درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
جعفر قنبری شوهانی
امتیاز: 143221
رتبه:8
198
186
253
2929
جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان حدود 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم ، به طور کلی در زمینه های سیسکو ، شبکه های مایکروسافتی ، VoIP ، مانیتورینگ و NOC ، محصولات امنیتی فورتی نت ، طراحی و پیاده سازی مرکز داده ، مجازی سازی ، وایرلس و ... تخصص دارم. کانال اختصاصی من در تلگرام https://telegram.me/ghanbarinetwork پروفایل کاربر

Packet Filtering در فایروال سیسکو ASA

تاریخ 34 ماه قبل
نظرات 0
بازدیدها 626

Packet Filtering در ASA


در بخش قبلی نحوی جریان ترافیک را به صورت پیش فرض شرح دادیم که در آن ترافیک از security level بالاتر به security level پایین تر اجازه جریان داشت و همینطور عنوان کردیم با استفاده از اطلاعات جدول stateful امکان دریافت ترافیک بازگشتی فراهم می شود. اما کاربرانی که در شبکه خارجی مثل اینترنت قرار دارند چگونه می توانند به سرورهایی که ما در DMZ قرار داده ایم دسترسی پیدا کنند. در اینجا ما باید مشخص کنیم که چه ترافیکی از شبکه خارجی اجازه ورود به شبکه DMZ را دارد که با استفاده از packet filtering ACLs در اینترفیس ها می توانیم اینکار را انجام دهیم. که عملکرد این ACL ها مشابه ACL هایی است که در روتر ها استفاده می کنیم و می توانیم ACL های standard و extended داشته باشیم و این ACL ها می توانند در جهت inbound و outbound اینترفیس اعمال شوند.
در فایروال منظور از inbound ترافیکی است که قصد دارد از security level پایین تر وارد security level بالاتر شود. به صورت پیش فرض ، این ترافیک توسط فایروال deny می شود. استفاده دیگر از کلمه inbound ترافیکی است که قصد دارد وارد یک اینترفیس شود به طور مثال ترافیک کاربران شبکه داخلی که می خواهد وارد شبکه اینترنت شود.
در اینجا خلاصه ای از این مبحث امده است :
  • Inbound to an interface : ترافیک ورودی به اینترفیس که به آن ingress traffic هم گفته می شود.
  • Inbound from a security level : ترافیکی که از security level پایین تر می خواهد وارد security level بالاتر شود. مثل ترافیک از شبکه اینترنت به شبکه DMZ
  • Outbound to an interface : ترافیک خروجی از یک اینترفیس که به آن egress traffic هم گفته می شود.
  • Outbound from a security level : ترافیکی که از یک security level بالاتر می خواهد وارد یک security level پایین تر شود. مثل ترافیک کاربران شبکه داخلی به اینترنت
Packet Filtering در فایروال سیسکو ASA

اجرای Packet-Filtering ACL


حال با توجه به توضیحات بالا ، به سناریوی ارتباط کاربران اینترنت به سرورهای شبکه DMZ می پردازیم. برای اینکه این ارتباط برقرار شود از یک ACL استفاده می کنیم و اجازه ورود ترافیک مورد نظر از شبکه اینترنت به شبکه DMZ را می دهیم. اگر سرورها به صورت عمومی در دسترسی باشند ACL مشخص می کند هر دستگاهی از طریق فایروال می تواند به سرورهای شبکه DMZ دسترسی پیدا کند که آدرس مقصد و پورت آن با مشخصات سرورهای شبکه DMZ مطابقت داشته باشد. اگر ACL به inbound اینترفیس outside اعمال شود هر مقدار permit در ACL به ترافیکی که مبدا آن security level پایین تر است اجازه ورود به اینترفیس با security level بالاتر مثل DMZ را می دهد. چیزی که اکثرا افراد آنرا به سختی یاد می گیرن این است که در انتهای هر ACL یک deny any وجود دارد. این مسئله برای کاربران outside مشکلی به وجود نمی آورد چون قبل از آن این کاربران هیچ دسترسی به شبکه DMZ نداشتند و بعد از اعمال ACL کاربران تنها می تواند به سرورهای مشخص شده در DMZ دسترسی داشته باشند. چالش زمانی به وجود می آید که از ACL در جهت inbound یک اینترفیس با security level استفاده شود. زمانی که شما اینکار را می کنید کاربران داخلی می تواند ارتباطی را از طریق فایروال برقرار کنند که برای آن ارتباط یک permit وجود داشته باشد. بنابراین اگر در اینترفیس ASA از ACL استفاده کنید دیگر جریان ترافیک براساس security level کنترل نمی شود و کنترل براساس ACL انجام می شود که از بالا به پایین لیست ACL اینکار انجام می شود و همچنان بازرسی stateful انجام می گیرد تا اجازه بازگشت ترافیک را بدهد.
به طور خلاصه ، هر چیزی که شما در مورد ACL در آموزش های قبلی یاد گرفتید مشابه ACL در ASA است و تنها تفاوت بزرگ عدم استفاده از wildcard masks است.


نویسنده :جعفر قنبری شوهانی
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
برچسب ها
ردیف عنوان
1 انواع Mode های ASA فایروال
2 تنظیم کردن ASA فایروال توسط ASDM
3 Security Level در ASA فایروال
4 Global ACL در ASA فایروال
5 Transparent Firewall یا فایروال لایه دو چیست؟ و عملکرد آن چگونه است !
6 Routed Mode در فایروال سیسکو چیست ؟
7 Stateful Packet Filtering چیست؟ و چرا در فایروال از اهمیت ویژه ای برخوردار است؟
8 static packet filtering چیست؟ مزایا و معایب برای استفاده در فایروال
9 application inspection firewall چیست؟
10 transparent firewall یا فایروال لایه دو چیست ؟
11 معرفی فایروال سیسکو (ASA) و قابلیت های آن
12 نحوی جریان ترافیک در فایروال سیسکو
13 Packet Filtering در فایروال سیسکو ASA
14 Modular Policy Framework در فایروال سیسکو چیست؟
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید