اشنایی با Cisco ASA – قسمت اول

Firewallچیست ؟
زمانیکه در مورد Firewall حرف می زنیم , Firewall را یک سخت افزار و یا نرم افزارفرض می کنیم که در درون شبکه قرار دارد و کار آن کنترل ترافیکی است که بین Segment های مختلف در حال عبور است.مانند Firewall ای که در شکل زیر می بینیم .
که به این نوع Firewall , Network-based firewall گویند.Firewall خود می تواند بر روی یک سیستم مستقل اجرا شود مانند Microsoft Internet Connection Firewall(ICF) که در این مورد آنها را به Host-based firewall می شناسند.هر دو این Firewall ها اساس کار یکسانی دارند.اساس کار Firewall ها فراهم آوردن روشی برای پیاده سازی Access Control Policy (کنترل سیاست های دسترسی) در شبکه است.

به زبان ساده ترFirewall یک نقطه ای در شبکه است که سیاست های دستیابی به منابع سازمان در آنجا تعریف می شود و اجازه دسترسی به یک منبع و یا عدم دسترسی به آن منبع را می دهد. علاوه بر این کار Firewall از شبکه داخلی در مقابل شبکه خارجی محافظت می کند.
Firewall این اجازه را به ما می دهد که برای دسترسی به منابع شبکه یک سری نیازمنده ها تعریف کنیم و تضمین می کند تنها ترافیکی که دارای آن نیازمندی ها است قادر به عبور از شبکه ودسترسی به منابع خواهد بود.

۱٫۱خدماتی که یک Firewall می تواند انجام دهد :

Firewall ها هر کدام دارای یک سری قابلیت خاصی می باشند که با توجه به نیاز شبکه از آنها استفاده می شود.اما همه Firewall ها یک سری ویژگی های مشترک دارند.در زیر به بررسی بعضی از این ویژگی ها می پردازیم.
کنترل و مدیریت ترافیک وارد شونده و خارج شونده شبکه .
قرار گرفتن به عنوان یکintermediary (واسط) در شبکه.
حفاظت از منابع.
ضبط کردن و گزارش دادن وقایعی که در شبکه رخ داده است.

۱٫۱٫۱کنترول و مدیریت ترافیک وارد شونده و خارج شونده شبکه :

اولین کاری که در همه Firewall ها باید انجام شود مدیریت وکنترل ترافیکی است که برای وارد شدن به داخل شبکه و یا یک Host خاص مجاز اعلام شده است.
Firewall ها معمولآ این کار را با Inspect (بازرسی) کردن پکت ها و Monitor کردن Connection های ایجاد شده انجام می دهد.Packet inspection یک پردازشی است که در ان دادهای که در داخل Packet قرار گرفته پردازش و بازبینی می شود و مشخص می شود که این Packet می تواند وارد شبکه شود (Allow) یا باید از ورود ان جلوگیری شود(Deny) .
Packet inspection برای فیلتر کردن یک ترافیک می تواند به یکی و یا همه عناصر زیر نگاه کند:
IP آدرس مبدا
IP آدرس مقصد
پورت مبدا
پورت مقصد
اطلاعات Header که در packet قرار دارد.

۱٫۱٫۱قرار گرفتن به عنوان یکintermediary :

در این حالت Firewall همانند یک Proxy انجام وظیفه می کند.زمانیکه می خواهیم هنگام ارتباط یک Host داخلی با یک Host خارجی هویت Host داخلی پنهان باقی بماند از این روش استفاده می کنیم.
ترافیکی که قصد عبور از شبکه داخلی به خارج را دارد تحویل Proxy داده می شود Proxy داده دریافتی را باز کرده و یک سری تغییرات در ان انجام می دهد و بعد ترافیک را به مقصد تحویل می دهد .در زمان پاسخ هم Host موجود در شبکه خارجی پاسخ را به Proxy تحویل می دهد و دوباره داده دریافتی توسط Proxy برای تحویل دادن به Host داخلی تغییر پیدا می کند.
استفاده دیگری که از Proxy می شود برای url filtering می باشد.در این حالت کاربران داخلی قادر به مشاهده سایت های از پیش تعیین شده توسط Admin شبکه می باشند ویا Admin شبکه قادر خواهد بود دسترسی به یک سری سایت های خاص را محدود کند.Firewall در اینجا نقش Proxy را بازی می کند.

۱٫۱٫۱حفاظت از منابع:

حفاظت از منابع در مقابل تهدید ها از مهمترین کارهای است که یک Firewall درشبکه انجام می دهد.Firewall این کار را از طریق Access control rule و یا Packet insسacket inpctionrule که یک به یک سری سایت های خاص را محدود کند. شده توسط را به مقصد تحویل میدهد .در زمان پاسخ هم مدارای ان نیازpection انجام می دهد.
Access control rule ها قوانینی هستند که توسط Admin شبکه برای حفاظت منابع داخلی در Firewall تعریف می شود.
۱٫۱٫۲ضبط کردن و گزارش دادن وقایعی که در شبکه رخ داده است:

جلوگیری از همه تهدیدات به داخل شبکه امکان پذیر نیست .به این خاطر که هر روز تهدیدهای جدیدی به وجود می ایند و یا ممکن است پیکر بندی که روی Firewall انجام شده پیکربندی مناسب و کاملی نبوده باشد.پس باید راهی باشد تا زمانی که Firewall نتوانست از یک تهدید جلوگیری کند و یه اتفاق در شبکه رخ داد ما از آن مطلع شویم.بنابراین همه Firewall ها باید یک متدی برای ضبط کردن وقایق و رویدادها و گزارش دادن آنها به ما داشته باشند.Firewall ها روش ها مختلفی برای ارائه این رویداد ها دارند یکی از این روش ها Syslog است که در بخش های بعدی با پیکربندی ان آشنا می شویم.

۱٫۱Cisco Firewall Technology :

Firewall برای پیاده سازی امنیت در سطح شبکه از تکنولوژی های مختلفی استفاده می کنند .تکنولوژی هایی که در Firewall ها استفاده می شود به مرور زمان پیشرفته تر شدند .با ۴ نمونه از بهترین تکنولوژی هایی که Cisco firewall پشتیبانی می کند آشنا می شویم:
Packet filtering
Stateful firewall
Application firewall
Proxy firewall

Packet filtering : این تکنولوژی در اولین Firewall ها در سال ۱۹۸۰ وجود داشته اند.همانطور که از نام این تکنولوژی پیداست این تکنولوژی یک فیلتر بر سر راه Packet هایی که از Firewall عبور می کنند قرار می دهد.این فیلتر از یک سری قانون تشکیل شده است که معمولآتوسط Access list هایی که عبور ترافیک خاص را مجاز و یا غیر مجاز اعلام می کنند تشکیل شده است.Packet filtering در لایه ۳ (Network)و لایه ۴ (Transport) فعالیت می کند.چون Packet filtering در لایه ۳ و۴ مدل OSI کار می کند یکی از سریعترین تکنولوژی های Firewall هست.این ویژگی برای شبکه هایی مناسب است که نیازمند بازدهی بالایی هستند و در عین حال نیازمند بازرسی کمتری نسبت به ترافیک عبوری دارند .
چون Packet filtering در لایه ۳ و۴ کار می کند عملیات فیلترینگ فقط بر اساس اطلاعاتی که در این لایه ها وجود دارد می تواند انجام شود.فیلتری که توسط Access list در Firewall تعیین می شود قادر است به interface های Firewall اعمال شده وبا ترافیک وارد شونده و یا ترافیک خارج شونده مطابق Access list عمل کند.
Packet filtering به ما این اجازه را می دهد که با توجه به ویژگی های زیر ترافیک ها را محدود کنیم:
Source IP Address
Source port
Destination IP Address
Destination port
پروتکل های لایه Transport نظیر TCP,UDP
Stateful Firewall : این تکنولوژی در مقابل Packet filtering دارای عملکرد به مراتب بهتری است و کارایی بیشتری دارد.یک Stateful Firewall حالت (State) همه Connectionها را monitor می کند و این اطلاعات را در داخل یک Database که به آن State table می گویند نگه داری می کنند.این اطلاعات شامل بر قراری یک Connection , خاتمه یک Connection , RESET کردن یک Connection , و یا مذاکره برای برقراری یک Connection بین مبداء و مقصد است.
Application Firewall :دو تکنولوژی قبلی Data را فقط در لایه Network و transport بررسی می کند.
Application Firewall: همانطور که از نامش مشخص است داده ها را در لایه ۷ و یا لایه Application بررسی می کند.این تکنولوژی قادر است تا همه چیز را بررسی کند! از یک جمله که توسط کاربر در برنامه Word نوشته شده است گرفته تا آدرسی که در Web browser نوشته می شود و یک درخواست به Web server ارسال می کند.چون این روش محاسبات بسیار زیادی نسبت به Stateful firewall دارد .این تکنولوژی منابع بسیار زیادی از Firewall را اشغال می کند و نیاز به تجهیزات سخت افزاری خاصی در ASA دارد.
Proxy server : این تکنولوژی یک نوع خاصی از Application Firewall است استفاده ای که در گذشته ( وشاید حال) از Proxy server می شد برای کنترل ترافیک Web بوده است.در این حالت یک Proxy server در داخل شبکه قرار می گرفت و Client ها به گونه ای پیکربندی می شدند که درخواست های Web خود را به سمت proxy server بفرستند.و در این بین Proxy server با توجه به سیاست ها امنیتی که برایش تعین شده بود با درخواست ها رفتار می کرد.
Proxy لایه دومی از امنیت را به شبکه اضافه می کند.در این حالت Proxy server دقیقآ بین مبدا و مقصد قرار می گیردو کاربر شبکه داخلی هیچگاه مستقیمآ با مقصد که معمولآ در اینترنت قرار دارد تبادل اطلاعات نمی کند .بدیهی است هنگام پاسخ از طرف مقصد ابتدا Packet به Proxy server داده می شود و مستقیمآ به مبدا داده نمی شود.تمام ترافیکی که از سمت مقصد به سمت مبدا پاسخ داده می شود ابتدا توسط Proxy server پایان می یابد و دوباره packet با Header های جدید ساخته می شود و به سمت مبدا فرستاده می شود.
نویسنده : احمد یزدانی
به نقل از انجمن تخصصی شبکه

1,355
۰
۲۵ خرداد ۹۳
برچسب ها :

فرزانه تقدیسی

کارشناس ارشد هوش مصنوعی - پس از اتمام دوره Elastix & MCSE & CCNA & CCNP و اخذ مدارک بین المللی در این حوزه مشغول به کار شدم