Category Archives: مقالات

فایروال Firewall

Tags :

Category : گروه فنی و مهندسی وی سنتر مقالات

انواع دیواره آتش ها

دیواره آتش ها به دو شکل سخت افزاري (خارجی) و نرم افزاري (داخلی) ارائه می شوند :

1- دیواره آتشهاي سخت افزاري :

این نوع از دیواره آتش ها که به آنان دیواره آتش هاي شبکه نیز گفته می شـود ، بـین کـامپیوتر هـا و کابل و یا خط DSL قرار خواهد گرفت.تعداد زیادي از تولید کنندگان و برخی از مراکز ISP ، دسـتگاههـایی با نام Router را ارائه می دهند که داراي یک دیواره آتش نیز می باشند.

دیواره آتش هاي سخت افزاري در مواردي نظیر حفاظت چندین کامپیوتر مفید بـوده و یـک سـطح مناسـب حفاظتی را ارائه می نمایند.

دیواره آتش هاي سخت افزاري ، دستگاههاي سخت افزاري مجزائی مـی باشـند کـه داراي سیـستم عامـل اختصاصی خود می باشد. بنابراین بکارگیري آنان باعث ایجاد یک لایـه دفـاعی اضـافه در مقابـل تهاجمـات می گردد.

2- دیواره آتش نرم افزاري :

برخی از سیستم عامل ها داراي یک دیواره آتش تعبیه شده درون خود مـی باشـند. بنـابراین مـی تـوان دیواره آتش موجود در سیستم عامل را فعال نموده تا یک سطح حفاظتی در خصوص ایمن سـازي کـامپیوتر و اطلاعات (به صورت نرم افزاري)ایجاد گردد.

در صورتی که سیستم عامل نصب شده بر روي کامپیوتر فاقد دیواره آتش باشد ، می تـوان اقـدام بـه تهیـه یک دیواره آتش نرم افزاري کرد. که در اینحالت براي نـصب دیـواره آتـش نـرم افـزاري بایـستی از طریـق سیدي درایو این روش اقدام گردد و حتی المقدور باید از نصب دیواره آتش نـرم افـزاري از طریـق اینترنـت اجتناب نمود.چون در این روش کامپیوتر محافظت نشده می باشد و در حین نصب نـرم افـزار امکـان ایجـاد مشکلات براي سیستم امکان پذیر می باشد.

 

نحوه عملکرد دیواره آتش

یک دیواره آتش کل ترافیک بین دو شبکه را بازرسی کرده ، تا طبق معیار هاي حفاظتی و امنیتی پردازش شـوند.

پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد :

1) اجازه عبور بسته صادر می شود.(Accept mode)

2) بسته حذف می شود.(Blocking Mode)

3) بسته حذف شده و پاسخ مناسب به مبدأ آن بسته داده می شود. (Response Mode)

همچنین علاوه بر حذف بسته می توان عملیاتی نظیر ثبـت ، اخطـار ، ردگیـري و جلـوگیري از ادامـه اسـتفاده از شبکه هم در نظر گرفت.

به مجموعه قواعد دیواره آتش سیاست امنیتی نیز گفته می شود. همانطور که همه جا عملیـات ایـست و بازرسـی وقت گیر است ، دیواره آتش هم بعنوان گلوگاه می تواند منجـر بـه بـالا رفـتن ترافیـک ، تـاخیر ازدحـام و نهایتـاً بنبست در شبکه شود.گاهی اوقات بسته ها آنقدر در پشت دیوار آتش معطل می مانند تا زمان طول عمرشان بـه اتمام رسیده و فرستنده مجبور می شود مجدداً اقدام به ارسال آنها کند و این متناوباً تکرار مـی گـردد. بـه همـین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا کمترین تاخیر را در اطلاعات امن و صـحیح ایجـاد نمایـد. تاخیر در دیوار آتش اجتناب ناپذیر است و فقط باید بگونه اي باشد که بحران ایجاد نکند.

از آنجایی که معماري شبکه به صورت لایه لایه است. و مدل هاي مختلفی در طراحی شبکه می باشد، در مـدل TCP/IP براي انتقال یک واحد اطلاعات از لایه چهارم بر روي شبکه باید تمام لایـه هـا را بگذارنـد، هـر لایـه براي انجام وظیفه خود تعدادي فیلد مشخص به ابتداي بسته اضافه کرده و آن را تحویل لایه پایین تر می دهد. قسمت اعظم کار یک دیواره آتش تحلیل فیلد هاي اضافه شـده در هـر لایـه و header هـر بـسته مـی باشـد. سیاست امنیتی یک شبکه مجموعه اي متناهی از قواعد امنیتی است که بنا بر ماهیتشان در یکـی از لایـه هـاي دیوار آتش تعریف می شوند :

1- قواعد تعیین بسته هاي ممنوع در اولیه لایه از دیواره آتش

2- قواعد بستن برخی از پورت ها متعلق به سرویسهاي مانند FTP یا Telnet در لایه دوم

3- قواعد تحلیل header متن یک نامه الکترونیکی یا صفحه وب در لایه سوم

 

بنابراین دیواره آتش داراي سه لایه می باشد ،که جزئیات هر کدام به شرح زیر می باشد:

الف) لایه اول دیواره آتش :

لایه اول دیواره آتش براساس تحلیل بسته IP و فیلد هـاي header ایـن بـسته کـار مـی کنـد و در ایـن بـسته فیلدهاي زیر قابل نظارت و بررسی هستند:

1- آدرس مبدا : برخی از ماشین هاي داخل و خارج شبکه با آدرس IP خاص حق ارسال بسته نداشـته باشـند و بسته هاي آنها به محض ورود به دیواره آتش حذف نشود.

2- آدرس مقصد : برخی از ماشین هاي داخل و خارج شبکه با آدرس IP خاص دریافـت بـسته نداشـته باشـند و بسته هاي آنها به محض ورود به دیواره آتش حذف شود. ( آدرس هاي IP غیر مجاز توسط مسئول دیواره آتش تعریف می شود.)

3-شماره شناسایی یک دیتاگرام قطعه قطعه شده (Fragment & Identifier offset) : بسته هایی کـه قطعـه قطعه نشده اند یا متعلق به یک دیتاگرام خاص هستند باید حذف نشوند.

4-شماره پروتکل: بسته هایی که متعلق به پروتکل خاصی در لایه بالاتر هستند می توانند حذف نشوند. یعنی بررسی اینکه بسته متعلق به چه پروتکلی است و آیا تحویل به آن پروتکل مجاز است یا خیر؟

5-زمان حیات بسته : بسته هایی که بیش از تعداد مشخصی مسیریاب را طی کرده اند مـشکوك هـستند و بایـد حذف نشوند. 6-بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیواره آتش قابل بررسی هستند.

مهمترین خصوصیت لایه ازن از دیواره آتش آنست که در این لایه بسته ها بطور مجزا و مستقل از هـم بررسـی می شوند و هیچ نیازي به نگه داشتن بسته هاي قبلی یا بعدي یـک بـسته نیـست. بهمـین دلیـل سـاده تـرین و سریعترین تصمیم گیري در این لایه انجام می شود. امروزه برخی مسیر یابها با امکـان لایـه اول دیـوارآتش بـه بازار عرضه می شوند. یعنی به غیر از مسیریابی وظیفه لایه اول یک دیوار آتش را هم انجام می دهند که به آنهـا مسیریابهاي فیلترکننده بسته (Pocket Filtering Routre) گفته می شود. بنابراین مسیریاب قبل از اقـدام بـه مسیریابی براساس جدولی، بسته هاي IP را غربال می کند و تنظیم این جـدول براسـاس نظـر مـسئول شـبکه و برخی قواعد امنیتی انجام می گیرد.

با توجه به سریع بودن این لایه هر چه درصد قواعد امنیتی در ایـن لایـه دقیقتـر و سـخت گیرتـر باشـند، حجـم پردازش در لایه هاي بالاتر کسر و در عین حال احتمال نفوذ پایین تر خواهد بود، ولـی در مجمـوع بخـاطر تنـوع میلیاردي آدرس هاي IP نفوذ از این لایه با آدرسهاي جعلی یا قرضی امکان پـذیر خواهـد بـود و ایـن ضـعف در لایه هاي بالاتر باید جبران شود.

ب) لایه دوم دیوار آتش:

در این لایه از فیلدهاي header لایه انتقال براي تحلیل بسته استفاده می شود. عمـومی تـرین فیلـدهاي بـسته لایه انتقال جهت بازرسی در دیوارآتش عبارتند از:

1-شماره پورت پروسه مبدا و مقصد : با توجه به آنکه پورت هاي استاندارد شـناخته شـده هـستند، ممکـن اسـت مسئول یک دیوار آتش بخواهد سرویس FTP فقط در محـیط شـبکه محلـی امکـان پـذیر باشـد و بـراي تمـام ماشینهاي خارجی این امکان وجود نداشته باشد. بنابراین دیـواره آتـش مـی توانـد بـسته هـاي TCP بـا شـماره پورتهاي 20 و 21 ( مربوط به FTP ) که مقصد ورود و خـروج از شـبکه را دادنـد، حـذف کنـد. یکـی دیگـر از سرویسهاي خطرناك که ممکن است مورد سوء استفاده قرار گیرند Telnet می باشد کـه مـی تـوان بـه راحتـی پورت 23 را مسدود کرد یعنی بسته هایی که مقصدشان شماره پورت 23 است، حذف شوند.

2-فیلد شماره ترتیب و فیلد Ackrowledgment : این دو فیلد نیز بنابر قواعد تعریف شده توسط مسئول شبکه قابل استفاده هستند.

3- کدهاي کنترلی (TCP code Bits) : دیواره آتش با بررسی ایـن کـدها، بـه ماهیـت آن بـسته پـی بـرده و سیاست هاي لازم را بر روي آن اعمال می کند. بعنوان مثال یک دیواره آتش ممکن است بگونه اي تنظیم شـود که تمام بسته هایی که از بیرون به شبکه وارد می شـوند و داراي بیـت SYN=1 هـستند را حـذف کنـد. بـدین ترتیب هیچ ارتباط TCP از بیرون به درون شبکه برقرار نخواهد شد.

از مهمترین خصوصیات این لایه آن است که تمام تقاضاهاي برقراري ارتباط TCP بایستی از این لایه بگـذرد و چون در ارتباط TCP ، تا مراحل سه گانه اش به پایان نرسد، انتقال داده امکان پذیر نیست.

لذا قبل از هر گونه مبادله دیواره آتش می تواند مانع برقراري هر ارتباط غیر مجـاز شـود. بـدین معنـا کـه دیـواره آتش می تواند تقاضاهاي برقراري ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نمـوده و در صـورت قابـل اطمینان نبودن مانع از برقراري ارتباط گردد. دیواره آتش این لایه نیاز به جدولی از شماره پورت هاي غیـر مجـاز دارد.

ج) لایه سوم دیواره آتش :

در این لایه حفاظت براساس نوع سرویس و برنامه کاربردي انجام می شـود. بـدین معنـا کـه بـا در نظـر گـرفتن پروتکل در لایه چهارم به تحلیل داده ها می پردازد. تعداد header در این لایـه بـسته بـه نـوع سـرویس بـسیار متنوع و فراوان است.

بنابراین در لایه سوم دیواره آتش براي هر سرویس مجزا (ماننـد وب، پـست الکترونیـک و …) بایـد یـک سلـسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش ها در لایه سوم زیاد است. بنابراین توصیه می شود که تمام سرویس هاي غیر ضروري و شماره پورت هـایی کـه مـورد اسـتفاده نیـستند در لایه دوم مسدود شوند تا کار در لایه سوم کمتر باشد.

انواع فایروال هاي از لحاظ عملکرد

انواع مختلف فایروال ها اعم از سخت افزاري و نرم افزاري (که در واقع به نـوعی فـایروال هـاي سـخت افـزاري خود داراي سیستم عامل و نرم افزارهاي مربوط به خود مـی باشـند و بایـستی تنظـیم گردنـد)، روش انجـام کـار توسط آنها متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیـشنهادي فـایروال هـا مـی شـود. بنابراین براین اساس، فایروال ها را به 5 گروه تقسیم می نمایند:

1- دیواره هاي آتش سطح مدار (Circuit – Level Firewall)

این دیواره هاي آتش به عنوان یک رله براي ارتباطات TCP عمل می کنند. آنها ارتباط TCP با رایانـه پـشتیبان قطع می کنند و خود به جاي آن رایانه به پاسخگویی اولیه می پردازند. تنهـا پـس از برقـراري ارتبـاط اسـت کـه اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها بـه بـسته هـاي داده اي مـرتبط اجـازه عبـور میدهند. این نوع از دیواره هاي آتش هیچ داده درون بسته هاي اطلاعات را مورد بررسی قرار نمـی دهنـد و لـذا سرعت خوبی دارند ضمناً امکان ایجاد محدودیت بر روي سایر پروتکل ها (غیر از TCP) را نیز نمی دهند.

2-دیواره هاي آتش پروکسی سرور (Proxy Based Firewall)

فایروال هاي پروکسی سرور به بررسی بسته هاي اطلاعات در لایـه کـاربرد مـی پـردازد. یـک پروکـسی سـرور درخواست ارائه شده توسط برنامه هاي کاربردي را قطع می کند و خود به جاي آنها درخواست را ارسال می کنـد. نتیجه درخواست را نیز ابتدا خود دریافت و سپس بـراي برنامـه هـاي کـاربردي ارسـال مـی کنـد. ایـن روش بـا جلوگیري از ارتباط مستقیم برنامه با سرورها و برنامه هاي کاربردي خارجی امنیـت بـالایی را تـامین مـی کنـد. از آنجایی که این دیوارههاي آتش پروتکل هاي سطح کاربرد را می شناسند، لذا می توانند بر مبناي این پروتکلهـا محدودیت هایی را ایجاد کنند. همچنـین آنهـا مـی تواننـد بـا بررسـی محتـواي بـسته هـاي داده اي بـه ایجـاد محدودیتهاي لازم بپردازند. البته این سطح بررسی می تواند به کندي این دیوارههاي آتش بیانجامـد. همچنـین از آنجایی که این دیواره هاي آتـش بایـد ترافیـک ورودي و اطلاعـات برنامـه هـاي کـاربردي کـاربر انتهـایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیـستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتواند این دیواره هاي آتش را به کار گیرد. هـر برنامـه جدیدي که بخواهد از این نوع دیوارهآتش عبور کند، باید تغییراتی در پشته پروتکل دیوارهآتش ایجاد کرد.

عملکرد دیواره آتش پروکسی سرور بدین صورت می باشد که بطور مثال زمانی که یک کـامپیوتر مبـدا تقاضـاي یک نشست (_Session) مانند FTP یا برقراري ارتباط TCP با سرویس دهنده وب را بـراي، کـامپیوتر ارسـال می کند، فرایند زیر اتفاق می افتد: پروکسی به نیابت از کامپیوتر مبدأاین نشست را برقرار می کند. یعنی طرف نشست دیـواره آتـش خواهـد بـود نـه کامپیوتر اصلی. سپس یک نشست مستقل بین دیواره آتش و کامپیوتر مقصد برقرار مـی شـود. پروکـسی داده هـا مبدا را می گیرد، سپس از طریق نشست دوم براي مقصد ارسال می نمایـد. بنـابراین در دیـواره آتـش مبتنـی بـر پروکسی هیچ نشست مستقیم رودرویی بین مبدا و مقصد شکل نمی گیرد، بلکه ارتباط آنها بوسیله یـک کـامپیوتر واسط برقرار می شود. بدین نحو دیوارهآتش قادر خواهد بود بر روي داده هاي مبادله شده درخلال نشست اعمـال نفوذ کند. حال اگر نفوذ گر بخواهد با ارسال بسته هاي کنترلی خاص ماننـد SYN-ACK کـه ظـاهراً مجـاز بـه نظر می آیند واکنش ماشین هدف را در شـبکه داخلی ارزیابی کند، در حقیقـت واکـنش دیـواره آتـش را مـشاهده می کند و لذا نخواهد توانست از درون شبکه داخلی اطلاعات مهم و با ارزشی بدست بیاورد.

همچنین دیواره آتش پروکسی سرور به حافظه نسبتاً زیاد و CPU بسیار سریع نیازمندند و لـذا نـسبتاً گـران تمـام می شوند، بدین علت که این نوع دیواره آتش باید تمام نشست هاي بین ماشـین هـاي درون و بیـرون شـبکه را مدیریت و اجرا کند، لذا گلوگاه شبکه محسوب می شود و هرگونه تاخیر یا اشکال در پیکربندي آن ، کـل شـبکه را با بحران جدي مواجه خواهد نمود.

3- دیواره آتش غیر هوشمند یا فیلترهاي Nosstatful pocket

این نوع دیواره آتش روش کار ساده اي دارند . آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعـه اي از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیم ها با توجه اطلاعـات آدرس دهی موجود در پروتکل هاي لایه شبکه ماننـد IP و در بعـضی مـوارد بـا توجـه بـه اطلاعـات موجـود در پروتکل هاي لایه انتقال مانند سرایندهاي TCP و UDP اتخاذ می شود.این فیلترها زمانی می توانند بـه خـوبی عمل کنند که فهم خوبی از کاربرد سرویس هاي مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این نـوع دیواره آتش می توانند سریع باشند ، چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی دربـاره پروتکـل هـاي لایه کاربرد ندارند.

4- دیواره آتش هوشمند یا فیلترهاي Stateful packet : دیواره آتشی که قادر باشد مشخصات ترافیک خروجی از شبکه را براي مدتی حفظ کنند و بر اساس پردازش آنها مجوز عبور صادر نمایند ، دیواره آتش هوشـمند نامیـده می شوند. این فیلتر ها یا به نوعی دیواره آتش باهوش تر از فیلتر هاي ساده هستند. آنهـا تقریبـاً تمـامی ترافیـک ورودي را بلوکه می کنند ، اما می توانند به ماشین هاي پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنهـا ایـن کار را با نگهداري رکورد اتصالاتی که ماشین هاي پشتشان در لایه انتقـال مـی کننـد ، انجـام مـی دهنـد. ایـن فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازي دیواره آتش در شبکه مدرن هستند. این فیلترها میتواننـد ردپاي اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ، ثبت کنند. براي مثال شماره پورت هاي TCP و UDP مبدأ و مقصد ، شماره ترتیب TCP و پرچم هـاي TCP . بـسیاري از فیلتر هاي جدید Stateful می توانند پروتکل هاي لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لـذا می توانند اعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکل ها انجام دهند.همچنین فیلتر هاي هوشمند باعث می شود بسته هایی که با ظاهر مجاز می خواهند درون شبکه راه پیـدا کننـد را از بسته هاي واقعی تمیز داده شوند. بزرگترین مشکل این فیلتر ها غبله بر تاخیر پردازش و حجم حافظـه مـورد نیاز می باشد، ولی در مجموع قابلیت اعتماد بسیار بالاتري دارند و ضریب امنیت شبکه را افـزایش خواهنـد داد؛ و بطور کل یک دیواره آتش یا فیلتر هوشمند پیشینه ترافیک خروجی را براي چند ثانیه آخر به خـاطر مـی سـپارد و بر اساس آن تصمیم می گیرد که آیا ورود یک بسته مجاز است یا خیر.؟

5- دیواره هاي آتش شخصی (Personal Firewall)

دیواره هاي آتش شخصی ، دیواره هاي آتشی هستند که بر روي رایانه هاي شخصی نصب می شوند. آنها بـراي مقابله با حملات شبکهاي طراحی شده اند. معمولاً از برنامههاي در حال اجرا در ماشین آگاهی دارنـد و تنهـا PC ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند.نصب یک دیـواره آتـش شخـصی بـر روي یک کامپیوتر بسیار مفید است ، زیرا سطح امنیت پیشنهادي توسط دیواره آتش شبکه را افـزایش مـی دهـد. از طرف دیگر از آنجایی که امروزه بسیاري از حملات از درون شبکه حفاظت شـده ، انجـام مـی شـوند ، دیـواره آتش شبکه نمی تواند کاري براي آنها انجام دهد و لذا یک دیواره آتش شخصی بسیار مفید خواهـد بـود. معمـولاً نیازي به تغییر برنامه جهت عبور از دیواره شخصی نصب شده (همانند پروکسی) نیست.

موقعیت یابی براي دیواره آتش

محل و موقعیت نصب دیواره آتش همانند انتخاب نوع صـحیح دیـواره آتـش و پیکربنـدي کامـل آن ، از اهمیـت ویژه اي برخوردار است.نکاتی که باید براي یافتن جاي مناسب نصب دیواره آتش در نظر گرفت ، عبارتند از :

1- موقعیت و محل نصب از لحاظ توپولوژیکی :

معمولاً مناسب به نظر می رسد که دیواره آتش را در درگاه ورودي/خروجی شبکه خصوصی نصب کرد. ایـن امـر به ایجاد بهترین پوشش امنیتی براي شبکه خصوصی با کمـک دیـواره آتـش از یـک طـرف و جداسـازي شـبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.

2- قابلیت دسترسی و نواحی امنیتی :

اگر سرورهایی وجود دارند که باید براي شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از دیواره آتـش و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی و تنظیم دیواره آتش جهت صدور اجازه بـه کاربران خارجی براي دسترسی به این سرورها برابر خواهد بود و با هک شدن شبکه داخلـی بـدین علـت کـه در اینحالت مسیر را براي هکرها باز شده است. در حالی که با استفاده از ناحیـه DMZ ، سـرورهاي قابـل دسترسـی براي شبکه عمومی از شبکه خصوصی بطور فیزیکی جدا می باشند. لذا اگـر هکرهـا بتواننـد بـه نحـوي بـه ایـن سرورها نفوذ نمایند،باز هم دیواره آتش را پیش روي خود دارند.

3- مسیریابی نامتقارن :

بیشتر دیواره هاي آتش مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفـی را کـه از طریـق آنهـا شـبکه داخلی را به شبکه عمومی وصل کرده است ، نگهداري کنند.اینن اطلاعات کمک می کنند تـا تنهـا بـسته هـاي اطلاعاتی مجاز به شبکه خـصوصی وارد شـوند. در نتیجـه حـائز اهمیـت اسـت کـه نقطـه ورود و خـروج تمـامی اطلاعات به / از شبکه خصوصی از طریق یک دیواره آتش باشد.

4- دیواره هاي آتش لایه اي :

در شبکه هاي با درجه امنیتی بالا بهتر است از دو یا چند دیواره آتش در مسیر اسـتفاده شـود.در ایـن حالـت اگـر اولین دیواره آتش با مشکلی روبرو گردد ، دومین دیواره آتش به کار خود ادامه می دهد. در این روش بهتـر اسـت از دیواره هاي آتش شرکت هاي مختلف استفاده گردد تا در صورت وجود یک اشکال نرم افزاري یا حفره امنیتـی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تأمین کنند.

توپولوژي هاي دیواره آتش

براي پیاده سازي و پیکربندي دیواره آتش هـا در یـک شـبکه از توپولـوژي هـاي متفـاوتی اسـتفاده مـی گـردد . توپولوژي انتخابی به ویژگی هاي شبکه و خواسته هاي موجود بستگی خواهد داشت.

توپولوژي نوع اول : دیواره آتش Dual-Homed

در این توپولوژي که یکی از ساده ترین و در عین حال متداولترین روش استفاده از یک دیواره آتش اسـت ، یـک دیواره آتش مستقیماً و از طریق یک خط Dial-up ، خطوط ISDN و یا مودم هاي کـابلی بـه اینترنـت متـصل می گردد. در توپولوژي فوق امکان استفاده از DMZ وجود نخواهد داشت.

دیاگرام فایروال

برخی از ویژگی هاي این توپولوژي عبارت از :

  • دیواره آتش مسئولیت بررسی بسته هاي اطلاعاتی ارسالی با توجه به قوانین فیلترینگ تعریـف شـده بـین شـبکه داخلی و اینترنت و برعکس را برعهده دارد.
  • دیواره آتش از آدرس IP خود براي ارسال بسته هاي اطلاعاتی بر روي اینترنت استفاده می نماید .
  • داراي یک پیکربندي ساده بوده و در مواردي کـه صـرفا” داراي یـک آدرس IP معتبـر ( Valid ) مـی باشـیم ، کارساز خواهند بود .

راهکار جامع مجازی سازی دسکتاپ با VMware VDI

Tags :

Category : گروه فنی و مهندسی وی سنتر مقالات

مقدمه
سالها پیش کامپیوتر های به این شکل که امروزه در شرکت ها هستند و هر نفر برای خودش به اصطلاح یک PC داره نبود و در حقیقت کامپیوتری وجود نداشت ، یک کامپیوتر فوق العاده قوی بود که بهش میگفتن Mainframe و همه دستگاه هایی که بهش وصل میشدن و کار میکردن فاقد CPU و قدرت پردازش بودن و تمام کارها بر روی کامپیوتر مرکزی انجام میشد و نتایج برای Terminal که یک کیبود و ماوس بود ارسال میشد.بعد از مدتی که وجود کامپیوترها به این شکلی که هست باب شد و به تعداد افراد یک سازمان کامپیوتر وجود داشت ، خوب قدرت مدیریتی ضعیفتر شد ، شما فکر کنید در سالهای قبل فقط یک کامپیوتر مرکزی مدیریت میشد ولی حالا مثلا 022 تا کامپیوتر باید مدیریت بشود ، و این مساله باعث مشکل شد و باز تصمیم گرفته شد که به گذشته بر گردن و یک سرور مرکزی وجود داشته باشه و تمامی پردازش ها بر روی اون انجام بشه و صرفا نتایج برای کلاینت ها ارسال بشه و این بود که روی به استفاده از سیستم های مجازی سازی دسکتاپ آوردن که بهترین راهکار برای اینکار بود .

مجازی سازی دسکتاپ چیست ؟
سیستم های مجازی سازی دسکتاپ یا همون Desktop Virtualization در حقیقت تشکیل شده از یک یا چندین سرور قوی هستند که بر روی اونها سیستم عامل ها به ازای هر کاربر یک عدد نصب شده و پردازش ها کلا توسط این سرورها یا قدرت زیاد انجام می شود، کاربر بوسیله یک ترمینال (Thin Client) به سرور متصل میشود و صفحه دسکتاپ مجازی شده خودش رو مشاهده میکند و انگار که دارد با سیستم خودش کار میکند با این تقاوت که کل داده ها و اطلاعات و پردازش ها در روی سرور ها انجام میشود، این روش از خیلی جهات میتواند به سود سازمان باشد چون دیگر هزینه های سرسام آور مدیریت کامپیوترها تا حد زیادی حذف میشود و هزینه خزید سخت افزار هم طبیعتا پایین میاد چون قیمت Thin client با یک PC قابل مقایسه نیست .

دلایل حرکت به سوی مجازی سازی
از جمله دلایل استفاده از فضاهای مجازی می توان به مواردی نظیر کم نمودن هزینه های تعمیر و نگهداری تجهیزات، صرفه جویی در زمان، استفاده از حداقل نیروی متخصص جهت انجام عملیات تعمیر ونگهداری
و از همه مهمتر، مباحث مربوط به افزونگی (Redundancy) اشاره کرد .
به صورت خلاصه می توان چهار دلیل برای استفاده از زیرساخت مجازی سازی ذکر کرد . :

1 استفاده بیشتر از منابع سخت افزاری موجود :
با تلفیق سرورها و سرویس ها خطوط قرمز فعلی در مراکز داده ها شکسته می شود، قانون یک سرور یک سرویس سالهاست در مراکز داده ها استفاده می شود که باعث اتلاف زیاد منابع سخت افزاری در مراکز داده می شود . سرویس ها از هم مستقل می شوند و این استقلال در نهایت باعث پایداری بیشتر سرویس ها در شبکه می شود.امکان داشتن سرویس ها با ساختار های متفاوت مانند Linux و مایکروسافت و Netware بر روی یک سخت افزار نیز یکی از مزایای دیگر این بستر می باشد.

کم کردن هزینه ها با تغییر در زیر ساخت سخت افزاری:
سرور های کمتر، سخت افزار کمتری نیاز دارد، در ساختاری که بر بستر مجازی ایجاد میشود، به سرورهای فیزیکی کمتری نیاز است، حتی اگر یک ساختار سنتی را مجازی کنید، تعدادی سرور آزاد می شوند که می توان در مکان های دیگری از آنها استفاده کرد .
: 2 تجمیع داده ها در دیتا سنترها و مراکز داده
متمرکز کردن برنامه های کاربردی و بانک های اطلاعاتی در مراکز داده ها (Data Centers) ، هزینه ی نگه داری و کنترل دسترسی ها را بطور چشمگیری کاهش می دهد و موضوعاتی مانند یکسانسازی اطلاعات (Replication) را از دستور کار خارج میکند .
3 : کم کردن هزینه های مدیریتی و نگهداری :
سخت افزار کمتر، مدیریت به مراتب کمتری نیاز دارد، همچنین استهلاک و هزینه های جانبی از جمله برق مصرفی و کولینگ کمتر می شود .

4 پایداری و بازیابی به موقع و سریع سرورها در حالت Down شدن و از کار افتادن :
بستر مجازی سازی، راهکار های منحصر به فرد برای پایدار ماندن سرورها و سرویس ها و برنامه ها و Recovery سریع و مطمئن در مواقع خرابی و بروز مشکل

 

مفهوم VDI چیست ؟
VDI مخفف Virtual Desktop Infrastructure است. VDI یک محصول یا یک برنامه نیست، یک مفهوم یا یک اصطلاح است. حتما کسانی که با VMware آشنایی دارند اسم VMware view را هم شنیدند، این محصول ارتباط مسقتیم با مبحث VDI دارد. خود VMware معنی VDI را منتقل کردن Desktop از Data Center تعریف میکند، VDI یک سیستم عامل Desktop با دسترسی راه دور است که از روی یک Data Center با استفاده از یک کامپیوتر شخصی یا یک Thin Client قابل دسترسی است.

 

یکی از مهمترین تفاوتها VDI با Terminal Services این است که، Terminal Services با اشتراک گذاری یک
سیستم عامل بین چندین کاربر یک سیستم عامل را در اختیار کاربران قرار میدهد ولی در VDI برای هر کاربر یک سیستم
عامل میتوان اختصاص داد، و این فقط مختص شرکت wareVM نیست محصولات مختلفی در این مبحث ارائه شدهاند،
همان طور در ابتدا گفتم DIV یک مغهوم یا یک اصطلاح است. محصولاتی که در این رابطه ارائه شده عبارت است از :
 VMware View  Citrix Xen Desktop  Microsoft VDI Broker or Remote Desktop Services Mashine Host

مدل های مجازی سازی دسکتاپ با محصول are ViewwVM برای مجازی سازی دسکتاپ با محصول VMware View دو روش مختلف داریم که در زیر به این دو روش می
پردازیم:
.1 سیستم عامل Desktop را بر روی یک
Data Center نصب می کنیم و به وسیله
دسترسی از راه دور یا همان Remote از
یک کامپیوتر شخصی PC به آن متصل می
شویم و از میز کاربری مجازی استفاده می
کنیم.
.2 سیستم عامل Desktop را بر روی یک
Data Center نصب می کنیم و به
وسیله Thin Client ، کاربران می توانند
به سیستم عامل Desktop متصل شوند
و از میز کاربری مجازی استفاده کنند.

چرا از VDI استفاده می کنیم ؟
 کاهش هزینه خرید سخت افزار، نگهداری و بروز
رسانی آن
 نگهداری بهتر و آسان تر از سیستم عامل ها
 کنترل دسترسی کاربران به , CD Drive USB و امنیت بیشتر اطلاعات
 اهمیت استفاده از Data Center در این است
که میتوان به صورت یک پارچه برای تهیه نسخه
پشتیبانی یا نصب یک نرم افزار یا اجرای یک
Update اقدام کرد
 قابلیت داشتن برق اضطراری برای Data Center این امکان را میدهد که در هنکام قطعی برق هم کلیه
Desktop ها در دسترس باشند
 High availability برای سیستم عامل های Desktop کاربرد مجازی سازی دسکتاپ درسازمانها؟
در حقیقت این تکنولوژی در هر مکانی که شما کاربرانی داشته
باشید که به برنامههای کاربردی Server-Based نیاز داشته
باشند، مفید است.
VDI تقریباً همه جا مفید خواهد بود و یکی از روشهای متعددی
خواهد بود که میتواند برای ارائه یک ماشین به کاربر، مورد
استفاده قرار گیرد.
VDI میتواند در اکثر شرکتها پیادهسازی گردد و باعث کاهش
هزینهها و بهبود کیفیت سرویس شود.

 

نتیجه گیری
در دنیای امروز به علت پیشرفت های سریع تکنولوژی، سازمانها
و شرکت های مختلف برای پیشرفت و استفاده بهینه از ابزارهای
زمان، سرعت، کارایی و همچنین درآمد بیشتر نیازمند این
مساله می باشند که نحوه کار و سیستم های کاری خود را با
پیشرفت تکنولوژی هم راستا سازند تا بتوانند به نتایج مطلوب
مورد نظر خود هر چه بهتر دست یابند.
پیرامون همین بحث همانگونه که گفته شد مجازی سازی
راهکاری می باشد که باعث بالا رفتن سرعت، پایین آمدن هزینه
ها ،بالا رفتن درصد اطمینان و . . . می شود و می تواند سازمانها و شرکت های مختلف را برای هم راستا شدن با پیشرفت
های تکنولوژی و کاری بسیار کمک کند.
مجازی سازی دسکتاپ ) VDI ( یکی از راهکارهای مجازی سازی می باشد که می تواند بهترین راه حل ها را برای
سازمانها و شرکت های بزرگ و کوچک ارائه دهد، برای اینکه بتوانند هرچه بهتر از منابع و هزینه های خود استفاده کنند.

نوشته‌های تازه

آخرین دیدگاه‌ها

    بایگانی‌ها

    دسته‌ها

    محصولات

    HP

    EMC

    NetApp

    VMware

    Cisco

    خدمات

    خدمات مجازی سازی
    خدمات ذخیره سازی و بکاپ
    خدمات شبکه
    خدمات دیتاسنتر

    رسانه آموزشی آنلاین
    W3Schools

    © Copyright 2020. All Rights Reserved Powered By