در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

پیکربندی فایروال و انواع DMZ در حفاظت از شبکه

مجتمع کردن دستگاه های اطراف شبکه به منظور محافظت از شبکه خصوصی مؤلفه مهمی برای طراحی امنیت محیط پیرامون است. انتخاب دستگاه ها بستگی به فاکتورهای متعددی برای هر کمپانی دارد، اما دستگاه های ضروری و لازم که باید لحاظ گردند به منظور صورت گرفتن این امنیت، روتر و فایروال هستند. روتر به عنوان اولین خط دفاعی عمل می کند و فایروال به عنوان ناظر ترافیک عمل می کند و فقط به ترافیک های مجاز شبکه اجازه می دهد. یک IDS یا IPS باید حتماً در محیط پیرامون شبکه لحاظ گردند تا از شبکه خصوصی در مقابل فعالیت های مخرب محافظت کنند.

به طور کلی در معماری شبکه سازمان سه ناحیه وجود دارد:

  1. Border Network یا Internet : شبکه ای است که مستقیماً با اینترنت در تماس است.
  2. Perimeter Network: شبکه ای که کاربران ورودی را به سرورهای وب یا دیگر سرویس ها متصل می کند و معمولاً DMZ یا Edge Network نامیده می شود.
  3. Internal Network یا Private Network : شبکه داخلی سازمان است که سرورها را به یکدیگر و به کاربران داخلی متصل می کند.

این نواحی در شکل 1 نشان داده شده اند.

فایروال و DMZ

شکل 1 : نواحی مختلف یک شبکه داخلی متصل به اینترنت

یک شبکه ساده که هیچ سرویس اینترنتی برای مشتریان فراهم نکرده است محافظت کردن آن ساده تر خواهد بود. روتر و فایروال اینترنت را از شبکه خصوصی جدا می کند، IDS یا IPS همه ترافیک ها را مانیتور می کند وVPN دستیابی از راه دور را فراهم می کند. هر کدام برای دفاع در عمق محیط پیرامون لازم هستند.

پیکربندی فایروال و DMZ

شکل 2 : شبکه ساده بدون سرویس دهنده وب یا پست الکترونیک در شبکه خصوصی

پیکربندی رولهای فایروال برای اینچنین شبکه ای آسان است. فایروال دو دسته رول دارد که رول ingress و رول egress نامیده میشوند که به ترتیب مشخص میکند که ترافیک شبکه اجازه ورود و ترک را دارد. آن بخش از ترافیک شبکه که برای رسیدن به آدرس IP اختصاصی تلاش میکند باید به وسیله رولهای ingress، با استفاده از فیلترینگ استاتیک توسط روتر یا فایروال بلوکه شود. یک استثناء وجود دارد و آن زمانی است که یک ارتباط از راه دور از طریق سازمان، مجوز اتصال به شبکه خصوصی را دارد. ارتباطات از راه دور باید از یک ارتباط ایمن همچون VPN برای اتصال استفاده کنند.VPN باید با فایروال مجتمع گردد یا توسط یک appliance جداگانه پشت فایروال قرار گیرد.

هنگامی که سرویس های وب و پست الکترونیک در شبکه خصوصی ارائه دهنده سرویس به اینترنت هستند به طراحی پیچیده تری برای محیط پیرامون شبکه نیاز می باشد به منظور فراهم کردن محیطی امن. سرورهای وب و پست الکترونیک نسبت به حمله آسیب پذیری بیشتری دارند به خاطر پیکربندی های پیچیده و متدلوژی های برنامه نویسی نامناسب که طرح امنیت را از ابتدا با مشکل مواجه می کند. این سرورها لازم است در فضایی از شبکه خصوصی قرار گیرند، اما ایزوله باشند. این جداسازی توسط DMZ محقق می شود. یکی از روش های پیاده سازی DMZ استفاده از دو دستگاه فایروال است و در فضای بین دو فایروال DMZ subnet قرار می گیرد. هزینه اضافی و نگهداری این طراحی می تواند فقط برای شبکه هایی با پهنای باند مناسب توجیه گردد. نوعاً DMZ با استفاده از سه ارتباط روی فایروالی که برای اینترنت، DMZ و شبکه خصوصی استفاده شده است، پیاده سازی می شود. به خاطر اینکه شبکه خصوصی و شبکه DMZ به صورت فیزیکی با هم ارتباط ندارند یک IDS یا IPS باید در جلوی فایروال قرار گیرد تا تمامی ترافیک شبکه را ضبط کند.

یک عیب برای طراحی یک DMZ زمانی است که داده ذخیره شده در شبکه خصوصی قابل دسترسی توسط هیچ سروری که در ناحیه DMZ قرار دارند نمی باشد. چنانچه داده ذخیره شده لازم باشد که در دسترس سروری در ناحیه DMZ قرار گیرد دو سناریو وجود دارد. سناریوی اول ارتباط دستی به سرور وب به منظور اپلود کردن داده است. سناریو دوم استفاده از دو ناحیه DMZ جداگانه است که اطلاعات عمومی را از اطلاعات خصوصی جدا میکند که به ترتیب Anonymous DMZ و Authenticated DMZ نامیده میشود و در شکل 3 مشاهده میگردد.

پیکربندی فایروال و DMZ

شکل 3 : طراحی DMZ دوگانه به منظور جداسازی اطلاعات خصوصی و عمومی

در ادامه به معماریهای مختلف طراحی ناحیه DMZ با استفاده از فایروال می پردازیم. به طور کلی فایروال ها نقش اساسی در ایجاد DMZ ایفا می کنند. به عنوان مثال در سه معماری مختلف زیر که برای ایجاد DMZ ارائه شده است، از فایروال بهره گرفته شده است.

  • روتر و فایروال

پیکربندی فایروال و DMZ

  • استفاده از یک فایروال

پیکربندی فایروال و DMZ

  • استفاده از دو فایروال

پیکربندی فایروال و DMZ

نویسنده : فرزاد عضنفری

منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی میباشد

#طراحی_ساختار_DMZ #معرفی_DMZ #تفاوت_فایروال_و_پروکسی_سرور #dmz_چیست #انواع_طراحی_های_فایروال_در_dmz #تفاوت_nat_و_dmz #طرح_امنیتی_فایروال_شبکه #utm_چیست #طراحی_امنیت_شبکه
1 نظر
Mehran Eshghi

بسیار عالی بود

اما یکم سطحش بالا بود

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....