فایروال Firewall

انواع دیواره آتش ها

دیواره آتش ها به دو شکل سخت افزاری (خارجی) و نرم افزاری (داخلی) ارائه می شوند :

1- دیواره آتشهای سخت افزاری :

این نوع از دیواره آتش ها که به آنان دیواره آتش های شبکه نیز گفته می شـود ، بـین کـامپیوتر هـا و کابل و یا خط DSL قرار خواهد گرفت.تعداد زیادی از تولید کنندگان و برخی از مراکز ISP ، دسـتگاههـایی با نام Router را ارائه می دهند که دارای یک دیواره آتش نیز می باشند.

دیواره آتش های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بـوده و یـک سـطح مناسـب حفاظتی را ارائه می نمایند.

دیواره آتش های سخت افزاری ، دستگاههای سخت افزاری مجزائی مـی باشـند کـه دارای سیـستم عامـل اختصاصی خود می باشد. بنابراین بکارگیری آنان باعث ایجاد یک لایـه دفـاعی اضـافه در مقابـل تهاجمـات می گردد.

2- دیواره آتش نرم افزاری :

برخی از سیستم عامل ها دارای یک دیواره آتش تعبیه شده درون خود مـی باشـند. بنـابراین مـی تـوان دیواره آتش موجود در سیستم عامل را فعال نموده تا یک سطح حفاظتی در خصوص ایمن سـازی کـامپیوتر و اطلاعات (به صورت نرم افزاری)ایجاد گردد.

در صورتی که سیستم عامل نصب شده بر روی کامپیوتر فاقد دیواره آتش باشد ، می تـوان اقـدام بـه تهیـه یک دیواره آتش نرم افزاری کرد. که در اینحالت برای نـصب دیـواره آتـش نـرم افـزاری بایـستی از طریـق سیدی درایو این روش اقدام گردد و حتی المقدور باید از نصب دیواره آتش نـرم افـزاری از طریـق اینترنـت اجتناب نمود.چون در این روش کامپیوتر محافظت نشده می باشد و در حین نصب نـرم افـزار امکـان ایجـاد مشکلات برای سیستم امکان پذیر می باشد.

 

نحوه عملکرد دیواره آتش

یک دیواره آتش کل ترافیک بین دو شبکه را بازرسی کرده ، تا طبق معیار های حفاظتی و امنیتی پردازش شـوند.

پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد :

1) اجازه عبور بسته صادر می شود.(Accept mode)

2) بسته حذف می شود.(Blocking Mode)

3) بسته حذف شده و پاسخ مناسب به مبدأ آن بسته داده می شود. (Response Mode)

همچنین علاوه بر حذف بسته می توان عملیاتی نظیر ثبـت ، اخطـار ، ردگیـری و جلـوگیری از ادامـه اسـتفاده از شبکه هم در نظر گرفت.

به مجموعه قواعد دیواره آتش سیاست امنیتی نیز گفته می شود. همانطور که همه جا عملیـات ایـست و بازرسـی وقت گیر است ، دیواره آتش هم بعنوان گلوگاه می تواند منجـر بـه بـالا رفـتن ترافیـک ، تـاخیر ازدحـام و نهایتـاً بنبست در شبکه شود.گاهی اوقات بسته ها آنقدر در پشت دیوار آتش معطل می مانند تا زمان طول عمرشان بـه اتمام رسیده و فرستنده مجبور می شود مجدداً اقدام به ارسال آنها کند و این متناوباً تکرار مـی گـردد. بـه همـین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا کمترین تاخیر را در اطلاعات امن و صـحیح ایجـاد نمایـد. تاخیر در دیوار آتش اجتناب ناپذیر است و فقط باید بگونه ای باشد که بحران ایجاد نکند.

از آنجایی که معماری شبکه به صورت لایه لایه است. و مدل های مختلفی در طراحی شبکه می باشد، در مـدل TCP/IP برای انتقال یک واحد اطلاعات از لایه چهارم بر روی شبکه باید تمام لایـه هـا را بگذارنـد، هـر لایـه برای انجام وظیفه خود تعدادی فیلد مشخص به ابتدای بسته اضافه کرده و آن را تحویل لایه پایین تر می دهد. قسمت اعظم کار یک دیواره آتش تحلیل فیلد های اضافه شـده در هـر لایـه و header هـر بـسته مـی باشـد. سیاست امنیتی یک شبکه مجموعه ای متناهی از قواعد امنیتی است که بنا بر ماهیتشان در یکـی از لایـه هـای دیوار آتش تعریف می شوند :

1- قواعد تعیین بسته های ممنوع در اولیه لایه از دیواره آتش

2- قواعد بستن برخی از پورت ها متعلق به سرویسهای مانند FTP یا Telnet در لایه دوم

3- قواعد تحلیل header متن یک نامه الکترونیکی یا صفحه وب در لایه سوم

 

بنابراین دیواره آتش دارای سه لایه می باشد ،که جزئیات هر کدام به شرح زیر می باشد:

الف) لایه اول دیواره آتش :

لایه اول دیواره آتش براساس تحلیل بسته IP و فیلد هـای header ایـن بـسته کـار مـی کنـد و در ایـن بـسته فیلدهای زیر قابل نظارت و بررسی هستند:

1- آدرس مبدا : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص حق ارسال بسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف نشود.

2- آدرس مقصد : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص دریافـت بـسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف شود. ( آدرس های IP غیر مجاز توسط مسئول دیواره آتش تعریف می شود.)

3-شماره شناسایی یک دیتاگرام قطعه قطعه شده (Fragment & Identifier offset) : بسته هایی کـه قطعـه قطعه نشده اند یا متعلق به یک دیتاگرام خاص هستند باید حذف نشوند.

4-شماره پروتکل: بسته هایی که متعلق به پروتکل خاصی در لایه بالاتر هستند می توانند حذف نشوند. یعنی بررسی اینکه بسته متعلق به چه پروتکلی است و آیا تحویل به آن پروتکل مجاز است یا خیر؟

5-زمان حیات بسته : بسته هایی که بیش از تعداد مشخصی مسیریاب را طی کرده اند مـشکوک هـستند و بایـد حذف نشوند. 6-بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیواره آتش قابل بررسی هستند.

مهمترین خصوصیت لایه ازن از دیواره آتش آنست که در این لایه بسته ها بطور مجزا و مستقل از هـم بررسـی می شوند و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یـک بـسته نیـست. بهمـین دلیـل سـاده تـرین و سریعترین تصمیم گیری در این لایه انجام می شود. امروزه برخی مسیر یابها با امکـان لایـه اول دیـوارآتش بـه بازار عرضه می شوند. یعنی به غیر از مسیریابی وظیفه لایه اول یک دیوار آتش را هم انجام می دهند که به آنهـا مسیریابهای فیلترکننده بسته (Pocket Filtering Routre) گفته می شود. بنابراین مسیریاب قبل از اقـدام بـه مسیریابی براساس جدولی، بسته های IP را غربال می کند و تنظیم این جـدول براسـاس نظـر مـسئول شـبکه و برخی قواعد امنیتی انجام می گیرد.

با توجه به سریع بودن این لایه هر چه درصد قواعد امنیتی در ایـن لایـه دقیقتـر و سـخت گیرتـر باشـند، حجـم پردازش در لایه های بالاتر کسر و در عین حال احتمال نفوذ پایین تر خواهد بود، ولـی در مجمـوع بخـاطر تنـوع میلیاردی آدرس های IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امکان پـذیر خواهـد بـود و ایـن ضـعف در لایه های بالاتر باید جبران شود.

ب) لایه دوم دیوار آتش:

در این لایه از فیلدهای header لایه انتقال برای تحلیل بسته استفاده می شود. عمـومی تـرین فیلـدهای بـسته لایه انتقال جهت بازرسی در دیوارآتش عبارتند از:

1-شماره پورت پروسه مبدا و مقصد : با توجه به آنکه پورت های استاندارد شـناخته شـده هـستند، ممکـن اسـت مسئول یک دیوار آتش بخواهد سرویس FTP فقط در محـیط شـبکه محلـی امکـان پـذیر باشـد و بـرای تمـام ماشینهای خارجی این امکان وجود نداشته باشد. بنابراین دیـواره آتـش مـی توانـد بـسته هـای TCP بـا شـماره پورتهای 20 و 21 ( مربوط به FTP ) که مقصد ورود و خـروج از شـبکه را دادنـد، حـذف کنـد. یکـی دیگـر از سرویسهای خطرناک که ممکن است مورد سوء استفاده قرار گیرند Telnet می باشد کـه مـی تـوان بـه راحتـی پورت 23 را مسدود کرد یعنی بسته هایی که مقصدشان شماره پورت 23 است، حذف شوند.

2-فیلد شماره ترتیب و فیلد Ackrowledgment : این دو فیلد نیز بنابر قواعد تعریف شده توسط مسئول شبکه قابل استفاده هستند.

3- کدهای کنترلی (TCP code Bits) : دیواره آتش با بررسی ایـن کـدها، بـه ماهیـت آن بـسته پـی بـرده و سیاست های لازم را بر روی آن اعمال می کند. بعنوان مثال یک دیواره آتش ممکن است بگونه ای تنظیم شـود که تمام بسته هایی که از بیرون به شبکه وارد می شـوند و دارای بیـت SYN=1 هـستند را حـذف کنـد. بـدین ترتیب هیچ ارتباط TCP از بیرون به درون شبکه برقرار نخواهد شد.

از مهمترین خصوصیات این لایه آن است که تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگـذرد و چون در ارتباط TCP ، تا مراحل سه گانه اش به پایان نرسد، انتقال داده امکان پذیر نیست.

لذا قبل از هر گونه مبادله دیواره آتش می تواند مانع برقراری هر ارتباط غیر مجـاز شـود. بـدین معنـا کـه دیـواره آتش می تواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نمـوده و در صـورت قابـل اطمینان نبودن مانع از برقراری ارتباط گردد. دیواره آتش این لایه نیاز به جدولی از شماره پورت های غیـر مجـاز دارد.

ج) لایه سوم دیواره آتش :

در این لایه حفاظت براساس نوع سرویس و برنامه کاربردی انجام می شـود. بـدین معنـا کـه بـا در نظـر گـرفتن پروتکل در لایه چهارم به تحلیل داده ها می پردازد. تعداد header در این لایـه بـسته بـه نـوع سـرویس بـسیار متنوع و فراوان است.

بنابراین در لایه سوم دیواره آتش برای هر سرویس مجزا (ماننـد وب، پـست الکترونیـک و …) بایـد یـک سلـسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش ها در لایه سوم زیاد است. بنابراین توصیه می شود که تمام سرویس های غیر ضروری و شماره پورت هـایی کـه مـورد اسـتفاده نیـستند در لایه دوم مسدود شوند تا کار در لایه سوم کمتر باشد.

انواع فایروال های از لحاظ عملکرد

انواع مختلف فایروال ها اعم از سخت افزاری و نرم افزاری (که در واقع به نـوعی فـایروال هـای سـخت افـزاری خود دارای سیستم عامل و نرم افزارهای مربوط به خود مـی باشـند و بایـستی تنظـیم گردنـد)، روش انجـام کـار توسط آنها متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیـشنهادی فـایروال هـا مـی شـود. بنابراین براین اساس، فایروال ها را به 5 گروه تقسیم می نمایند:

1- دیواره های آتش سطح مدار (Circuit – Level Firewall)

این دیواره های آتش به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP با رایانـه پـشتیبان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند. تنهـا پـس از برقـراری ارتبـاط اسـت کـه اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها بـه بـسته هـای داده ای مـرتبط اجـازه عبـور میدهند. این نوع از دیواره های آتش هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمـی دهنـد و لـذا سرعت خوبی دارند ضمناً امکان ایجاد محدودیت بر روی سایر پروتکل ها (غیر از TCP) را نیز نمی دهند.

2-دیواره های آتش پروکسی سرور (Proxy Based Firewall)

فایروال های پروکسی سرور به بررسی بسته های اطلاعات در لایـه کـاربرد مـی پـردازد. یـک پروکـسی سـرور درخواست ارائه شده توسط برنامه های کاربردی را قطع می کند و خود به جای آنها درخواست را ارسال می کنـد. نتیجه درخواست را نیز ابتدا خود دریافت و سپس بـرای برنامـه هـای کـاربردی ارسـال مـی کنـد. ایـن روش بـا جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیـت بـالایی را تـامین مـی کنـد. از آنجایی که این دیوارههای آتش پروتکل های سطح کاربرد را می شناسند، لذا می توانند بر مبنای این پروتکلهـا محدودیت هایی را ایجاد کنند. همچنـین آنهـا مـی تواننـد بـا بررسـی محتـوای بـسته هـای داده ای بـه ایجـاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به کندی این دیوارههای آتش بیانجامـد. همچنـین از آنجایی که این دیواره های آتـش بایـد ترافیـک ورودی و اطلاعـات برنامـه هـای کـاربردی کـاربر انتهـایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیـستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتواند این دیواره های آتش را به کار گیرد. هـر برنامـه جدیدی که بخواهد از این نوع دیوارهآتش عبور کند، باید تغییراتی در پشته پروتکل دیوارهآتش ایجاد کرد.

عملکرد دیواره آتش پروکسی سرور بدین صورت می باشد که بطور مثال زمانی که یک کـامپیوتر مبـدا تقاضـای یک نشست (_Session) مانند FTP یا برقراری ارتباط TCP با سرویس دهنده وب را بـرای، کـامپیوتر ارسـال می کند، فرایند زیر اتفاق می افتد: پروکسی به نیابت از کامپیوتر مبدأاین نشست را برقرار می کند. یعنی طرف نشست دیـواره آتـش خواهـد بـود نـه کامپیوتر اصلی. سپس یک نشست مستقل بین دیواره آتش و کامپیوتر مقصد برقرار مـی شـود. پروکـسی داده هـا مبدا را می گیرد، سپس از طریق نشست دوم برای مقصد ارسال می نمایـد. بنـابراین در دیـواره آتـش مبتنـی بـر پروکسی هیچ نشست مستقیم رودرویی بین مبدا و مقصد شکل نمی گیرد، بلکه ارتباط آنها بوسیله یـک کـامپیوتر واسط برقرار می شود. بدین نحو دیوارهآتش قادر خواهد بود بر روی داده های مبادله شده درخلال نشست اعمـال نفوذ کند. حال اگر نفوذ گر بخواهد با ارسال بسته های کنترلی خاص ماننـد SYN-ACK کـه ظـاهراً مجـاز بـه نظر می آیند واکنش ماشین هدف را در شـبکه داخلی ارزیابی کند، در حقیقـت واکـنش دیـواره آتـش را مـشاهده می کند و لذا نخواهد توانست از درون شبکه داخلی اطلاعات مهم و با ارزشی بدست بیاورد.

همچنین دیواره آتش پروکسی سرور به حافظه نسبتاً زیاد و CPU بسیار سریع نیازمندند و لـذا نـسبتاً گـران تمـام می شوند، بدین علت که این نوع دیواره آتش باید تمام نشست های بین ماشـین هـای درون و بیـرون شـبکه را مدیریت و اجرا کند، لذا گلوگاه شبکه محسوب می شود و هرگونه تاخیر یا اشکال در پیکربندی آن ، کـل شـبکه را با بحران جدی مواجه خواهد نمود.

3- دیواره آتش غیر هوشمند یا فیلترهای Nosstatful pocket

این نوع دیواره آتش روش کار ساده ای دارند . آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعـه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیم ها با توجه اطلاعـات آدرس دهی موجود در پروتکل های لایه شبکه ماننـد IP و در بعـضی مـوارد بـا توجـه بـه اطلاعـات موجـود در پروتکل های لایه انتقال مانند سرایندهای TCP و UDP اتخاذ می شود.این فیلترها زمانی می توانند بـه خـوبی عمل کنند که فهم خوبی از کاربرد سرویس های مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این نـوع دیواره آتش می توانند سریع باشند ، چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی دربـاره پروتکـل هـای لایه کاربرد ندارند.

4- دیواره آتش هوشمند یا فیلترهای Stateful packet : دیواره آتشی که قادر باشد مشخصات ترافیک خروجی از شبکه را برای مدتی حفظ کنند و بر اساس پردازش آنها مجوز عبور صادر نمایند ، دیواره آتش هوشـمند نامیـده می شوند. این فیلتر ها یا به نوعی دیواره آتش باهوش تر از فیلتر های ساده هستند. آنهـا تقریبـاً تمـامی ترافیـک ورودی را بلوکه می کنند ، اما می توانند به ماشین های پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنهـا ایـن کار را با نگهداری رکورد اتصالاتی که ماشین های پشتشان در لایه انتقـال مـی کننـد ، انجـام مـی دهنـد. ایـن فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی دیواره آتش در شبکه مدرن هستند. این فیلترها میتواننـد ردپای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ، ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدأ و مقصد ، شماره ترتیب TCP و پرچم هـای TCP . بـسیاری از فیلتر های جدید Stateful می توانند پروتکل های لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لـذا می توانند اعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکل ها انجام دهند.همچنین فیلتر های هوشمند باعث می شود بسته هایی که با ظاهر مجاز می خواهند درون شبکه راه پیـدا کننـد را از بسته های واقعی تمیز داده شوند. بزرگترین مشکل این فیلتر ها غبله بر تاخیر پردازش و حجم حافظـه مـورد نیاز می باشد، ولی در مجموع قابلیت اعتماد بسیار بالاتری دارند و ضریب امنیت شبکه را افـزایش خواهنـد داد؛ و بطور کل یک دیواره آتش یا فیلتر هوشمند پیشینه ترافیک خروجی را برای چند ثانیه آخر به خـاطر مـی سـپارد و بر اساس آن تصمیم می گیرد که آیا ورود یک بسته مجاز است یا خیر.؟

5- دیواره های آتش شخصی (Personal Firewall)

دیواره های آتش شخصی ، دیواره های آتشی هستند که بر روی رایانه های شخصی نصب می شوند. آنها بـرای مقابله با حملات شبکهای طراحی شده اند. معمولاً از برنامههای در حال اجرا در ماشین آگاهی دارنـد و تنهـا PC ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند.نصب یک دیـواره آتـش شخـصی بـر روی یک کامپیوتر بسیار مفید است ، زیرا سطح امنیت پیشنهادی توسط دیواره آتش شبکه را افـزایش مـی دهـد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شـده ، انجـام مـی شـوند ، دیـواره آتش شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک دیواره آتش شخصی بسیار مفید خواهـد بـود. معمـولاً نیازی به تغییر برنامه جهت عبور از دیواره شخصی نصب شده (همانند پروکسی) نیست.

موقعیت یابی برای دیواره آتش

محل و موقعیت نصب دیواره آتش همانند انتخاب نوع صـحیح دیـواره آتـش و پیکربنـدی کامـل آن ، از اهمیـت ویژه ای برخوردار است.نکاتی که باید برای یافتن جای مناسب نصب دیواره آتش در نظر گرفت ، عبارتند از :

1- موقعیت و محل نصب از لحاظ توپولوژیکی :

معمولاً مناسب به نظر می رسد که دیواره آتش را در درگاه ورودی/خروجی شبکه خصوصی نصب کرد. ایـن امـر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمـک دیـواره آتـش از یـک طـرف و جداسـازی شـبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.

2- قابلیت دسترسی و نواحی امنیتی :

اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از دیواره آتـش و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی و تنظیم دیواره آتش جهت صدور اجازه بـه کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود و با هک شدن شبکه داخلـی بـدین علـت کـه در اینحالت مسیر را برای هکرها باز شده است. در حالی که با استفاده از ناحیـه DMZ ، سـرورهای قابـل دسترسـی برای شبکه عمومی از شبکه خصوصی بطور فیزیکی جدا می باشند. لذا اگـر هکرهـا بتواننـد بـه نحـوی بـه ایـن سرورها نفوذ نمایند،باز هم دیواره آتش را پیش روی خود دارند.

3- مسیریابی نامتقارن :

بیشتر دیواره های آتش مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفـی را کـه از طریـق آنهـا شـبکه داخلی را به شبکه عمومی وصل کرده است ، نگهداری کنند.اینن اطلاعات کمک می کنند تـا تنهـا بـسته هـای اطلاعاتی مجاز به شبکه خـصوصی وارد شـوند. در نتیجـه حـائز اهمیـت اسـت کـه نقطـه ورود و خـروج تمـامی اطلاعات به / از شبکه خصوصی از طریق یک دیواره آتش باشد.

4- دیواره های آتش لایه ای :

در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند دیواره آتش در مسیر اسـتفاده شـود.در ایـن حالـت اگـر اولین دیواره آتش با مشکلی روبرو گردد ، دومین دیواره آتش به کار خود ادامه می دهد. در این روش بهتـر اسـت از دیواره های آتش شرکت های مختلف استفاده گردد تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتـی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تأمین کنند.

توپولوژی های دیواره آتش

برای پیاده سازی و پیکربندی دیواره آتش هـا در یـک شـبکه از توپولـوژی هـای متفـاوتی اسـتفاده مـی گـردد . توپولوژی انتخابی به ویژگی های شبکه و خواسته های موجود بستگی خواهد داشت.

توپولوژی نوع اول : دیواره آتش Dual-Homed

در این توپولوژی که یکی از ساده ترین و در عین حال متداولترین روش استفاده از یک دیواره آتش اسـت ، یـک دیواره آتش مستقیماً و از طریق یک خط Dial-up ، خطوط ISDN و یا مودم های کـابلی بـه اینترنـت متـصل می گردد. در توپولوژی فوق امکان استفاده از DMZ وجود نخواهد داشت.

دیاگرام فایروال

برخی از ویژگی های این توپولوژی عبارت از :

  • دیواره آتش مسئولیت بررسی بسته های اطلاعاتی ارسالی با توجه به قوانین فیلترینگ تعریـف شـده بـین شـبکه داخلی و اینترنت و برعکس را برعهده دارد.
  • دیواره آتش از آدرس IP خود برای ارسال بسته های اطلاعاتی بر روی اینترنت استفاده می نماید .
  • دارای یک پیکربندی ساده بوده و در مواردی کـه صـرفا” دارای یـک آدرس IP معتبـر ( Valid ) مـی باشـیم ، کارساز خواهند بود .

راهکار جامع مجازی سازی دسکتاپ با VMware VDI

مقدمه
سالها پیش کامپیوتر های به این شکل که امروزه در شرکت ها هستند و هر نفر برای خودش به اصطلاح یک PC داره نبود و در حقیقت کامپیوتری وجود نداشت ، یک کامپیوتر فوق العاده قوی بود که بهش میگفتن Mainframe و همه دستگاه هایی که بهش وصل میشدن و کار میکردن فاقد CPU و قدرت پردازش بودن و تمام کارها بر روی کامپیوتر مرکزی انجام میشد و نتایج برای Terminal که یک کیبود و ماوس بود ارسال میشد.بعد از مدتی که وجود کامپیوترها به این شکلی که هست باب شد و به تعداد افراد یک سازمان کامپیوتر وجود داشت ، خوب قدرت مدیریتی ضعیفتر شد ، شما فکر کنید در سالهای قبل فقط یک کامپیوتر مرکزی مدیریت میشد ولی حالا مثلا 022 تا کامپیوتر باید مدیریت بشود ، و این مساله باعث مشکل شد و باز تصمیم گرفته شد که به گذشته بر گردن و یک سرور مرکزی وجود داشته باشه و تمامی پردازش ها بر روی اون انجام بشه و صرفا نتایج برای کلاینت ها ارسال بشه و این بود که روی به استفاده از سیستم های مجازی سازی دسکتاپ آوردن که بهترین راهکار برای اینکار بود .

مجازی سازی دسکتاپ چیست ؟
سیستم های مجازی سازی دسکتاپ یا همون Desktop Virtualization در حقیقت تشکیل شده از یک یا چندین سرور قوی هستند که بر روی اونها سیستم عامل ها به ازای هر کاربر یک عدد نصب شده و پردازش ها کلا توسط این سرورها یا قدرت زیاد انجام می شود، کاربر بوسیله یک ترمینال (Thin Client) به سرور متصل میشود و صفحه دسکتاپ مجازی شده خودش رو مشاهده میکند و انگار که دارد با سیستم خودش کار میکند با این تقاوت که کل داده ها و اطلاعات و پردازش ها در روی سرور ها انجام میشود، این روش از خیلی جهات میتواند به سود سازمان باشد چون دیگر هزینه های سرسام آور مدیریت کامپیوترها تا حد زیادی حذف میشود و هزینه خزید سخت افزار هم طبیعتا پایین میاد چون قیمت Thin client با یک PC قابل مقایسه نیست .

دلایل حرکت به سوی مجازی سازی
از جمله دلایل استفاده از فضاهای مجازی می توان به مواردی نظیر کم نمودن هزینه های تعمیر و نگهداری تجهیزات، صرفه جویی در زمان، استفاده از حداقل نیروی متخصص جهت انجام عملیات تعمیر ونگهداری
و از همه مهمتر، مباحث مربوط به افزونگی (Redundancy) اشاره کرد .
به صورت خلاصه می توان چهار دلیل برای استفاده از زیرساخت مجازی سازی ذکر کرد . :

1 استفاده بیشتر از منابع سخت افزاری موجود :
با تلفیق سرورها و سرویس ها خطوط قرمز فعلی در مراکز داده ها شکسته می شود، قانون یک سرور یک سرویس سالهاست در مراکز داده ها استفاده می شود که باعث اتلاف زیاد منابع سخت افزاری در مراکز داده می شود . سرویس ها از هم مستقل می شوند و این استقلال در نهایت باعث پایداری بیشتر سرویس ها در شبکه می شود.امکان داشتن سرویس ها با ساختار های متفاوت مانند Linux و مایکروسافت و Netware بر روی یک سخت افزار نیز یکی از مزایای دیگر این بستر می باشد.

کم کردن هزینه ها با تغییر در زیر ساخت سخت افزاری:
سرور های کمتر، سخت افزار کمتری نیاز دارد، در ساختاری که بر بستر مجازی ایجاد میشود، به سرورهای فیزیکی کمتری نیاز است، حتی اگر یک ساختار سنتی را مجازی کنید، تعدادی سرور آزاد می شوند که می توان در مکان های دیگری از آنها استفاده کرد .
: 2 تجمیع داده ها در دیتا سنترها و مراکز داده
متمرکز کردن برنامه های کاربردی و بانک های اطلاعاتی در مراکز داده ها (Data Centers) ، هزینه ی نگه داری و کنترل دسترسی ها را بطور چشمگیری کاهش می دهد و موضوعاتی مانند یکسانسازی اطلاعات (Replication) را از دستور کار خارج میکند .
3 : کم کردن هزینه های مدیریتی و نگهداری :
سخت افزار کمتر، مدیریت به مراتب کمتری نیاز دارد، همچنین استهلاک و هزینه های جانبی از جمله برق مصرفی و کولینگ کمتر می شود .

4 پایداری و بازیابی به موقع و سریع سرورها در حالت Down شدن و از کار افتادن :
بستر مجازی سازی، راهکار های منحصر به فرد برای پایدار ماندن سرورها و سرویس ها و برنامه ها و Recovery سریع و مطمئن در مواقع خرابی و بروز مشکل

 

مفهوم VDI چیست ؟
VDI مخفف Virtual Desktop Infrastructure است. VDI یک محصول یا یک برنامه نیست، یک مفهوم یا یک اصطلاح است. حتما کسانی که با VMware آشنایی دارند اسم VMware view را هم شنیدند، این محصول ارتباط مسقتیم با مبحث VDI دارد. خود VMware معنی VDI را منتقل کردن Desktop از Data Center تعریف میکند، VDI یک سیستم عامل Desktop با دسترسی راه دور است که از روی یک Data Center با استفاده از یک کامپیوتر شخصی یا یک Thin Client قابل دسترسی است.

 

یکی از مهمترین تفاوتها VDI با Terminal Services این است که، Terminal Services با اشتراک گذاری یک
سیستم عامل بین چندین کاربر یک سیستم عامل را در اختیار کاربران قرار میدهد ولی در VDI برای هر کاربر یک سیستم
عامل میتوان اختصاص داد، و این فقط مختص شرکت wareVM نیست محصولات مختلفی در این مبحث ارائه شدهاند،
همان طور در ابتدا گفتم DIV یک مغهوم یا یک اصطلاح است. محصولاتی که در این رابطه ارائه شده عبارت است از :
 VMware View  Citrix Xen Desktop  Microsoft VDI Broker or Remote Desktop Services Mashine Host

مدل های مجازی سازی دسکتاپ با محصول are ViewwVM برای مجازی سازی دسکتاپ با محصول VMware View دو روش مختلف داریم که در زیر به این دو روش می
پردازیم:
.1 سیستم عامل Desktop را بر روی یک
Data Center نصب می کنیم و به وسیله
دسترسی از راه دور یا همان Remote از
یک کامپیوتر شخصی PC به آن متصل می
شویم و از میز کاربری مجازی استفاده می
کنیم.
.2 سیستم عامل Desktop را بر روی یک
Data Center نصب می کنیم و به
وسیله Thin Client ، کاربران می توانند
به سیستم عامل Desktop متصل شوند
و از میز کاربری مجازی استفاده کنند.

چرا از VDI استفاده می کنیم ؟
 کاهش هزینه خرید سخت افزار، نگهداری و بروز
رسانی آن
 نگهداری بهتر و آسان تر از سیستم عامل ها
 کنترل دسترسی کاربران به , CD Drive USB و امنیت بیشتر اطلاعات
 اهمیت استفاده از Data Center در این است
که میتوان به صورت یک پارچه برای تهیه نسخه
پشتیبانی یا نصب یک نرم افزار یا اجرای یک
Update اقدام کرد
 قابلیت داشتن برق اضطراری برای Data Center این امکان را میدهد که در هنکام قطعی برق هم کلیه
Desktop ها در دسترس باشند
 High availability برای سیستم عامل های Desktop کاربرد مجازی سازی دسکتاپ درسازمانها؟
در حقیقت این تکنولوژی در هر مکانی که شما کاربرانی داشته
باشید که به برنامههای کاربردی Server-Based نیاز داشته
باشند، مفید است.
VDI تقریباً همه جا مفید خواهد بود و یکی از روشهای متعددی
خواهد بود که میتواند برای ارائه یک ماشین به کاربر، مورد
استفاده قرار گیرد.
VDI میتواند در اکثر شرکتها پیادهسازی گردد و باعث کاهش
هزینهها و بهبود کیفیت سرویس شود.

 

نتیجه گیری
در دنیای امروز به علت پیشرفت های سریع تکنولوژی، سازمانها
و شرکت های مختلف برای پیشرفت و استفاده بهینه از ابزارهای
زمان، سرعت، کارایی و همچنین درآمد بیشتر نیازمند این
مساله می باشند که نحوه کار و سیستم های کاری خود را با
پیشرفت تکنولوژی هم راستا سازند تا بتوانند به نتایج مطلوب
مورد نظر خود هر چه بهتر دست یابند.
پیرامون همین بحث همانگونه که گفته شد مجازی سازی
راهکاری می باشد که باعث بالا رفتن سرعت، پایین آمدن هزینه
ها ،بالا رفتن درصد اطمینان و . . . می شود و می تواند سازمانها و شرکت های مختلف را برای هم راستا شدن با پیشرفت
های تکنولوژی و کاری بسیار کمک کند.
مجازی سازی دسکتاپ ) VDI ( یکی از راهکارهای مجازی سازی می باشد که می تواند بهترین راه حل ها را برای
سازمانها و شرکت های بزرگ و کوچک ارائه دهد، برای اینکه بتوانند هرچه بهتر از منابع و هزینه های خود استفاده کنند.


VMware vCenter Server Heartbeat چیست؟

VMware vCenter Server Heartbeatدر حقیقت متدی برای افزایش میزان دسترسی (high availability) و FT در سرور‌های vCenter شرکت VMware می‌باشد، به طوری که با محافظت از دیتا سنتر‌های مجازی و زیر ساخت‌های مبتنی بر Cloud در برابر مشکلات خارج از کنترل، زمان‌های خارج از سرویس بودن آن‌ها را به حد اقل می‌رساند.

مزیت‌های کلیدی

  • محافظت در برابر انواع از کار افتادگی برنامه ریزی شده یا اتفاقی سخت افزار، سیستم عامل، برنامه‌ها و … در پلتفرم‌های مجازی یا فیزیکی.
  • پیشگیری از مشکلات و قطعی‌های احتمالی که موجب اختلال در نظارت‌های دائمی‌سرور بر قسمت‌هایش می‌گردد.
  • اطمینان از رفع سریع و یکپارچه ی خرابی و بازگردانی به وضعیت سرویس دهی
  • حفاظت از سرورهای حساس در زیرساخت مجازی و Cloud.

این متد امکان ادامه ی فعالیت سرورهایVMware vCenter  و پایگاه‌های داده آن را در مواجه با انواع مشکلات فراهم می‌نماید.

vCenter Server Heartbeat   چیست ؟

این ویژگی یک نوع محافظت انحصاری برای سرور‌های vCenter و اجزای آن در مقابل طیف وسیعی از خطرات بالقوه اعم از مشکلات برنامه‌های کاربردی، سیستم عامل‌ها، سخت افزارها و شبکه، ایجاد می‌نماید. در واقع vCenter server heartbeat یک راه حل برای مدیران زیرساخت‌های مجازی می‌باشد که نیازمند حفاظت کردن سرور‌های خود در برابر، زمان‌های Downtime اتفاقی و یا پیش بینی شده هستند. Heartbeat، یک راه کار ساده و به دور از پیچیدگی برای استفاده می‌باشد و بر خلاف سایر راه حل‌های Replication، در دسترس بودن سرور‌ها را در بسترWAN  و LAN گسترش داده و تضمین می‌نماید.

vCenter Server Heartbeat    چگونه کار می‌کند؟

تکثیر (Replication)

راهکار Heartbeat به طور پیوسته در حال Replication اطلاعات از vCenter Server بر روی یک سرور آماده به کار غیر فعال برای ریکاوری سریع در مواقع لزوم می‌باشد و برای این کار و حفظ اتصال بین سرور اصلی و سرور ثانویه و شبیه سازی اطلاعات ، vCenter Server Heartbeat از یک کانال مخفی شبکه استفاده می‌کند تا فقط سرور اصلی برای کاربران قابل نمایش باشد. با این ویژگی مکان داده‌ها، رجیستری‌ها و دیتا بیس‌ها دقیقا به صورت خودکار شبیه سازی می‌شوند.

نظارت (Monitoring)

vCenter Server Heartbeat برای نظارت مستمر بر وضعیت سرورها، دیتابیس آن‌ها و دیگر اجزا مثل plug-in‌ها که شامل VMware View Composer  است، از فناوری پیش بینی استفاده می‌نماید.

بازیابی خود کار (Automated Recovery)

در زمان وجود تهدید و یا وجود یک عملیات نگه داری برنامه ریزی شده، مدیران سیستم می‌توانند با یک کلیک ساده سرور اصلی و تمام اجزایش را با سرور جایگزین جابجا کنند. هم چنین کل فرایند رفع خرابی و بازیابی می‌تواند به سادگی با از پیش تعریف نمودن شاخص‌ها، به صورت خودکار درآید.

در قسمت بعد این مقاله به چگونگی استفاده و بیان خصوصیات کلی vCenter Server Heartbeat پرداخته خواهد شد.


مجازی سازی چیست ؟

Virtualization یا به اصطلاح مجازی سازی تکنولوژی است که بوسیله آن می توانیم اجرای همزمان دو یا چند سیستم عامل بر روی یک سرور را داشته باشیم به نحوی که باعث بهره وری در هزینه های سخت افزارها و نرم افزارها و همچنین استفاده بهینه از تمامی منابع سیستمی می باشد. اما نکته حایز اهمیت این است که استفاده از مجازی سازی به خودی خود مشکلاتی را شامل می شود برای نمونه در صورت خرابی یک سرور تمامی سرویسهای مجازی سازی شده روی ان از مدار خارج خواهند شد.

برای حل این مشکل می توان از تکنولوژی هایی مانند Clustering که شامل گروهی از هاست های ESX میباشد استفاده نمود.با استفاده از قابلیت کالسترینگ ما قادر خواهیم بود تمامی Resource های هاست های ESX خود را مدیریت نماییم و از مواردی مانند High Availability و Load Balance بهره جوییم.

آشنایی با برخی از اصطالحات و کاربردهای هر یک از آنها

HA , Fault Tolerance .1 چیست و دارای چه مزایایی می باشد؟

High availability Cluster که آن را با اصطالحات HA Cluster و یا Failover Cluster نیز می شناسند. با فعال نمودن HA بر روی cluster مورد نظرمان، ما قادر خواهیم بود تا از قابلیت Fault Tolerance تحمل خطا بهره جوییم که در این صورت اگر هر یک از سرورهای فیزیکی دچار مشکل گردید، با توجه به این که Secondary VM بر روی سرور دیگر ما وجود دارد، هیچ Down Time و یا قطعی از طرف سرورها وجود نخواهد داشت. با استفاده از این راهکار که برخالف راهکار سخت افزاری بسیار کم هزینه است و پیچیدگی های آن را نیز ندارد می توان به راحتی مشکالت سخت افزاری سرورهای فیزیکی را مدیریت کرده و این اطمینان را داشت که سرویس های حیاتی این سرورها بدون Down Time در حال سرویس دهی خواهد بود.

از مزایای استفاده از Fault Tolerance میتوان به موارد زیر اشاره نمود:

 از بین رفتن هزینه های بسیار زیاد و هنگفتی که در اثر از کار افتادن یک سرور فیزیکی به یک سازمان وارد می شود

 ارائه سرویس دهی ممتد برای تمام نرم افزار ها بدون وابستگی به سیستم عامل

Load Balance .1 چیست و دارای چه مزایایی می باشد؟

از مزایای دیگری که می توان در این طرح به آن اشاره نمود ، تقسیم بار بر روی سرورها می باشد.با فعال نمودن قابلیت Load Balance ، ما قادر خواهیم بود از حداکثر توان سخت افزاری سرورها استفاده نماییم.مدیریت منابع توسط VMware DRS صورت خواهد پذیرفت که در این حالت منابع سخت افزاری در حالت تعادل نگه داشته خواهند شد. یکی از مهمترین ویژگی های استفاده از طرح مجازی سازی با VMware استفاده از قابلیت VMware Distributed Resource Schedule و یا همان DRS می باشد که اساس کار آن به این صورت می باشد که اگر بر روی یکی از سرورهای فیزیکی ESX چندین ماشین مجازی Virtual machine داشته باشیم و منابع این سرورها مانند RAM و CPU بر روی آنها به نسبت معین مشخص شده باشد و حال یکی از ماشین های مجازی دچار کمبود RAM و یا CPU شود، در حالیکه بقیه ماشین های موجود بر روی همان ESX Server از تمامی RAM و CPU اختصاص یافته خود استفاده نکرده اند، با استفاده از این تکنولوژی در کسری از ثانیه RAM و CPU الزم برای ماشین مجازیی که دچار کمبود منابع سیستمی شده است قرض گرفته می شود و پس از پایان کار دوباره آن را در اختیار سایرین قرار می دهد.حال اگر بر روی همان سرور فیزیکی منابع سیستمی مورد نیاز یافت نشد با کمک یکی دیگر از قابلیت های VMware به نام Vmotion، سیستم عامل ماشین مجازی مذکور به یکی دیگر از سرورهای فیزیکی دیگر که منابع آزادی دارد منتقل می شود.تمامی مراحل ذکر شده به صورت اتوماتیک بوده و هیچ وقفه ایی در ان وجود ندارد.

2. ESX چیست؟

ESX یکی از محصولات VMware است که بارزترین مشخصه آن، این است که به صورت مستقیم بر روی سخت افزار نصب می گردد و دیگر نیازی به یک OS رابط نمیباشد، که در سرعت کارکرد سیستم بسیار موثر است

3. vSphere Client چیست؟

همانگونه که در بالا مشاهده می کنید خود نرم افزار ESX به صورت CLI است. بنابراین برای مدیریت ماشین های مجازی از نرم افزار vSphere Client استفاده می گردد.

4. vCenter چیست؟

نرم افزاری که vSphere را مدیریت مینماید و برای کالستر کردن هاست ها به آن احتیاج است را vCenter می گویند.

 

5. vMotion چیست؟

یکی از بهترین و جذاب ترین قابلیت هایی که Vsphere در اختیار ما قرار میدهد این است که ما میتوانیم یک VM را در حالی که روشن است و در حال سرویس دهی است از روی یک سرور فیزیکی )ESX( به روی یک سرور فیزیکی دیگر بدون هیچ Down Time ببریم

6. Storage vMotion چیست؟

یکی دیگر از امکانات جالب vSphere همین امکان آن است که شما را قادر میسازد یک ماشین مجازی را در حالیکه روشن و در حال سرویس دهی است از روی یک Storage جایی که محل قرارگیری ماشین های مجازی است بر روی یک Storage دیگر انتقال دهید.

7. Distributed Power Manager DPM چیست؟

با توجه به وضع کنونی و اهمیت و صرفه جویی در برق مصرفی دیتا سنترها این تکنولوژی بسیار می توان کارامد باشد.اساس کار این تکنولوژی به این صورت می باشد که پس از پایان ساعات کاری که بار بر روی سرورها کم می شود، به صورت اتوماتیک آنها را به یک یا چند ESX Server مشخص منتقل مینماید و بقیه ESX ها را تا زمانی که دوباره بار کاری زیاد شود)فردا صبح(به صورت Stand by نگه دارد.این کار تاثیر زیادی در میزان برق مصرفی خواهد گذاشت همچنین عمر سرورها را هم افزایش خواهد داد.

مزایای کلی استفاده از Virtualization چیست؟

• بهره وری هر چه بیشتر از سخت افزار و کاهش هزینه ها

• مدیریت بهتر و آسانتر سرورها و سرویس ها و کاهش هزینه های مدیریتی

• استفاده هر چه بهتر از فضای موجود در Data Center و کاهش هزینه های آن

• پشتیبان گیری و بازیابی سرورها در حداقل زمان ممکن Disaster Recovery & Backup

• کاهش مصرف برق موجود در Data center که در شرایط کنونی حائز اهمیت بسیاری می باشد

• در محیط های آموزشگاهی می توان با ایجاد ساخت چند ماشین مجازی به صورت بسیار مقرون به صرفه یک محیط آزمایشگاهی ایجاد نمود.

 

2. ذخیره سازی اطاعات

2.1 SAN Storage Area Network

یک شبکه اختصاصی با مدیریت آسان و متمرکز است که ارتباط بین ادوات ذخیره سازی و سرور ها را ممکن می سازد.

از مزایای استفاده از SAN در این طرح می توان به موارد زیر اشاره نمود:

• امکان به کارگیری قابلیت Fault Tolerance بر روی ماشین های مجازی

• امکان وجود سیستم عامل سرورها بر روی SAN که نتیجه آن اعتماد و پایداری بیشتر خواهد بود.

 

مزایای کلی استفاده از SAN شامل موارد زیر می گردد:

1. کارایی بالاتر در حین عملیات پشتیبان گیری و همچنین کارایی بیشتر سرورها به علت انجام ندادن عملیات پشتیبانگیری بر روی آنها

2. داشتن یک شبکه اختصاصی که باعث تفکیک ترافیک شبکه داخلی و ترافیک ارتباطی بین سرورها در شبکه می شود

3. در این فناوری می توان از تجهیزاتی استفاده نمود که امکان انتقال اطلاعات از یک SAN به SAN دیگر را در دو موقعیت جغرافیایی مختلف فراهم نماید. این کار به صورت Data Migration و یا Asynchronous و Synchronous امکان پذیر خواهد بود. این امکان برای مواقعی که یکی از حوادث زلزله،آتش سوزی و …. رخ دهد مفید است.

4. امکان Redundant تجهیزات مانند دو عدد Controller ، دو عدد SAN Switch، دو عدد کارت HBA و ….

5. تجمع پایگاه های داده و دیتاهای سازمانی در یک محل امن و به صورت متمرکز

6. افزایش میزان فضای ذخیره سازی به صورت Online و بدون Downtime

7. در مقایسه با سیستم های پشتیبان گیری قدیمی میتوان به حذف بار موجود بر روی سروری که نقش یک سیستم پشتیبان گیر را ایفا می نمود اشاره کرد. برای آنکه بتوان از قابلیت (FT(Fault tolerance استفاده نمود حتما باید از یک Shared storage مانند SAN استفاده کرد.

 

Tape 1.1

پشتیبان گیری از اطلاعات یکی از مسائل بسیار مهم در سازمان هاست. بهترین ابزار پیشنهادی برای پشتیبان گیری Tape میباشد از این رو در این طرح از تجهیزاتی مانند Tape استفاده می گردد که دارای قابلیت زیر می باشد:

• ظرفیت بسیار زیاد و قابل ارتقاء با توجه به نیاز سازمان

• پشتیبان گیری با سرعت بسیار باال و خارج از ترافیک LAN

• قابلیت Restore با اطمینان بسیار زیاد

• قابلیت تعویض و ارتقا Storage بدون Downtime

• عمر مفید مناسب بیش از سی سال ( تمامی اطلاعات سازمان که روی SAN است روی Tape به صورت مدوام پشتیبان گیری می گردد.)

 

Server

در این طرح با توجه به اینکه باید تمامی برنامه های کاربردی و سرویس های سازمان به صورت Virtual Machine گردند از اینرو باید سرورهای متناسب با حجم سخت افزاری مورد نیاز تهیه گردد. این نکته حائز اهمیت است که مشخصات سرورها باید به گونه ای انتخاب شود که در صورت از مدار خارج شدن یکی از سرورها سایر سرورها توانایی سرویس دهی به همه Virtual Machine را دارا باشند.

*نکات زیر در انتخاب سرورها حائز اهمیت است:

تمامی قطعات باید با نرم افزار مجازی ساز همخوانی کامل داشته باشند.

CPU سرورها حتما باید شبیه یکدیگر باشند. ترجیحا سایر قطعات نیز به همین صورت

نوع و مدل قطعات باید با توجه به حجم برنامه های سازمان با آینده نگری تهیه گردد.

سرورها باید دارای دو کارت HBA برای ارتباط با SAN Switch باشند.


مراکز اطلاعات در آمریکا

مراکز اطلاعات در آمریکا

مراکز اطلاعات در آمریک

دولـت آمریکـا بـه منظـور ارتقـای ضـریب ایمنـی مراکـز اطلاعاتی ، بانک های اطلاعاتی و کارگزاران شـبکه ( Servers ) خود را در مکان های با امنیت بالا نگهداری مـی کنـد . بعضـی از این اماکن محوطه های وسیعی در اعماق کوه هـا ی راکـی، در نقاط پنهانی از اعماق صحراهای نوادا و آریزونـا، در زیـر یخچـال های آلاسکا و در اعماق اقیانوس هـا مـی باشـند . ایـن نقـاط بـا شدیدترین تدابیر امنیتی حفاظت می شوند از طرف دیگر پـیش بینی های ایمنی تهدیـدات فیزیکـی ، از جملـه آتـش سـوزی و بلایای طبیعی را به حداقل رسانده اسـت . تجهیـزات حفـاظتی ، امکان دستبرد و یا آسـیب هوشـمندانه فیزیکـی را کـاهش داده است. در این اماکن خطوط متعدد فیبر نوری با پهنای بانـد بـالا بـالاترین سـرعت انتقـال داده و اطلاعـات را تـامین مـی کننـد . تجهیزات پرسرعت مانند سـوپر کامپیوترهـا ( Main Frame ) و پردازنده های بسیار سریع و موازی بالاترین سرعت دسترسـی را در اختیار می گذارند. سیستم های پیشرفته تنظیم دما و حرارت،تنظیم رطوبـت و کنتـرل ترکیبـات هـوای محـیط بهینـه تـرین شـرایط را بـرای کـار تجهیـزات مهیـا مـی سـازند و تجهیـزات مانیتورینگ دقیق، لحظه بـه لحظـه وضـعیت هـای مختلـف را کنترل و بازنگری می کنند. بناهای مستحکم در اعماق زمین نـه تنها توان تحمل شدید ترین زلزله ها را دارنـد، بلکـه در مقابـل قویترین بمب های هسته ای موجود آسیبی نمی بینند. سیسـتم های پشتیبان، از اطلاعات در فواصل زمـانی مشـخص بـر طبـق آخرین تکنیک های موجود نسخه های پشتیبان تهیه می کننـد . ژنراتورها و مولدهای قوی برق( UPS) ، آماده تامین نیروی بـرق لازم در صورت بروز اختلال می باشندو پوشش هـای مخصـوص، تجهیزات را از تهدید امواج مختلف از قبیل امواج مـاکروویو و یـا میدان های الکترومغناطیسـی خـارجی یـا تولیـد شـده از خـود تجهیزات محافظت می کنند. به هر یک از این مراکز، مرکـز داده ای ( Data Center) گفته می شود .در کنار هر مرکز داده ای دو مرکز دیگر آماده ی انجام عملیات می باشند. یکی مرکز بازیافـت اطلاعات آسیب دیده ( Disaster Recovery Center ) است کـه فعالیت های آن در قالب کلی بازیافـت داده ( Data Recovery) می گنجد که خود مقوله ی بسیار مهمـی اسـت کـه از ضـروری ترین نیازهای هر ارگان و تشکل مرتبط با اطلاعـات مـی باشـد . مرکز دوم مرکز کنترل و فرمان است که مدیریت انسـانی مرکـز داده ای را به عهده دارد ، در این مرکز افرادی با تخصص بالا و با دستمزدهای بسیار بالا کار می کننـد . بانـک هـای اطلاعـاتی و سرورهای مربوط به زیر ساخت های این کشور از قبیل شبکه ی برق، آب و نیز اطلاعات شرکت های دولتی یا خصوصی حسـاس مثل شرکت های اسلحه سازی و یا اطلاعـات بانـک هـا در ایـن مراکز نگهداری می شود. ایده ی مرکـز داده ( Data Center) در سطوح پایین تر و با درجه حساسیت کمتر نیز پیاده شده اسـت . به طوری که امروزه شرکت هایی وجود دارند که با فراهم آوردن اماکنی که بعضی از امتیازات فوق را دارند در ازای دریافت اجاره بها اطلاعات فردی یا سازمان ها را میزبانی می کننـد و خـدمات مورد نظر آن ها را با کیفیتی بسیار بهتر در اختیار مشتریان قرار می دهند. سایت های خارجی در چنین محیط هـایی قـرار داده شده اند. به صورت خلاصه مزایای استفاده از مراکز داده عبارتند از :

 امنیت فیزیکی بالا

 امنیت الکترونیکی بالا

 مقابله با افزونگی و تکرار اطلاعات

 ارایه بالاترین سرعت پردازش در یک مکان

 ارایه بالاترین سرعت انتقال اطلاعات

 خرید تنها یک نسخه از نرم افزارها

 پشتیبانی متمرکز

اگـر از مراکـز داده اسـتفاده نشـود و هـر سـازمانی بانـک اطلاعاتی خود را در شبکه داشته باشد، به تعداد سازمان ها نیـاز به تیم پشـتیبانی جداگانـه، نـرم افـزار جداگانـه، سـخت افـزار جداگانه، پهنای باند جداگانه، امنیت جداگانه و … خواهیم داشت که هزینه های سربار بالایی دارد. به نظر می رسـد ایـده Data Center بـه دلیـل تـامین کـارایی و امنیـت بـالا و جلـوگیری از افزونگی ، سهولت نگهداری و مدیریت و بسیاری جنبه های فنی دیگر، در تحقق اهـدافی همچـون دولـت الکترونیکـی ، ایـده ای کارساز باشد.

 

مفهوم Disaster Recovery

مفهوم Recovery Point Objective RPO

مفهوم Recovery Time Objective RTO

گروه فنی و مهندسی وی سنتر آماده ارائه کلیه دیتاسنتر به مشتریان خود می باشد.

شماره تماس: 88884268


مراکز داده در ایران

مراکز داده در ایران

دیتاسنتر مرکز داده ای است که نقش استراتژیکی در پیش برد برنامه های اطلاع رسانی و ارتباطی دیجیتالی در یک جامعه اطلاعاتی بازی می کند. همان طور که می دانید ، داده می تواند به صورت های متنی ، صوتی ، تصویری و … باشد . مانند درایو رایانه که امکان فراخوانی فایلهای فولدرهای مختلف را فراهم می کند ؛ دیتا سنتر نیز چنین رفتار فنی دارد با این تفاوت که معمولا دیتاسنترها به شبکه های بومی و بین المللی متصل هستند. این مراکز داده مراکزی به شمار می آیند که از بهم پیوستن مجموعه ای از تجهیزات سخت افزاری و نرم افزاری جهت نگهداری و پشتیبانی و میزبانی (Hosting) پایگاه های اطلاع رسانی تحت وب ، مورد استفاده قرار می گیرد. نوع سخت افزار به کار رفته در دیتا سنترها و نوع سیستم عامل و برنامه های نرم افزاری پشتیبانی و امنیتی و تجارتی خاصی که روی آن قرار گرفته است ، ارزش و قابلیت آن را برای مصرف کننده و درنهایت end user در پی خواهد داشت . مقایسه مراکز داده در ایران وکشورهای پیشرفته جهان هدف ما را در پیشبرد اهدافمان در حوزه فناوری اطلاعات مشخص خواهد کرد.

طراحی-و-راه-اندازی-دیتاسنتر-مشاوره-دیتاسنتر-استاندارد-های-دیتاسنتر-DataCenter-ISO27001

دیتاسنتر های استاندارد بین المللی ISO

EQ_IMG_Data-Center-Colo_Standards_ISO_ISO-Logo_140x105
استاندارد ISO بزرگترین سازمان تولید کننده استاندارد های بین المللی در کلیه حوزه ها می باشد. گواهینامه ISO به منزله اینست که محصول یا سرویس ارائه شده به مشتری کلیه پارامتر های مشخص شده استاندارد شامل کیفیت ، اجرا ، امنیت ، ایمنی و استاندارد های محیطی و انرژی را دارا می باشد و به پذیرش اداره استاندارد رسیده است.

گواهینامه ها

ISO 9001:2008 Quality Management Systems Standard

ISO 14001:2004 Environmental Management System Standard
OHSAS 18001: 2007 Occupational Health & Safety Management System Standard
ISO / IEC 27001:2005 and 27001:2013 Information Security Management System Standard
ISO 50001:2011 Energy Management System Standard
PCI-DSS Payment Card Industry Data Security Standard

data-center-services-خدمات-دیتاسنتر

 


تماس با ما

کارشناسان ما همین الان منتظر پاسخگویی به شما هستند

Accounts & billing

واحد فروش

Services & apps

واحد راهکارها

Device, Phone, or Xbox

واحد خدمات فنی و مهندسی

Microsoft Store

واحد آموزش

 

آدرس: تهران – میدان هفت تیر – خیابان قائم مقام فراهانی – بالاتر از میدان شعاع – کوچه شبنم – پلاک 1

تلفن تماس: 88884268

ارسال ایمیل: info@vcenter.ir

تماس-با-ما-راهکارهای-دیتاسنتر

تماس با کارشناسان شرکت

کارشناس اول :    09124953770

کارشناس دوم:    09354277744

کارشناس سوم : 09338090352


 

از صفحه اینستاگرام ما دیدن فرمایید.

تماس-با-ما-در-شبکه-اینستاگرام

به کانال ما در تلگرام بپیوندید.

کانال-تلگرام-گروه-فنی-و-مهندسی-وی-سنتر


درباره ما

گروه فنی و مهندسی وس سنتر با هدف انجام امور انفورماتیکی شامل طراحی ، پیاده سازی و پشتیبانی طرحهای شبکه و دیتاسنتر فعالیت خود را آغاز کرد.

گروه فنی و مهندسی وی سنتر آمادگی خود را برای شرکت در پروژه های خدماتی فنی و مهندسی در حوزه های ذیل اعلام می نماید:

1- سرور و سیستم های محاسباتی

2- استوریج های و راهکارهای ذخیره سازی

3- مجازی سازی

4- طراحی و اجرا و پشتیبانی شبکه

5- طراحی و پیاده سازی دیتاسنتر

 

راهکارهای ذخیره سازی اطلاعات:
• راه حل های ذخیره سازی اولیه – Primary Storage Solutions
• راه حل های تداوم کسب و کار – Business Continuity Solutions
• راه حل های پشتیبان – Backup Solutions
• راه حل داده های بزرگ – Big Data Solution
• سیستم های ابری – Cloud Services

 

راهکارهای مجازی سازی:

– طراحی، تامین تجهیزات و پیاده ‌سازی زیرساخت مجازی مراکز داده شامل منابع پردازشی، ذخیره‌سازی و شبکه‌ای.
– طراحی و پیاده ‌سازی زیرساخت ابری، ایستگاه های کاری مجازی و مدیریت بازسازی مراکز داده مجازی.
– تدوین و ارائه طرح انتقالی (Migration Plan) زیرساخت های فیزیکی به بستر مجازی.
– طراحی و پیاده ‌سازی روال‌ ها و ابزارهای مورد نیاز جهت راهبری، پایش و پشتیبانی از زیرساخت‌های ایجاد شده.
– طراحی و پیاده‌سازی راهکارهای پشتیبان‌گیری جامع از سرورهای مجازی.
– بروزرسانی نرم ‌افزارهای پیاده‌ سازی شده.
– مستندسازی و آموزش مراحل طراحی، پیاده‌سازی، پشتیبانی و توسعه.
– راه اندازی سرویس های HA جهت بستر مجازی سازی

 

راهکارهای شبکه :

– طراحی و پیاده سازی شبکه مراکزداده (Active و Passive) مبتنی بر استانداردهای مربوطه.
– مشاوره، تأمین و نصب تجهیزات  شبکه مورد نیاز مراکزداده.
– راه اندازی سرویس های زیرساخت شبکه (LAN و WAN)
– مدیریت کیفی و کارآمدی پهنای باند با تکنولوژی ها و استانداردهای نوین
– راه اندازی سرویس های FoIP و VoIP
– طراحی شبکه های نرم افزار محور
-پشتیبانی

 

سرویسهای دیتاسنتر

  • طراحی و اجرای مراکز داده Datacenter  
  • طراحی و اجرای سیستم‌های امنیت و پشتیبانی مراکز داده
  • مدیریت مرکز عملیات شبکه NOC و مرکز داده
  • اصلاح معماری قدیمی‌مراکز داده به معماری نوین
  • معماری‌های نوین مراکز داده (Cloud , DDC , SODC)
  • راه‌کارهای مدیریت منابع ذخیره سازی (HSM, ILM)
  • روش‌های مانیتورینگ لایه‌های مراکز داده
  • ایمن سازی مراکز داده در تمامی‌لایه‌ها
  • طراحی، برآورد و خرید تجهیزات مورد نیاز اتاق سرور، پیاده سازی و راه اندازی دیتاسنتر
  1. اجرای کف کاذب
  2. اجرای سقف کاذب
  3. کابل کشی برق ساختمان و اتاق سرور
  4. اجرای سیستم Cooling
  5. اجرای سیستم های اعلام و اطفاء حریق
  6. کابل کشی شبکه، نصب و راه اندازی تجهیزات
  7. Test و Label گذاری نودها
  8. برآورد و تهیه تعداد رک های مورد نیاز و آرایش رک ها
  9. برآورد آمپر برق مورد نیاز
  10. برآورد، خرید و راه اندازی UPS مورد نیاز
  11. برآورد، خرید و راه اندازی generator مورد نیاز
  12. اجرای اتاق مانیتورینگ و Access Control
  13. پشتیبانی دیتاسنتر و تجهیزات نصب شده

 

راهکارهای-جامع-دیتاسنتر-و-خدمات-مجازی-سازی


گروه فنی و مهندسی وی سنتر

گروه فنی و مهندسی وی سنتر

گروه فنی و مهندسی وی سنتر معرفی شرکت و خدمات دیتاسنتر

گروه فنی و مهندسی وس سنتر با هدف ارائه خدمات انفورماتیکی شامل طراحی ، پیاده سازی و پشتیبانی طرحهای شبکه و دیتاسنتر فعالیت خود را آغاز کرد.

گروه فنی و مهندسی وی سنتر از ابتدای راه مبنای فعالیت خود را بر روی راهکارهای جامع دیتاسنتر بنا نهاد و اکنون از یک تیم با تجربه در کلیه حوزه های دیتاسنتر بهره می برد.

گروه فنی و مهندسی وی سنتر آمادگی خود را برای شرکت در پروژه های فنی و مهندسی در حوزه های ذیل اعلام می نماید:

1- سرور و سیستم های محاسباتی

2- استوریج ها و راهکارهای ذخیره سازی و بکاپ

3- مجازی سازی

4- طراحی و اجرا و پشتیبانی شبکه

5- طراحی و پیاده سازی دیتاسنتر

6- راه اندازی سایت های پشتیبان

7- راهکارهای امنیت شبکه

8- آموزشهای تخصصی دیتاسنتر

کارشناسان فنی این مجموعه دارای تجربه و مدارک بین المللی در حوزه های کاری خود می باشند و با توجه به این اهرم می توانند راهکارهای سفارشی و مبتنی بر نیازمندی های سازمانها و یا محیط های کسب وکار را ارائه می دهند.

شماره تماس: 88884268

ایمیل: info@vcenter.ir

 


آخرین دیدگاه‌ها

    دسته‌ها