• پایان فعالیت بخشهای انجمن: امکان ایجاد موضوع یا نوشته جدید برای عموم کاربران غیرفعال شده است

فایروال سیسکو

h50c

کاربر تازه وارد
تاریخ عضویت
28 ژوئن 2015
نوشته‌ها
5
لایک‌ها
2
سن
29
فایروال شرکت سیسکو با نام Adaptive Security Appliance) ASA) تولید می شود که علاوه بر امکانات فایروال ، قابلیت های فراوانی را برای ما مهیا می سازد.
d76dcb1b51414b3c8d5a1cc267706fb4



فایروال ها وظیفه محافظت از شبکه داخلی را در برابر دسترسی غیر مجاز از بیرون شبکه دارند. علاوه بر این فایروال ها می توانند محافظت بخش های مختلف شبکه را نسبت به هم تامین کنند به طور مثال منابع شبکه را از کاربر شبکه جدا کنیم. همچنین فایروال امکان دسترسی به برخی از سرویس ها مانند وب که نیاز به ایجاد دسترسی برای کاربران خارج شبکه است را فراهم می کند به این صورت که سرورهای مربوطه را در یک شبکه جداگانه تحت عنوان Demilitarized Zone) DMZ) قرار می دهیم و توسط فایروال امکان دسترسی محدود از طریق محیط خارج از شبکه را به DMZ می دهیم. با اینکار یک محیط ایزوله ایجاد کرده ایم و در صورتی که حمله به این سرورها صورت گیرد فقط این سرورها تحت تاثیر قرار می گیرد و سرورهای داخلی از این حمله در امان هستند. علاوه بر این می توانید دسترسی کاربران به شبکه خارجی (مانند اینترنت) را نیز کنترل کنید مثلا به چه آدرس ها و سایت هایی دسترسی داشته باشند.
زمانی که بحث استفاده از فایروال در شبکه پیش می آید شبکه خارجی در مقابل فایروال است و شبکه داخلی و DMZ پشت فایروال قرار می گیرند و توسط آن محافظت می شوند و تنها اجازه دسترسی محدود به کاربران خارج از شبکه را به محیط DMZ می دهد. فایروال ASA دارای چندین اینترفیس است که می توان برای هر کدام آن سیاست های خاص خودش را در نظر گرفت. حتی شما می تواند چند شبکه داخلی ، DMZ و یا چند شبکه خارجی داشته باشید.
1d02749d17ff449eab11e3cb7249aa36



ASA در دو Mode یا حالت Transparent و Routed کار می کند. در مقاله قبلی با عملکرد فایروال در حالت Transparent آشنا شدیم و در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Routed Mode را بررسی کنیم. Routed Mode :

به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.
در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.024 ، اینترفیس 1 به نام inside به شبکه 192.168.200.024 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.
3a569b7f0cb94154928450123efcc575



پیاده سازی ASA در حالت Routed :

زمانی که فایروال ASA را برای اولین بار در شبکه قرار می دهیم باید توپولوژی شبکه را نسبت به آن تغییر دهیم به این صورت که در هر سمت اینترفیس های ASA باید یک Subnet متفاوت داشته باشیم همانند یک روتر. به طور مثال ما یک شبکه با یک subnet داریم برای اینکه از ASA استفاده کنیم حداقل این شبکه را به دو Subnet باید تقسیم کنیم مثلا در یک سمت کلاینت ها و در سمت دیگر سرور ها را قرار می دهیم.
این تغییر توپولوژی با عث می شود که نصب ASA در حالت Routed را با مشکل مواجه کند چون نیاز به تغییرات در سیستم آدرس دهی شبکه دارد. ساده ترین حالت این است که IP کلاینت ها و دستگاه هایی که از اهمیت زیادی برخوردار نیست را تغییر ندهیم و آنها را به عنوان یک Subnet در نظر بگیریم و IP دستگاه هایی که نیاز به محافظت دارند را تغییر و در یک Subnet قرار دهیم زیرا معمولا تعداد این دستگاه ها کمتر است و IP دستگاه های کمتری را تغییر می دهیم.
حالت دیگر این است که می خواهیم فروش فایروال سیسکو را بین شبکه داخلی و اینترنت قرار دهیم. در این حالت تنها کافیست IP فعلی مودم (Gateway) را به ASA اختصاص دهیم و برای مودم یک IP در یک Subnet جدید در نظر بگیریم.
علاوه بر اختصاص IP برای هر اینترفیس از یک Subnet باید یک نام و یک عدد تحت عنوان Security Level برای آن در نظر بگیریم این عدد که می تواند بین صفر تا صد باشد و مشخص کننده نحوی ارتباطات بین اینترفیس ها می باشد. به طور مثال یک اینترفیس Security Level صفر و دیگری Security Level صد دارد ترافیک از Security Level بالاتر اجازه ورود به Security Level پایین تر را دارد ولی برعکس آن امکان پذیر نیست مگر اینکه ما آنرا مجاز کنیم.
نکته : در صورتی که نام Inside را برای یک اینترفیس در نظر بگیرد به صورت پیش فرض مقدار Security Level برابر 100 خواهد شد و اگر نام Outside را برای آن در نظر بگیرید مقدار Security Level برابر 0 خواهد شد.

  • نکته : اگر دو اینترفیس دارای Security Level برابر باشند به صورت پیش فرض بین آنها ترافیک اجازه عبور ندارد.
  • نکته : به صورت پیش فرض ASA در حالت Routed کار می کند.

aad16c21c3744be2abfaacf5a2cf2bc4



برای عمل Routing با توجه به اینکه در Routed Mode انتقال ترافیک براساس IP مقصد بسته ها صورت می گیرد می توان از Static Route یا Dynamic Route استفاده کرد.

  • نکته مهم : در حالت Routed Mode می توانیم از تمام امکانات فایروال استفاده کنیم
 
بالا