مقایسه بین IOS Firewall و ASA Firewall سیسکو

در سزمان IT همیشه جر و بحث بر سر موارد مختلف بین حرفه ای های این حوزه وجود داشته است ، مسائلی از قبلی اینکه ویندوز بهتر است یا لینوکس ، کارت گرافیک NVIDIA بهتر است یا ATI ، پردازنده اینتل بهتر است یا AMD و در نهایت در حوزه سیسکو IOS Firewall بهتر است یا Cisco ASA همیشه بوده و خواهد بود. به غیر از بحث مالی در این قسمت همیشه فلسفه مهندسی مهمترین دلیل برای اتخاذ تصمیم برای انتخاب بین یکی از این موارد بوده است. برخی از متخصصین اعتقاد دارند که بهتر است یک دستگاه هم کار Routing و هم کار Security را برای شبکه انجام دهد و برخی دیگر از متخصصین اعتقاد دارند بهتر است برای مسائل امنیتی از تجهیزات ویژه کار امنیت استفاده شود. همه این تصمیمات در نهایت هیچکدام تعیین کننده بهترین راهکار برای شبکه شما نخواهد بود و بهترین راهکار برای شبکه شما تصمیمی است که خود شما بر مبانی دلایل و مستندات اتخاذ می کنید.

امروزه تقریبا همه IOS های Router های سیسکو قابلیت Zone-Based Firewall را به همراه قابلیت CBAC در کنار هم دارند و همین مورد باعث شده است که IOS Firewall تقریبا چیزی از ASA کم نداشته باشد. تفاوت اصلی در این قسمت پیش می آید که در IOS Firewall بر اساس مبنای کاری Router همه ترافیک به Untrusted Interface ها بصورت پیشفرض در حالت Allow قرار دارد و این ماهیت کاری یک Router است که باید عملیات مسیریابی را انجام دهد ، این در حالی است که در ASA همانند همه فایروال های دنیا پیشفرض Rule اصلی ما در حالت Deny All Traffic قرار دارد و این یعنی اینکه بصورت پیشفرض Router در حالت مسیریابی همه ترافیک ها را عبور می دهد اما ASA همه ترافیک ها را تا ایجاد کرده Rule های مربوطه Block می کند. در نتیجه شما باید IOS روتر را قبل از اینکه در حالت firewall داشته باشید به درستی پیکربندی امنیتی یا Hardening کنید و بعد در مدار قرار دهید. یکی از مزایایی که به ASA اطلاق می شود کارایی و سرعت بالا است ، توجه کنید که وظیفه ASA فقط امنیت است و چون فقط همینکار را انجام می دهد طبیعی است که سرعت بالایی داشته باشد ، برعکس آن شما در IOS Firewall علاوه بر اینکه پارامترهای فایروال را دارید ممکن است از Dynamic Routing نیز استفاده کنید که باعث بالا رفتن Load کاری روی Router می شود.

یکی از مزایای بسیار خوبی که در ASA وجود دارد قابلیتی به نان Transparent Mode می باشد ، در این حالت فایروال در واقع در نقش یک Bridge لایه دوم فعالیت می کند و به همین دلیل در مسیر ارتباطی به عنوان یک Hop شناخته نمی شود ، این حالت ASA پیکربندی و پیاده سازی این دستگاه را به نسبت ساده تر کرده است زیرا شما دیگر نیازی به پیکربندی Routing و یا تنظیمات پیچیده NAT نخواهید داشت زیرا تمامی این موارد در لایه سوم انجام می شود و ASA در لایه دوم با حالت Transparent کار می کند. این حالت باعث مبهم تر شدن نمود فایروال در مسیر شبکه می شود و از نظر امنیتی ابهام برای مهاجمین خارج از شبکه یک پارامتر مثبت امنیتی محسوب می شود.

Router های سری ۸۰۰ از کارت های ۳G پشتیبانی می کنند و استفاده از این نوع کارت ها باعث ارائه شدن راهکارهای بهتری برای استفاده در ساختار شعبات یا Branch ها ایجاد می کند ، راهکارهایی که در مدل های ASA 5505 نمی توان پیدا کرد.استفاده از ماژول ۳G در Router ها باعث به وجود آمدن Fault Tolerance در بین لینک های ارتباطی می شود و زمانیکه یکی از لینک های شما قطع شود بلا فاصله روتر روی لینک دوم سویچ خواهد کرد ، هنوز مدل ای از ASA اراده نشده است که به خوبی بتواند ماژول های ۳G را پشتیبانی کند و با آن سازگار باشد. هر دوی دستگاه ها ، چه Router ها و چه ASA ها از High Availability Cluster ها پشتیبانی می کنند و این یعنی اینکه اگر دو عدد دستگاه در آن واحد استفاده می کنید و یکی از آنها Fail می شود سیستم قادر است بر روی دستگاه بعدی کار را ادامه دهد ، البته به این موضوع هم توجه کنید که در بیشتر از ۹۰ درصد موارد مشکلات مربوط به خود دستگاه نیست و Downtime های پیش آمده مربوط به خود سرویس دهنده اینترنتی یا ISP می باشد.

زمانیکه صحبت از یک شبکه واقعا Enterprise می شود که دارای چندین Site است که با یکدیگر شبکه شده اند ، یکی از مهمترین مسائلی که پیش می آید و شما باید به آن توجه کنید قابلیت ها و پیچیدگی های مربوط به VPN هایی است که برای ارتباط بین این شعبات یا سایت ها استفاده می کنید .در این خصوص قابلیت های سیسکو ASA برخلاف انتظاراتی که از آن می رود کمی محدود است ، اگر شما قابلیت های پیشرفته ای از VPN مانند DMVPN یا GET VPN را می خواهید شاید استفاده از IOS Router تنها گزینه شما باشد. البته درست است که بصورت پیشفرض ASA ها سرعت بیشتری در برقراری ارتباطات VPN از خود نشان می دهند اما اگر بخواهید واقعا کارایی VPN خود در Router ها را ارتقاء دهید بایستی یکی از ماژول بورد های AIM-VPN را بر روی ASA خود سوار کنید تا تعداد IPsec Tunnel ها و SSL Session های شما را بالا ببرد.

اگر به دنبال IPS می گردید ، هر دو دستگاه جوابگوی کار شما هستند. IOS Router ها ماژول های IPS AIM و IPS NME را دارند که بر روی روتر می توانند عملیات های مربوط به Inspection را انجام دهند اما به مرور زمان کارایی خود را از دست می دهند با توجه به زیاد شدن ترافیک روتر و همزمانی عملیات Inspect و Routing کارایی روتر شما به شدت کاهش پیدا می کند و روتر شما نیازمند منابع سخت افزاری بیشتری خواهد شد. این دو ماژول می توانند در حدود ۳۰۰۰ Signature مختلف از انواع حملات را شناسایی کنند البته تا این زمانیکه ما در این مقاله صحبت می کنیم ، به نظر من اگر قرار است عملیات IPS یا همان Inspection را در سطح شعبات خود و دفاتر کاری کوچک انجام دهید می توانید از همین IOS Router و ماژول IPS آن استفاده کنید تا برای شما هزینه زیادی در پی نداشته باشد.

برای ASA ها شما برای اینکه بتوانید عملیات IPS و IDS را به خوبی انجام دهید نیازمند تهیه ماژول AIP هستید تا بتواند اینکار را برای شما انجام دهد ، هر چند IOS Router هم می تواند با یک سری قابلیت های نرم افزاری فرآیند های IPS را در خود شبیه سازی کند ، میزان و تعداد شناسایی های همزمان یا واکاوی های همزمان که به Simultaneous Inspection معروف است در IOS Router ها کاملا به میزان DRAM ای دارد که بر روی این Router ها نصب شده است. برای مثال با یک DRAM 128 مگابایتی شما می توانید تا ۲۵۰ عدد Signature را شناسایی کنید و با ۲۵۰ مگابایت DRAM می توانید ۵۰۰ عدد Signature را شناسایی کنید. البته قطعا این روش نرم افزاری قابل مقایسه با هزاران Signature ای نیست که ماژول های AIM در اختیار شما قرار می دهند اما به هر حال کاچی به از هیچی است و استفاده از قابلیت های فعلی یک سخت افزار در حد معقول بهتر از استفاده نکردن از آن است.

نتیجه گیری

اگر می خواهید از یک Appliance برای حفاظت کردن از شبکه ای که در Edge قرار گرفته است یا سرویس های عمومی ارائه می دهد و یا اینکه در یک DMZ قرار گرفته است استفاده کنید و ترافیک را به خوبی واکاوی یا Inspect کنید بهترین گزینه شما قطعا ASA خواهد بود. اما اگر ساختار شبکه شما به گونه ای است که تعداد شعبات زیادی دارید که هر کدام به ندرت و یا با ترافیک کمی با همدیگر ارتباط برقرار می کنند و مدیریت غیر متمرکزی در این میان وجود دارد ، بهتر است از چیزی مثل DMVPN ای که در سری روتر های ۲۸۰۰ هم وجود دارد استفاده کنید و براحتی IPsec Tunnel ها و SSL های خود را در میان شعبات برقرار کنید. سعی کنید تا حد امکان از بروز پیچیدگی در شبکه خود جلوگیری کنید و تنوع دستگاه های خود را تا حد امکان برای مسائل امنیتی کاهش دهید ، این امر برای ساده تر شدن مدیریت شبکه است و هر چقدر شما تنوع و تعداد دستگاه های خود را بالاتر ببرید طبیعتا پیچیدگی شبکه شما هم بیشتر خواهد شد. البته این مقاله با توجه به جستجو های انجام شده و تجریبات شخصی بنده نوشته شده است ، خوشحال می شویم از نظرات و انتقادات شما دوستان عزیز نیز استفاده کنیم.

منبع : انجمن تخصصی فناوری اطلاعات ایران

664
۰
۲۲ خرداد ۹۳

فرزانه تقدیسی

کارشناس ارشد هوش مصنوعی – پس از اتمام دوره Elastix & MCSE & CCNA & CCNP و اخذ مدارک بین المللی در این حوزه مشغول به کار شدم