Quick Start Guide Serie S-2

Transcript

QUICK START GUIDE
SERIE S
PARAGRAFO
ARGOMENTO
Rev 1.0
PAGINA
1.1
Connessione dell’apparato
3
1.2
Primo accesso all’apparato
3
1.3
Wizard
4
2
Gestioni credenziali di acceso
6
2.1
Credenziali di accesso area Admin
6
2.2
Credenziali di accesso area Setup
7
3
Easy firewall
7
3.1
Forward
8
3.1.1
Forward esempi pratici
9
3.2
NAT
10
3.2.1
NAT esempi pratici
11
3.3
Servizi
13
3.3.1
Servizi esempi pratici
14
3.4
Admins
14
3.5
Siti diretti
15
3.6
Mail Proxy
15
3.7
SMTP Proxy
15
3.8
No Log
16
3.9
Strumenti Speciali di Easy Firewall
16
3.9.1
Lucchetto
16
3.9.2
Wizard Unlock
17
3.9.3
Restore
17
4
Configurazione Rete
18
4.1
Schede di Rete
18
1
PARAGRAFO
ARGOMENTO
PAGINA
4.1.1
Configurazione LAN (eth0)
19
4.1.2
Configurazione WAN (eth1)
19
4.2
Route & Failover
20
4.2.1
Router
21
4.2.2
Failover
21
4.2.3
Route statiche
22
4.3
Multi ADSL
22
4.3.1
ADSL Routing
23
4.3.1.1
Adsl Routing esempi pratici
24
5
Gestione VPN
25
5.1
VPN GRE
25
5.2
VPN OpenVPN
27
5.2.1
OpenVPN Server per PC
27
5.2.2
OpenVPN LAN to LAN
31
6
WebFilter
34
6.1
Gestione Gruppi di navigazione
34
6.2
Appartenenza ai Gruppi di Navigazione
39
6.2.1
Appartenenza ai Gruppi di Navigazione per indirizzo IP
39
6.2.2
Appartenenza ai Gruppi di Navigazione per Utente
40
6.3
Pagina di blocco
41
7
Server di posta
42
7.1
Gestione Utenti
42
7.2
Polling di posta remota
43
7.3
Posta configurazione
46
7.3.1
Autenticazione Smart Host
46
7.3.2
Domini gestiti localmente
47
7.3.3
Controllo RELAY
48
7.3.4
Domain routing
49
7.3.5
Alias
50
7.3.6
Virtual User
51
8
Guida in Linea (Knowledge Base)
52
2
1.1 Connessione dell’apparato
Per interconnettere l’appliance alla propria LAN seguire i seguenti passaggi:
- Collegare la porta ethernet LAN dell’appliance alla propria rete locale aziendale usando un
cavo UTP Classe 5 o superiore.
- Collegare la porta ethernet WAN dell’appliance al proprio router usando un cavo UTP
Classe 5 o superiore.
- N.B. Le porte ethernet LAN e WAN devono sempre essere collegate a due reti separate.
- Collegare il cavo di alimentazione fornito alla presa elettrica a muro e al dispositivo
nell’apposito connettore.
- Dopo tre minuti c.a l’appliance sarà disponibile in rete.
1.2 Primo accesso all’apparato
S620R
Impostazioni di fabbrica dell’appliance:
- Indirizzo IP LAN: 192.168.4.1
- Indirizzo IP WAN: 10.9.0.1
- Nome Utente:
Admin
- Password:
“riportata sull’etichetta”
- Gateway
10.9.0.2
- DNS1
151.99.125.2
- DNS2
151.99.125.1
- Time Server
time.nist.gov
3
1.3 Wizard
Una volta collegato l’apparato alla propria rete, seguendo i passi al punto 1.1, impostare
sul proprio PC un indirizzo IP statico della rete 192.168.4.x (es. 192.168.4.5) in modo da
poter raggiungere l’appliance via WEB.
Lanciare il proprio browser, inserire nella barra degli indirizzi l’IP dell’appliance 192.168.4.1
Inseriamo nome utente e password (rispettivamente “Admin” e la password riportata
sull’etichetta) negli appositi campi e selezioniamo “Login”.
Al primo accesso viene visualizzato il Wizard che permette di configurare le impostazioni
base dell’apparato in modo rapido.
Nome macchina: Inserire il nome host che vogliamo assegnare all’apparato.
Email amministratore: inserire l’indirizzo mail dell’amministratore di rete che riceverà
giornalmente i log dell’apparato. Per modifiche successive riconfigurare l’alias “postmaster”.
Email assistenza: inserire l’indirizzo mail del rivenditore del dispositivo che riceverà
mensilmente la configurazione dell’apparato ed eventuali warning legati a problematiche
hardware. Per modifiche successive riconfigurare l’alias “assistenza” (Paragrafo 7.3.5).
Indirizzo IP LAN (eth0): Inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet
LAN che sarà utilizzato come gateway dalla rete locale aziendale.
Netmask: Inserire la Subnet Mask relativa all’IP assegnato alla porta LAN.
DNS1, DNS2: Inserire due indirizzi IP che l’apparato utilizzerà per la risoluzione DNS,
tipicamente vengono forniti direttamente dal provider.
Interfaccia WAN (eth1):
Protocollo Statico: Con il protocollo impostato su statico la porta ethernet WAN verrà
configurata con IP statico in base alle impostazioni inserite nei campi seguenti.
Protocollo DHCP: Con il protocollo impostato su DHCP la porta ethernet WAN otterrà la
configurazione dell’IP, del gateway e dei DNS dal router.
N.B. per poter utilizzare questa funzione sul router deve essere attivo il server DHCP e la
WAN dell’appliance deve essere collegata all’avvio dell’apparato.
Indirizzo IP WAN: Inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet WAN;
tale indirizzo deve essere della stessa classe dell’IP presente sul router in modo che possa
interfacciarsi con quest’ultimo,
ad esempio: IP router 192.168.1.1, IP lato WAN 192.168.1.1
Netmask: Inserire la Subnet Mask relativa all’IP assegnato alla porta WAN.
Gateway (Router): Indirizzo ip del Ruoter che l’appliance utilizzerà come gateway.
N.B. la classe di indirizzamento IP per le porte LAN e WAN deve sempre essere diversa.
4
Una volta compilati tutti i campi selezionare “salva” per applicare la configurazione.
ATTENZIONE: non disconnettere l’apparato dalla rete elettrica fino a che non sarà
disponibile in rete al nuovo indirizzo ip assegnato.
Il wizard è richiamabile in qualsiasi momento inserendo nella barra degli indirizzi del
proprio browser http://ipdilanappliance/wizard.
5
2 Gestioni credenziali di acceso
E’ consigliato modificare le credenziali di accesso all’apparato.
2.1 Credenziali di accesso area Admin
Dall’home page dell’apparato selezioniamo “Setup” nel menù a sinistra.
Una volta eseguito il log in selezioniamo “Altro” e “Credenziali accesso area Admin”, dalla
lista utenti selezioniamo “Utente Admin”.
Nella schermata successiva selezionare la spunta in corrispondenza del campo
“Password” “Imposta a” e inserire nella casella di testo a fianco la nuova password.
Per applicare le modifiche selezionare “Salva”.
Tramite gli utenti presenti in questa lista è possibile accedere all’area di Admin, aprire il
lucchetto (Paragrafo 3.9.1) direttamente da Homepage e disabilitare temporaneamente la
pagina di blocco (Paragrafo 6.3) durante la navigazione web.
6
2.1 Credenziali di accesso area Setup
Dall’home page dell’apparato selezioniamo “Setup” nel menù a sinistra.
Una volta eseguito il log in selezioniamo “Altro” e “Modifica password”,
dalla lista utenti selezioniamo “Admin”.
Inseriamo nel campo “Nuova password”, e nel campo di conferma,
la password per l’accesso all’area di setup.
Tramite queste credenziali è possibile avere accesso completo all’area di setup e
direttamente in console tramite ssh.
3 Easy firewall
Di default l’appliance consente connessioni solo sulle porte TCP dalla 7 alla 134 e alle porte
443, 1723, 3389. Alcune delle porte aperte sono filtrate come la 80 TCP, filtro web sui
contenuti, 25 e 110, filtro antispam e antivirus, e 21, filtro antivirus. Dall’esterno di default
l’appliance non accetta connessioni su nessuna porta e non risponde al ping.
E’ possibile personalizzare le regole di firewalling tramite l’apposita interfaccia Easy Firewall
raggiungibile selezionando “Admin” nel menù a sinistra dalla Home page.
Una volta eseguito il log in selezioniamo “Rete” e “Easy Firewall”
7
3.1 Forward
Tramite la tabella “Forward” è possibile definire porte accessibili dalla LAN verso Internet.
Selezionando “Nuova regola” è possibile accedere al menu di configurazione per le regole
di Forward:
IP di lan (opzionale): compilare questo campo solo se si vuole limitare la regola ad un
determinato IP sorgente della nostra LAN.
Se omesso la regola è valida per tutta la LAN.
IP di destinazione (opz.): compilare questo campo solo se si vuole limitare la regola ad un
determinato IP di destinazione.
Se omesso la regola è valida verso qualsiasi destinazione.
Porta di destinazione: permette di scegliere la porta da un elenco di servizi noti.
Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP. Per gestire entrambi
i protocolli vanno create due regole.
Dalla porta: inserire il numero della porta da gestire.
Alla porta (opzionale): compilando questo campo viene gestito il range di porte compreso
fra il valore inserito in “Dalla porta” e “Alla porta”.
Se omesso verrà gestita solo la porta contenuta nel campo “Dalla porta”.
Orario di validità: Definisce l’orario in cui la regola è attiva.
Se omesso la regola è sempre attiva.
Azione:
Selezionando “Permetti” il range o la porta specificati saranno disponibili dalla LAN verso
Internet.
Selezionando “Scarta” il range o la porta specificati non verranno concessi dalla LAN verso
Internet.
Selezionando “Scarta e Logga” il range o la porta specificati non verranno concessi dalla
LAN verso Internet e verrà generato un log ad ogni richiesta scartata.
Selezionare “Crea” per aggiungere la regola.
Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest’ultima viene
verificata e se corretta applicata.
E’possibile tramite il tasto “Applica” ricaricare completamente le regole di firewalling.
8
3.1.1 Forward esempi pratici
Come concedere la porta 993 TCP per tutta la LAN verso qualsiasi destinazione:
Una volta creata la regola appare nella tabella Forward come di seguito:
9
Come impedire all’ip 192.168.4.50 di connettersi alla porta 3389 TCP verso Internet:
Una volta creata la regola appare nella tabella Forward come di seguito:
3.2 NAT
Tramite la tabella “NAT” è possibile rendere disponibili verso Internet dei servizi presenti
all’interno della LAN, ad esempio Web Server, Desktop Remoto, eccetera.
N.B. assicurarsi sempre che i servizi pubblicati su Internet siano servizi sicuri.
Selezionando “Nuova regola” è possibile acceder al menu di configurazione per le regole di
NAT.
Indirizzo IP wan (opzionale): Selezionare l’ip di WAN del firewall sul quale abilitare la NAT.
Utilizzabile solo nel caso di WAN virtuali o multiple. Se non specificato la NAT viene
abilitata sull’interfaccia eth1.
10
Indirizzo IP interno: inserire l’indirizzo IP di LAN sul quale reindirizzare la connessione da
Internet.
Indirizzo IP chiamante Internet: Permette di abilitare la NAT per un solo IP pubblico
sorgente. Se omesso la NAT sarà valida per qualsiasi IP pubblico sorgente.
Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP.
Porte note: permette di scegliere la porta da un elenco di servizi noti.
Dalla porta: inserire il numero della porta da inoltrare verso l’IP di LAN specificato.
Alla porta (opzionale): compilando questo campo viene inoltrato sull’IP interno specificato il
range di porte compreso fra il valore inserito in “Dalla porta” e “Alla porta”.
Se si definisce un range di porte lo stesso range va riportato anche nei campi relativi a
“Porta Interna LAN (opzionale)”.
Porta Interna LAN (opzionale): Nel caso la NAT sia di una singola porta è possibile
ridirigere una chiamata esterna su una porta interna differente specificando tale porta nel
campo “Dalla porta (opzionale)”.
Selezionare “Aggiungi” per aggiungere la regola.
N.B. Per poter usufruire della funzionalità di NAT è necessario che l’appliance sia
raggiungibile da internet o con IP pubblico statico direttamente sull’interfaccia eth1 o
nattando dal router tutte le porte sull’ip privato di eth1.
3.2.1 NAT esempi pratici
Come Inoltrare la porta 80 TCP da internet verso la porta 80 TCP dell’ip 192.168.4.50
11
Una volta creata la regola appare nella tabella NAT come di seguito:
Come inoltrare la porta 81 TCP da Internet verso la porta 80 TCP dell’IP 192.168.4.51
Una volta creata la regola appare nella tabella NAT come di seguito:
12
3.3 Servizi
Tramite la tabella “Servizi” è possibile rendere disponibili verso Internet dei servizi presenti
direttamente sull’appliance. Ad esempio aprendo la porta 22 TCP sarebbe possibile
connettersi in console tramite SSH dall’esterno.
Selezionando “Nuova regola” è possibile acceder al menu di configurazione per i Servizi:
Indirizzo IP chiamante (opzionale): compilare questo campo solo se si vuole limitare la
regola ad un determinato IP pubblico sorgente.
Se omesso la regola è valida qualsiasi IP sorgente.
IP Destinazione (opz.): permette di definire su quale IP WAN deve essere in ascolto la
porta specificata. Se omesso la regola sarà effettiva su tutte le WAN virtuali o fisiche.
Se omesso verrà gestita solo la porta contenuta nel campo ”Dalla porta”.
Azione:
Selezionando “Permetti” il range o la porta specificati saranno disponibili da Internet.
Selezionando “Scarta” il range o la porta specificati non saranno disponibili Internet.
Selezionando “Scarta e Logga” il range o la porta specificati non saranno disponibili da
Internet e verrà generato un log ad ogni richiesta scartata.
13
3.3.1 Servizi esempi pratici
Come rendere disponibile la console SSH a qualsiasi IP pubblico sorgente:
N.B. per potersi collegare in ssh bisogna conoscere nome utente e password di Setup
(Paragrafo 2.2).
Una volta creata la regola appare nella tabella Servizi come di seguito:
3.4 Admis
Tramite la tabella Adminis è possibile definire IP della LAN che avranno tutte le porte
aperte in uscita. Tali client pur avendo tutte le porte aperte verso l’esterno passano
comunque attraverso i filtri dell’appliance come ad esempio il WebFilter.
Indirizzo IP del PC di lan Trusted: permette di definire l’ip di LAN sul quale deve agire la
regola.
Azione:
Selezionando “Permetti” l’IP specificato avrà tutte le porte aperte dalla LAN verso Internet.
Selezionando “NEGA” l’IP specificato non potrà effettuare alcuna connessione verso Intenet
Selezionando “NEGA e Logga” l’IP specificato non potrà effettuare alcuna connessione
verso Intenet e verrà generato un log ad ogni richiesta scartata.
14
3.5 Siti diretti
Tramite la tabella Siti diretti è possibile definire siti web attendibili sui quali l’appliance non
applica alcun tipo di filtro e non fa nemmeno caching.
Sito Web Remoto (ip o nome): permette di definire il sito per il quale avrà effetto la regola.
Inserire il nome completo del sito, comprensivo di www, o l’IP pubblico corrispondente.
Azione:
Selezionando “Permetti” Il sito web specificato sarà raggiungibile da tutti i client della LAN
senza alcun filtro da parte dell’apliance.
Selezionando “NEGA” blocca la connessione al sito specificato per tutti i client della LAN.
Selezionando “NEGA e Logga” blocca la connessione al sito specificato per tutti i client
della LAN e verrà generato un log ad ogni richiesta scartata.
3.6 Mail Proxy
Tramite la tabella Mail Proxy è possibile definire IP della LAN che non avranno alcun filtro
sulle connessioni POP3.
Client LAN (ip o nome): permette di definire l’IP di LAN per il quale avrà effetto la regola.
Azione:
Selezionando “Permetti” l’ip specificato non avrà nessun filtro sulle connessioni POP3.
Selezionando “NEGA” l’IP specificato non potrà effettuare connessioni in POP3.
Selezionando “NEGA e Logga” l’IP specificato non potrà effettuare connessioni in POP3 e
verrà generato un log ad ogni richiesta scartata.
3.7 SMTP Proxy
Tramite la tabella SMTP Proxy è possibile definire server SMTP esterni ritenuti attendibili.
Sulle connessioni verso questi SMTP non verrà effettuato alcun filtraggio antivirus e
antispam.
Server SMTP remoto: permette di definire l’IP o il nome del server SMTP per il quale avrà
effetto la regola.
15
Azione:
Selezionando “Permetti” sulle connessioni verso l’SMTP specificato non verranno applicati
filtri antispam e antivirus.
Selezionando “NEGA” non sarà possibile connettersi al server SMTP specificato.
Selezionando “NEGA e Logga” non sarà possibile connettersi al server SMTP specificato e
3.8 No Log
Tramite la tabella No Log è possibile definire IP della LAN sui quali non verranno applicati il
filtro antivirus e il filtro sui contenuti in navigazione, per tali client non vengono registrati
nemmeno i log di navigazione.
Indirizzo di LAN del PC da NON filtrare in Navigazione: permette di definire l’IP di LAN per
il quale avrà effetto la regola.
Azione:
Selezionando “Permetti” per l’IP di LAN specificato non verrà applicato nessun filtro in
navigazione http.
Selezionando “NEGA” non sarà possibile per l’ip specificato navigare in HTTP.
Selezionando “NEGA e Logga” non sarà possibile per l’ip specificato navigare in HTTP e
3.9 Strumenti Speciali di Easy Firewall
3.9.1 Lucchetto
Il lucchetto, presente anche nell’home page del firewall, permette tramite un semplice click
di aprire tutte le porte dalla LAN verso Internet e disabilitare tutti i filtri effettuati
dall’appliance. Questa caratteristica può essere utile in caso di malfunzionamenti da parte
di qualche applicazione o sito web, se una volta disarmato il firewall il problema persiste
allora la problematica non è riconducibile all’appliance. Diversamente se il problema viene
risolto si ha la certezza che l’applicativo utilizzato tenta di connettersi a una porta o a un
sito bloccati.
16
Quando il firewall è disarmato appare il seguente messaggio.
Per chiudere il lucchetto, e quindi riarmare il firewall, è sufficiente selezionare l’icona del
lucchetto aperto oppure riavviare l’appliance.
N.B. Disarmando il firewall tutte le NAT e i servizi erogati verso internet dall’appliance
vengono temporaneamente disabilitati, sarà raggiungibile dall’esterno sono sulla porta 22
TCP per agevolare un’eventuale assistenza remota.
3.9.2 Wizard Unlock
Wizard Unlock ci permette di visualizzare gli ultimi pacchetti scartati dall’appliance dalla
LAN verso Internet e viceversa con la possibilità, selezionando direttamente la porta
interessata, di creare una regola di sblocco per tutta la LAN o solo per l’IP che ha
effettuato la richiesta.
3.9.3 Restore
Ogni giorno, non appena viene eseguito l’accesso all’interfaccia di Easy Firewall, viene
creato un backup delle regole allo stato attuale in modo da poterle facilmente ripristinare
in seguito a modifiche accidentali. La lista delle configurazioni precedenti è accessibile
selezionando il tasto Restore.
17
4 Configurazione Rete
Dal menù “Configurazione Rete”, accessibile sotto “Setup” “Rete”, è possibile configurare
gli indirizzi IP da assegnare alle porte ethernet dell’appliance, eventuali route statiche, il
nome Host del dispositivo, in caso si più connettività ADSl il failover e su alcuni apparati il
bilanciamento MULTI Adsl.
4.1 Schede di Rete
Tramite questo menù è possibile modificare gli indirizzi IP delle singole schede di rete
presenti sull’apparato ma anche creare interfacce virtuali. Per configurare una porta
ethernet selezionarla dalla lista.
18
4.1.1 Configurazione LAN (eth0)
Indirizzo IP: Inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet LAN che sarà
utilizzato come gateway dalla rete locale aziendale.
Netmask: Inserire la Subnet Mask relativa all’IP assegnato.
Time server: Inserire l’ip di un Time Server dal quale il firewall può ricavare la data e l’ora
corrette, ad esempio time.nist.gov.
IP Aggiuntivo: Permette di aggiungere IP di LAN virtuale per essere usato, ad esempio,
come gateway da host con classi differenti dal LAN principale.
Una volta compilati tutti i campi selezionare “Salva” e riavviare l’appliance per applicare la
configurazione.
ATTENZIONE: non disconnettere l’apparato dalla rete elettrica durante il riavvio fino a che
non sarà disponibile in rete al nuovo indirizzo ip assegnato.
4.1.2 Configurazione WAN (eth1)
Interfaccia: Permette di impostare un nome identificativo all’interfaccia ethernet ad
esempio WAN.
DHCP:
Si: Con il protocollo impostato su DHCP la porta ethernet WAN otterrà la configurazione
dell’IP, del gateway e dei DNS dal router.
N.B. per poter utilizzare questa funzione sul router deve essere attivo il server DHCP e la
WAN dell’appliance deve essere collegata all’avvio dell’apparato.
No: Con il protocollo impostato su statico la porta ethernet WAN verrà configurata con IP
statico in base alle impostazioni inserite nei campi seguenti.
19
Indirizzo IP: Inserire l’indirizzo IP che vogliamo assegnare alla porta ethernet WAN,
tale indirizzo deve essere della stessa classe dell’IP presente sul router in modo che possa
interfacciarsi con quest’ultimo,
ad esempio: IP router 192.168.1.1, IP lato WAN 192.168.1.2
Netmask: Inserire la Subnet Mask relativa all’IP assegnato.
Gateway (Router): Indirizzo ip del Ruoter che l’appliance utilizzerà come gateway.
configurazione.
ATTENZIONE: non disconnettere l’apparato dalla rete elettrica fino a che non sarà
disponibile in rete al nuovo indirizzo ip assegnato o alla porta LAN.
IP Aggiuntivo: Permette di aggiungere IP di WAN virtuale per sfruttare ad esempio più IP
pubblici forniti dal provider.
configurazione.
non sarà disponibile in rete.
4.2 Route & Failover
Tramite questo menù è possibile configurare il default gateway dell’appliance, un eventuale
ADSL di backup (failover) e delle route statiche.
20
4.2.1 Router
Indirizzo Router: Indirizzo ip del Ruoter che l’appliance utilizzerà come gateway.
N.B. Il default gateway deve essere sempre raggiungibile tramite l’interfaccia di rete eth1.
configurazione.
non sarà disponibile in rete.
4.2.2 Failover
Abilitando la funzione Failover verifica costantemente lo stato dell’ADSL principale, se
dovesse cadere ridirigere in automatico tutto il traffico sull’ADSL di backup.
Il router di backup può essere raggiunto sia tramite eth1, utilizzando un’interfaccia virtuale
o direttamente con l’ip principale se il router appartiene alla stessa classe, o tramite
interfacce di rete aggiuntive, se l’apparato ne è provvisto, appositamente configurate.
Abilita:
Si: Funzionalità Failover abilitata.
No: Funzionalità Failover disabilitata.
Router di backup: Inserire l’indirizzo IP del gateway che fornisce la connettività verso
l’ADSL di backup.
Indirizzo IP da pingare per il controllo del gateway di default: Inserire un IP pubblico che
sarà utilizzato per testare il funzionamento dell’ADSL principale.
N.B. l’IP in questione deve rispondere al ping.
Notifica il seguente indirizzo email: Inserire un indirizzo mail che riceverà una notifica non
appena entra in funzione il Failover.
Selezionare “Salva” per applicare la configurazione.
21
4.2.3 Route Statiche
Tramite questa interfaccia è possibile creare delle route statiche utili se si ha la necessità di
utilizzare gateway differenti da quello di default per alcune destinazioni.
Destinazione/maschera di rete: Inserire l’ip e la relativa subnetmask per il quale si intende
utilizzare un gateway differente da quello di default.
Gateway da utilizzare: Inserire l’ip del gateway da utilizzare per la destinazione specificata.
Tale indirizzo deve essere raggiungibile dal firewall.
4.3 Multi ADSL
La funzionalità Multi ADSL è disponibile solo su alcuni modelli della Serie S.
Permette di utilizzare 2 o più ADSL in bilanciamento di carico, ovvero il traffico in uscita
verrà smistato sulle ADSL disponibili in base alle impostazioni definite dall'amministratore.
22
Abilitato:
Si: Funzionalità Multi ADSL attiva.
No: Funzionalità Multi ADSL disattiva.
ADSL Numero 1 connessa alla ethernet eth1: L’ADSL primaria è quella collegata all’eth1
(come configurare l’interfaccia eth1 al punto 4.1.2). Impostare la velocità della linea ADSL.
ADSL Numero 2 connessa alla ethernet: Selezionare dal menù l’interfaccia al quale è
collegato il router che fornisce la connettività all’ADSL2 ed inserire l’IP del router stesso.
Impostare la velocità della linea ADSL.
N.B. l’interfaccia dovrà avere un indirizzo IP della stessa classe del router.
Non è possibile usare interfacce virtuali per questo tipo di configurazione.
Procedere in questo modo per tutte le ADSL che si intendono configurare.
Selezionare “Salva e applica” per attivare il bilanciamento.
4.3.1 Adsl Routing
Tramite la tabella “Adsl Routing” presente in Easy Firewall (paragrafo 3) è possibile
instradare connessioni in base alla porta di destinazione su una determinata ADSL.
Selezionando “Nuova regola” è possibile accedere al menu di configurazione per le regole
di Adsl Routing:
IP di lan (opzionale): compilare questo campo solo se si vuole limitare la regola ad un
determinato IP sorgente della nostra LAN.
Se omesso la regola è valida per tutta la LAN.
IP di destinazione (opz.): compilare questo campo solo se si vuole limitare la regola ad un
determinato IP di destinazione.
Se omesso la regola è valida verso qualsiasi destinazione.
23
Usa ADSL numero: Selezionare dal menù l’ADSL sulla quale vogliamo instradare le
connessioni verso le porte specificate.
Una volta creata la regola appare nella tabella Adsl Routing come di seguito:
4.3.1.1 Adsl Routing esempi pratici
Come instradare le connessioni SMTP sull’ADSL numero 1
24
Una volta creata la regola appare nella tabella Adsl Routing come di seguito:
5 Gestione VPN
L’appliance supporta diversi tipi di VPN che possono essere usati contemporaneamente.
N.B. Per poter utilizzare qualsiasi VPN in modalità server l’appliance deve essere
raggiungibile da internet o configurando opportunamente il router o con IP pubblico
direttamente sull’appliance stessa.
5.1 VPN GRE
La VPN GRE, o pptp, è di rapida configurazione e nativamente compatibile con la grande
maggioranza dei sistemi operativi. Tuttavia ha alcuni limiti come ad esempio l'impossibilità
di accettare più di una connessione da un IP pubblico remoto e il suo protocollo non è
supportato in modalità passante da alcuni router.
Dal menù “VPN Server GRE / L2TP”, accessibile sotto “Setup” “Rete”, è possibile gestire le
impostazioni per tale tipologia di VPN.
Dal pannello di gestione selezionare “Opzioni VPN GRE” per gestire le configurazioni
generali.
25
Nel pannello Opzioni VPN GRE verificare che il range di indirizzi “Indirzzi IP lato server” ed
“Indirizzi IP lato client” siano della stessa classe della rete LAN ed eventualmente
modificarli in base alle proprie esigenze.
Una volta ultimate le modifiche selezionare “Salva”.
Dal pannello di gestione selezioniamo “Utenti VPN” per gestire le credenziali di accesso.
Selezionare l’icona
per creare un nuovo utente.
Nome Utente: Spuntare a fianco la casella di testo e inserire il nome utente che si intende
utilizzare per la connessione remota.
Password: Spuntare “Imposta a” e inserire nella casella a fianco la password relativa
all’utente che si sta creando.
Indirizzo Assegnato:
Permetti Qualunque: Una volta eseguita l’autenticazione assegna un IP del range
specificato in “Opzioni VPN GRE” in modo casuale.
Nega: Non sarà possibile effettuare l’accesso con queste credenziali.
Assegna il seguente indirizzo IP: Inserire l’indirizzo IP che si intende assegnare a questo
utente ad ogni accesso.
Una volta ultimata la configurazione selezionare “Salva”.
26
N.B. Per rendere utilizzabile la VPN GRE devono essere concesse le connessioni da internet
sulla porta 1723 TCP del firewall (paragrafo 3.3).
5.2 VPN OpenVPN
Tramite OpenVPN è possibile creare connessioni per singoli client remoti e gestire VPN LAN
to LAN tramite apparati Gigasys.
Dal menù “VPN Openvpn”, accessibile sotto “Setup” “Rete”, è possibile gestire le
impostazioni per tale tipologia di VPN.
Dal pannello “Configurazioni attive” è possibile gestire tutte le OpenVPN presenti sul
sistema.
5.2.1 OpenVPN Server per PC
Di default su tutti gli apparati è presente la OpenVPN chiamata “server”, con certificato
digitale volutamente scaduto. Tale configurazione va utilizzata per la gestione di
connessioni OpenVPN da parte di singoli host remoti che abbiano la necessità di collegarsi
alla LAN aziendale.
27
Per utilizzare la configurazione “Server per PC” è necessario innanzitutto rigenerare il
certificato digitale in modo che risulti valido al momento della connessione.
Per rigenerare il certificato cliccare sulla data di scadenza.
Nella schermata successiva è possibile compilare i campi per la creazione del certificato con
i propri dati oppure mantenere i valori randomici inseriti automaticamente dal sistema.
Di default la validità del certificato sarà di 365 giorni dal momento della creazione,
variando il valore del campo “Valido per (Giorni)” è possibile aumentarne o diminuirne la
validità. Una volta scaduto il certificato non sarà possibile effettuare la connessione.
Una volta compilati tutti i campi cliccare su rigenera per creare il nuovo certificato.
Il sistema mostrerà automaticamente la sezione di “Certification Authority” con la lista dei
certificati attivi, compreso quello appena creato.
Selezionare “Torna alla configurazione OpenVPN” tramite il link presente nel suggerimento.
Dalla lista delle configurazione OpenVPN attive selezioniamo il tasto modifica
accedere al pannello di configurazione.
per
28
Nome: Lasciare invariato il campo nome nella modalità Server per PC.
Protocollo: scegliere fra TCP e UDP, il protocollo UDP assicura una maggior velocità di
connessione.
Porta: inserire la porta sul quale deve funzionare questa connessione VPN, la porta
ufficialmente assegnata a OpenVPN è la 1194 tuttavia può funzionare su qualsiasi porta.
N.B. Non possono essere presenti più configurazioni OpenVPN sulla stessa porta.
Compressione:
SI: utilizza compressione per una velocità maggiore.
NO: non utilizza compressione.
Utilizza Utente e Password:
SI: Oltre al certificato, per la connessione, vengono richiesti anche nome utente e
password. Questa funzione può essere utile nel caso più utenti utilizzino la stessa
connessione. Se si dovesse inibire l’accesso a uno di questi basterà rimuovere le sue
credenziali senza dover rigenerare il certificato e distribuirlo a tutti gli utenti.
NO: Per collegarsi basterà possedere i certificati.
Interfaccia: Definisce su quale interfaccia deve essere in ascolto questa VPN. Utile
soprattutto in caso di Multi ADSL.
DNS: Se si vuole che il client remoto possa risolvere nomi sulla LAN inserire l’IP del server
DNS locale.
WINS: Se si vuole che il client remoto utilizzi il WINS della LAN inserirne l’IP in questo
campo.
Max Clients: Numero massimo di client contemporanei che possono connettersi a questa
VPN.
Una volta ultimata la configurazione cliccare su salva.
29
N.B. Di default il servizio OpenVPN è disattivo. Per arrivarlo, dal pannello principale,
spuntare “Si” e premere il tasto “Avvia con il sistema”. Ciò attiverà il servizio in avvio con
l’apparato.
Ad ogni modifica successiva cliccare su “Riavvia OpenVPN” per applicare.
Se la gestione utenti è attivata all’interno della configurazione è necessario creare le
credenziali per l’accesso. Per accedere all’interfaccia di gestione utenti basta selezionare
“SI” sotto la relativa colonna “UTENTI”.
Dall’interfaccia di gestione utenti è possibile creare nuovi utenti validi tramite il tasto
“Aggiungi Utente” e cancellare quelli già esistenti selezionandoli e cliccando su elimina.
Una volta ultimata la configurazione ricordarsi di applicare tramite l’apposito tasto Riavvia
OpenVPN.
N.B. Per rendere utilizzabile la OpenVPN devono essere concesse le connessioni da internet
sulla porta utilizzata del firewall (paragrafo 3.3).
30
Per scaricare il certificato da utilizzare sui client che si devono connettere selezionare il
tasto
relativo alla configurazione “Server per PC”.
Nel menù successivo selezionare “DOWNLOAD CLIENT”.
Cliccare poi sul link “Scaricare la Configurazione (Client-Ovpn-server.zip)”.
Verra scaricato un file .zip contenente i certificati e il file di configurazione.
Seguire questa guida per la configurazione del proprio PC .
5.2.2 OpenVPN LAN to LAN
La VPN LAN to LAN permette di unire due LAN remote, tutti gli apparati che avranno come
gateway l’appliance saranno in grado di usufruire della VPN.
N.B. Requisito fondamentale è che le tutte le reti connesse in VPN abbiano classe
differente.
Per creare una nuova VPN LAN to LAN selezionare “Nuova VPN” dal sistema che dovrà
funzionare come Server. Questo sistema dovrà avere un IP pubblico statico in modo da
poter essere raggiunto dal sistema Client.
Nel pannello successivo compilare tutti i campi per creare una VPN LAN to LAN.
Nome: Inserire un nome identificativo per la configurazione VPN (es. MilanoRoma).
connessione.
Porta: inserire la porta sulla quale deve funzionare questa connessione VPN, la porta
LAN remota: inserire la classe della rete LAN remota che deve essere per forza differente
da quella locale.
Selezionare “Salva” per creare la nuova configurazione VPN.
31
Nella lista delle configurazioni attive sarà visibile anche la VPN appena creata.
Per modificare la configurazione della VPN e scaricare il file contenente la chiave privata da
caricare sul sistema remoto selezionare
Nome: Nome identificativo della VPN LAN to LAN.
connessione.
Porta: inserire la porta sulla quale deve funzionare questa connessione VPN, la porta
Compressione:
SI: utilizza compressione per una velocità maggiore.
NO: non utilizza compressione.
Interfaccia: Definisce su quale interfaccia deve essere in ascolto questa VPN. Utile
soprattutto in caso di Multi ADSL.
LAN remota: inserire la classe della rete LAN remota che deve essere per forza differente
da quella locale.
Una volta ultimata la configurazione cliccare su “salva”.
32
Per scaricare la configurazione, dal menù precedente, selezionare “DOWNLOAD CLIENT” e
nella schermata successiva “Scarica la configurazione”.
Il file .zip scaricato va caricato, così com’è, sull’apparato Gigasys remoto tramite l’apposito
tasto “Importa configurazione”.
Nella lista delle configurazioni attive sarà visibile anche la VPN appena importata.
Per eliminare una VPN LAN to LAN cliccare il tasto relativo
e confermare.
N.B. Di default il servizio OpenVPN è disattivo. Per attivarlo, dal pannello principale,
spuntare “Si” e premere il tasto “Avvia con il sistema”. Ciò attiverà il servizio in avvio con
l’apparato.
Ad ogni modifica successiva cliccare su “Riavvia OpenVPN” per applicare.
33
6 WebFilter
Di default l’appliance per la sicurezza di rete applica sulle connessioni http, per i client che
la usano come gateway, il filtro web trasparente sui contenuti e tiene traccia dei log di
navigazione.
Dal menù “WebFilter”, accessibile sotto “Setup” “Navigazione”, è possibile definire le regole
di filtraggio applicate durante la navigazione in internet.
6.1 Gestione gruppi di navigazione
Dal menù principale “WebFilter” selezioniamo “Gruppi di navigazione” per accedere al
menù di gestione dei gruppi.
E’ possibile creare fino a nove gruppi di navigazione totalmente personalizzabili. Esistono
anche due gruppi di default non gestibili dall’amministratore:
Gruppo Admin: Agli utenti o agli indirizzi IP appartenenti a questo gruppo non verrà
applicato alcun filtro sui contenuti in navigazione, verrà tuttavia applicato il filtro antivirus e
verrano registrati i log di navigazione. Se si intende escludere tutti i filtri fare riferimento al
paragrafo 3.8.
34
Gruppo No Web: Agli utenti o agli indirizzi IP appartenenti a questo gruppo non sarà
concessa la navigazione su nessun sito e verranno registrati tutti i tentativi di navigazione.
Di default è presente un solo gruppo di navigazione. Per aggiungere nuovi gruppi
selezionare dal menù dedicato il numero totale di gruppi che si intende utilizzare e cliccare
sull’apposito tasto “Gruppi” per applicare.
Per eliminare dei gruppi di navigazione abbassare il numero di gruppi dallo stesso menù e
cliccare sull’apposito tasto “Gruppi” per applicare, verranno conservati il numero di gruppi
specificato con numero di gruppo più basso.
Ad esempio se sono presenti gruppi dall’uno al cinque e viene impostato tre come numero
di gruppi, saranno eliminati i gruppi quattro e cinque mantenendo i gruppi uno due e tre.
Selezionando un gruppo dalla lista è possibile accedere alle impostazioni di filtraggio che
verranno applicate a tutti gli utenti appartenenti a questo gruppo.
Nel Menù successivo selezionare il Tab “Gruppo” per accedere alle impostazioni generali del
gruppo.
Nome per il gruppo x: Inserire un nome identificato per il gruppo in oggetto. Ad esempio
se il gruppo identifica un reparto inserire Magazzino piuttosto che Amministrazione. Se
invece identifica una policy inserire ad esempio Restrittivo piuttosto che Permissivo.
Punteggio massimo dei vocaboli consentiti: Il filtraggio web, basandosi su dei vocabolari
contenuti all’interno dell’apparato, applica un punteggio totale ad ogni singola pagina
richiamata dagli utenti. Se la pagina supera il punteggio specificato in questo campo viene
bloccata. Aumentare il punteggio per rendere il filtro più permissivo.
Possibilità di sblocco (Tramite password):
Permetti: Sarà possibile visualizzare temporaneamente una pagina bloccata conoscendo le
credenziali di amministratore.
Non permettere: Non sarà concessa la visualizzazione temporanea della pagina.
35
Scansione Antivirus: Oltre al filtro sui contenuti l’apparato applica un filtro anti virus su
tutte le connessioni http effettuate dagli utenti grazie al motore anti virus integrato.
Attiva: Viene applicata la scansione Antivirus in tempo reale.
Disattivata: Non viene applicata nessuna scansione anti virus.
FIltraggio sulle immagini(ICRA):
Attivo: verrà effettuato il filtraggio delle immagini basandosi sulla valutazione ICRA.
Disattivo: non verrà effettuato questo tipo di filtro .
Notifica Virus rilevati durante la navigazione::
SI: l’appliance invia via mail all’indirizzo inserito una segnalazione ad ogni virus riscontrato
in navigazione.
NO: Non viene inviata nessuna notifica qualora venissero rilevati dei virus.
Notifica Virus rilevati via email all’indirizzo: inserire l’indirizzo mail che riceverà la
segnalazione di virus rilevati se abilitato.
Notifica Pagine Bloccate via Email:
SI: l’appliance invia via mail all’indirizzo inserito una segnalazione ad ogni pagina che viene
bloccata durante la navigazione.
Notifica pagine bloccate via email all’indirizzo:
SI: l’appliance invia via mail all’indirizzo inserito una segnalazione ad pagina bloccata in
navigazione.
NO: Non viene inviata nessuna notifica qualora venissero bloccate delle pagine.
Una volta ultimate le modifiche cliccare su “Salva”.
36
Nel Menù successivo selezionare il Tab “Contenuti” per accedere al pannello di gestione dei
filtri relativi al gruppo.
Siti autorizzati indipendentemente dal contenuto: i siti inseriti in questa lista
saranno visualizzabili a prescindere dal loro contenuto ma dovranno sottostare comunque
al filtro antivirus e gli accessi a tali siti verranno registrati nei log di navigazione (per
escludere totalmente un sito dal web filter fare riferimento al paragrafo 3.5).
Per aggiungere un sito cliccare su aggiungi.
Sito da concedere: inserire il dominio del sito da escludere dal controllo sui contenuti senza
www. Ad esempio inserendo gigasys.it saranno concessi tutti i sotto domini come
www.gigasys.it o backup.gigasys.it. Se si vuole concedere tutto ciò che termina con .gov
inserire solo .gov nel suddetto campo.
Commento: inserire un commento identificativo.
Una volta compilato cliccare su “Aggiungi” per aggiungere il sito alla lista.
Per eliminare o modificare un sito già presente in lista selezionarlo e scegliere l’opzione
desiderata.
37
Siti negati indipendentemente dal contenuto: i siti inseriti in questa lista non saranno
visualizzabili dagli utenti appartenenti a questo gruppo. Tutti i tentativi di accesso a tali siti
saranno registrati nei log di navigazione.
Per aggiungere un sito cliccare su aggiungi.
Sito da negare: inserire il dominio del sito da negare senza www. Ad esempio inserendo
gigasys.it saranno negati tutti i sotto domini come ad esempi www.gigasys.it o
backup.gigasys.it. Se si vuole negare tutto ciò che termina con .gov inserire solo .gov nel
suddetto campo.
Commento: inserire un commento identificativo.
Tramite il tasto “Blocca qualunque sito **” può essere attivato il blocco preventivo. Ossia
tutti gli utenti appartenenti a questo gruppo potranno navigare esclusivamente sui siti
presenti nella lista dei “Siti autorizzati indipendentemente dal contenuto”.
Per disattivare il blocco preventivo selezionare “Aggiungi” e successivamente “Disattiva
blocca tutto”.
Per eliminare o modificare un sito già presente in lista selezionarlo e scegliere l’opzione
desiderata.
File Negati per estensione: tutti file con estensione contenuta in questa lista saranno
negati sia in download che in upload. Selezionare “Aggiungi” per inserire una nuova
estensione.
Selezionandone una già presente nella lista è possibile modificarla o eliminarla.
File negati per tipologia di contenuto MIME: tramite questa sezione è possibile
bloccare alcune trasmissioni in base alla tipologia di contenuto binario. Ad esempio
conoscendo il contenuto MIME di uno streaming video e inserendolo in questa lista è
possibile bloccarlo.
Frasi e parole che se contenute anche una sola volta all’interno di una pagina ne
causano il blocco: tramite questa lista è possibile definire parole che se riscontrate
all’interno di una pagina ne causano il blocco. Ad esempio aggiungendo la parola
videopoker tramite il tasto “Aggiungi” tutti i siti contenenti il termine verranno bloccati.
Frasi che permettono di bypassare qualunque controllo sulle pagine che le
contengono: tramite questa lista è possibile definire parole che se contenute all’interno di
una pagina questa verrà sempre concessa. Ad esempio inserendo la parola medicina
tramite il tasto “Aggiungi” tutti i siti contenenti il termine verranno concessi.
Url negati: tramite questa lista è possibile bloccare solo alcune parti di un sito web
tramite l’url.
38
Url autorizzati: tramite questa lista è possibile concedere sempre una determinata parte
di un sito tramite l’url a prescindere dal suo contenuto.
Censura e sostituzione dei contenuti: in questa sezione è possibile definire parole da
sostituire con valori definiti dall’amministratore. Ad esempio se volessimo sostituire la
parola “firewall” con “server per la sicurezza” basta compilare il campo “Valore originale”
con la parola “firewall” e inserire nel campo “Dato sostitutivo” la stringa “server per la
sicurezza”. Selezionare aggiungi. L’appliance sostituirà direttamente nella pagina web tutte
le parole qui definite con il valore sostitutivo definito dall’amministratore.
Siti Grigi: tramite questa lista è possibile definire dei siti grigi. Un sito grigio è un sito del
quale, pur essendo presente nella black list, viene concessa la visualizzazione solo se
sottostà ai limiti di decenza. Ad esempio se è attivo il blocco totale della navigazione e
viene inserito un sito in questa lista, gli utenti appartenenti al gruppo potranno navigare su
tale sito solo se non supera il punteggio massimo dei vocaboli consentiti.
Url Grigio: tramite questa lista è possibile definire degli url grigi. Il funzionamento è
identico a quello dei Siti Grigi ma la regola verrà applicata solamente alla parte di sito
definita dall’url.
6.2 Appartenenza ai Gruppi di Navigazione
L’appartenenza ai gruppi di navigazione può essere definita in due modi: o per nome
utente o per indirizzo IP.
N.B. Nomi utente o indirizzi IP non definiti come appartenenti ad un gruppo appartengono
automaticamente al gruppo uno quindi non è necessario definire gli utenti che devono
appartenere a tale gruppo ma solo quelli che devo appartenere a gruppi successi , due tre
ecc., o ai gruppi Admin o No Web.
Dal menù principale “WebFilter” selezioniamo “Appartenenza ai Gruppi” per accedere al
menù di gestione.
6.2.1 Appartenenza ai Gruppi di Navigazione per indirizzo IP
Per definire un client come appartenente ad un gruppo diverso dal gruppo di Default
(Gruppo uno) selezionare “Appartenenza ai gruppi”.
Nel menù successivo inserire nel campo “IP o utente” l’indirizzo IP e nel campo “Gruppo di
appartenenza” selezionare il gruppo al quale l’IP specificato deve appartenere. E’ possibile
inserire nell’apposito campo un eventuale commento. Cliccare poi su “Aggiungi” per
aggiungere la regola alla lista. Creare una regola per ogni indirizzo IP.
39
IP da non filtrare: Agli indirizzi IP appartenenti a questo gruppo non verrà applicato
alcun filtro sui contenuti in navigazione, verrà tuttavia applicato il filtro antivirus e verranno
registrati i log di navigazione. Se si intende escludere tutti i filtri fare riferimento al
paragrafo 3.8
IP senza Navigazione: Agli indirizzi IP appartenenti a questo gruppo non sarà concessa
la navigazione su nessun sito e verranno registrati tutti i tentativi di navigazione.
6.2.2 Appartenenza ai Gruppi di Navigazione per Utente
(Gruppo uno) è necessario abilitare l’autenticazione utente.
Dal menù principale “WebFilter” selezioniamo “Abilita autenticazione”. I metodi di
autenticazione necessari sono:
Autenticazione forzata: abilitando questa tipologia di autenticazione è necessario impostare
nel browser utilizzato dall’utente il proxy forzato sulla porta 8080 dell’IP dell’appliance.
Gli utenti necessari per la configurazione vanno creati sull’appliance nell’apposita sezione di
gestione utenti (Paragrafo 7.1).
Se si vuole abilitare questa modalità di autenticazione selezionare la relativa spunta su “Si”
e poi “Salva”.
Autenticazione con client IDENT: in questa modalità di autenticazione è necessaria
l’installazione del clienti IDENT su tutti i PC della LAN. Tale client passerà l’utente loggato
in quel momento sul PC. In questa modalità non è necessario creare gli utenti
sull’appliance.
Questa modalità è consigliata nel caso di un dominio Active Directory.
Se si vuole abilitare questa modalità di autenticazione selezionare la relativa spunta su “Si”
40
(Gruppo uno) selezionare “Appartenenza ai gruppi”.
Nel menù successivo inserire nel campo “IP o utente” l’utente e nel campo “Gruppo di
appartenenza” selezionare il gruppo al quale l’utente specificato deve appartenere. E’
possibile inserire nell’apposito campo un eventuale commento. Cliccare poi su “Aggiungi”
per aggiungere la regola alla lista.
Utenti da non filtrare: Agli utenti appartenenti a questo gruppo non verrà applicato
alcun filtro sui contenuti in navigazione, verrà tuttavia applicato il filtro antivirus e verrano
registrati i log di navigazione.
Utenti senza accesso: Agli utenti appartenenti a questo gruppo non sarà concessa la
navigazione su nessun sito e verranno registrati tutti i tentativi di navigazione.
N.B. Per rendere effettiva qualsiasi modifica apportata alla configurazione del webfilter è
necessario applicare con l’apposito tasto accessibile dal pannello principale.
E’ possibile visualizzare i log di navigazione direttamente dall’interfaccia del firewall dalla
sezione di “Admin” “Logs” “Log di Navigazione”.
6.3 Pagina di blocco
Quando per qualsiasi motivo (limite punteggio, virus, blacklist, ecc.) un sito non viene
concesso verrà visualizzata la pagina di blocco riportante la motivazione del blocco stesso.
La pagina ci propone delle opzioni, alcune accessibili solo conoscendo le credenziali di
amministratore del sistema.
Richiedi lo sblocco del sito: questa è l’unica opzione accessibile a tutti gli utenti.
Selezionando questa opzione verrà inviata una mail all'amministratore contenente la
richiesta di sblocco del sito con informazioni quale l’indirizzo IP o il nome utente del
richiedente, il sito oggetto della richiesta e il gruppo di appartenenza. Tramite un apposito
link l'amministratore può concedere il sito per tutto il gruppo al quale appartiene l’IP o
l’utente che ha effettuato la richiesta.
Aggiungi ai siti concessi: selezionando questa opzione il sito in oggetto verrà concesso per
tutto il gruppo al quale appartiene l’utente o l’ip con il quale si sta' navigando. Per eseguire
questa operazione è necessario conoscere le credenziali di amministratore.
41
Visualizza comunque: questa opzione permette di visualizzare un sito negato per cinque
minuti, passando comunque attraverso il filtro antivirus. Per poter visualizzare
temporaneamente un sito bloccato è necessario conoscere le credenziali di amministratore.
7 Server di posta
L’appliance può funzionare come server di posta reale o come connettore pop3 o imap.
In entrambi i casi vengono applicati filtri antispam e antivirus sulle mail in ingresso e in
uscita. L’area di gestione del Server di Posta è accessibile da “Setup” “Posta”.
7.1 Gestione Utenti
Tramite la gestione utenti è possibile creare nuovi utenti di sistema che possono essere
utilizzati sia come utenti in navigazione, sia come utenti FTP e come caselle di posta.
Dal menù “Gestione Utenti”, accessibile sotto “Setup” “Posta”, è possibile gestire gli utenti
di sistema.
Selezionare “Nuovo utente” per creare un nuovo utente o selezionarne uno esistente per
modificarne i parametri o eliminarlo.
Nome utente:
Nome dell’account che verrà utilizzato per il log in, non può contenere “.”
Password:
Password necessaria per l’accesso ai servizi. E’ buona norma inserire una password
complessa di almeno 8 caratteri fra i quali almeno un numero e una lettera maiuscola.
Home directory:
Indica la cartella home dell’utente al quale avrà accesso via FTP se abilitato.
Se lasciato in bianco sarà uguale al nome utente.
42
Tipo utente:
Standard: tale tipologia di utenti saranno utilizzabili come utenti di posta e come
credenziali di accesso al proxy ma non potranno utilizzare né l’auto risposta ne l’FTP.
Con FTP: tale tipologia di utenti saranno utilizzabili come utenti di posta e come credenziali
di accesso al proxy e potranno utilizzare l’auto risposta e l’area FTP.
Indirizzi email associati:
Permette di creare dei virtual user in modo rapido, se l'utente deve ricevere posta anche
per un altro indirizzo inserirlo completo di dominio in questo campo.
Una volta ultimata la configurazione selezionare “Salva”.
Se si intende eliminare un utente entrare in modifica e selezionare “Elimina”.
N.B. Dopo la creazione di un nuovo utente di posta eseguire il login alla webmail
raggiungibile all’IP di eth0 dell’appliance /webmail.
7.2 Polling di posta remota
Il pooling di posta remota permette di portare le mail da account su server esterni ad uno
o più utenti di quest’appliance in modo automatico, applicando di conseguenza i filtri
Antispam e Antivirus.
Dal menù “Polling di posta remota”, accessibile sotto “Setup” “Posta”, è possibile creare
nuovi connettori.
Tramite l’apposito tasto
è possibile creare un nuovo connettore.
Nome descrittivo: campo puramente identificativo.
Pooling abilitato?: permette di abilitare o disabilitare il download delle mail da questo
server.
43
Mail server da contattare: Nome host o indirizzo IP del server esterno dal quale scaricare le
mail.
Protocollo: Selezionare il protocollo con il quale il file server si deve collegare al server di
posta esterno per scaricare le mail.
Porta: Se impostato a “Default” usa la porta di default associata al protocollo, per
specificare una porta differente spuntare la casella di testo e inserire la porta desiderata.
Utente remoto: nome utente da utilizzare per l’autenticazione al server remoto.
Password remota: password da utilizzare per l’autenticazione al server remoto.
Utente locale: inserire il nome dell'utente locale, senza dominio, nel quale depositare la
posta scaricata dal server esterno. E’ possibile inserire anche degli alias precedentemente
configurati.
Lasciare i messaggi sul server remoto?:
Si: Lascia una copia delle mail sul server esterno, l’utilizzo di questa opzione è sconsigliato
in quanto le mail in ingresso potrebbero essere duplicate.
No: Cancella tutti le mail dal server esterno dopo averle scaricate.
Scarica sempre tutti i messaggi?:
Si: Scarica sempre tutti i messaggi compresi quelli già letti.
No: Non scarica i messaggi già scaricati, l’utilizzo di questa opzione è sconsigliato in quanto
le mail in ingresso potrebbero essere duplicate.
Connect in SSL mode?: Abilitare questa opzione se il server esterno supporta la
connessione in SSL.
Una volta ultimata la configurazione selezionare “Crea”.
44
E’possibile, dal pannello principale di gestione del pooling, modificare l’esecuzione
pianificata del processo tramite l’apposito tasto “Scheduled Checking”, di default il
download viene eseguito ogni cinque minuti.
Tramite l’apposito tasto
è possibile forzare l’esecuzione immediata del pooling,
durante questa fase vengono visualizzati i log in tempo reale.
45
7.3 Posta configurazione
Dal menù “Posta configurazione”, accessibile sotto “Setup” “Posta”, è possibile gestire le
impostazioni avanzate del server SMTP.
7.3.1 Autenticazione Smart Host
Di default l’appliance invia le mail direttamente. In alcuni casi, come ad esempio un Ip
pubblico dinamico sulla propria ADSL, inviando direttamente le mail possono essere
rifiutate dai server destinatari.
Tramite questa sezione è possibile configurare l’appliance in modo che si appoggi su un
server SMTP esterno per l’invio delle mail.
Dal menù “Autenticazione Smart Host”, accessibile sotto “Setup” “Posta” “Posta
configurazione”, è possibile configurare un server SMTP esterno.
46
Smarthost:
Invia direttamente: l’appliance consegna direttamente le mail al destinatario.
Utilizza il seguente: inserire in questo campo l’IP o il nome del server SMTP tramite il quale
l’apparato invierà le mail. Se l’SMTP remoto supporta il protocollo SMTPS viene privilegiato
automaticamente quest’ultimo.
Autenticazione richiesta: se il server remoto richiese l’autenticazione è necessario abilitarla
spuntando “Sì”.
Nome Utente: in caso di autenticazione richiesta inserire in questo campo il nome utente
da utilizzare per l’autenticazione SMTP sul server remoto.
Password: in caso di autenticazione richiesta inserire in questo campo la password da
utilizzare per l’autenticazione SMTP sul server remoto.
Una volta ultimata la configurazione cliccare su “Salva”.
7.3.2 Domini gestiti localmente
In questa lista sono presenti tutti i domini che l’apparato considera locali. Se dovesse
arrivare una mail per un dominio non inserito in questa lista, se non diversamente
specificato nella sezione “Controllo RELAY” (paragrafo 7.3.3), le mail verranno rifiutate.
Se dovesse arrivare una mail per un dominio in questa lista verrà considerata locale.
Dal menù “Domini gestiti localmente”, accessibile sotto
“Setup” “Posta” “Posta configurazione”, è possibile definire i domini locali.
Inserire nella lista i domini da gestire localmente in coda a quelli di default.
Inserirne uno per riga. Una volta ultimata la configurazione selezionare “Salva”.
47
7.3.3 Controllo RELAY
In questa sezione è possibile definire quali domini possono essere gestiti dall’apparato
anche se non sono definiti come locali, quali indirizzi si possono inviare senza autenticarsi e
anche definire delle liste di blocco. Di default tutti gli IP appartenenti alla classe di rete lan
possono inviare senza autenticarsi.
Dal menù “Controllo RELAY”, accessibile sotto
“Setup” “Posta” “Posta configurazione”, è possibile definire i parametri di accesso all’SMTP.
Esempi di configurazione:
Permettere ad un dominio non locale di essere gestito dall’appliance:
Sorgente: Selezionare dal menù la voce “dominio” ed inserire il dominio nella casella a
fianco.
Spuntare la voce “Permetti invio” e selezionare “crea”.
Permettere ad un ip pubblico di inviare senza autenticazione:
Sorgente: Selezionare dal menù la voce “network” ed inserire l’IP pubblico remoto nella
casella a fianco.
Spuntare la voce “Permetti invio” e selezionare “crea”.
Rifiutare mail da un intero dominio: Sorgente: Selezionare dal menù la voce “dominio” ed
inserire il dominio nella casella a fianco.
Spuntare la voce “Scarta senza dire nulla”, “rispedisci indietro” e selezionare “crea”.
48
7.3.4 Domain routing
In questa sezione è possibile definire a chi destinare le mail per domini non inseriti nei
domini locali. Abilitare questa funzione se si vuole utilizzare l’apparato solamente come
server antispam e antivirus per un server di posta interno alla LAN.
Dal menù “Domain routing”, accessibile sotto
“Setup” “Posta” “Posta configurazione”, è possibile raggiungere il pannello di configurazione
del domain routing.
Posta per il dominio: inserire il nome del dominio che deve essere ruotato ad un altro mail
sever.
Inoltra al server: inserire l’indirizzo IP del mail server al quale deve essere inoltrato il
dominio citato.
Una volta ultimata la configurazione selezionare “crea”.
Per fare in modo che l’appliance accetti mail per questo dominio non essendo un dominio
locale, va creata un apposita regola nella sezione “Controllo RELAY” (Paragrafo 7.3.3).
49
7.3.5 Alias
In questa sezione è possibile gestire gli alias che permettono di definire liste di
distribuzione locali e indirizzi fittizi la cui posta sarà inoltrata ad uno o più utenti reali.
L’alias è valido per tutti i domini gestiti localmente.
Dal menù “ALIAS”, accessibile sotto
“Setup” “Posta” “Posta configurazione”, è possibile raggiungere il pannello di gestione degli
alias.
Indirizzo: inserire in questo campo il nome dell’alias.
Abilitato: permette di definire se l’alias è attivo o disattivo.
Alias a: selezionare dal menù “Indirizzo Email” e inserire nel campo di testo a fianco il
nome utente al quale inoltrare le email destinate all’alias.
Una volta ultimata la configurazione selezionare crea.
Per fare in modo che un alias corrisponda a due o più indirizzi selezionarlo dalla lista
aggiungere un ulteriore utente e salvare. Questa operazione va' eseguita per ogni utente
da aggiungere.
50
7.3.6 Virtual User
In questa sezione è possibile gestire i virtual user che permettono di creare indirizzi virtuali
la cui posta sarà inoltrata ad un utente reale. Il virtual user deve essere completo di
dominio e sarà valido sono per il dominio specificato.
Dal menù “Virtual user”, accessibile sotto
“Setup” “Posta” “Posta configurazione”, è possibile raggiungere il pannello di gestione dei
virtual user.
Mail per: Selezionare la spunta a fianco del campo “Indirizzi” ed inserire il nome del virtual
user che si intende creare completo di dominio.
Spedisci a: Selezionare la spunta a fianco del campo “Indirizzi” ed inserire il nome
dell’utente local e al quale deve corrispondere il virtual user.
Una volta ultimata la configurazione selezionare crea.
51
8 Guida in Linea (Knowledge Base)
Da qualsiasi interfaccia del firewall è possibile ricercare direttamente all’interno della guida
in linea.
Per effettuare una ricerca nella Knowledge Base inserire una chiave di ricerca per
l’argomento desiderato nell’apposita casella, subito sotto al menù di sinistra,
in qualsiasi sezione.
I risultati della ricerca verranno visualizzati nella parte alta della pagina corrente con il
formato seguente.
Nell’esempio la chiave di ricerca è “openvpn”
Se non dovesse essere presente alcun record riguardo alla chiave di ricerca specificata è
possibile inoltrare una richiesta, tramite l’apposito link, direttamente all'ufficio tecnico
Gigasys.
52

Quick Start Guide Serie S-2

Transcript

Documenti analoghi

Cose da sapere sul firestore Fs-100 Non registra il 720pn, quindi no

nokia n95 - Total Erg

Salvare uno streaming con vlc

MODEM SPY LAN

Surat Sohila Kirtan Notations Shabad 3 copy.xlsx

CONFIGURAZIONE PROXY

LG L600V - Total Erg

Manuale per la configurazione della propria casella di posta

Guida al sito - M. Night Shyamalan

Creare Un File D2v Con Dgindex