Skip to Content

آرشیو

فایروال چگونه کار می کند؟

فایروال چگونه کار می کند؟

فايروال

فایروال چگونه کار می کند؟ در صورتيکه تاکنون مدت زمان کوتاهی از اينترنت استفاده کرده باشيد و يا در يک اداره  مشغول بکار هستيد که بستر لازم برای دستيابی به اينترنت فراهم شده باشد،  احتمالا” واژه  ” فايروال ” را  شنيده ايد. مثلا” اغلب گفته می شود که : ” در اداره ما امکان استفاده از اين سايت وجود ندارد ، چون سايت فوق را از طريق فايروال بسته اند ” .  در صورتيکه از طريق خط تلفن به مرکز ارائه دهنده خدمات اينترنت (ISP) متصل و  از اينترنت استفاده می نمائيد ، امکان استفاده  فايروال توسط ISP مربوطه نيز وجود دارد. امروزه در کشورهائی که دارای خطوط ارتباطی با سرعت بالا نظير DSL و يا مودم های کابلی می باشند ، بهه کاربران خانگی توصيه می گردد که هر يک از فايروال استفاده نموده و با استقرار لايه فوق بين شبکه داخلی در منزل و اينترنتت ، مسائل ايمنی را رعايت نمايند. بدين ترتيب با استفاده از يک فايروال می توان يک شبکه را در مقابل عمليات غير مجاز توسط افراد مجاز و عمليات مجاز توسط افراد غيرمجاز حفاظت کرد.

فایروال چگونه کار می کند؟

فایروال چگونه کار می کند؟

فايروال چيست ؟

فايروال نرم افزار و يا سخت افزاری است که اطلاعات ارسالی از طريق  اينترنت  به شبکه خصوصی و يا کامپيوتر شخصی را فيلتر می نمايد. اطلاعات فيلترشده ، فرصت توزيع  در شبکه را بدست نخواهند آورد.

فرض کنيد، سازمانی دارای 500 کارمند باشد. سازمان فوق دارای ده ها کامپيوتر بوده که بر روی هر کدام يک کارت شبکه نصب شده و يک شبکه درون سازمانی ( خصوصی ) ايجاد شده است . سازمان فوق دارای يک يا چند خط اختصاصی ( T1 و يا T3 ) برای استفاده از اينترنت است . بدون استفاده از فايروال تمام کامپيوترهای موجود در شبکه داخلی، قادر به ارتباط با هر سايت و هر شخص بر روی اينترنت می باشند. کاربران مربوطه قادر به استفاده از برنامه هائی همچون FTP و يا Telnet بمنظور ارتباط مستقيم با افراد حقوقی و يا حقيقی موجود بر روی اينترنت می باشند. عدم رعايت مسائل ايمنی توسط پرسنل سازمان، می تواند زمينه دستيابی به اطلاعات موجود در شبکه داخلی را برای سارقين و متجاوزان اطلاعاتی اينترنت فراهم نمايد.

زمانيکه در سازمان فوق از فايروال استفاده گردد، وضعيت کاملا”  تغيير خواهد کرد. سازمان مربوطه می تواند برروی هر يک از خطوط ارتباطی اينترنت يک فايروال نصب نمايد.فايروال مجموعه سياست های امنيتی را پياده سازی می نمايد. مثلا” يکی از قوانين فوق می تواند بصورت زير باشد :

– تمام کامپيوترهای موجود در شبکه مجاز به استفاده از اينترنت می باشند ، فقط يک فرد مجاز به استفاده از سرويس FTP است و ساير پرسنل مجاز به استفاده از سرويس فوق نخواهند بود.

يک سازمان می تواند برای هر يک از سرويس دهندگان خود ( وب ، FTP،  Telnet و … ) قوانين مشابه تعريف نمايد. سازمان قادر به کنترل پرسنل  بهمراه  ليست سايت های مشاهده  خواهد بود.  با استفاده از  فايروال يک سازمان قادر به کنترل کاربران شبکه  خواهد بود .

فايروال ها بمنظور کنترل ترافيک يک شبکه از روش های زير استفاده می نمايند:

فيلتر نمودن بسته های اطلاعاتی . بسته های اطلاعاتی با استفاده ازتعدادی فيلتر، آناليز خواهند شد. بسته هائی که از آناليز فوق سربلند بيرون  آيند از فايروال عبور داده شده و  بسته ها ئی  که شرايط لازم را برای عبور از فايروال را نداشته باشند دور انداخته شده و از فايروال عبور نخواهند کرد.

سرويس Proxy . اطلاعات درخواستی از طريق اينترنت توسط فايروال بازيابی و در ادامه در اختيار  درخواست کننده گذاشته خواهد شد. وضعيت فوق در موارديکه کامپيوتر موجود در شبکه داخلی، قصد ارسال  اطلاعاتی را برای خارج از شبکه خصوصی  داشته باشند ، نيز صدق می کند.

بهينه سازی استفاده از فايروال

فايروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا” سفارشی نصب و پيکربندی کرد. در اين راستا امکان اضافه  و يا حذف فيلترهای متعدد بر اساس شرايط متفاوت وجود خواهد داشت  :

آدرس های IP . هر ماشين بر روی اينترنت دارای يک آدرس منحصر بفرد با نام IP است . IP يک عدد 32 بيتی بوده که بصورت چهار عدد دهدهی که توسط نقظه از هم جدا می گردند نمايش داده می شود (Octet) . در صورتيکه يک آدرس IP خارج از شبکه، فايل های زيادی را از سرويس دهنده می خواند ( ترافيک و حجم عمليات سرويس دهنده را افزايش خواهد داد) فايروال می تواند ترافيک از مبداء آدرس فوق و يا به مقصد آدرس فوق را بلاک نمايد.

اسامی دامنه ها ( حوزه ) . تمام سرويس دهندگان بر روی اينترنت دارای اسامی منحصر بفرد با نام ” اسامی حوزه”  می باشند. يک سازمان می تواند با استفاده از فايروال، دستيابی به سايت هائی را غيرممکن  و يا صرفا” امکان استفاده از يک سايت خاص را برای پرسنل خود فراهم نمايد.

پروتکل ها . پروتکل نحوه گفتگوی بين سرويس دهنده و سرويس گيرنده را مشخص می نمايد . پروتکل های متعدد با توجه به اهداف گوناگون در اينترنت استفاده می گردد. مثلا”  http  پروتکل وب و Ftpp پروتکل مربوط به دريافت و يا ارسال فايل هاا است . با استفاده از فايروال می توان، ميدان  فيلتر نمودن را  بر روی  پروتکل ها متمرکز کرد.   برخی از پروتکل های رايج که می توان بر روی آنها فيلتر اعمال نمود بشرح زير می باشند :

§       IP)Internet Protocol) پروتکل اصلی برای عرضه اطلاعات بر روی اينترنت است .

§       TCP)Transport Control Protocol ) مسئوليت تقسيم يک بسته اطلاعاتی به بخش های کوچکتر را دارد.

§       HTTP)Hyper Text Transfer Protocol) . پروتکل فوق برای عرضه  اطلاعات در وب است.

§       FTP)File Transfer Protocol) . پروتکل فوق برای دريافت و ارسال فايل ها استفاده می گردد.

§       UDP)User Datagram Protocol) . از پروتکل فوق برای اطلاعاتی که به پاسخ نياز ندارند استفاده می شود( پخش صوت و تصوير)

§       ICMP)Internet control  Message Protocol). پروتکل فوق توسط روترها و بمنظور تبادل اطلاعات فی المابين استفاده می شود.

§       SMTP)Simple Mail Transfer Protocol) . از پروتکل فوق برای ارسال e-mail استفاده می گردد.

§       SNMP)Simple Network  Management Protocol).از پروتکل فوق بمنظور اخذ  اطلاعات از يک کامپيوتر راه دور استفاده  ميشود

§       Telnet . برای اجرای دستورات بر روی يک کامپيوتر از راه دور استفاده می گردد.

پورت ها . هر سرويس دهنده ، خدمات مورد نظر خود را با استفاده از پورت های شماره گذاری شده بر روی اينترنت ارائه می دهد. مثلا” سرويس دهنده وب اغلب از پورت 80 و سرويس دهنده Ftp از پورت 21 استفاده می نمايد.  يک سازمان ممکن است با استفاده از فايروال امکان دستيابی به پورت 21 را بلاک نمايد.

کلمات و عبارات خاص . می توان با استفاده از فايروال کلمات و يا عباراتی را مشخص نمود تا امکان کنترل بسته های اطلاعاتی حاوی کلمات و عبارات فراهم گردد. هر بسته اطلاعاتی  که حاوی  کلمات مشخص شده  باشد  توسط فايروال بلاک خواهد شد.

همانگونه که اشاره شد فايروال ها به  دو صورت نرم افزاری وسخت افزاری استفاده می گردند.فايروال های نرم افزاری بر روی کامپيوتری نصب می گردند که خط اينترنت به آنها متصل است .کامپيوتر فوق بمنزله يک Gateway رفتار می نمايد چون تنها نقطه قابل تماس، بمنظور ارتباط کامپيوتر و اينترنت است . زمانيکه فايروال بصورت سخت افزاری در نظر گرفته شود ، تمام بخش فوق بصورت Gateway خواهد بود.  امنيت فايروال های سخت افزاری بمراتب بيشتر از فايروال های نرم افزاری است .

تهديدات

حمله کنندگان به شبکه های کامپيوتری از روش های متعددی استفاده می نمايند.

Remote Login .  امکان برقراری ارتباط با کامپيوتر و کنترل آن توسط فرد غيرمجاز است .  دامنه عمليات فوق می تواند از مشاهده و دستيابی به برخی از فايل ها تا اجرای برخی برنامه ها بر روی کامپيوتر باشد.

Application Backdoors . برخی از برنامه ها دارای امکانات ويژه ای برای دستيابی از راه دور می باشند. برخی ديگر از برنامه ها دارای اشکالاتی بوده بگونه ای که يک Backdoor را ايجاد و يا امکان دستيابی مخفی را ارائه می دهند. در هر حالتت امکان کنترل برنامه فراهم خواهد گرديد.

SMTP session hijacking . پروتکل SMTP رايج ترين روش برای ارسال e-mail است . با دستيابی به ليستی از آدرس های e-mail ، يک شخص قادر به ارسال e-mail به هزاران کاربر ديگر خواهد شد.

اشکالات سيستم های عامل . سيستم های عامل نظير ساير برنامه های کاربردی ممکن است دارای Backdoor باشند.

انفجار E-mail . يک شخص قادر به ارسال صدها و هزاران e-mail مشابه در مقاطع زمانی متفاوت است . با توجه به وضعيت فوق سيستم پست الکترونيکی قادر به دريافت تمام نامه های ارسالی نخواهد بود.

ماکرو. اغلب برنامه های کاربردی اين امکان را برای کاربران خود فراهم می نمايند که مجموعه ای از اسکريپت ها را بمنظور انجام عمليات خاصی نوشته و نرم افزار مربوطه آنها را اجراء نمايد. اسکريپت های فوق ” ماکرو ” ناميده می شوند. حمله کنندگان به شبکه های کامپيوتری با آگاهی از واقعيت فوق، اقدام به ايجاد اسکريپت های خاص خود نموده که با توجه به نوع برنامه ممکن است داده ها را حذف  و يا باعث از کار افتادن کامپيوتر گردند.

ويروس . رايج ترين روش جهت آسيب رساندن به اطلاعات، ويروس است . ويروس يک برنامه کوجک است که قادر به تکثير خود بر روی کامپيوتر ديگر است . عملکرد ويروس ها بسيار متفاوت بوده و از اعلام يک پيام ساده  تا حذف تمام داده ها  را میی تواند شامل گردد.

سرويس دهنده Proxy

سرويس دهنده Proxy اغلب با يک فايروال ترکيب می گردد. سرويس دهنده Proxy بمنظور دستيابی به صفحات وب توسط ساير کامپيوترها استفاده می گردد. زمانيکه  کامپيوتری درخواست يک صفحه وب را می نمايد،  صفحه مورد نظر توسط سرويس دهنده Proxy بازيابی و در ادامه برای کامپيوتر متقاضی ارسال خواهد شد. بدين ترتيب تمام ترافيک ( درخواست و پاسخ ) بين درخواست کننده يک صفحه وب و پاسخ دهنده از طريق سرويس دهنده Proxy انجام می گيرد.

سرويس دهنده Proxy می تواند کارائی استفاده از اينترنت را افزايش دهد. پس از دستيابی  به يک صفحه وب ،  صفحه فوق بر روی سرويس دهنده Proxy  نيز ذخيره (Cache) می گردد. در صورتيکه در آينده قصد استفاده از صفحه فوق را داشته باشيد  صفحه مورد نظر از روی سرويس دهنده Proxy در اختيار شما گذاشته می شود( الزامی به برقراری ارتباط مجدد و درخواست صفحه مورد نظر نخواهد بود)

 

ادامه مطلب

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

۱۰ ویژگی مهمی که در خرید یک دستگاه فایروال باید به دنبال آن باشید چیست؟

نکات کلیدی در خرید فایروال: فایروال ها نقش بسیار مهمی در شبکه ها ایفا میکنند. آنها شبکه را در برابر لیستی پایان ناپذیر از تهدیدات ایمن میکنند و دسترسی های خراب کاران را محدود میکنند. بسیاری از آنها بوسیله پروتکل های خاص ارتباطی، امکان ارتباط ایمن مراکز مختلف با یکدیگر را فراهم میکنند.

ما در این مقاله ۱۰ نکته ای که شما در هنگام خرید فایروال باید در نظر بگیرید یادآوری میکنیم:

 

  • ایمنی در سطح مناسب

بسیاری از شرکت های دنیا، اعم از خارجی و داخلی، در حال تولید دستگاه های یو تی ام و فایروال هستند. تمامی آنها ادعاهایی در مورد ویژگی های دستگاه های خود دارند. بر اساس ویژگی های دستگاه ها و قابلیت های امنیتی آنها، مدل های مختلفی عرضه میشوند که ویژگی های متفاوتی دارند.

شما میبایست مطمئن شوید که ویژگی هایی که انتخاب میکنید تمامی نیازهای شبکه شما را پوشش دهد و استانداردهای بین المللی دستگاه ها را رعایت کنند. مرجع تمامی استانداردهای بین اللملیICSA(Industry Standards for Packet Inspection) میباشد. این استاندارد مخفف “استاندارهای صنعت برای بررسی پکت ها” میباشد.

 

  • قابلیت دسترسی از طریق رابط کاربری

بسیاری از دستگاه ها بر مبنای سیستم های نوشتاری دستور (Command-Line-only) طراحی شده اند که کار را برای بسیاری از متخصصین سخت میکند. مطمئن شوید که دستگاهی که تهیه میکنید از رابط کاربری استاندارد و مناسبی برخوردار است. بسیاری از دستگاه ها تلاش میکنند که دستگاهی با رابط کاربری آسان و کاربرپسند ارائه دهند. این قابلیت فواید بسیاری دارد. از جمله آنها اجتنباب از اشتباهات در حین تنظیمات و نصب است. همچنین رابط کاربری آسان باعث میشود که خطاها و مشکلات سریعتر شناسایی و رفع شوند، کاربران سیستم و مدیران راحت تر و سریعتر آموزش ببینند، و تغییرات درون شبکه سریعتر اتفاق بیفتد.

 

  • پشتیبانی از VPN

یکی از مهم ترین ویژگی های دستگاه های فایروال ایجاد بستر ارتباطی بر اساس تونل ایمن است که هکرها و کاربران نامعتمد را از شبکه دور میکند. یک فایروال خوب میتواند یک شبکه مجازی ایمن ایجاد کند و آن را به طور کامل مانیتور نماید. در صورتیکه ارتباط ایمن بین مراکز برای شما مهم است، حتما به دنبال دستگاه ای باشید که کانال های SSL و IPSec را ساپورت کنند.

 

  • قدرت پشتیبانی از پهنای باند بالا

در برخی از شبکه ها، فایروال ها تنها برای مباحث امنیتی و کنترل پورت ها استفاده میشود. برخی دیگر از ویژگی های سوئیچینگ و روتینگ دستگاه ها نیز استفاده میکنند و به عنوان Internet Gateway از آن استفاده میکنند. بدیهی است نیاز سخت افزاری در هریک از این دستگاه ها متفاوت بوده و میبایست دستگاه هایی متناسب با نیاز شبکه تهیه کرد.

 

  • ساپورت مناسب

مطمئن شوید که دستگاهی که تهیه میکنید، دارای ساپورت ۲۴ ساعت و هفت روزه هفته است. وقتی یک دستگاه جدید و گران قیمت است، این اصلا بدان معنی نیست که شما مشکلی با آن نخواهید داشت. در هنگام خرید دستگاه ها دقت نمایید که از کیفیت خدمات پس از فروشی که از فروشند دریافت میکنید آگاه گردید.

 

  • سیستم بی سیم ایمن

در بسیاری از موارد ، سرویس های بی سیم در سازمان ارائه نمیشوند و خیلی از کارشناسان IT تمایلی به داشتن دستگاه هایی که قابلیت کنترل سیستم بی سیم را داشته باشند احتیاجی ندارند. ولی تهیه این قابلیت این امکان را به کارشناسان میدهد که در صورت نیاز به این قابلیت، مثلا در هنگامیکه سرویس اینترنت بی سیم به مهمان ها ارائه میشود، این امکان را با چند تغییر ساده در ساختار شبکه و بدون هزینه اضافی در اختیار داشته باشند.

 

  • ایمنی در Gateway

داشتن قابلیت هایی نظیر آنتی ویروس مرکزی، آنتی اسپم، Spyware، و غیره، میتواند تا حد زیادی نیاز شبکه به پراکندگی این سرویس ها در سرورهای مختلف و یا حتی خارج از شبکه را حل نماید.

 

  • فیلترینگ محتوا

در حالیکه بسیاری از کارشناسان شبکه، فیلترینگ محتوا را بوسیله ابزارهایی نظیر OpenDNS انجام میدهند، برخی تولید کنندگان فایروال و یو تی ام این قابلیت ها را در دستگاه های خود قرار داده اند. مزیت این روش این است که تمامی سرویس هایی که در شبکه شما نیاز است، از Gateway Security تا Content Filtering در یک دستگاه جمع شده اند. تنها نکته این دستگاه ها قیمت بیشتر آنها نسبت به سایر دستگاه ها خواهد بود.

 

  • مانیتورینگ پیشرفته و گزارش گیری یکپارچه

تعداد گزارشات و لاگ هایی که یک دستگاه فایروال در طی یک روز تولید میکند بسیار زیاد است. در یک روز کاری، یک دستگاه فایروال هزاران حمله نفوذ را شناسایی و بلاک میکند، ویروس ها و بدافزارها را شناسایی میکند و تعداد زیادی اتصالات موفق و ناموفق را مدیریت و ثبت میکند. اما این اطلاعات تنها زمانی مفید هستند که در یک سیستم جامع و گویای گزارش گیری ارائه شوند.

شما باید به دنبال دستگاهی باشید که گزارشات دقیق، گویا و کاربردی تولید و ارائه میدهند. یک فایروال خوب میبایست سیستم ایجاد و ارسال ایمیل در مواقع هشدار را نیز پشتیبانی کند.

 

  • قابلیت Failover

بعضی سازمان ها نیازمند قابلیت Failover هستند. این قابلیت به دستگاه ها اجازه میدهند که بصورت رزرو در کنار یکدیگر کار کرده و در صورتیکه، به هر دلیلی، یکی از آنها از مدار خارج شد، دیگری وارد مدار شده و ادامه فعالیت بدون هیچگونه خللی ادامه یابد. بسیاری از دستگاه های فایروال قابلیت Automatic Failover را پشتیبانی نمیکنند. پس اگر قصد خرید یک دستگاه را دارید و این قابلیت برای شما مهم است، حتما در بین ویژگی های آن این مطلب را جستجو کنید.

 

 

ادامه مطلب

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall ، پاسخگوی نیازهای امنیتی متفاوتی در سازمانهای مختلف می باشند . مدیران امنیت شبکه  با توجه به نیاز شبکه تحت مدیریتشان می توانند  UTM فایروال سایبروم مورد نیاز خود را با انتخاب لایسنس مستقل یا بصورت راه اندازی کنند  .

 

وقتی که شما قصد خرید یک فایروال سایبروم را دارید در واقع در ایتدا شما قیمت یک دستگاه سخت افزاری را خواهید گرفت که دارای برخی از امکانات محدود فایروال می باشد . در امکانات اولیه فایروال سایبروم ، شما گزینه هائی مانند :

–          تنظیمات مربوط به اینترفیس های شبکه و ایجاد شبکه های مخنلف

–          تنظیمات مربوط به رول های دسترسی Access Role  در بخش مربوط به فایروال

–          ایجاد کاربران ، گروهها و اعمال Policy های مربوط به آنها

–          ایجاد یک شبکه VPN و تنظیمات ارتباطی شبکه خصوصی مجازی

–          و برخی از امکانات دیگر

 

اما بخش مهمی که باید در راه اندازی یک فایروال سایبروم در شبکه به آن نیاز دارید این است که آیا در شبکه خود سروری یا سرویسی را دارید که نیاز به Publish  کردن آن در اینترنت باشد یا خیر ؟

آیا نیاز دارید که فایلهای ورودی و خروجی در شبکه شما را یک آنتی ویروس بررسی کرده و آلودگی ها را کنترل کند؟

اگر در سازمان خود از سرویسهای ایمیل استفاده می کنید آیا نیاز به آنتی اسپم در فایروال سایبروم دارید ؟

IPS بخش مهمی از امکانات هر فیروالی می باشد که این مورد نیز جزء لایسنسهای فایروال سایروم محسوب می شود .

 

بطور خلاصه اگر شما به امکانات نرم افزاری نیاز دارید  حتماً باید یکی از انواع لایسنس فایروال سایبروم را خریداری نمائید .

اگر قصد خرید فایروال سایبروم  را دارید می توانید  اشتراکهای یکساله ، دوساله و سه ساله لایسنس سایبروم را بصورت یکجا یا جداگانه بنابر نیاز امنیتی خود خریداری نمایند :
لایسنسهای جداگانه سایبروم :

  • لایسنس آنتی  ویروس و ضد بد افزار سایبروم (Antivirus and Antispyware)
  • لایسنس آنتی اسپم (AntiSpam)
  • لایسنس فیلترینگ وب و نرم افزارهای تحت اینترنت (Web and Application Filter)
  • لایسنس سیستم جلوگیری از نفوذ (IPS)
  • لایسنس فایروال نرم افزارهای تحت وب (Web Application Firewall)
  • لایسنس Outbound Anti-Spam
  • لایسنس پشتیبانی 5*8 یا 7*24

 

 

 

لایسنس های یکجا سایبروم (Cyberoam Bundled Subscription)

  • Security Value Subscription (SVS)

لایسنس فایروال سایبروم SVS پاسخگوی نیاز سازمانهایی است که نیازمند امنیت پست الکترونیکی (Mail Server Security) نمی باشند . لایسنس SVS شامل آنتی ویروس و آنتی بد افزار ، فیلترینگ وب و نرم افزارهای تحت اینترنت ، سیستم جلوگیری از نفوذ ، پشتیبانی 5*88 می باشد .

  • Total Value Subscription (TVS)

لایسنس فایروال سایبروم  TVSپاسخگوی نیاز سازمانهایی است که نیازمند امنیت جامع و کامل می باشند . لایسنس TVS شامل آنتی ویروس و آنتی بد افزار، آنتی اسپم ، فیلترینگ وب و نرم افزارهای تحت اینترنت ، سیستم جلوگیری از نفوذ ، پشتیبانی 5*88 می باشد .

  • Comprehensive Value Subscription (CVS)

لایسنس فایروال سایبروم  CVSپاسخگوی تمام نیازهای امنیتی سازمانهایی است که میزبان نرم افزارهای کاربردی تحت وب می باشند . لایسنس CVS شامل آنتی ویروس و آنتی بد افزار، آنتی اسپم ، فیلترینگ وب و نرم افزارهای تحت اینترنت ، فایروال نرم افزارهای تحت وب ، سیستم جلوگیری از نفوذ ، پشتیبانی 7*24 می باشد .

 

Security for varied network needs

Cyberoam meets the varying security needs of customers. Depending on their specific needs, customers can configure Cyberoam UTM appliances to secure their network with choice of individual and bundled security solutions.

Cyberoam security features that come with the UTM appliance at no extra cost

1 CRwi & CRwiNG range of Appliances only      2 Not supported by Cyberoam virtual network security appliances

Cyberoam security features can be subscribed to, individually or as bundles, and are available as 1 year, 2 year and 3 year subscriptions.

Individual Subscriptions

Bundled Subscriptions

Security Value Subscription (SVS) /Security Value Subscription Plus (SVSP) – This security bundle meets the needs of organizations with non-email security requirements. SVS includes Gateway Anti-Virus & Anti-Spyware, Web & Application Filter, Intrusion Prevention System, 8 x 5 Email, phone and chat Tech Support. SVSP covers these security services with 24×7 support.These bundled security offerings are available for CRia and CR NG series of network security appliances.

Total Value Subscription (TVS) / Total Value Subscription Plus (TVSP) – This security bundle offers total security to organizations along with email security. TVS includes Gateway Anti-Virus & Anti-Spyware, Anti-Spam, Web & Application Filter, Intrusion Prevention System, 8 x 5 Email, phone and chat Tech Support. TVSP covers these security services with 24×7 support. These bundled security offerings are available for CRia and CR NG series of network security appliances.

Comprehensive Value Subscription (CVS) – This security bundle meets the needs of organizations hosting web-facing applications. CVS includes Web Application Firewall, Gateway Anti-Virus & Anti-Spyware, Anti-Spam, Web & Application Filter, Intrusion Prevention System, 24×7 Email, phone and chat Tech Support. This bundled security offering is available for CR NG series of network security appliances and Cyberoam virtual security appliances.

 

 

ادامه مطلب

کاربرد پراکسی در امنیت شبکه

کاربرد پراکسی در امنیت شبکه

کاربرد پراکسی در امنیت شبکه

کاربرد پراکسی در امنیت شبکه

پراکسی چیست؟

در دنیای امنیت شبکه، افراد از عبارت «پراکسی» برای خیلی چیزها استفاده می‌کنند. اما عموماً، پراکسی ابزار است که بسته‌های دیتای اینترنتی را در مسیر دریافت می‌کند، آن دیتا را می‌سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می‌دهد. در اینجا از پراکسی به معنی پروسه‌ای یاد می‌شود که در راه ترافیک شبکه‌ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می‌گیرد و آن را می‌سنجد تا ببیند با سیاست‌های امنیتی شما مطابقت دارد و سپس مشخص می‌کند که آیا به آن اجازه عبور از فایروال را بدهد یا خیر. بسته‌های مورد قبول به سرور موردنظر ارسال و بسته‌های ردشده دور ریخته می‌شوند.

پراکسی چه چیزی نیست؟

پراکسی‌ها بعضی اوقات با دو نوع فایروال اشتباه می‌شوند«Packet filter  و  Stateful packet filter» که البته هر کدام از روش‌ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد.

پراکسی با Packet filter تفاوت دارد

ابتدایی‌ترین روش صدور اجازه عبور به ترافیک بر اساس TCP/IP این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه قرار می‌گیرد و اطلاعات آدرس را در header IP ترافیک دیتایی که بین آنها عبور می‌کند، پیمایش می‌کند. اطلاعاتی که این نوع فیلتر ارزیابی می‌کند عموماً شامل آدرس و پورت منبع و مقصد می‌شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و براساس قوانین ایجادشده توسط مدیر شبکه بسته را می‌پذیرد یا نمی‌پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که header، تمام آن چیزی است که سنجیده می‌شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد، نمی‌بیند و به محتوای آسیبشرسان اجازه عبور از فایروال را می‌دهد. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می‌کند و وضعیت (State) ارتباط را دنبال نمی‌کند.

 

 

 پراکسی با Stateful packet filter تفاوت دارد

این فیلتر اعمال فیلتر نوع قبل را انجام می‌دهد، بعلاوه اینکه بررسی می‌کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت (State) شناخته می‌شود.

پروتکل ارتباطی TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP عادی، کامپیوتر A سعی می‌کند با ارسال یک بسته SYN (synchronize) به کامپیوتر B ارتباط را برقرار کند. کامپیوتر B در جواب یک بسته SYN/ACK (Acknowledgement)  برمی‌گرداند، و کامپیوتر A یک ACK به کامپیوتر ‍B می‌فرستد و به این ترتیب ارتباط برقرار می‌شود. TCP اجازه وضعیتهای دیگر، مثلاً   FIN (finish) برای نشان‌دادن آخرین بسته در یک ارتباط را نیز می‌دهد.

هکرها در مرحله آماده‌سازی برای حمله، به جمع‌آوری اطلاعات در مورد سیستم شما می‌پردازند. یک روش معمول ارسال یک بسته در یک وضعیت غلط به‌منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ (Reply) به سیستمی که تقاضایی نکرده، می‌فرستند. معمولاً، کامپیوتر دریافت‌کننده بیاید پیامی بفرستد و بگوید “I don’t understand”. به‌این ترتیب، به هکر نشان می‌دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می‌تواند سیستم‌عامل مورد استفاده را نیز مشخص کند، و برای یک هکر گامی به جلو باشد. یک فیلتر Stateful packet منطق یک ارتباط TCP/IP را می‌فهمد و می‌تواند یک “Reply” را که پاسخ به یک تقاضا نیست، مسدود کند ـــ آنچه که یک فیلتر packet ردگیری نمی‌کند و نمی‌تواند انجام دهد. فیلترهای Stateful packet می‌توانند در همان لحظه قواعدی را مبنی بر‌اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم‌تر است. این امنیت محکم‌تر، بهرحال، تا حدی باعث کاستن از کارایی می‌شود.  نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می‌کند.

 

پراکسی ها یا Application Gateways

Application Gateways که عموماً پراکسی نامیده می‌شود، پیشرفته‌ترین روش استفاده شده برای کنترل ترافیک عبوری از فایروال‌ها هستند. پراکسی بین کلاینت و سرور قرار می‌گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرارشده، میشسنجد. پراکسی بار واقعی تمام بسته‌های عبوری بین سرور وکلاینت را می‌سنجد، و می‌تواند چیزهایی را که سیاستهای امنیتی را نقض می‌کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته‌ها فقط headerها را می‌سنجند، در حالیکه پراکسی‌ها محتوای بسته را با مسدودکردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا، ActiveX و … غربال می‌کنند.

پراکسی‌ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می‌سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله‌های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی‌ها می‌توانند کاراکترهای غیرقانونی یا رشته‌های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی‌ها تمام اعمال فیلترهای ذکرشده را انجام می‌دهند. بدلیل تمام این مزیتها، پراکسی‌ها بعنوان یکی از امن‌ترین روشهای عبور ترافیک شناخته می‌شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته‌ها را پیمایش می‌کنند. بهرحال «کندتر» بودن یک عبارت نسبی است.

آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه‌ای است. پراکسی‌ها باعث کندی سرعت ترافیک در تست‌های آزمایشگاهی می‌شوند اما باعث کندی سرعت دریافت کاربران نمی‌شوند. در شماره بعد بیشتر به پراکسی خواهیم پرداخت.

 

 

 

ادامه مطلب

مدیریت یکپارچه تهدیدات الکترونیکی با UTM

چکیده

از آنجا که اداره جوامع کنونی بدون استفاده از راه حلهاي مبتنیبر فناوري اطلاعات تقریباً غیرممکن بنظر میرسد و مفاهیمی چون دولت الکترونیکی، تجارت الکترونیکی، بهداشت، آموزش و بانکداري الکترونیکی جزء راهبردهاي اصلی حکومتهاست، اهمیت پرداختن به موضوع امنیت اطلاعات بیش از پیش نمایان میگردد.

به طور کلی فایروال یکی از محصولات امنیتی پرکاربرد در برقراري امنیت شبکههاي کامپیوتري است. به همین دلیل تکنولوژي فایروالهاي در طول عمر این محصول تغییرات زیادي داشته است. این تغییرات بیشتر به دلیل تولد ایدههاي جدید در تهدیدات شبکهاي بوده است. در این مقاله تلاش خواهد شد که اخیرترین تکنولوژي در تولید فایروال معرفی شود. این تکنولوژي که منجر به تولید محصول UTM میشود، سطوح مختلفی از تهدیدات شبکه اي را کنترل میکند و پیشبینی میشود تا چند سال آینده جایگزین فایروالهاي امروزي شود.

مقدمه

گسترش استفاده از فضاي تبادل اطلاعات در کشور طی سالهاي گذشته و برقراري ارتباط از طریق وب، موجب افزایش بکارگیري فنآوري اطلاعات و وابستگی نهادهاي مختلف اجتماعی به این پدیده گردیده است.

از زمانیکه برخی از نگرانیها در خصوص تعرض به حریم خصوصی افراد و سازمانها ظاهر گردید، متخصصان فنآوري اطلاعات جهت جلوگیري از این تهدیدات و حمایت از اطلاعات خصوصی بنگاهها، افراد و دستگاههاي مختلف تلاشهاي ارزشمندي را ساماندهی نمودند تا فضاي اعتماد به تبادلات الکترونیکی دچار آسیب کمتري شود.

تولید محصولات مختلف امنیتی اعم از تجهیزات سخت افزاري و نرم افزارها در حوزه هاي گوناگون ICT، ارائه راهکارها و تدوین سیاستهاي خرد و کلان جهت صیانت از فضاي تبادل اطلاعات، تربیت نیروهاي مختصص به منظور حفاطت از شبکههاي تبادل اطلاعات همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی، همگام با پیشرفت دانش IT در صحنه دنیاي دیجیتال نمود بیشتري پیدا کردند. در این میان همزمان با رشد و توسعه انواع آسیبپذیريها در سیستمهاي رایانهاي، تکنولوژي در راستاي محافظت از این سیستمهاي نیز ارتقاء یافتهاند.

رویکرد جدید تهدیدات الکترونیکی عموماً براساس تهدید بر محتوا تلقی میشود. این رویکرد بیشتر به دلیل حضور تجهیزات امنیتی پایینتر از لایه محتوا صورت گرفته است. بدیهی است که امنیت در لایههاي بالا، مخصوصاً در محتوا بسیار پیچیده است و البته بالاترین سطح امنیت سازمان نیر امنیت در سطح محتوا میباشد. بر این اساس تکنولوژي تجهیزات امنیتی نیز باید به سمت محافظت از تهدیدات محتوایی حرکت کنند. تکنولوژي UTM اخیرترین ایده در تجهیزات امنیتی است که تلاش میکند امنیت سازمان را تا سطح محتوا حفظ نماید. این تکنولوژي به عنوان نسل جدید از محصولات فایروال منظور میشود و پیشبینی میشود که در آینده نزدیک، محصول UTM به عنوان محصول امنیتی ضروري در سازمانها جایگزین فایروال شود.

در این مقاله تلاش خواهد شد که محصول UTM معرفی شده و مزایا و معایب آن برشمرده شود. براین اساس در ادامه این مستند، و در بخش دوم ضمن بیان نیازمنديهاي امنیتی محصول فایروال و UTM، ضرورت وجود این تکنولوژي بررسی میشود. در بخش 3 معماري و مکانیسمهاي امنیتی محصولات UTM شرح داده میشود. در پایان نتیجهگیري و جمعبندي ارائه میشود.

 تکنولوژي فایروال و نیازمنديهاي جدید

 تهدیدات محتمل سیستمهاي رایانه اي

به منظور مقابله با تهدیداتی که حوزههاي مختلف فنآوري اطلاعات ممکن است با آنها مواجه باشد، شناخت نوع تهدید ضروري به نظر میرسد. بدیهی است سیستم یکپارچه مقابله با تهدیدات باید بصورت مشخص انواع مورد نظر را پوشش داده و راهکارهاي پیشنهادي را ارائه نماید.

انواع حملات و تهدیدات را میتوان به صورت زیر دستهبندي نمود:

  •  حملات تخریب سرویس
  •  حمله از طریق برنامه مخرب
  •  حمله انسانی و فیزیکی

در هر یک از دسته حملات فوق، فعالیتهاي متفاوتی از سوي مخربین قابل انجام است.در این بخش فهرستی از این فعالیتها بیان میشوند.

حملات تخریب سرویس

در این نوع حمله، مهاجم تلاش مینماید تا دسترسی منابع رایانه توسط سایر کاربران را ناممکن سازد. براي دستیابی به این هدف، چنانچه منابع مشترك سیستم به گونهاي توسط مهاجم اشغال گردیده و حجم استفاده از آنها افزایش یابد که دیگران قادر به استفاده از آنها نباشند، عملاً حمله به منابع سیستم صورت گرفته است. این نوع حمله میتواند به تخریب منابع منجر گردد و یا استفاده از آنها را غیرممکن سازد. برخی از فعالیتهاي این نوع تهدید بصورت زیر قابل بیان است.

  • تخریب، پر کردن و خذف فایلهاي اساسی دیسک
  • تولید پردازش و اشغال پهناي باند پردازنده
  • تخریب و کنترال سرویسهاي شبکه توسط مهاجم
  • ذخیره پیامهاي پخش شده، ارسال پیام و درخواست پاسخ از رایانههاي شبکه
  • استفاده از اتصالهاي غیر باز

حمله از طریق برنامه مخرب

در این نوع حملات، برنامهها بهگونهاي نوشته میشوند که رفتاري مخرب و غیر عادي داشته باشند. معمولاً این برنامهها از طرق مختلف براي کاربران رایانه ارسال شده و کاربر بدون توجه به وجود دستورالعمل مخرب نسبت به اجراي آن اقدام مینماید. شیوههاي مختلف تخریب این برنامهها بصورت زیر میباشد.

  • حمله به برنامههاي سرویسدهنده شبکه
  • تخریب نرم افزارها از طریق ارسال پست الکترونیکی
  • ارسال هرزنامه ها
  • استفاده از دربهاي مخفی جهت دسترسی غیرمجاز
  • اسبهاي تراوا و کرمها

حمله انسانی و فیزیکی

چنانچه بر اساس ضعفهاي موجود در برخی از سیستمها، نفوذگر بتواند به عنوان راهبر سیستم شناخته شود، با در دست گرفتن کنترل سیستم میتواند صدماتی را وارد نماید.

بعلاوه هر مخربی میتواند بصورت فیزیکی منابع سیستم را مورد حمله قرار داده و کارکرد آن را دچار مشکل سازد. فعالیتهاي زیر توسط مخاجم قابل انجام میباشد:

  • سرقت رمز عبور
  • نفوذ از طریق برقراري روابط اجتماعی
  • تخریب فیزیکی منابع رایانه اي و شبکه اي

 

نقش ابزارهاي کنترل ترافیک

امروزه فایروالهاي حالتمند ، IDSها، و آنتی ویروسهاي مبتنی بر میزبان 2 محبوبترین محصولات امنیتی را تشکیل میدهند. اما این راهحلها به سرعت در حال از دست دادن تاثیر خود در برابر نسل جدید تهدیدات میباشند و متخصصان فن- آوري اطلاعات حملات و سرایتهاي موفق متعددي را بر ضد امنیت و زیرساخت شبکه مشاهده میکنند.

نقش سیستمهاي فایروال سنتی و کمبودهاي آنها

فایروالهاي حالتمند در ابتدا براي امنسازي ارتباط با اینترنت بوسیله یک واسط امن بین شبکههاي قابل اعتماد و غیر قابل اعتماد طراحی شدند. این فایروالها با دقت در سرآیند لایه شبکه (L3)، و لایه پروتکل (L4) بسته را نظارت کرده و بر اساس آن به ترافیک اجازه ورود داده، درخواست ورود آن را رد کرده، و یا ترافیک را دوباره بر اساس مجموعهاي از خطمشیهاي فایروال مسیریابی میکنند. مشکل اصلی فایروالها در این است که هکرها روشهاي متعددي را براي گذشتن از خطمشیهاي فایروال توسعه دادهاند. بعضی از این روشها شامل موارد زیر میباشند:

  • پویش پورتهاي باز روي فایروال و یا سیستمهاي موجود در ناحیه قابل اعتماد
  • نرمافزارهاي مخرب نظیر تروژانهایی که روي سیستمهاي موجود در ناحیه قابل اعتماد نصب شدهاند و میتوانند به عنوان شروع کننده حملات نقش داشته باشند.
  • عدم توانایی فایروالهاي نسل قدیمی در بازرسی بخش دادهاي بسته جهت شناسایی انواع کدهاي مخرب نظیر ویروس، کرم و یا تروژان، میتواند بهعنوان یک مسیر قابل نفوذ براي حمله مورد استفاده قرار گیرد.
  • بسیاري از فایروالهاي جدید که قابلیت بازرسی عمیق 3 را پشتیبانی میکنند، در مقابل بستههاي تکهتکه شده آسیبپذیر هستند.
  • کاربران با استفاده از سیستمهاي قابل حمل نظیر Laptop و یا PDA، میتوانند حامل انواع کدهاي مخرب و آلوده از بیرون به داخل سازمان شوند.

در نتیجه باید اذعان داشت که فایروالهایی که ما را احاطه کردهاند کمکی در جهت ممانعت از حملات و سرایتهایی که از داخل شبکه قابل اعتماد آغاز شده باشند نمیکنند.

نقش سیستمهاي IDS سنتی و کمبودهاي آنها

همانند فایروالهاي سنتی، IDSهاي سنتی با آمدن تهدیدات مدرن و پیچیده جاي خود را به فنآوريهاي جدیدتر میدهند. حمله کنندگان ضعفهاي سیستمهاي IDS را شناخته و متدهاي جدیدي براي گذشتن از این سیستمهاي نظارتی پیادهسازي کردهاند. مثالهایی از ضعف سیستمهاي IDS عبارتند از:

  • محصولات IDS معمولاً در نقاط لبهاي شبکه مستقر میشوند و نظارتی بر کل شبکه ندارند.
  • سیستمهاي IDS معمولاً به عنوان ابزارهاي نظارتی کاربري دارند و قابلیت ممانعت از ترافیک مشکوك در این سیستمهاي وجود ندارد.
  • به دلیل نحوه بازرسی در سیستمهاي IDS، این سیستمها معمولاً در مقابل حجم بالاي ترافیک آسیبپذیر میشوند.
  • اغلب سیستمهاي IDS حجم زیادي false positive تولید میکنند که براي جلوگیري از این امر نیاز به نظارت مداوم بر کار IDS میباشد.

براي حل مشکلات فوق، بسیاري از تولید کنندگان محصولات IDS، به سمت تولید نسل جدیدي از این محصولات به نام IPS روي آوردهاند. سیستمهاي IPS میتوانند به صورت Inline در توپولوژي شبکه قرار گیرند و کنشهاي مورد نیاز مدیر نظیر Drop و یا Reset را اعمال نمایند. این محصولات همچنین میتوانند از مکانیسمهاي تشخیص Anomaly بهرهمند شوند.

آنتی ویروسهاي مبتنی بر میزبان و کمبودهاي آنها

یکی از پر کاربردترین نرمافزارهاي امنیتی، سیستمهاي آنتی ویروس مبتنی بر میزبان است. این نرمافزارهاي آنتی ویروس بهعنوان یکی از معمولترین راهحلهاي امنیتی در سازمانها استفاده میشوند. قدمت استفاده از این نرمافزارهاي از سال 1980 میلادي و بهدلیل حضور فایلهاي ویروسی میباشد. گرچه حضور نرمافزارهاي آنتی ویروس مبتنی بر میزبان یک ضرورت در سازمانهاي تلقی میشود ولی این راهحلها شامل نقاط ضعف نیز میباشند که در ادامه برخی از آنها بررسی میشوند.

  1. فرآیند نصب، نگهداري و ارتقاي الگوهاي ویروسی براي این نرمافزارهاي پیچیده است. باید توجه داشت که این نرمافزارها باید در تمامی میزبانهاي موجود در سازمان نصب شوند.
  2. کاربران بهصورت عمدي و یا غیرعمدي میتوانند آنتی ویروس خود را غیرفعال نمایند. § اغلب کاربران یک فرایند منظم جهت بهروز رسانی الگوهاي ویروس براي نرمافزار آنتی ویروس خود اتخاذ نمیکنند و معمولاً در مقابل اخیرترین نسخه ویروسها آسیبپذیر هستند.
  3. برخی از تروژانهاي پیشرفته قادرند قبل از فعال شدن آنتی ویروس روي میزبان فعال شوند و همچنین از فعال شدن آنتی ویروس نیز جلوگیري میکنند.

بدیهی است سازمانهایی که از نرمافزارهاي آنتی ویروس مبتنی بر میزبان استفاده میکنند، در زمینه امنیت سیستم عامل میزبان و برنامه کاربردي از سطح امنیتی خوبی برخوردارند. ولی باید توجه داشت که این سطح امنیتی براي سازمان کافی نیست. بهطور خاص باید توجه داشت که بسیاري از کدهاي مخرب از ناحیه غیرقابل اعتماد وارد نواحی قابل اعتماد شبکه میشوند. بنابراین سازمان باید بتواند این کدهاي مخرب را قبل از رسیدن به میزبانهاي تشخیص داده و بلاك نماید.

تعریف UTM

نام UTM یا مدیریت یکپارچه تهدیدات الکترونیکی عبارتی است که براي اولین بار توسط شرکت IDC در سال 2004 ابداع شد. محصول UTM یک راهحل جامع امنیتی است که مسئول محافظت سیستم در برابر چندین نوع تهدید میباشد. یک محصول UTM معمولا شامل فایروال، VPN، نرم افزار آنتی ویروس، فیلترینگ محتوا، فیلتر اسپم، سیستمهاي جلوگیري و تشخیص حمله (IPS)، حفاظت از Spywareها، و نظارت، گزارشگیري، و مدیریت یکپارچه میباشد.

از UTM میتوان به عنوان نسل تحول یافته محصولات Firewall/VPN و حتی دروازههاي امنیتی نام برد که سعی در ارائه سرویسهاي امنیتی به کاربران یک سازمان به سادهترین شکل دارد. در واقع بدون وجود UTM و در راهحلهاي قدیمی براي بدست آوردن تک تک این سرویسهاي امنیتی ابزارهاي مجزا به همراه پیچیدگیهاي نصب، بهروز سازي، و مدیریت آنها نیاز بود، اما UTM با یکپارچه سازي و مدیریت متمرکز، تمامی نیازمنديهاي امنیتی در یک سازمان در برابر تهدیدات الکترونیکی را برآورده میسازد.

نیاز به محصول UTM

روشهاي سنتی (امنیت لایه اي به صورت چند نقطه اي)

امروزه بسیاري از سازمانها سعی در پیاده سازي سیستمهاي امنیتی با ترکیب راهحلهاي مختلف از فروشندگان متفاوت دارند. همگی این محصولات میبایست به صورت مجزا خریداري، نصب، مدیریت، و بروزرسانی شوند. این رویکرد مشکلاتی شامل تعامل و همکاري نامناسب بین سیستمهاي امنیتی مجزا، حفاظت ناکامل، و آزمون و درستییابی زمانبر دارد، که همگی باعث کاهش پاسخ شبکه به حملات میشوند. محصولاتی که براي کار با هم طراحی نشده باشند، میتوانند در نرخ کارایی شبکه تاثیر بگذارند. همچنین هزینه لازم براي تهیه انواع محصولات مختلف امنیتی براي رسیدن به امنیت جامع در یک سازمان کوچک یا متوسط بسیار سنگین میباشد. پیچیدگی طراحی چنین راهحلی نیز در شکل 1 مشاهده میشود.

سازمانها به ندرت داراي زیرساخت IT لازم براي نگهداري و مدیریت یک چنین مخلوطی از محصولات متفاوت هستند، که هر کدام داراي سیستم مدیریت خاص خود میباشند. و در نهایت هزینه نگهداري و پشتیبانی از رویکردهاي چند نقطهاي براي یک سازمان کوچک یا متوسط بسیار زیاد میباشد. به دلیل این مشکلات، پیچیدگیها، و ضعفها، رویکرد یکپارچه سازي محصولات UTM در سطح سازمانها مطرح میشود.

پیچیدگی-امنیت-لایه-اي-به-صورت-چند-نقطه-اي

راه حل مدرن (ابزارهاي امنیتی مجتمع)

مفهوم اولیه ابزارهاي امنیتی مجتمع، مفهوم جدیدي نیست و به زبان ساده به معناي ترکیب چندین کارکرد امنیتی در یک راهحل یا ابزار واحد میباشد. برخی از فروشندگان راهحلهاي امنیتی، ابزارهاي امنیتی مجتمعی در گذشته ارائه کردهاند. با این وجود، این راهحلهاي جوان داراي کمبودهاي زیادي بودهاند. به خصوص اگر یکپارچه سازي کارکردها نامناسب بوده و به صورت ضعیفی پیادهسازي شده باشد. این کمبودها میتواند شامل موارد زیر باشد:

  • کارایی نامناسب
  • کاهش قابلیت اعتماد
  • مقیاس پذیري محدود
  • افزایش پیچیدگی مدیریت
  • امنیت نامناسب

به طور کلی رویه یکپارچه سازي کارکردهاي امنیتی باید بهنحوي انجام شود که تکنولوژيهاي مختلف استفاده شده بتوانند در کنار یکدیگر فعالیت نمایند. نتیجه این یکپارچه سازي محصول Appliance خواهد شد که قابلیت توسعه سرویسهاي امنیتی جدید را خواهد داشت و از یک مکانیسم دفاع امنیتی لایهاي جهت مقابله با تهدیدات امروز و آینده بهرهمند میباشد. همچنین محصول نهایی در کنار توان دفاع امنیتی بالا، باید بتواند لحاظ هزینه مقرون بهصرفه باشد. در شکل 2 استفاده از راهحل یکپارچه سازي مکانیسمهاي امنیتی در قالب یک محصول UTM در شبکه مورد نظر آورده شده است.

 

راه-حل-یکپارچه-سازي-مکانیسمهاي-امنیتی-در-قالب-یک-محصول-UTM

محصول UTM

پیشبینی توسعه در دنیا

بازار چشمگیر محصولات امنیتی UTM روند تولید محصولات تک کاربرد را به سمت ارائه چندین ویژگی امنیتی در یک سکو، در محیطهایی منعطفتر میبرد. به گفته چالرز کولوجی مدیر بخش تحقیقات محصولات امنیتی در UTM ،IDC با ارائه برنامههاي کاربردي امنیتی با کارایی بالا، و صرفهجویی در هزینههاي عملیاتی و سرمایه، به سرعت در حال محبوبتر شدن است 1[.

بر طبق آمار IDC، بخش فروش UTM در گروه ابزارهاي امنیت شبکه سریعترین رشد را در بازار داشته است. (بیش از 100 میلیون دلار سود در سال 2003 که با افزایش 160 درصدي نسبت به سال 2002 همراه بود.) طبق همین گزارش در سال 2008 از کل سود فروش 3,45 میلیارد دلاري دسته محصولات مدیریت امنیت شامل UTM، فایروالهاي سنتی، و ابزارهاي UTM ،VPN به تنهایی 58 درصد سود فروش را خواهد داشت. همین پیشبینی نشان میدهد که سود فروش فایروالهاي سنتی رو به کاهش خواهد بود و این نشان از جایگزینی نیاز مشتریان در زمینه فایروال با محصولات UTM خواهد بود. بخشی از این پیشبینی در شکل 3 آورده شده است ]1[.

با توجه به رشد نیاز به محصولات UTM در بازار، فرآیند تولید این محصول در بسیاري از شرکتهاي تولید کننده محصولات امنیتی شکل گرفته است. این فرآیند در شرکتهاي تولید کننده محصولات Firewall/VPN با نگرش ارتقاء محصول به UTM با سرعت بیشتري به نتیجه رسیده است، بهطوري که بیشتر شرکتهاي معتبر در زمینه تولید محصولات Firewall/VPN، امروزه محصول خود را براي تبدیل به UTM ارتقاء داده و با این نام در بازار تجارت میکنند.

معماري محصول

همانطور که در بخش قبلی شرح داده شد، محصول UTM امنیت را در کل لایههاي شبکه و بهطور خاص در لایه محتوا ارائه میکند. براي این منظور باید چندین مکانیسم امنیتی را بهصورت یکپارچه ارائه نماید. این مکانیسمهاي امنیتی شامل موارد زیر میباشد.

  • فایروال با قابلیت بازرسی حالتمند ترافیک
  • ارائه سرویس VPN با قراردادهاي متنوع
  • امکان تشخیص و جلوگیري از حمله (IPS)
  • آنتی ویروس مبتنی بر دروازه
  • فیلترینگ محتواي ترافیک (بهطور معمول براي محتواي Web و Mail ارائه میشود.)
  • فیلترینگ اسپم روي ترافیک Mail
  • مدیریت پهناي باند

نکته کلیدي در تولید محصولات UTM ارائه یک معماري مناسب براي چیدمان مکانیسمهاي فوق میباشد که بتواند بهترین کارایی را روي محصول ارائه نماید. بدیهی است با افزایش میزان بازرسی ترافیک در مکانیسمهاي امنیتی مختلف، امکان تاخیر و کاهش کارایی شبکه نمایان میشود. در این راستا استفاده از ایدههایی نظیر استفاده از شتابدهندههاي سخت افزاري میتواند برخی از مشکلات را مرتفع سازد. این ایده در بسیاري از شرکتهاي بزرگ تولیدکننده محصولات امنیتی استفاده میشود.

شکل 4 یک معماري نمونه از محصول UTM را نشان میدهد. چیدمان مکانیسمهاي امنیتی و ترتیب بازرسی ترافیک در این محصول یکی از پارامترهاي اصلی این معماري میباشد. در این معماري اولین بازرسی امنیتی توسط ماژول حالتمند انجام میشود که منجر به حذف بسیاري از تهدیدات میشود. همچنین این ایده میتواند منجر به تولید مفهوم نشست براي بازرسی در ماژولهاي امنیتی دیگر شود. از نکات دیگر این معماري قرار دادن بازرسیهاي محتوا در انتهاي حرکت بسته میباشد. این ایده بهدلیل عدم نیاز به بازرسی محتواي ترافیکهاي مشکوك میباشد. بدیهی است ترافیکی که توسط ماژول حالتمند متوقف شود، نیاز به بازرسی محتوایی توسط ماژول AntiSpam نمیباشد.

 

جریان-بازرسی-ترافیک-در-یک-محصول-UTM

شکل 4 جریان بازرسی ترافیک در یک محصول UTM معماري ارائه شده در شکل 4 میتواند در یک محصول UTM مورد استفاده قرار گیرد ولی نکته کلیدي در پیادهسازي این معماري ملاحظات پیادهسازي ارتباطات بین ماژولها میباشد. براي نمونه معماري ارائه شده در [] با هدف کاهش تعداد IPCها بین مولفههاي محصول میباشد. همچنین نکته دیگري که در پیادهسازي این معماري باید در نظر گرفت، نوع مدل مدیریتی است که محصول براي مدیر ارائه میکند.

مزایای UTM

  •  مدیریت یکپارچه
  1. § مدیریت چندین کاربرد از یک محل و توسط یک ابزار
  2. § ایجاد و پیادهسازي آسان و سریع خطمشیهاي سراسري سازگار
  3. § تکیه بر گزارشات و نظارتهاي برخط و تعاملی
  4. § استفاده از تنها یک واسط مستقیم براي نصب و مدیریت تمامی ویژگیهاي امنیتی

· UTM به عنوان یک محصول یکپارچه فرآیند انتخاب محصولات امنیتی مورد نیاز، یکپارچه سازي آنها، و پشتیبانیهاي آتی را ساده کرده است.

  • محصولات UTM داراي مراحل نصب کم، ساده و عمدتاً بهصورت plug and play هستند.
  • از آنجائیکه کاربران عمدتاً تمایل به دستکاري تنظیمات دارند، در بستههایی مانند ابزار UTM با کاهش تعامل اپراتور، خرابیهاي ایجاد شده توسط آنها کاهش مییابد و در نتیجه امنیت افزایش مییابد.
  • به دلیل اینکه تنها یک ابزار واسط امنیتی وجود دارد، در مواقع بروز مشکل براي عیبیابی، این وسیله حتی توسط یک فرد غیر متخصص قابل خارج شدن از مدار میباشد.
  • هزینه لازم براي فراهم آوردن سطح امنیت مورد نیاز در یک سازمان توسط ابزارهاي مجزاي امنیتی بسیار بیشتر از هزینه راهحل UTM میباشد.

چالشهاي تولید محصول

با توجه به توصیف ارائه شده از محصول UTM، میتوان این محصول را در رده محصولات پیچیده براي تولید قرار داد. بنابراین چالشهاي یک محصول پیچیده و بزرگ را براي تیم تولید خواهد داشت. علاوهبر این طبق نظر تولیدکنندگان این محصول، چالش اصلی براي تولید مساله کارایی محصول و میزان تاخیر شبکه براي بازرسی تمامی مکانیسمهاي امنیتی است. این چالش به عنوان مساله اصلی براي انتخاب بین مشتریان نیز مورد نظر میباشد. در این راستا تولیدکنندگان به دنبال ایدههاي جدید در تولید این محصول با معماري کاراتر میباشند و در این حین تحقیقاتی نیز نظیر انجام شده است.

جمع بندي و نتیجه گیري

در این مقاله تکنولوژي جدید محصولات امنیت شبکه با نام UTM ارائه شد. همچنین مزایا، معماري و چالشهاي اصلی در تولید این محصول مورد بررسی قرار گرفت. طبق پیشبینیهاي انجام گرفته، آینده محصولات امنیت شبکه نظیر فایروالها به سمت محصول UTM خواهد بود1[ و ]2. این محصول چندین مکانیسم امنیتی را در کنار هم و بهصورت یکپارچه ارائه میکند. همچنین ایده اصلی محصول UTM مدیریت تهدیدات شبکه در تمامی لایه ها، خصوصاً در محتوا میباشد. با توجه به رشد سریع در تولید محصول UTM و نیاز اساسی شبکه هاي کامپیوتري به این محصول، به نظر میرسد که دولت و شرکتهاي خصوصی باید برنامه ویژهاي را براي تولید این محصول در داخل کشور تدوین نمایند.

 

گروه فنی و مهندسی وی سنتر آمادگی خود را برای ارائه مشاوره فنی در خصوص مباحث امنیت شبکه اعلام می دارد.

شماره تماس: 88884268

ادامه مطلب

مدیریت سرورها از راه دور با iLO

iLO

ILO‌ چیست و چگونه کار می کند؟
ILO یا Integrated Lights-Out پورتی مانند شبکه که برروی سرورهای جدید HP طراحی گردیده است که با استفاده از آن می توان یک سرور را روشن و از همان لحظه مدیریت کرد، به عبارت دیگر می توان از همان ابتدا وارد BIOS‌ شده و تغییرات دلخواه را داد یا اینکه سیستم عاملی نصب کرده و یا یک Image از قبل آماده شده را روی سرور بارگذاری کرد.
کار با ابزار فوق بسیار ساده می باشد، بدین ترتیب که تنها نیاز به یک کابل شبکه (برای اتصال پورت ILO به کامپیوتر یا شبکه مورد نظر) و یک مرورگر شبکه می باشد.این پورت را به سه طریق می توان به شبکه وصل کرد که در شکل زیر دیده می شود: مدیریت-سرورها-از-راه-دور-باserver-iLOپس از وصل آن به شبکه با توجه به تنظیمات کارخانه، دنبال DHCP ‌سرور در شبکه می گردد تا از آن IP‌ بگیرد. البته می توان بصورت دستی نیز به سیستم IP دلخواه داد و با زدن IP در مرورگر، ورود به صفحه Web Based و وارد کردن نام کاربر و کلمه عبور که در کارت همراه سرور می باشد، وارد تنظیمات ILO‌ شد .
در این صفحه می توان اطلاعات مفیدی مانند مشخصات سرور، وضعیت سرور، وضعیت پاور، تعریف کاربر و …. را در سیستم مشاهده کرد و حتی تغییراتی را اعمال کرد.
از قابلیتهای این پورت می توان به این گزینه اشاره کرد که می توان کنترل سرور را از همان ابتدای شروع به کار سرور (حتی روشن و خاموش کردن آن) را در اختیار گرفت.

 

قابلیت های کلیدی نرم افزار

iLO-HP-Server-مدیریت-سرور-از-طریق

HP Integrated Lights-Out iLO
HP Intelligent Provisioning
HP Agentless Management
HP iLO Federation
HP Active Health System
HP remote support

لایسنس های iLO در نسخه های مختلفی مانند زیر ارائه می گردد:

1- HP Integrated Lights-Out Advanced license—Smart remote management

2- HP Integrated Lights-Out Essentials license—Just Right IT for small- to medium-sized

3- HP Integrated Lights-Out Scale-Out license—Purpose-built for HPC

4- HP iLO and HP Insight Control or HP OneView4—Better together

تفاوت اصلی میان ILO Advanced و نسخه بدون لایسنس آن در این است که ILO Advanced می تواند به قابلیت های Remote Console و نیز Remote Media دسترسی دارد.

برای نصب و راه اندازی پورت ILO سرور خود می توانید به رسانه آموزشی آنلاین ما سر بزنید.

ادامه مطلب

آموزش کامل Forefront TMG 2010

آموزش کامل Forefront TMG 2010

آموزش کامل Forefront TMG 2010

آموزش کامل Forefront TMG 2010

شاید برای بسیاری از کاربران این سوال مطرح باشد که آیزا سرور و یا TMG چیست و کاربرد آن چیست؟  در این مقاله به بررسی این موضوع خواهیم پرداخت.

آیزا سرور نرم افزاری از شرکت مایکروسافت می باشد و چند کار مهم در شبکه را انجام میدهد. کارهای مهم آیزا سرور حسابداری کاربران شبکه(Accounting) ، مدیریت امنیت شبکه (Firewalling) و کش کردن اطلاعات کاربران می باشد.

ISA Server از سال ۲۰۰۶  به بعد با نام foreFront TMG به بازار عرضه شده است.

برای دریافت کتاب کامل آموزش TMG بر روی لینک های ذیل کلیک کنید:

آموزش TMG – درس اول

آموزش TMG – درس دوم

آموزش TMG – درس سوم

آموزش TMG – درس چهارم

آموزش TMG – درس پنجم

آموزش TMG – درس ششم

آموزش TMG – درس هفتم 

آموزش TMG – درس هشتم

آموزش TMG – درس نهم

آموزش TMG – درس دهم

آموزش TMG – درس یازدهم 

آموزش TMG – درس دوازدهم

ادامه مطلب

فایروال Firewall

فایروال Firewall
فایروال Firewall

انواع دیواره آتش ها

دیواره آتش ها به دو شکل سخت افزاری (خارجی) و نرم افزاری (داخلی) ارائه می شوند :

1- دیواره آتشهای سخت افزاری :

این نوع از دیواره آتش ها که به آنان دیواره آتش هاي شبکه نیز گفته می شـود ، بـین کـامپیوتر هـا و کابل و یا خط DSL قرار خواهد گرفت.تعداد زیادي از تولید کنندگان و برخی از مراکز ISP ، دسـتگاههـایی با نام Router را ارائه می دهند که دارای یک دیواره آتش نیز می باشند.

دیواره آتش های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بـوده و یـک سـطح مناسـب حفاظتی را ارائه می نمایند.

دیواره آتش های سخت افزاری ، دستگاههای سخت افزاری مجزائی مـی باشـند کـه دارای سیـستم عامـل اختصاصی خود می باشد. بنابراین بکارگیری آنان باعث ایجاد یک لایـه دفـاعی اضـافه در مقابـل تهاجمـات می گردد.

1- دیواره آتشهای نرم افزاری :

برخی از سیستم عامل ها دارای یک دیواره آتش تعبیه شده درون خود مـی باشـند. بنـابراین مـی تـوان دیواره آتش موجود در سیستم عامل را فعال نموده تا یک سطح حفاظتی در خصوص ایمن سـازی کـامپیوتر و اطلاعات (به صورت نرم افزاری)ایجاد گردد.

در صورتی که سیستم عامل نصب شده بر روی کامپیوتر فاقد دیواره آتش باشد ، می تـوان اقـدام بـه تهیـه یک دیواره آتش نرم افزاری کرد. که در اینحالت برای نـصب دیـواره آتـش نـرم افـزاری بایـستی از طریـق سیدی درایو این روش اقدام گردد و حتی المقدور باید از نصب دیواره آتش نـرم افـزاری از طریـق اینترنـت اجتناب نمود.چون در این روش کامپیوتر محافظت نشده می باشد و در حین نصب نـرم افـزار امکـان ایجـاد مشکلات برای سیستم امکان پذیر می باشد.

 

نحوه عملکرد دیواره آتش

یک دیواره آتش کل ترافیک بین دو شبکه را بازرسی کرده ، تا طبق معیار های حفاظتی و امنیتی پردازش شـوند.

پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد :

1) اجازه عبور بسته صادر می شود.(Accept mode)

2) بسته حذف می شود.(Blocking Mode)

3) بسته حذف شده و پاسخ مناسب به مبدأ آن بسته داده می شود. (Response Mode)

همچنین علاوه بر حذف بسته می توان عملیاتی نظیر ثبـت ، اخطـار ، ردگیـری و جلـوگیری از ادامـه اسـتفاده از شبکه هم در نظر گرفت.

به مجموعه قواعد دیواره آتش سیاست امنیتی نیز گفته می شود. همانطور که همه جا عملیـات ایـست و بازرسـی وقت گیر است ، دیواره آتش هم بعنوان گلوگاه می تواند منجـر بـه بـالا رفـتن ترافیـک ، تـاخیر ازدحـام و نهایتـاً بنبست در شبکه شود.گاهی اوقات بسته ها آنقدر در پشت دیوار آتش معطل می مانند تا زمان طول عمرشان بـه اتمام رسیده و فرستنده مجبور می شود مجدداً اقدام به ارسال آنها کند و این متناوباً تکرار مـی گـردد. بـه همـین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا کمترین تاخیر را در اطلاعات امن و صـحیح ایجـاد نمایـد. تاخیر در دیوار آتش اجتناب ناپذیر است و فقط باید بگونه اي باشد که بحران ایجاد نکند.

از آنجایی که معماری شبکه به صورت لایه لایه است. و مدل های مختلفی در طراحی شبکه می باشد، در مـدل TCP/IP براي انتقال یک واحد اطلاعات از لایه چهارم بر روی شبکه باید تمام لایـه هـا را بگذارنـد، هـر لایـه براي انجام وظیفه خود تعدادی فیلد مشخص به ابتدای بسته اضافه کرده و آن را تحویل لایه پایین تر می دهد. قسمت اعظم کار یک دیواره آتش تحلیل فیلد هاي اضافه شـده در هـر لایـه و header هـر بـسته مـی باشـد. سیاست امنیتی یک شبکه مجموعه ای متناهی از قواعد امنیتی است که بنا بر ماهیتشان در یکـی از لایـه هـای دیوار آتش تعریف می شوند :

1- قواعد تعیین بسته های ممنوع در اولیه لایه از دیواره آتش

2- قواعد بستن برخی از پورت ها متعلق به سرویسهای مانند FTP یا Telnet در لایه دوم

3- قواعد تحلیل header متن یک نامه الکترونیکی یا صفحه وب در لایه سوم

 

بنابراین دیواره آتش دارای سه لایه می باشد ،که جزئیات هر کدام به شرح زیر می باشد:
الف) لایه اول دیواره آتش :

لایه اول دیواره آتش براساس تحلیل بسته IP و فیلد هـاي header ایـن بـسته کـار مـی کنـد و در ایـن بـسته فیلدهای زیر قابل نظارت و بررسی هستند:

1- آدرس مبدا : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص حق ارسال بسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف نشود.

2- آدرس مقصد : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص دریافـت بـسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف شود. ( آدرس هاي IP غیر مجاز توسط مسئول دیواره آتش تعریف می شود.)

3-شماره شناسایی یک دیتاگرام قطعه قطعه شده (Fragment & Identifier offset) : بسته هایی کـه قطعـه قطعه نشده اند یا متعلق به یک دیتاگرام خاص هستند باید حذف نشوند.

4-شماره پروتکل: بسته هایی که متعلق به پروتکل خاصی در لایه بالاتر هستند می توانند حذف نشوند. یعنی بررسی اینکه بسته متعلق به چه پروتکلی است و آیا تحویل به آن پروتکل مجاز است یا خیر؟

5-زمان حیات بسته : بسته هایی که بیش از تعداد مشخصی مسیریاب را طی کرده اند مـشکوك هـستند و بایـد حذف نشوند. 6-بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیواره آتش قابل بررسی هستند.

مهمترین خصوصیت لایه ازن از دیواره آتش آنست که در این لایه بسته ها بطور مجزا و مستقل از هـم بررسـی می شوند و هیچ نیازی به نگه داشتن بسته هاي قبلی یا بعدی یـک بـسته نیـست. بهمـین دلیـل سـاده تـرین و سریعترین تصمیم گیری در این لایه انجام می شود. امروزه برخی مسیر یابها با امکـان لایـه اول دیـوارآتش بـه بازار عرضه می شوند. یعنی به غیر از مسیریابی وظیفه لایه اول یک دیوار آتش را هم انجام می دهند که به آنهـا مسیریابهای فیلترکننده بسته (Pocket Filtering Routre) گفته می شود. بنابراین مسیریاب قبل از اقـدام بـه مسیریابی براساس جدولی، بسته های IP را غربال می کند و تنظیم این جـدول براسـاس نظـر مـسئول شـبکه و برخی قواعد امنیتی انجام می گیرد.

با توجه به سریع بودن این لایه هر چه درصد قواعد امنیتی در ایـن لایـه دقیقتـر و سـخت گیرتـر باشـند، حجـم پردازش در لایه هاي بالاتر کسر و در عین حال احتمال نفوذ پایین تر خواهد بود، ولـی در مجمـوع بخـاطر تنـوع میلیاردی آدرس هاي IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امکان پـذیر خواهـد بـود و ایـن ضـعف در لایه های بالاتر باید جبران شود.

ب) لایه دوم دیوار آتش:

در این لایه از فیلدهای header لایه انتقال برای تحلیل بسته استفاده می شود. عمـومی تـرین فیلـدهای بـسته لایه انتقال جهت بازرسی در دیوارآتش عبارتند از:

1-شماره پورت پروسه مبدا و مقصد : با توجه به آنکه پورت های استاندارد شـناخته شـده هـستند، ممکـن اسـت مسئول یک دیوار آتش بخواهد سرویس FTP فقط در محـیط شـبکه محلـی امکـان پـذیر باشـد و بـرای تمـام ماشینهای خارجی این امکان وجود نداشته باشد. بنابراین دیـواره آتـش مـی توانـد بـسته هـاي TCP بـا شـماره پورتهای 20 و 21 ( مربوط به FTP ) که مقصد ورود و خـروج از شـبکه را دادنـد، حـذف کنـد. یکـی دیگـر از سرویسهای خطرناك که ممکن است مورد سوء استفاده قرار گیرند Telnet می باشد کـه مـی تـوان بـه راحتـی پورت 23 را مسدود کرد یعنی بسته هایی که مقصدشان شماره پورت 23 است، حذف شوند.

2-فیلد شماره ترتیب و فیلد Acknowledgment : این دو فیلد نیز بنابر قواعد تعریف شده توسط مسئول شبکه قابل استفاده هستند.

3- کدهاي کنترلی (TCP code Bits) : دیواره آتش با بررسی ایـن کـدها، بـه ماهیـت آن بـسته پـی بـرده و سیاست هاي لازم را بر روی آن اعمال می کند. بعنوان مثال یک دیواره آتش ممکن است بگونه ای تنظیم شـود که تمام بسته هایی که از بیرون به شبکه وارد می شـوند و دارای بیـت SYN=1 هـستند را حـذف کنـد. بـدین ترتیب هیچ ارتباط TCP از بیرون به درون شبکه برقرار نخواهد شد.

از مهمترین خصوصیات این لایه آن است که تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگـذرد و چون در ارتباط TCP ، تا مراحل سه گانه اش به پایان نرسد، انتقال داده امکان پذیر نیست.

لذا قبل از هر گونه مبادله دیواره آتش می تواند مانع برقراری هر ارتباط غیر مجـاز شـود. بـدین معنـا کـه دیـواره آتش می تواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نمـوده و در صـورت قابـل اطمینان نبودن مانع از برقراری ارتباط گردد. دیواره آتش این لایه نیاز به جدولی از شماره پورت های غیـر مجـاز دارد.

ج) لایه سوم دیواره آتش :

در این لایه حفاظت براساس نوع سرویس و برنامه کاربردی انجام می شـود. بـدین معنـا کـه بـا در نظـر گـرفتن پروتکل در لایه چهارم به تحلیل داده ها می پردازد. تعداد header در این لایـه بـسته بـه نـوع سـرویس بـسیار متنوع و فراوان است.

بنابراین در لایه سوم دیواره آتش برای هر سرویس مجزا (ماننـد وب، پـست الکترونیـک و …) بایـد یـک سلـسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش ها در لایه سوم زیاد است. بنابراین توصیه می شود که تمام سرویس های غیر ضروري و شماره پورت هـایی کـه مـورد اسـتفاده نیـستند در لایه دوم مسدود شوند تا کار در لایه سوم کمتر باشد.

انواع فایروال ها از لحاظ عملکرد

انواع مختلف فایروال ها اعم از سخت افزاری و نرم افزاری (که در واقع به نـوعی فـایروال هـای سـخت افـزاری خود داراي سیستم عامل و نرم افزارهای مربوط به خود مـی باشـند و بایـستی تنظـیم گردنـد)، روش انجـام کـار توسط آنها متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیـشنهادی فـایروال هـا مـی شـود. بنابراین براین اساس، فایروال ها را به 5 گروه تقسیم می نمایند:

1- دیواره های آتش سطح مدار (Circuit – Level Firewall)

این دیواره های آتش به عنوان یک رله براي ارتباطات TCP عمل می کنند. آنها ارتباط TCP با رایانـه پـشتیبان قطع می کنند و خود به جاي آن رایانه به پاسخگویی اولیه می پردازند. تنهـا پـس از برقـراری ارتبـاط اسـت کـه اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها بـه بـسته هـاي داده ای مـرتبط اجـازه عبـور میدهند. این نوع از دیواره هاي آتش هیچ داده درون بسته هاي اطلاعات را مورد بررسی قرار نمـی دهنـد و لـذا سرعت خوبی دارند ضمناً امکان ایجاد محدودیت بر روی سایر پروتکل ها (غیر از TCP) را نیز نمی دهند.

2-دیواره های آتش پروکسی سرور (Proxy Based Firewall)

فایروال های پروکسی سرور به بررسی بسته های اطلاعات در لایـه کـاربرد مـی پـردازد. یـک پروکـسی سـرور درخواست ارائه شده توسط برنامه هاي کاربردی را قطع می کند و خود به جاي آنها درخواست را ارسال می کنـد. نتیجه درخواست را نیز ابتدا خود دریافت و سپس بـراي برنامـه هـای کـاربردی ارسـال مـی کنـد. ایـن روش بـا جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه هاي کاربردی خارجی امنیـت بـالایی را تـامین مـی کنـد. از آنجایی که این دیوارههای آتش پروتکل های سطح کاربرد را می شناسند، لذا می توانند بر مبناي این پروتکلهـا محدودیت هایی را ایجاد کنند. همچنـین آنهـا مـی تواننـد بـا بررسـی محتـوای بـسته هـاي داده ای بـه ایجـاد محدودیتهاي لازم بپردازند. البته این سطح بررسی می تواند به کندي این دیوارههای آتش بیانجامـد. همچنـین از آنجایی که این دیواره های آتـش بایـد ترافیـک ورودي و اطلاعـات برنامـه هـاي کـاربردی کـاربر انتهـایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیـستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتواند این دیواره هاي آتش را به کار گیرد. هـر برنامـه جدیدی که بخواهد از این نوع دیوارهآتش عبور کند، باید تغییراتی در پشته پروتکل دیوارهآتش ایجاد کرد.

عملکرد دیواره آتش پروکسی سرور بدین صورت می باشد که بطور مثال زمانی که یک کـامپیوتر مبـدا تقاضـای یک نشست (_Session) مانند FTP یا برقراري ارتباط TCP با سرویس دهنده وب را بـرای، کـامپیوتر ارسـال می کند، فرایند زیر اتفاق می افتد: پروکسی به نیابت از کامپیوتر مبدأاین نشست را برقرار می کند. یعنی طرف نشست دیـواره آتـش خواهـد بـود نـه کامپیوتر اصلی. سپس یک نشست مستقل بین دیواره آتش و کامپیوتر مقصد برقرار مـی شـود. پروکـسی داده هـا مبدا را می گیرد، سپس از طریق نشست دوم براي مقصد ارسال می نمایـد. بنـابراین در دیـواره آتـش مبتنـی بـر پروکسی هیچ نشست مستقیم رودرویی بین مبدا و مقصد شکل نمی گیرد، بلکه ارتباط آنها بوسیله یـک کـامپیوتر واسط برقرار می شود. بدین نحو دیواره آتش قادر خواهد بود بر روی داده های مبادله شده درخلال نشست اعمـال نفوذ کند. حال اگر نفوذ گر بخواهد با ارسال بسته هاي کنترلی خاص ماننـد SYN-ACK کـه ظـاهراً مجـاز بـه نظر می آیند واکنش ماشین هدف را در شـبکه داخلی ارزیابی کند، در حقیقـت واکـنش دیـواره آتـش را مـشاهده می کند و لذا نخواهد توانست از درون شبکه داخلی اطلاعات مهم و با ارزشی بدست بیاورد.

همچنین دیواره آتش پروکسی سرور به حافظه نسبتاً زیاد و CPU بسیار سریع نیازمندند و لـذا نـسبتاً گـران تمـام می شوند، بدین علت که این نوع دیواره آتش باید تمام نشست هاي بین ماشـین هـای درون و بیـرون شـبکه را مدیریت و اجرا کند، لذا گلوگاه شبکه محسوب می شود و هرگونه تاخیر یا اشکال در پیکربندی آن ، کـل شـبکه را با بحران جدی مواجه خواهد نمود.

3- دیواره آتش غیر هوشمند یا فیلترهاي Nosstatful pocket

این نوع دیواره آتش روش کار ساده اي دارند . آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعـه اي از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیم ها با توجه اطلاعـات آدرس دهی موجود در پروتکل هاي لایه شبکه ماننـد IP و در بعـضی مـوارد بـا توجـه بـه اطلاعـات موجـود در پروتکل هاي لایه انتقال مانند سرایندهاي TCP و UDP اتخاذ می شود.این فیلترها زمانی می توانند بـه خـوبی عمل کنند که فهم خوبی از کاربرد سرویس هاي مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این نـوع دیواره آتش می توانند سریع باشند ، چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی دربـاره پروتکـل هـاي لایه کاربرد ندارند.

4- دیواره آتش هوشمند یا فیلترهای Stateful packet

دیواره آتشی که قادر باشد مشخصات ترافیک خروجی از شبکه را براي مدتی حفظ کنند و بر اساس پردازش آنها مجوز عبور صادر نمایند ، دیواره آتش هوشـمند نامیـده می شوند. این فیلتر ها یا به نوعی دیواره آتش باهوش تر از فیلتر های ساده هستند. آنهـا تقریبـاً تمـامی ترافیـک ورودی را بلوکه می کنند ، اما می توانند به ماشین هاي پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنهـا ایـن کار را با نگهداری رکورد اتصالاتی که ماشین هاي پشتشان در لایه انتقـال مـی کننـد ، انجـام مـی دهنـد. ایـن فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازي دیواره آتش در شبکه مدرن هستند. این فیلترها میتواننـد ردپای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ، ثبت کنند. براي مثال شماره پورت هاي TCP و UDP مبدأ و مقصد ، شماره ترتیب TCP و پرچم هـای TCP . بـسیاری از فیلتر های جدید Stateful می توانند پروتکل های لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لـذا می توانند اعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکل ها انجام دهند.همچنین فیلتر های هوشمند باعث می شود بسته هایی که با ظاهر مجاز می خواهند درون شبکه راه پیـدا کننـد را از بسته های واقعی تمیز داده شوند. بزرگترین مشکل این فیلتر ها غبله بر تاخیر پردازش و حجم حافظـه مـورد نیاز می باشد، ولی در مجموع قابلیت اعتماد بسیار بالاتری دارند و ضریب امنیت شبکه را افـزایش خواهنـد داد؛ و بطور کل یک دیواره آتش یا فیلتر هوشمند پیشینه ترافیک خروجی را براي چند ثانیه آخر به خـاطر مـی سـپارد و بر اساس آن تصمیم می گیرد که آیا ورود یک بسته مجاز است یا خیر.؟

5- دیواره هاي آتش شخصی (Personal Firewall)

دیواره های آتش شخصی ، دیواره های آتشی هستند که بر روي رایانه های شخصی نصب می شوند. آنها بـراي مقابله با حملات شبکه ای طراحی شده اند. معمولاً از برنامه هاي در حال اجرا در ماشین آگاهی دارنـد و تنهـا PC ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند.نصب یک دیـواره آتـش شخـصی بـر روي یک کامپیوتر بسیار مفید است ، زیرا سطح امنیت پیشنهادی توسط دیواره آتش شبکه را افـزایش مـی دهـد. از طرف دیگر از آنجایی که امروزه بسیاري از حملات از درون شبکه حفاظت شـده ، انجـام مـی شـوند ، دیـواره آتش شبکه نمی تواند کاری براي آنها انجام دهد و لذا یک دیواره آتش شخصی بسیار مفید خواهـد بـود. معمـولاً نیازی به تغییر برنامه جهت عبور از دیواره شخصی نصب شده (همانند پروکسی) نیست.

موقعیت یابی براي دیواره آتش

محل و موقعیت نصب دیواره آتش همانند انتخاب نوع صـحیح دیـواره آتـش و پیکربنـدی کامـل آن ، از اهمیـت ویژه ای برخوردار است.نکاتی که باید براي یافتن جای مناسب نصب دیواره آتش در نظر گرفت ، عبارتند از :

1- موقعیت و محل نصب از لحاظ توپولوژیکی :

معمولاً مناسب به نظر می رسد که دیواره آتش را در درگاه ورودي/خروجی شبکه خصوصی نصب کرد. ایـن امـر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمـک دیـواره آتـش از یـک طـرف و جداسـازی شـبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.

2- قابلیت دسترسی و نواحی امنیتی :

اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از دیواره آتـش و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی و تنظیم دیواره آتش جهت صدور اجازه بـه کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود و با هک شدن شبکه داخلـی بـدین علـت کـه در اینحالت مسیر را براي هکرها باز شده است. در حالی که با استفاده از ناحیـه DMZ ، سـرورهاي قابـل دسترسـی برای شبکه عمومی از شبکه خصوصی بطور فیزیکی جدا می باشند. لذا اگـر هکرهـا بتواننـد بـه نحـوی بـه ایـن سرورها نفوذ نمایند،باز هم دیواره آتش را پیش روی خود دارند.

3- مسیریابی نامتقارن :

بیشتر دیواره های آتش مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفـی را کـه از طریـق آنهـا شـبکه داخلی را به شبکه عمومی وصل کرده است ، نگهداری کنند.این اطلاعات کمک می کنند تـا تنهـا بـسته هـای اطلاعاتی مجاز به شبکه خـصوصی وارد شـوند. در نتیجـه حـائز اهمیـت اسـت کـه نقطـه ورود و خـروج تمـامی اطلاعات به / از شبکه خصوصی از طریق یک دیواره آتش باشد.

4- دیواره های آتش لایه ای :

در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند دیواره آتش در مسیر اسـتفاده شـود.در ایـن حالـت اگـر اولین دیواره آتش با مشکلی روبرو گردد ، دومین دیواره آتش به کار خود ادامه می دهد. در این روش بهتـر اسـت از دیواره هاي آتش شرکت های مختلف استفاده گردد تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتـی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تأمین کنند.

توپولوژی های دیواره آتش

برای پیاده سازی و پیکربندی دیواره آتش هـا در یـک شـبکه از توپولـوژی هـای متفـاوتی اسـتفاده مـی گـردد . توپولوژی انتخابی به ویژگی های شبکه و خواسته های موجود بستگی خواهد داشت.

توپولوژی نوع اول : دیواره آتش Dual-Homed

در این توپولوژی که یکی از ساده ترین و در عین حال متداولترین روش استفاده از یک دیواره آتش اسـت ، یـک دیواره آتش مستقیماً و از طریق یک خط Dial-up ، خطوط ISDN و یا مودم های کـابلی بـه اینترنـت متـصل می گردد. در توپولوژي فوق امکان استفاده از DMZ وجود نخواهد داشت.
دیواره آتش Dual-Homed

برخی از ویژگی های این توپولوژی عبارت از :
  • دیواره آتش مسئولیت بررسی بسته هاي اطلاعاتی ارسالی با توجه به قوانین فیلترینگ تعریـف شـده بـین شـبکه داخلی و اینترنت و برعکس را برعهده دارد.
  • دیواره آتش از آدرس IP خود براي ارسال بسته های اطلاعاتی بر روي اینترنت استفاده می نماید .
  • دارای یک پیکربندی ساده بوده و در مواردی کـه صـرفا” داراي یـک آدرس IP معتبـر ( Valid ) مـی باشـیم ، کارساز خواهند بود.

 

 

ادامه مطلب

مراکز داده در ایران

مراکز داده در ایران

دیتاسنتر مرکز داده اي است که نقش استراتژیکی در پیش برد برنامه هاي اطلاع رسانی و ارتباطی دیجیتالی در یک جامعه اطلاعاتی بازي می کند. همان طور که می دانید ، داده می تواند به صورت هاي متنی ، صوتی ، تصویري و … باشد . مانند درایو رایانه که امکان فراخوانی فایلهاي فولدرهاي مختلف را فراهم می کند ؛ دیتا سنتر نیز چنین رفتار فنی دارد با این تفاوت که معمولا دیتاسنترها به شبکه هاي بومی و بین المللی متصل هستند. این مراکز داده مراکزي به شمار می آیند که از بهم پیوستن مجموعه اي از تجهیزات سخت افزاري و نرم افزاري جهت نگهداري و پشتیبانی و میزبانی (Hosting) پایگاه هاي اطلاع رسانی تحت وب ، مورد استفاده قرار می گیرد. نوع سخت افزار به کار رفته در دیتا سنترها و نوع سیستم عامل و برنامه هاي نرم افزاري پشتیبانی و امنیتی و تجارتی خاصی که روي آن قرار گرفته است ، ارزش و قابلیت آن را براي مصرف کننده و درنهایت end user در پی خواهد داشت . مقایسه مراکز داده در ایران وکشورهاي پیشرفته جهان هدف ما را در پیشبرد اهدافمان در حوزه فناوري اطلاعات مشخص خواهد کرد.

مراکز داده در ایران

دیتاسنتر های استاندارد بین المللی ISO

مراکز داده در ایران
استاندارد ISO بزرگترین سازمان تولید کننده استاندارد های بین المللی در کلیه حوزه ها می باشد. گواهینامه ISO به منزله اینست که محصول یا سرویس ارائه شده به مشتری کلیه پارامتر های مشخص شده استاندارد شامل کیفیت ، اجرا ، امنیت ، ایمنی و استاندارد های محیطی و انرژی را دارا می باشد و به پذیرش اداره استاندارد رسیده است.

گواهینامه ها

ISO 9001:2008 Quality Management Systems Standard

ISO 14001:2004 Environmental Management System Standard
OHSAS 18001: 2007 Occupational Health & Safety Management System Standard
ISO / IEC 27001:2005 and 27001:2013 Information Security Management System Standard
ISO 50001:2011 Energy Management System Standard
PCI-DSS Payment Card Industry Data Security Standard

مراکز داده در ایران

 

ادامه مطلب