در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

Packet Filtering در فایروال سیسکو ASA

Packet Filtering در ASA


در بخش قبلی نحوی جریان ترافیک را به صورت پیش فرض شرح دادیم که در آن ترافیک از security level بالاتر به security level پایین تر اجازه جریان داشت و همینطور عنوان کردیم با استفاده از اطلاعات جدول stateful امکان دریافت ترافیک بازگشتی فراهم می شود. اما کاربرانی که در شبکه خارجی مثل اینترنت قرار دارند چگونه می توانند به سرورهایی که ما در DMZ قرار داده ایم دسترسی پیدا کنند. در اینجا ما باید مشخص کنیم که چه ترافیکی از شبکه خارجی اجازه ورود به شبکه DMZ را دارد که با استفاده از packet filtering ACLs در اینترفیس ها می توانیم اینکار را انجام دهیم. که عملکرد این ACL ها مشابه ACL هایی است که در روتر ها استفاده می کنیم و می توانیم ACL های standard و extended داشته باشیم و این ACL ها می توانند در جهت inbound و outbound اینترفیس اعمال شوند.

در فایروال منظور از inbound ترافیکی است که قصد دارد از security level پایین تر وارد security level بالاتر شود. به صورت پیش فرض ، این ترافیک توسط فایروال deny می شود. استفاده دیگر از کلمه inbound ترافیکی است که قصد دارد وارد یک اینترفیس شود به طور مثال ترافیک کاربران شبکه داخلی که می خواهد وارد شبکه اینترنت شود.

در اینجا خلاصه ای از این مبحث امده است :

  • Inbound to an interface : ترافیک ورودی به اینترفیس که به آن ingress traffic هم گفته می شود.
  • Inbound from a security level : ترافیکی که از security level پایین تر می خواهد وارد security level بالاتر شود. مثل ترافیک از شبکه اینترنت به شبکه DMZ
  • Outbound to an interface : ترافیک خروجی از یک اینترفیس که به آن egress traffic هم گفته می شود.
  • Outbound from a security level : ترافیکی که از یک security level بالاتر می خواهد وارد یک security level پایین تر شود. مثل ترافیک کاربران شبکه داخلی به اینترنت

Packet Filtering در فایروال سیسکو ASA

اجرای Packet-Filtering ACL


حال با توجه به توضیحات بالا ، به سناریوی ارتباط کاربران اینترنت به سرورهای شبکه DMZ می پردازیم. برای اینکه این ارتباط برقرار شود از یک ACL استفاده می کنیم و اجازه ورود ترافیک مورد نظر از شبکه اینترنت به شبکه DMZ را می دهیم. اگر سرورها به صورت عمومی در دسترسی باشند ACL مشخص می کند هر دستگاهی از طریق فایروال می تواند به سرورهای شبکه DMZ دسترسی پیدا کند که آدرس مقصد و پورت آن با مشخصات سرورهای شبکه DMZ مطابقت داشته باشد. اگر ACL به inbound اینترفیس outside اعمال شود هر مقدار permit در ACL به ترافیکی که مبدا آن security level پایین تر است اجازه ورود به اینترفیس با security level بالاتر مثل DMZ را می دهد. چیزی که اکثرا افراد آنرا به سختی یاد می گیرن این است که در انتهای هر ACL یک deny any وجود دارد. این مسئله برای کاربران outside مشکلی به وجود نمی آورد چون قبل از آن این کاربران هیچ دسترسی به شبکه DMZ نداشتند و بعد از اعمال ACL کاربران تنها می تواند به سرورهای مشخص شده در DMZ دسترسی داشته باشند. چالش زمانی به وجود می آید که از ACL در جهت inbound یک اینترفیس با security level استفاده شود. زمانی که شما اینکار را می کنید کاربران داخلی می تواند ارتباطی را از طریق فایروال برقرار کنند که برای آن ارتباط یک permit وجود داشته باشد. بنابراین اگر در اینترفیس ASA از ACL استفاده کنید دیگر جریان ترافیک براساس security level کنترل نمی شود و کنترل براساس ACL انجام می شود که از بالا به پایین لیست ACL اینکار انجام می شود و همچنان بازرسی stateful انجام می گیرد تا اجازه بازگشت ترافیک را بدهد.

به طور خلاصه ، هر چیزی که شما در مورد ACL در آموزش های قبلی یاد گرفتید مشابه ACL در ASA است و تنها تفاوت بزرگ عدم استفاده از wildcard masks است.

نویسنده :جعفر قنبری شوهانی

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#فیلتر_کردن_بسته_ها_در_فایروال #تنظیم_فایروال_سیسکو #استفاده_از_acl_در_فایروال_سیسکو #packet_filtering_در_فایروال #اکسس_لیست_در_فایروال
عنوان
1 انواع Mode های ASA فایروال رایگان
2 تنظیم کردن ASA فایروال توسط ASDM رایگان
3 Security Level در ASA فایروال رایگان
4 Global ACL در ASA فایروال رایگان
5 فایروال لایه دو (Transparent Firewall) چیست ؟ رایگان
6 Routed Mode در فایروال سیسکو چیست ؟ رایگان
7 Stateful Packet Filtering چیست و چرا اهمیت ویژه ای دارد؟ رایگان
8 Static Packet Filtering چیست و چه مزایا و معایبی دارد؟ رایگان
9 application inspection firewall چیست؟ رایگان
10 transparent firewall یا فایروال لایه دو چیست ؟ رایگان
11 معرفی فایروال سیسکو (ASA) و قابلیت های آن رایگان
12 نحوی جریان ترافیک در فایروال سیسکو رایگان
13 Packet Filtering در فایروال سیسکو ASA رایگان
14 Modular Policy Framework در فایروال سیسکو چیست؟ رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....