกรณีทียังไม่ทําการยืนยันตน พร ้ อมทั งป้องกันปัญหาทีว่า user ทําการแก ้ ไข proxy ทีเครืองเพือจะเล่นเน็ตโดยไม่ยืนยันตน

11/05/55

19

การเซ็ต Proxy พืนฐาน

Proxy คือการเก็บข ้ อมูลทีเราได ้ download เปิดดู หรือใดๆก็ตามทีมาจาก internet มาเก็บไว ้ ในเครือง Proxy server ซึงเป็นอีก 1 ความสามารถที Endian ทําได ้ โดยก่อนทีเราจะเริมใช ้ งาน Proxy ระบบจะต ้ องมีความพร ้ อมดังนี• เครือง Client ออนไลน์และสามารถ ping มายัง เครือง Endian ได ้ เรียบร ้ อยแล ้ ว• การกําหนดค่า Proxy ทีเครือง Client ว ิธีการขึนอยู่กับ Browser ทีใช ้ แต่ Concept ทุก Browser เหมือนกันคือ

จะต ้ องรู ้ IP และ Port ของ Proxy-Server

เริมต ้ นการใช ้ ให ้ไปที Proxy แล ้ วทําการ Enable HTTP Proxy เพือให ้ มันทํางาน

เมือระบบ Proxy เริมต ้ นทํางานแล ้ วจะได ้หน ้ าตาดังภาพข ้ างล่าง

11/05/55

20

จากนันเข ้ าสู ่ Proxy Setting

• ในช่อง Port Used by Proxy เป็นการกําหนดค่า Port ของ Proxy server• Error Langauge การแจ ้ งเตือนError ต่างๆว่าเป็นภาษาอะไร• Visible Hostname เป็นการกําหนด ชือเครือง Proxy-server นะครับ• Email Used For notification อันนีเป็นอีเมล์ของผู ้ ดูแลระบบ เอาไว ้ แจ ้ งเวลางานเข ้ า• Minimum download size ขนาดทีเล็กทีสุดทีอนุญาตให ้ download• Maximum upload Size คือขนาดทีใหญ่ทีสุดทอีนุญาตให ้ upload ได ้• Allowed port คือ port ทีอนุญาตใิห ้ เชือมต่อผ่าน proxy รวมถึงในส่วน SSL• Log Settings ให ้ ทําเครืองหมายทังหมด เพราะ log ทีเก็บจะเชือมโยงถึงกัน ซึงในขั นตอนนีจะมีตัวทีทําหน ้ าทีเก็บการใช ้

งานของผู ้ ใช ้ คือ log user agent• By pass transparent proxy เนืองจากในรูปแบบการ config ของเราใช ้ เป็นแบบต ้ อง Authentication เพราะฉะนันใน

ส่วนนีจ ึงไม่ได ้ ใช ้ งานนะครับ• Cache Size on harddisk อันนีเราจะกําหนดขนาดของ proxy ใน harddisk ยิงมากก็เก็บได ้ มากแต่ ด ้ วยความทีข ้ อมูล

มาก การทีจะดึงหน ้ าเว็บใน cache ขึนมาแสดงจึงช ้ าตามไปด ้ วย ขอให ้ ดูความเหมาะสมในเรือง Harddiskทีใช ้ จํานวนuser และลักษณะของ cache ว่าเป็นอะไร

• Cache Size within Memory เป็นขนาด Cache ทีจะเข ้ าไปพักข ้ อมูลอยู่ใน Ram ปกติตรงจุดนีคือครึงหนึงของแรมทังหมดทีมี

• Maximum Object Size ขนาดของไฟล์ทีใหญ่ทีสุดทีจะถูกจัดเก็บใน proxy กําหนดใหญ่มากไป ก็มีผลในการทําให ้ เปิดเว็บได ้ ช ้ าลง เพราะส่วนใหญ่ทีทํา cache เพือให ้ เปิดเว็บได ้ เร็วข ึน คงไม่ได ้ มุ่งเน ้ นให ้ โหลดไฟล์จาก cache ได ้ เร็วข ึน

• Minimum Object size ขนาดของไฟล์ทีเล็กทีสุดทีจะถูกจัดเก็บใน proxy ปกติผมจะเก็บไฟล์เล็กมากกว่าไฟล์ใหญ่ เพราะข ้ อมูลใน internet เน็ตส่วนใหญ่จะเป็นไฟล์ jpg swf html ซึงขนาดก็ไม่น่าจะเกิน 1024Kb. หรือ ประมาณ 1 Mb.

• Clear Cache ในกรณีทีใช ้ ๆไปแล ้ วเปิดเว็บได ้ ช ้ าระบบเริม อืดมากๆ นานๆทีก็ให ้ Clear cache สักครังจะได ้ ล ้ าง index ทําให ้ squid ทํางานได ้ ดีข ึน

• Enable Offline mode ใช ้ ในกรณีทีระบบของ offline ระบบจะส่งข ้ อมูลออกจาก cache ไปอย่างเดียวทําให ้ ผู ้ ใช ้ ไม่ทราบว่าในขณะนัน internet ขาดการเชือมต่ออยู่

• Do not cache this destinations คือ ให ้ เราระบุ url ทีไม่ต ้ องการให ้ ระบบทําการเก็บ cache นะครับ• Upstream Proxy คือการเอา Proxy ของเราไปเกาะกับ proxy ของทีอืนซึงอาจจะมี speed และขนาดของ cache ที

ดีกว่า ใหญ่กว่า และเร็วกว่าโดย วิธีการกําหนดค่า คือใส่ ip:port username password จากนันให ้ Click Saveไปขันตอนถัดไป

ภาพตัวอย่าง

11/05/55

21

จากนันให ้ ไปทีเมนู Antivirus เพือจะกําหนดค่าขนาดของการแสกนเพราะตรงจุดนี ถ ้ าเราตั งค่าตัวเลขมากหมายถึง ขนาดของไฟล์ทีเวลาเราเปิดหน ้ าเว็บแล ้ วมีการโหลดไฟล์นามสกุลใดๆก็ตามจะต ้ องถูกแสกนไวรัสซึงจะทําให ้ ช ้ ามาก ถ ้ าเครืองไม่แรงจริงๆ ตรงนีควรจะกําหนดให ้ น ้ อยเข ้ าไว ้ จะช่วยได ้ มาก

เข ้ าสู ่ขั นตอนการทํา Authentication วิธีการยืนยันตัวตนในระบบทีเราใช ้ กันจะมีกันอยู่หลายวิธี ซึงจะมีแบบ Local ทีใช ้ การกําหนด username password ทีเครือง Endian เลยโดยตรง หรือแบบ Windows Authentication คือการใช ้ Ldap ของ Window Domain ในการตรวจสอบสิทธิของผู ้ ใช ้ หรือแบบ Radius Server ทีจะต ้ องเชือมเครือง Endian ให ้ ว ิงไปถาม Username และ Password จากเครือง Radius Server และทําการยืนยันตัวตน

11/05/55

22

จากในรูปข ้ างตน เป็นวิธีการกําหนด Authentication แบบ Local เพือให ้ ง่าย สะดวกรวดเร็วในการ ข ึนระบบใหม่โดยให ้ ทําตามขั นตอนดังนี

• Authentication Realm ตรงนีคุณอาจจะใช ้ เป็นชือให ้ เข ้ าใจว่า ผู ้ ใช ้ กําลัง login เข ้ ามาในระบบของ proxy เรานะครับ

• Number of Child Authentication children ก็คือจํานวนครั งที login ซําเข ้ ามาได ้ กีหน ้ าจอ• Number of different ips per user ก็คือจํานวนของ IP ทีต่างกัน ของ user คนเดียวกันนีทีใช ้

เชือมต่อเข ้ ามาได ้ มากสุดกี IP เช่น user ไป login ใช ้ comupter ได ้ หลายเครืองพร ้ อมๆ กันทีนีเราต ้ องการจํากัดให ้ user ที login วิงมาจากทีเครืองเดียวก็ให ้ ใส่แค่ 1 ในช่องนี

• Authentication cache TTL คือเวลาหลังจากที user login เข ้ ามาในระบบแล ้ วจะอยู่ได ้ นานแค่ไหน• User/IP Cache TTL คือระยะเวลาที user ใช ้ IP จากทีต่างๆ กันนันนานแค่ไหนซึงปกติก็จะให ้ นาน

เท่ากับ ข ้ อ 4• Min Password Lenght กําหนดความยาวตัวอักษรว่าจะใช ้ กีตัว ขอให ้ ทําจุดนีก่อนเพราะจะได ้ ไม่มี

ปัญหาตอนตั งรหัสผ่านของ user• Manage User คือส่วนทีเข ้ าไปตั งรหัสผ่านให ้ กับ user• Manage Group คือการ จัดกลุ่มโดยการกําหนด User ว่าอยู่ในกลุ่มไหน

หน ้ าต่างขั นตอนการเพิม USER เมือ Click ที Add NCSA user

11/05/55

23

จะได ้ หน ้ าต่างข ้ างล่างนี จากนันก็ใส่ user password จากนันกด create user

จากรูปตัวอย่าง Create User มา 2 คนคือ Admin กับ User

จากนันให ้ กลับมาทีหน ้ า Authentication

11/05/55

24

เมือกลับมาทีหน ้ า authentication ให ้ click ทีปุ ่ ม Manage Group เพือกําหนดกลุ่ม

เมือเข ้ ามาแล ้ วก็จะปรากฏหน ้ าต่างตามรูปข ้ างล่าง

11/05/55

25

หล ั งจากทําการเพิม Group admin และทําการ add user admin เข้าไปใน Group Admin และเมือเสร็จเร ียบร ้อยให ้กด Create Group เมือ add ทุก User และ ทุก Group แล ้วจะได้ด ั งภาพข้างล่าง

add ทุก User และ ทุก Group และจัดการเรือง Group แล ้ วให ้ กด Apply

11/05/55

26

เสร็จสินการกําหนด User และ Group

การกําหนด Group Policy ให้ม ีผลต่อการใช้งาน Internet แบบง่ายๆ

1. ให ้ เข ้ ามาที Proxy -> Access Policy จากนันให ้ ลบ Policy เก่าทิงทั งหมด2. แล ้ วให ้ กดปุ ่ ม Add Access Policy ใหม่จะได ้ เหมือนรูปข ้ างล่าง

11/05/55

27

การกําหนด Policy

ทําการกําหนด Policy โดยไล่ตามช่องไปดังนี1. Source Type เป็นตัวกําหนดจุดเริมต ้ นของ Policy ในตัวอย่าง เลือกเป็น Any เพราะต ้ องการให ้ Authentication

ทุกเครืองทีว ิงออกไป Internet

2. Destination ทีเราต ้ องการให ้ ว ิงออกไปผม เลือก Any เช่นกันเพราะต ้ องการทํา Authenticaiton กับ user ทีว ิง ออก internet

3. Authentication รูปแบบการเชือมต่อนีมีผลยังไง แบบไหน คือเป็นแบบอิงกลุ่ม หรือรายบุคคล ก็ให ้ กําหนดในช่อง Allowed Users

4. Time Restriction ผลของคําสังนีจะทํางานช่วงเวลาใด ให ้ เราเปิดปิดการทํางานเรืองเวลาทีตรงนี

5. Active Days ถ ้ าข ้ อ 4 เปิดใช ้ งาน ก็ให ้ กําหนดในช่อง Active Days ว่าวันไหนบ ้ างให ้ มีผลของ policy

6. Start Hours, Start Minutes, Stop Hours และ Stop Minutes ถ ้ าข ้ อ 4 เปิดใช ้ งาน จะต ้ องกําหนดลงไป ช่วงเวลา ทีมีผลของ policy

7. User Agents ให ้ มีการจํากัดการใช ้ Browser หรือไม่ ถ ้ าเราจะกําหนดให ้ click เลือกว่าใช ้ Browser อะไรได ้ บ ้ าง

8. Access Policy ให ้ เลือกเป็น Allow เพราะเราจะอนุญาตใิหใ้ช ้ เน็ตไดห้ลัง Authentication

9. Filter Profile ในส่วนนีเราอาจจะให ้ Endian ทําการ Filter เฉพาะ Virus อย่างเดียวก็ได ้

10. Position ตรงนีกําหนดลําดับของ Policy

11. Enable Policy Rule คือเปิดใช ้ งาน policy ตัวนีหรือไม่ จากนันกดปุ ่ ม Update Policy จะได ้ ดังรูปถัดไป

11/05/55

28

จากนันให ้ กด Apply เพือยืนยัน Policy ทีเราได ้ กําหนดไว ้ ให ้ ทํางาน เมือกด apply จะได ้ ดังรูปข ้ างล่าง

ถึงจุดนี user ทั งหมดทีเรา Set ไว ้ จะไม่สามารถเล่น internet ได ้ จนกว่าจะ login ที browser ด ้ วยusername และ password ทีเรากําหนดไว ้

ระบบก็จะแสดง Policy แบบสรุปทีเราได ้ กําหนดไป หลังจากนันให ้ ลอง Reboot ระบบอีกสักครังจากนันก็ให ้ ทดลองเปิดเว็บและ login ด ้ วยรหัสและรหัสผ่านทีกําหนดไว ้ ว่าใช ้ งานได ้ ไหม

11/05/55

29

การกําหนด Contentfilter เพือ block เนือหา,เว็บไซต์ต่างๆ

1. สร ้ าง Profile โดยการคลิ กที Create a Profile หรือจะทําการแก ้ ไข Profile เดิมทีมีอยู่ก็ได ้ ( content1 )

1.1 ตั งชือProfile Name : 1.2 Activate antivirus scan * สังเกตนิดนึงนะครับตรง activate antivirus scan หากใช ้ ไปแล ้ วมีปัญหา

ระบบช ้ า ลองติ กตัวนีออกก่อนนะครับ1.3 Platform for Internet Content Selection1.4 Max. score for phrases (50-300)1.5 ในส่วนของการทํางานจะแบ่งออกเป็น 3 ส่วนด ้ วยกัน

- Filters pages containing phrases of the following categories. (Content Filtering)ส่วนนีคือหน ้ ากรองทีมีวลีประเภทดังต่อไปนี (Content Filtering)

- Filter pages known to have content of the following categories. ( URL Blacklist ) ส่วนนีคือหน้า Filter รู ้จ ั กมีเนือหาประเภทด ั งต่อไปนี ( URL Blacklist )

- Custom black- and whitelists ส่วนนีคือ Custom บ ั ญชีขาวและส ี ดํา

หลังจากกําหนดค่าต่างๆ เรียบร ้ อยแล ้ วให ้ ทําการ Create profile หรือ Update profile

11/05/55

30

หลังจากสร ้ าง Contenfilter Profile เสร็จเรียบร ้ อยให ้ ทําการสร ้ าง Prolicy ที Tab Access Policyเพือกําหนดให ้ กลุ่มหรือผู ้ ใช ้ งานต่างๆ เมือต ้ องการให ้ใช ้ เงือนไขตามทีกําหนดไว ้ โดยมีขั นตอนการเพิมAdd access policy ตามทีกล่าวมาก่อนหน ้ านี จะแตกต่างเฉพาะในส่วนของ Filter profileใหเ้ลือกเงือนไข หรือ Profile ทีเราสร ้ างข ึน ดังรูปตัวอย่าง

หมายเหตุ : หลังจากทีมีการสร ้ างหรือกําหนดค่า Policy ใหม่ ต ้ องพิจารณาเรืองลําดับขั นตอนการทํางานให ้ดี เพราะจะมีผลต่อการทํางานได ้ โดยปกติจะตรวจสอบหรือทํางานจากบนลงล่างเมือเข ้ าเงือนไขหรือทํางานแล ้ วจะไม่ทํางานข ้ อถัดไป

การกําหนดใหเก็บ Log ไว 90 วันให ้ ไปทีเมนู Log ด ้ านซ ้ ายเลือก Setting ตรง Log summaries กําหนด Keep summaries for 90 days ครับ แล ้ วคลิกปุ ่ ม Save

11/05/55

31

การดู Log ทําได ้ โดยคลิกทีเมนู Log ด ้ านซ ้ ายเลือก Proxy ที Tab HTTP

หรือจะดูแบบอืนๆก็ลองเลือกดู ส่วนการส่งออกก็ได ้ เหมือนกัน แต่อันนีไม่ทราบรองรับตาม พรบ. หรือเปล่าคงต ้ องไปศึกษากฎหมายและผู ้ เชียวชาญอีกที

สําหรับผู ้ ทีเล่น MSN พอเรากําหนดให ้ เล่น Internet ต ้ องกรอก Username และ Password ก็จะเกิดปัญหา Online ไม่ได ้ ดังนันจึงต ้ องไปกําหนด Username และ Password ให ้ กับ MSN ดังนีครับ ที MSN ไปทีเมนู เครืองมือ >> ตัวเลือก >> การเชือมต่อ >> การตั งค่าขั นสูง

11/05/55

32

ระบุ IP ของ Proxy (192.168.xx.xxx) และ Port 8080 ระบุ Username และ Password ทีได ้ Authenticaiton ไว ้ คล ิกทดสอบ คลิกตกลง แล ้ วก็ตกลง (ดูรูปตัวอย่างข ้ างล่าง)

เสร็จส ินการกําหนดค่าให ้ กับ MSN

1

2ถ ้ าขึนแบบนี ก็ OK ใช ้ ได ้ คลิกตกลง

3