درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
جعفر قنبری شوهانی
امتیاز: 143192
رتبه:8
198
186
253
2964
جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان حدود 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم ، به طور کلی در زمینه های سیسکو ، شبکه های مایکروسافتی ، VoIP ، مانیتورینگ و NOC ، محصولات امنیتی فورتی نت ، طراحی و پیاده سازی مرکز داده ، مجازی سازی ، وایرلس و ... تخصص دارم. کانال اختصاصی من در تلگرام https://telegram.me/ghanbarinetwork پروفایل کاربر

Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ - قسمت اول

تاریخ 47 ماه قبل
نظرات 0
بازدیدها 1081
یکی از مهمترین بخش ها در امن سازی شبکه ، پیاده سازی و اجرای فایروال می باشد. فایروال همانند یک دیوار بین شبکه داخلی و شبکه خارجی قرار می گیرد و اطلاعات داخلی شبکه را در برابر حملات خارج شبکه محافظت می کند. هر چند که فایروال تنها بخشی از سیستم امنیتی می باشد اما طراحی و پیاده سازی درست و صحیح آن جهت جلوگیری از حملات از اهمیت بسیار بالایی برخوردار است. در این مقاله می خواهیم با مباحث ، نحوی پیاده سازی و اجرای (Zone-Based Firewall (ZBPFW سیسکو آشنا شویم.
Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ - قسمت اول

ZBPFW چیست؟


یک فایروال برای اعمال سیاست های دسترسی بین بخش های مختلف شبکه استفاده می شود. در ZBPFW هر بخش از شبکه تحت عنوان Security Zone استفاده می شود. نسخه قبلی IOS فایروال سیسکو تحت عنوان Context-Based Access Control یا CBAC نامیده می شد و اعمال Policy براساس بازرسی و استفاده از ACL بین اینترفیس ها انجام می گرفت. ZBPFW سیاست ها را براساس Cisco Common Classification Policy Language (C3PL) اعمال می کند که مشابه ساختار Modular QoS Command-Line Interface (MQC) است. و به طور کلی با استفاده از Class maps ترافیک طبقه بندی می شود سپس با Policy Map ترکیب می شود و در انتها این Policy mapها به Security Zone اعمال می شوند.
ZBPFW ازstateful inspection ، Application Inspection and Control (AIC)وDeep Packet Inspection (DPI) پشتیبانی می کند که شامل بازرسی از لایه سوم تا هفتم می باشد. Stateful inspection این قابلیت را به ما می دهد که بتوانیم Connection های فعال بین Security zone ها را ردیابی و کنترل کنیم. این قابلیت باعث می شود که اجازه ورود ترافیک برگشتی به یک Security Zone را بدهد. AIC این قابلیت را فراهم می کند که Sessionهای لایه چهارم را در حافظه سرهم کند تا بتواند اطلاعات مربوط به جریان ترافیک بین دو Host متصل بهم را بدست آورد و همچنین این قابلیت را دارد که اطلاعات مربوط به پروتکل های لایه هفتم را با استانداردها مطابقت دهد.

Security Zone :


همانطور که قبلا اشاره شد یکی از تفاوت های اصلی بین CBAC و ZBPFW استفاده از Security Zone می باشد. این Zoneها باعث می شود شبکه به چند بخش خاص تقسیم شود. در هر سازمان بخش های از شبکه دارای اهمیت ویژه ای است و باید قبل از اجرای ZBPFW این بخش ها مشخص شوند. به طور معمولا برای فایروال سه بخش اصلی زیر را در نظر می گیرند:
  • Internal : شبکه داخلی سازمان
  • DMZ : محلی است برای سرورهایی که می خواهیم از طریق شبکه خارجی به آنها دسترسی داشته باشم
  • External : شبکه خارج از سازمان مثل اینترنت

Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ - قسمت اول


بعد از اینکه Zoneها ایجاد شد باید اینترفیس ها را عضو Zone مربوطه شوند و ترافیک ورودی و خروجی هر اینترفیس توسط Policyهای مربوط به Zone کنترل شوند. برخی از نقش که به صورت پیش فرض زمانی که ZBPFW استفاده می شود وجود دارد که به شرح زیر است:
  • ترافیک داخل هر Zone به صورت پیش فرض اجازه عبور دارد و کنترلی روی آن انجام نمی شود. اما از IOS 15.0.1M به بعد این امکان فراهم شده است که این ترافیک نیز کنترل شود.
  • ترافیک بین Zoneها به صورت پیش فرض اجازه عبور ندارد و تنها در صورت تنظیم Policy این امکان فراهم می شود.
  • همه اینترفیس ها نیاز نیست که عضو Zone باشند ولی ترافیک بین یک اینترفیس عضو Zone و یک اینترفیس که عضو Zone نیست اجازه عبور ندارد.

Zone Pair :


اعمال Policyها به صورت یکطرفه بین Zoneها توسط Zone pair انجام می گیرد. زمانی که به یک جریان ترافیک بین Zoneها نیاز است یک Zone Pair در جهت جریان ترافیک تنظیم می شود. اگر جریان به صورت دوطرفه نیاز باشد باید دو Zone Pair تعریف شود. برای ویژگی Stateful inspection نیاز به Zone pair دوم نیست و بصورت پیش فرض ترافیک بازگشتی اجازه ورود پیدا خواهد کرد. در تصویر زیر یک شبکه با سه Zone pair نمایش داده شده است:
Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ - قسمت اول

خود دستگاه به عنوان یک Zone معرفی شود و از آن برای محافظت از خود دستگاه استفاده می شود و برای مباحث control and management planes استفاده می شود. این Zone تحت عنوان Self zone می باشد. این Zone شامل ترافیک هایی می باشد که مقصد آن خود دستگاه می باشد یا توسط خود دستگاه تولید می شود. همانطور که در تصویر زیر می بینید Self zone همانند سایر Zoneها می تواند به عنوان zone مبدا یا مقصد استفاده شود و همچنین به صورت یک طرفه تنظیم می شود.
Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ - قسمت اول

تا قبل از نسخه IOS 15.0.1M ترافیک بین اینرفیس های متعلق بین یک Zone اجازه عبور داشت وکنترلی روی آن صورت نمی گرفت اما از این نسخه به بعد امکان تعریف Zone pair برای ترافیکی که مبدا و مقصد آنها یک Zone است وجود دارد. که این ویژگی باعث می شود بتوانیم Policy مورد نظر خود را برای ترافیک مربوط به یک Zone را اعمال کنیم. در تصویر زیر نمونه آن را می بینیم:
Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ - قسمت اول


Transparent Firewall :


ZBPFW از Transparent Firewall پشتیبانی می کند که در آن از قابلیت Bridge برای اینترفیس ها استفاده می کند. بعد از اینکه اینترفیس ها در حالت Bridge تنظیم شدند این اینترفیس ها همانند حالت Routed Mode با قرار گرفتن اینترفیس های Bridge در Zone مورد نظر استفاده می شوند. بزرگترین محدودیت استفاده از Transparent Firewall این است که نمی توان از (Network-Based Application Recognition (NBAR استفاده کرد.

در بخش بعدی به سایر مباحث و نحوی پیاده سازی Zone-Based Firewall خواهیم پرداخت

نویسنده : جعفر قنبری شوهانی
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
ردیف عنوان
1 Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ - قسمت اول
2 Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ - قسمت دوم
3 Zone Based Firewall چیست و چگونه از یک روتر به عنوان فایروال استفاده کنیم؟ - قسمت سوم
4 معرفی سیسکو IOS Zone Based Firewalls
5 مفاهیم zone و zone pair در zone based firewall
6 Self zone در Zone based firewall
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید