در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 1

یکی از مهمترین بخش ها در امن سازی شبکه ، پیاده سازی و اجرای فایروال می باشد. فایروال همانند یک دیوار بین شبکه داخلی و شبکه خارجی قرار می گیرد و اطلاعات داخلی شبکه را در برابر حملات خارج شبکه محافظت می کند. هر چند که فایروال تنها بخشی از سیستم امنیتی می باشد اما طراحی و پیاده سازی درست و صحیح آن جهت جلوگیری از حملات از اهمیت بسیار بالایی برخوردار است. در این مقاله می خواهیم با مباحث ، نحوی پیاده سازی و اجرای (Zone-Based Firewall (ZBPFW سیسکو آشنا شویم.

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 1

ZBPFW چیست؟

یک فایروال برای اعمال سیاست های دسترسی بین بخش های مختلف شبکه استفاده می شود. در ZBPFW هر بخش از شبکه تحت عنوان Security Zone استفاده می شود. نسخه قبلی IOS فایروال سیسکو تحت عنوان Context-Based Access Control یا CBAC نامیده می شد و اعمال Policy براساس بازرسی و استفاده از ACL بین اینترفیس ها انجام می گرفت. ZBPFW سیاست ها را براساس Cisco Common Classification Policy Language (C3PL) اعمال می کند که مشابه ساختار Modular QoS Command-Line Interface (MQC) است. و به طور کلی با استفاده از Class maps ترافیک طبقه بندی می شود سپس با Policy Map ترکیب می شود و در انتها این Policy mapها به Security Zone اعمال می شوند.

ZBPFW ازstateful inspection ، Application Inspection and Control (AIC)وDeep Packet Inspection (DPI) پشتیبانی می کند که شامل بازرسی از لایه سوم تا هفتم می باشد. Stateful inspection این قابلیت را به ما می دهد که بتوانیم Connection های فعال بین Security zone ها را ردیابی و کنترل کنیم. این قابلیت باعث می شود که اجازه ورود ترافیک برگشتی به یک Security Zone را بدهد. AIC این قابلیت را فراهم می کند که Sessionهای لایه چهارم را در حافظه سرهم کند تا بتواند اطلاعات مربوط به جریان ترافیک بین دو Host متصل بهم را بدست آورد و همچنین این قابلیت را دارد که اطلاعات مربوط به پروتکل های لایه هفتم را با استانداردها مطابقت دهد.

Security Zone

همانطور که قبلا اشاره شد یکی از تفاوت های اصلی بین CBAC و ZBPFW استفاده از Security Zone می باشد. این Zoneها باعث می شود شبکه به چند بخش خاص تقسیم شود. در هر سازمان بخش های از شبکه دارای اهمیت ویژه ای است و باید قبل از اجرای ZBPFW این بخش ها مشخص شوند. به طور معمولا برای فایروال سه بخش اصلی زیر را در نظر می گیرند:

  • Internal : شبکه داخلی سازمان
  • DMZ : محلی است برای سرورهایی که می خواهیم از طریق شبکه خارجی به آنها دسترسی داشته باشم
  • External : شبکه خارج از سازمان مثل اینترنت

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 1

بعد از اینکه Zoneها ایجاد شد باید اینترفیس ها را عضو Zone مربوطه شوند و ترافیک ورودی و خروجی هر اینترفیس توسط Policyهای مربوط به Zone کنترل شوند. برخی از نقش که به صورت پیش فرض زمانی که ZBPFW استفاده می شود وجود دارد که به شرح زیر است:

  • ترافیک داخل هر Zone به صورت پیش فرض اجازه عبور دارد و کنترلی روی آن انجام نمی شود. اما از IOS 15.0.1M به بعد این امکان فراهم شده است که این ترافیک نیز کنترل شود.
  • ترافیک بین Zoneها به صورت پیش فرض اجازه عبور ندارد و تنها در صورت تنظیم Policy این امکان فراهم می شود.
  • همه اینترفیس ها نیاز نیست که عضو Zone باشند ولی ترافیک بین یک اینترفیس عضو Zone و یک اینترفیس که عضو Zone نیست اجازه عبور ندارد.

Zone Pair

اعمال Policyها به صورت یکطرفه بین Zoneها توسط Zone pair انجام می گیرد. زمانی که به یک جریان ترافیک بین Zoneها نیاز است یک Zone Pair در جهت جریان ترافیک تنظیم می شود. اگر جریان به صورت دوطرفه نیاز باشد باید دو Zone Pair تعریف شود. برای ویژگی Stateful inspection نیاز به Zone pair دوم نیست و بصورت پیش فرض ترافیک بازگشتی اجازه ورود پیدا خواهد کرد. در تصویر زیر یک شبکه با سه Zone pair نمایش داده شده است:

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 1

خود دستگاه به عنوان یک Zone معرفی شود و از آن برای محافظت از خود دستگاه استفاده می شود و برای مباحث control and management planes استفاده می شود. این Zone تحت عنوان Self zone می باشد. این Zone شامل ترافیک هایی می باشد که مقصد آن خود دستگاه می باشد یا توسط خود دستگاه تولید می شود. همانطور که در تصویر زیر می بینید Self zone همانند سایر Zoneها می تواند به عنوان zone مبدا یا مقصد استفاده شود و همچنین به صورت یک طرفه تنظیم می شود.

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 1

تا قبل از نسخه IOS 15.0.1M ترافیک بین اینرفیس های متعلق بین یک Zone اجازه عبور داشت وکنترلی روی آن صورت نمی گرفت اما از این نسخه به بعد امکان تعریف Zone pair برای ترافیکی که مبدا و مقصد آنها یک Zone است وجود دارد. که این ویژگی باعث می شود بتوانیم Policy مورد نظر خود را برای ترافیک مربوط به یک Zone را اعمال کنیم. در تصویر زیر نمونه آن را می بینیم:

Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 1

Transparent Firewall

ZBPFW از Transparent Firewall پشتیبانی می کند که در آن از قابلیت Bridge برای اینترفیس ها استفاده می کند. بعد از اینکه اینترفیس ها در حالت Bridge تنظیم شدند این اینترفیس ها همانند حالت Routed Mode با قرار گرفتن اینترفیس های Bridge در Zone مورد نظر استفاده می شوند. بزرگترین محدودیت استفاده از Transparent Firewall این است که نمی توان از (Network-Based Application Recognition (NBAR استفاده کرد.

در بخش بعدی به سایر مباحث و نحوی پیاده سازی Zone-Based Firewall خواهیم پرداخت

نویسنده : جعفر قنبری شوهانی

منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#zone_pair_چیست #zbpfw_چیست؟ #فایروال_چیست؟ #استفاده_از_روتر_به_عنوان_فایروال #security_zone_چیست
عنوان
1 Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 1 رایگان
2 Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 2 رایگان
3 Zone Based Firewall چیست و چگونه راه اندازی می شود ؟ قسمت 3 رایگان
4 معرفی سیسکو IOS Zone Based Firewalls رایگان
5 مفاهیم zone و zone pair در zone based firewall رایگان
6 Self zone در Zone based firewall رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....