طراحي فايروال محيطي (Perimeter Firewall)
در اين مقاله طراحي فايروال براي Data Center و محافظت از يك Data Center مورد بحث قرار خواهد گرفت.
1- تعاريف
طراحي محيط شبكه مطابق با مدل هاي روز به صورت زير خواهد بود
- جدا سازي دامن هاي خطر با لايه هاي مختلف فايروال
- يك دامنه خطر در هر لايه در ساختار طراحي
- نواحي امنيتي در Outer-Tire براي دسترس بودن
ادامه مطلب در ادامه مطلب>>>
طراحي فايروال محيطي (Perimeter Firewall)
در اين مقاله طراحي فايروال براي Data Center و محافظت از يك Data Center مورد بحث قرار خواهد گرفت.
1- تعاريف
طراحي محيط شبكه مطابق با مدل هاي روز به صورت زير خواهد بود
- جدا سازي دامن هاي خطر با لايه هاي مختلف فايروال
- يك دامنه خطر در هر لايه در ساختار طراحي
- نواحي امنيتي در Outer-Tire براي دسترس بودن
- نواحي امنيتي در دامنه خطر Middle-Tire براي اجزاي Tire-2
- امنيت در دامنه خطر لايه داخلي(-Tire Inner) براي دسترسي داخلي به سرورها و برنامه هاي كاربردي و سرور پايگاه داده
- Out Of Band Management
- Out Of Band Back up
- جدا سازي فيزيكي دامنه هاي خطر
- جدا سازي منطقي نواحي امنيتي
- زوج فايروالهاي با ضريب اطمينان بالا
در اين مقاله واژه هاي خارجي، مياني و داخلي جهت توصيف 3 لايه از فايروال مي باشد. مدل لايه نرم افزار كاربردي به صورت:
Tier 1 Presentation
Tier 2 Application
Tier 3 Data
طراحي جزيي محيطي:
Tier 1 از ساختار نرم افزار كه توسط فايروال خارجي سرويس داده مي شود
Tier 2 از ساختار نرم افزار كه توسط فايروال مياني سرويس داده مي شود.
Tier 3 از ساختار نرم افزار كه توسط فايروال داخلي سرويس داده مي شود.
در اين طراحي، فايروالها تمام ترافيك ورودي وخروجي محيط شبكه را كنترل مي كنند بنابراين افزونگي (Redundancy) كامل لايه هاي خارجي، داخلي و مياني فايروال ميزان اطمينان و پايداري بالا را حتمي مي سازد.
2- دفاع در عمق
در اين طراحي، دو محصول فايروال متفاوت در نظر گرفته شده است. آسيب پذيرهايي كه ممكن است در يك سيستم فايروال كشف شوند نمي توانند روي فايروال ديگر به اجرا در آمده و شبكه پيرامون مركز ديتا (Data Center) را مورد تهاجم قرار دهند.
جدا سازي فيزيكي نواحي خطر، داخل لايه (Tier) فايروال به كمك سوئيچ هاي لايه دو و رابط هاي فيزيكي فايروال حاصل مي شود.
نواحي چندگانه خطر مي توانند براي هر لايه تعريف شوند. نواحي امنيتي داخل يك حوزه خطر جهت رسيدن به تفكيك بيشتر با استفاده از جداسازي منطقي توسط VLAN به كار مي آيند. دو سوئيچ مجزا ممكن است در يك حوزه خطر براي اهداف افزونگي زير ساخت به كار آيند. استفاده ا ز دو كارت شبكه نيز براي افزونگي ارتباط Host در اين راستا قرار دارد. دياگرام زير طراحي شبكه در سطوح بالا را نشان مي دهد.
3- فايروال داخلي
كنترل فايروال ها توسط فايروال داخلي انجام مي شود. اگر هر كدام از فايروال هاي خارجي و يا مياني و يا سيستم هاي داخل DMZ مورد حمله قرار گرفته و كنترل آنها توسط هكرها بدست گرفته شود فايروال داخلي به عنوان محافظ آدرس هاي داخلي شبكه در برابر حملات انجام شده خواهد بود. فايروال Check Point مي تواند بعنوان لايه سوم مورد استفاده قرار بگيرد. به عنوان مثال مجموع دستگاه Nokia IP 530 كه در حالت فعال/غير فعال تنظيم شده اند را مي توان استفاده نمود.
4- فايروالهاي مياني:
نقش فايروالهاي لايه داخلي (Inter-tier) بوسيله فايروالهاي مياني ايفا مي شود. آنها برنامه هاي كاربردي را در معماري سه لايه اي فعال مي كنند. فايروال-1 NG مي تواند در يك پيكربندي HA (High Availability) براي اين منظور استفاده شود.
5- فايروالهاي خارجي
نقش مكانيزمهاي تقويت امنيت بوسيله اين فايروالها ايفا مي شود. اين فايروالها به اينترنت متصل مي شوند. اين فايروالها در يك زوجي از پيكربندي فعال-غير فعال پياده سازي شده كه يكي از آنها به عنوان فايروال اوليه فعاليت كرده و ديگري به عنوان فايروال Standby به منظور اطمينان بالا (High Availability) عمل مي كند.
نواحي امنيتي لايه 1 (Tier-1) نيز بوسيله فايروالهاي خارجي كنترل مي شوند. سرويس هاي برنامه هاي كاربردي مانند Mail Relay، DNS و پروكسي هاي وب توسط فايروالهاي خارجي كنترل مي شوند. فايروالهاي Cisco مانند سري Cisco pix 535 مي توانند براي لايه خارجي به كار آيند.
6- دستاوردها
طراحي محيطي (Perimeter design) دستاوردهاي زير را به همراه دارد:
- اطمينان و پايداري بالا از طريق افزونگي
- كارايي بالا
- OSPF (آگاهي شبكه)
- افزايش اطمينان و بازيابي (VRRP)
- افزونگي (Failover)ارتباطات داخلي
- افزونگي (Failover)ارتباطات خارجي
- نواحي امنيتي و حوزه هاي خطر چند گانه (درگاههاي VLAN)
- بازرسي بسته ها و فيلترينگ آنها به روش Statefull
- بازرسي محتوي بوسيله مكانيزم Check Point Application Intelligence
- سخت افزار مختص عملكرد فايروال
- دفاع در عمق- لايه هاي مختلف فايروال و محصولات متنوع
- ترجمه و تفسير آدرس بين شبكه ها
- قابليت IDS در ساختار موجود
توضیح خوبی بود .
آقا من یک فایروال PIX 535 دارم که نمی توانم با Consol Port آن کار کنم یعنی در واقع مثل اینکه غیر فعال باشه می توانید کمکم کنید .
سلام من همین حالا از اطلاعات وبلاگ شما در زمینه شبکه یه copy گرفتم بخونم نظر می دم ولی فکر می کنم خوب باشه من تازه شبکه کار می کنم و یه چیز دیگه بهترین مدیر وبلاگ اسم و یه بیوگرافی از خودشو می زاره تو وبلاگش رو این فکر کنید