March 9, 2022  |    Leave a comment  |    Home

لایسنس سولارویندز NAM

تکنولوژی های مدرن امنیتی - فایروال

با توجه به گسترده و پیچیده تر شدن حملات بر بستر شبکه، استفاده از یک فایروال به تنهایی نمی تواند امنیت شبکه را تضمین نماید. از اینرو نیاز به سیستم هاي امنیتی خواهیم داشت که هر سیستم و معماري امنیتی از چندین بخش و یا تکنولوژي تشکیل یافته است.
راه اندازي سیستم هاي امنیتی که به صورت ترکیب چندین تکنولوژي ارایه می شوند، می تواند تا حد زیادي امنیت اطلاعات و تراکنش ها را فرآهم سازد. از اینرو استفاده از تکنولوژي هاي معرفی شده در کنار یکدیگر به شدت پیشنهاد می گردد.
در قسمت اول و دوم این مطالب به معرفی راهکار امنیتی سیسکو برای تجهیزات شبکه در لایه Access پرداختیم و قابلیت ها و نحوه راه اندازی آنها را بفضیل مرور کردیم.
در این مطلب به دومین بخش از مهمترین اجزاي تشکیل دهنده یک معماري امنیتی که بکارگیري آن پیشنهاد می گردد ، اشاره خواهد شد.

فایروال های Next Generation و سیستم هاي تشخیص نفوذ
یکی از مهمترین بخش هاي شبکه از لحاظ امنیتی، مربوط به سرورها یا همان Server Farm می باشد و سرویس دهنده هاي اصلی هر شبکه در این بخش متمرکز میباشند. پس براي کامل کردن چرخه (ساختار) امنیت ، ( بعد ازClean  کردن بخش مربوط به کاربران داخلی) نیازمند مکانیزم ها و استفاده از تکنولوژي هایی کارا براي این بخش خواهیم بود. .  در بین برندهاي متفاوتی که دراین زمینه فعالیت میکنند، براي محافظت از سرویس دهنده ها (بنابر نوع سرویسی که ارائه میدهند) استفاده ترکیبی از فایروال و دستگاههاي تشخیص نفوذ (IPS) های سیسکو پیشنهاد میشود. شرکت سیسکو در این راستا فایروال هاي ASA 5500-X که نسل جدید فایروالهای سیسکو ( NGFW ) بودند، را روانه بازار کرد. این فایروال ها مبتنی بر معماري Secure-X بوده و یکی از مهمترین تفاوت هایی که با فایروال هاي 5500 دارند ، ارایه سرویس تشخیص نفوذ یا وIPS  به صورت Built-in  درون فایروال می باشد. این دستگاه ها داراي قابلیت هایی منحصر به فردي هستند که آنها را از برندهاي مشابه و ASA هاي 5500 متمایز میکند. در ادامه و تا امروز نیز ادامه راه این فایروال ها بعهده فایرپاورهای سیسکو قراردارد. به برخی از این قابلیت های این فایروال ها در ادامه اشاره شده است:


همگام بودن با معماري نوین امنیتی Secure-X
پشتیبانی از قابلیت Botnet Traffic Filter
پشتیبانی از مدرنترین روش های دسترسی از راه دور (VPN) از قبیل: IPSEC Remote-access (IKEv1 ,IKEv2) ، IPSEC Site-to-Site ، Client-Less SSL VPN و Cisco AnyConnect
پشتیبانی از قابلیت (Failover) High availabilityبه منظور امکان پیاده سازیClustering
پشتیبانی از مکانیزمهاي QoS
پشتیبانی از قابلیت Security Group Access (دراین رابطه دربخش قبلی توضیحاتی ارایه شده است.)
پشتیبانی از قابلیتObject-Oriented NAT
قابلیت یکپارچه شدن با مجموعه سیسکو TALOS
پشتیبانی از قابلیتRemote Device Blocking
پشتیبانی از قابلیت Global Correlation به منظور جلوگیري ازZero-Day Attack ها
پشتیبانی از قابلیتDynamic Reputation برای جلوگیري از Zero-Day Attack ها و افزایش کارایی IPS
پشتیبانی از قابلیت Blended Signature جهت مقابله با Exploit ها

استفاده از Cisco Next Generation Firewalls  به دلیل مزایاي که بدان اشاره گردید ، به منظور ارتقاي سطح امنیتی پیشنهاد میگردد. این سري از محصولات Cisco که در راستاي محصولات قبلی این شرکت (ASA ها) قراردارند از مارچ سال 2012 وارد بازار شدند و درآنها IPS به یک بلاك پردازشی از فایروال تبدیل شده است.
این فایروال ها با بهره وري از سیستم عامل FX-OS سیسکو میتوانند پکت ها را با دقت و Performance بسیار بالاتري آنالیز نمایند.
در شکل زیر مدل هاي متفاوت و میزان Throughput مدل هاي مختلف ارایه شده است.

همچنین لایسنس هاي www golicense ir متفاوتی، بمنظور ارتقاي ساختار امنیتی و بهره مندی از تمامی قابلیت های این فایروال ها، مورد نیاز خواهد بود که در  شکل زیر نمایش داده شده است.




لایسنس مورد نیاز برای فایرپاور
نام لایسنس
مدت زمان
قابلیت ها


Base
موجود برروی سخت افزار
دائمی
User and application control, Switching and routing, NAT


Threat
T

TC (Threat + URL)

TMC(Threat+ Malware + URL)
مدت دار

1-3-5 ساله
Intrusion detection and prevention, File control, Security Intelligence filtering


Malware
TM (Threat + Malware)

TMC (Threat + Malware + URL)

AMP
مدت دار

1-3-5 ساله
AMP for Networks (network-based Advanced Malware Protection)

Cisco Threat Grid

File storage


URL Filtering
TC (Threat + URL)

TMC (Threat + Malware + URL)

URL
Term-based
Category and reputation-based URL filtering


Firepower Management Center Virtual
-
دوره ای یا دائمی
تعداد دستگاههایی که میتوان بوسیله FMC مدیریت کرد.


Export-Controlled Features
-
دوره ای یا دائمی
برای قابلیت هایی که سیاست های بین المللی خاصی برای آنها در نظر گرفته شده است.


Remote Access VPN:

AnyConnect Apex

AnyConnect Plus

AnyConnect VPN Only
-
دوره ای یا دائمی
برای ایجاد دسترسی های از راه دور



لازم بذکر است لایسنس PLR فایرپاور سیسکو معادل لایسنس TMC و با مدت زمان دائمی میباشد. همچنین این لایسنس امکان مدیریت تا 25 فایرپاور را برروی FMC فعال خواهد کرد. لایسنس های PLR سیسکو راهکار آفلاین سیسکو برای رجیستر کردن محصولات این شرکت میباشد.
 

برای کسب اطلاعات بیش تر در خصوص لایسنس PLR اینجا کلیک کنید


دسته بندی Zone ها
بطور کلی هدف از پیاده سازي فایروال در شبکه ها کنترل ترافیک ورودي و خروجی می باشد . براي اینکه بتوان کنترل دقیقی روي ترافیک انجام داد ، در مرحله اول باید شبکه به بخش ها یا در اصطلاح Zone هاي متفاوت دسته بندي گردد. بر اساس استانداردها شبکه ها به 4 بخش اصلی دسته بندي می شوند.


Inside Zone

در این بخش کلیه کاربران و سیستم هاي LAN قرار خواهند گرفت. ( در صورت پیاده سازي تکنولوژي ISE میتوان این بخش را به عنوان بخشی که بالاترین سطح امنیت را دارد در نظر گرفت.)


DMZ Zone

در این بخش کلیه سرورها قرار خواهند گرفت. به دلیل اهمیت و حساسیت این بخش سیاست هاي امنیتی سخت گیرانه تري برای دسترسی به این بخش اعمال خواهد شد.


Outside Zone

این بخش در اصلا قسمتی از شبکه می باشد که با اینترنت و دیگر شبکه هاي ناامن در ارتباط مستقیم می باشد. این قسمت معمولا پایین ترین سطح امنیتی را خواهد داشت.


Management Zone

در راستاي پیاده سازي ساختار Out Of Band Management، یک بخش مجزایی براي دسترسی مدیریتی به دستگاه هاي شبکه و نرم افزارهاي مدیریتی در نظر گرفته می شود.

پیاده سازی فایروال سیسکو
بعد از جداسازي شبکه به بخش هاي مختلف، پیکربندي قابلیت هاي زیر صورت خواهد گرفت.


Access-List

به طور کلی با  پیکربندي Access List می توان سطح دسترسی ها را کنترل و مشخص نمود. این سرویس در لایه 3 و 4 پیاده-سازي گردیده و با استفاده از Source IP , Destination IP , Source Port و Destination Port می توان Rule هاي مورد نیاز را اجراء و فیلترینگ را اعمال نمود. Next Generation Firewall ها می توانند با Active Directory Server یکپارچه شوند و اطلاعات کاملی از کلیه کاربران داشته باشند و بر اساس User هاي موجود در Active Directory، سیاست ها و ACL های مورد نیاز را به کاربران اختصاص دهند.


NAT

در صورت وجود سرورهایی که قرار است روي شبکه عمومی (اینترنت) Publish  شوند، استفاده از Network Address Translation مورد نیاز می باشد.

فایروال هاي سیسکو نیز مانند سایر فایروال ها می توانند عملیات NAT کردن را انجام دهند. اما یکی از تفاوت هایی که این فایروال با سایر فایروال ها دارد ، کنترل بر روي تعداد Connection هایی است که روي سرورها ایجاد میشود. براي جلوگیري از DDoS Attack ها این روش می تواند به صورت موثر عمل نماید و بر روي کلیه سرورهایی که NAT شده اند فعال شود.


High-Availability

فایروال ها یکی از مهمترین دستگاه هاي تشکیل دهنده زیرساخت شبکه ها می باشند. از اینرو در صورت Fail شدن این تجهیزات، سرویس دهی دچار اختلال خواهد شد. به همین منظور استفاده از حداقل 2 فایروال به جاي یک عدد پیشنهاد می شود. از این 2 فایروال می توان به عنوانHigh availability Pairs  استفاده شود.



جهت اطلاع از تکنولوژی های مدرن امنیت وب اینجا کلیک کنید

Leave a Reply

Your email address will not be published. Required fields are marked *