فایروالها از جمله تجهیزات کلیدی در شبکه های مختلف هستند و جهت برقراری امنیت در ساختار شبکه مورد استفاده قرار میگیرند، برخی از فایروالهای امروزی قابلیتهای بیشتری داشته و بسیار هوشمندتر عمل میکنند و می توانند موارد کنترلی بسیار بالاتری را در اختیار ما قرار دهند و برخی از آنها مخصوصا مدل های قدیمی تر می توانند در کنار برخی نرم افزارها و سخت افزارهای امنیتی بعنوان بخش استحکام بخش شبکه مورد استفاده قرار گیرند.
آموزش نصب ASA بر روی GNS v1.4.0
PIX فایروالهای سیسکو یکی از انواع فایروالهای موجود در بازار گسترده تجهیزات امنیت شبکه میباشند و وظیفه اصلی و پایه ای آنها اجازه و یا عدم اجازه عبور ترافیک در بخش های مختلف شبکه با توجه به محل استقرار فایروال و بر اساس Rule ها و یا قوانینی است که از قبل برای آنها معین می کنیم.
تمامی فایروالها وظیفه بررسی و بازرسی اطلاعات و ترافیک عبوری از شبکه را برعهده داشته و با توجه به Rule یا مجموعه ای از Rule ها انتظاری را که در زمینه کنترل ترافیک داریم برآورده می کند و با اثر گذاری بر روی ترافیک آنها را اعمال میکند و به این شکل می توانیم اجازه عبور ترافیک را تنها در اختیار دسته ای از اطلاعات و ترافیک قرار دهیم که پارامترهای امنیتی خاص مورد نظر ما را داشته باشند.
انواع مختلفی از تکنولوژی های فایروال به صورت پایه عرضه شده اند که به دسته های زیر تقسیم میشوند:
– Packet filtering
– Proxy
– Stateful inspection
در دسته Packet filtering فایروال با استفاده از بررسی و یا Inspect ترافیک ورودی در لایه چهارم OSI یعنی لایه Transport موارد کنترلی تعیین شده قبلی بر آنها را اعمال می کند. در این تکنولوژی ترافیکهای TCP و UDP آنالیز شده و با مقایسه نوع ساختار یا Pattern آنها با Rule های ساخته شده مورد نظر ما که Access control list یا ACL شناخته می شوند نوع Policy قابل اعمال بر روی آنها مشخص میگردد. مواردی که در Packet filtering قابل بررسی و یا Inspect می باشد شامل پارامترهای زیر میباشد:
Source IP Address
Source Port
Destination IP Address
Destination Port
Protocol
علاوه بر این موارد در برخی سیستم های Packet filtering فایروالها به بررسی اطلاعات موجود در Header بسته های ارسال شده می پردازند تا در مورد اینکه آن بسته اطلاعاتی یا Packet از یک Connection جدید است یا از همان Connection قبلا ایجاد شده است اطلاعاتی جمع آوری و بر اساس آنها نیز تصمیم گیری شود.
این پارامترها با توجه به ACL های ساخته شده ما قابل کنترل می باشند و اجازه و یا عدم اجازه عبور ترافیک با توجه به ساختار آنها داده خواهد شد البته در برخی موارد که نرم افزارها پورتهای مختلفی را برای برقرار ارتباط در سطح شبکه مورد استفاده قرار می دهند لازم است که Policy لازم برای تمامی Connection های مورد نیاز آن نرم افزار در نظر گرفته شود تا آن نرم افزار بصورت کامل قابل سرویس دهی باشد.
دسته بعدی از تکنولوژی های پایه فایروال Proxy می باشد که در این مدل Proxy firewall که همان Proxy server نیز نامیده می شود به جای یک سرور و یا هاست به ترافیک ها پاسخ می دهد و به این ترتیب با محدود نمودن ارتباط خارج از شبکه با سرورها و تجهیزات داخل شبکه امنیت آنها را بالا می برد. به این ترتیب که تجهیزات و هاست های داخل یک شبکه محافظت شده در شبکه بصورت مستقیم با شبکه خارج از آن محدوده به هیچ عنوان ارتباط برقرار نمی کنند و درخواست های خود را به سمت Proxy server می فرستند و در آنجا از نظر دسترسی و صحت کاربری مورد بررسی قرار میگیرند و فایروالی که نقش Proxy server را بر عهده دارد به جانشینی از آن هاست های درخواست کننده، درخواست را به سمت شبکه خارج از محدوده حافظت ارسال نموده و جواب برگشتی از آن سمت را به درخواست کننده اولیه در داخل شبکه منتقل می کند، به این ترتیب فایروال در این حالت بعنوان نقطه برقراری تماس عمل میکند و از تماس مستقیم تجهیزات داخل شبکه حفاظت شده به بیرون از شبکه جلوگیری می کند که به این ترتیب بسیاری از جزئیات اطلاعاتی تجهیزات داخلی محفوظ می ماند که این امر در بهبود بخشیدن به امنیت شبکه نقش بسیار مهمی را ایفا میکند. در این حالت Proxy در لایه بالایی OSI اجرا میگردد یعنی در لایه Application که همین امر باعث میگردد برخی از اطلاعات مورد نیاز دسترسی هاست های داخلی که با تعداد بالاتر درخواست میگردد و عمومی تر مورد استفاده هستند Cache گردد و به این صورت زمان پاسخ دهی به درخواستها نیز کاهش می یابد. حجم پردازش درخواستها با توجه به تعداد هاستهای درخواست دهنده افزایش می یابد و در نتیجه سخت افزار مورد استفاده نقش مهمی را ایفا خواهد نمود، همچنین در شبکه های بزرگ معمولا چند Proxy server مورد استفاده قرار میگیرد. در برخی application ها و پروتکل ها بدلیل ماهیت ساختاری آنها امکان استفاده از Proxy وجود ندارد و در این نوع ترافیک ها می باید ارتباط بصورت مستقیم انجام شود تا پروتکل های یاد شده بتوانند به درستی کار کنند. البته یکی دیگر از مواردی که باید در نظر گرفته شود مسئله امنیت است آن هم به دلیل قرار گرفتن سرویس های Proxy در بالاترین سطح Application و در لایه بالای سیستم عامل تمامی کنترل های امنیتی منوط به قدرت در ساختار امنیتی آن سیستم عامل و Application می باشد به این ترتیب اگر امنیت سیستم عامل به خطر افتاده باشد امنیت هاست استفاده کننده نیز می تواند دچار اشکال گردد.
دسته بعدی از تکنولوژی های مورد استفاده در فایروالها Stateful inspection می باشد که در برخی مواقع با عنوان Stateful packet filtering شناخته میشود که در واقع ترکیبی از Packet filtering و Proxy service می باشد. این تکنولوژی قویترین حالت امنیتی را به همراه دارد چراکه نه تنها ترافیک بر اساس Rule های ساخته شده چک میگردند بلکه موقعیت ارتباطات در ترافیک های عبوری نیز در یک جدول ذخیره شده و دائم در حال کنترل می باشند. زمانی که ارتباط در connection برقرار گردید موقعیت یا State آن ذخیره میگردد و اگر اطلاعات Session در بازه زمانی ارتباط با جدول ذخیره شده همخوانی نداشته باشد آن ارتباط قطع و ترافیک Drop میگردد. این نوع کنترل در عبور ترافیک دارای بالاترین میزان امنیت می باشد و ضریب نفوذ را به مقدار زیادی کاهش می دهد.
در PIX فایروال های سیسکو نوع Stateful packet filtering مورد استفاده قرار گرفته است.
برخی از انواع PIX فایروالهای پر کاربرد سیسکو به تفکیک وسعت شبکه و نوع استفاده آنها به شرح زیر می باشند:
– Cisco PIX 515
این مدل از فایروال های سیسکو برای سازمانها و شرکتهایی با شبکه متوسط با تعداد پائین شعب مورد استفاده قرار میگیرد.
– Cisco PIX 515E
این مدل از PIX فایروال های سیسکو به نسبت مدل PIX 515 از سخت افزار قوی تری برخوردار بوده و با توجه به این موضوع امکانات بالاتری را برای شبکه های بزرگتر فراهم می آورد.
– Cisco PIX 525
این مدل از فایروالهای سیسکو متناسب برای شبکه های بزرگ و تامین کنندگان سرویس می باشد
– Cisco PIX 535
این مدل از فایروالهای سیسکو برای شبکه های بسیار بزرگ و تامین کنندگان سرویس بسیار قدرتمند مورد استفاده میباشند.
تمامی این فایروالها می توانند در سناریوهای مختلفی مانند سناریو های زیر مورد استفاده قرارگیرند.
Intrusion protection, AAA support, X.509 Certificate support, NAT, PAT, VPN
توان امنیتی عملیاتی قابل ارائه در مدل های مختلف PIX فایروال سیسکو معرفی شده در بالا به شرح زیر است:
Cisco PIX 515
Concurrent connections
۳۴۰۰۰R- 128000UR
۳DES VPN
۱۰Mbps R- 63Mbps UR
Throughput
۱۴۷Mbps
Cisco PIX 515E
Concurrent connections
۴۸۰۰۰R-130000UR
۳DES VPN
۲۰Mbps R-63Mbps UR
Throughput
۱۹۰Mbps
Cisco PIX 525
Concurrent connections
۱۲۸۰۰۰R-256000UR
۳DES VPN
۳۰Mbps R-72Mbps UR
Throughput
۳۶۰Mbps–
Cisco PIX 535
Concurrent connections
۲۵۰۰۰۰R-500000UR
۳DES VPN
۵۰Mbps R-100Mbps UR
Through
put
۱۶۵۵Mbps
SDM Template در سوئیچهای سیسکو
معرفی و پیکربندی EtherChannel بر روی سوئیچ های سیسکو
سیسکو را آسان یادبگیریم قسمت اول