فایروال چگونه کار می کند؟

  • ۰

فایروال چگونه کار می کند؟

فایروال چگونه کار می کند؟

فایروال

فایروال چگونه کار می کند؟ در صورتیکه تاکنون مدت زمان کوتاهی از اینترنت استفاده کرده باشید و یا در یک اداره  مشغول بکار هستید که بستر لازم برای دستیابی به اینترنت فراهم شده باشد،  احتمالا” واژه  ” فایروال ” را  شنیده اید. مثلا” اغلب گفته می شود که : ” در اداره ما امکان استفاده از این سایت وجود ندارد ، چون سایت فوق را از طریق فایروال بسته اند ” .  در صورتیکه از طریق خط تلفن به مرکز ارائه دهنده خدمات اینترنت (ISP) متصل و  از اینترنت استفاده می نمائید ، امکان استفاده  فایروال توسط ISP مربوطه نیز وجود دارد. امروزه در کشورهائی که دارای خطوط ارتباطی با سرعت بالا نظیر DSL و یا مودم های کابلی می باشند ، بهه کاربران خانگی توصیه می گردد که هر یک از فایروال استفاده نموده و با استقرار لایه فوق بین شبکه داخلی در منزل و اینترنتت ، مسائل ایمنی را رعایت نمایند. بدین ترتیب با استفاده از یک فایروال می توان یک شبکه را در مقابل عملیات غیر مجاز توسط افراد مجاز و عملیات مجاز توسط افراد غیرمجاز حفاظت کرد.

فایروال چگونه کار می کند؟

فایروال چگونه کار می کند؟

فایروال چیست ؟

فایروال نرم افزار و یا سخت افزاری است که اطلاعات ارسالی از طریق  اینترنت  به شبکه خصوصی و یا کامپیوتر شخصی را فیلتر می نماید. اطلاعات فیلترشده ، فرصت توزیع  در شبکه را بدست نخواهند آورد.

فرض کنید، سازمانی دارای 500 کارمند باشد. سازمان فوق دارای ده ها کامپیوتر بوده که بر روی هر کدام یک کارت شبکه نصب شده و یک شبکه درون سازمانی ( خصوصی ) ایجاد شده است . سازمان فوق دارای یک یا چند خط اختصاصی ( T1 و یا T3 ) برای استفاده از اینترنت است . بدون استفاده از فایروال تمام کامپیوترهای موجود در شبکه داخلی، قادر به ارتباط با هر سایت و هر شخص بر روی اینترنت می باشند. کاربران مربوطه قادر به استفاده از برنامه هائی همچون FTP و یا Telnet بمنظور ارتباط مستقیم با افراد حقوقی و یا حقیقی موجود بر روی اینترنت می باشند. عدم رعایت مسائل ایمنی توسط پرسنل سازمان، می تواند زمینه دستیابی به اطلاعات موجود در شبکه داخلی را برای سارقین و متجاوزان اطلاعاتی اینترنت فراهم نماید.

زمانیکه در سازمان فوق از فایروال استفاده گردد، وضعیت کاملا”  تغییر خواهد کرد. سازمان مربوطه می تواند برروی هر یک از خطوط ارتباطی اینترنت یک فایروال نصب نماید.فایروال مجموعه سیاست های امنیتی را پیاده سازی می نماید. مثلا” یکی از قوانین فوق می تواند بصورت زیر باشد :

– تمام کامپیوترهای موجود در شبکه مجاز به استفاده از اینترنت می باشند ، فقط یک فرد مجاز به استفاده از سرویس FTP است و سایر پرسنل مجاز به استفاده از سرویس فوق نخواهند بود.

یک سازمان می تواند برای هر یک از سرویس دهندگان خود ( وب ، FTP،  Telnet و … ) قوانین مشابه تعریف نماید. سازمان قادر به کنترل پرسنل  بهمراه  لیست سایت های مشاهده  خواهد بود.  با استفاده از  فایروال یک سازمان قادر به کنترل کاربران شبکه  خواهد بود .

فایروال ها بمنظور کنترل ترافیک یک شبکه از روش های زیر استفاده می نمایند:

فیلتر نمودن بسته های اطلاعاتی . بسته های اطلاعاتی با استفاده ازتعدادی فیلتر، آنالیز خواهند شد. بسته هائی که از آنالیز فوق سربلند بیرون  آیند از فایروال عبور داده شده و  بسته ها ئی  که شرایط لازم را برای عبور از فایروال را نداشته باشند دور انداخته شده و از فایروال عبور نخواهند کرد.

سرویس Proxy . اطلاعات درخواستی از طریق اینترنت توسط فایروال بازیابی و در ادامه در اختیار  درخواست کننده گذاشته خواهد شد. وضعیت فوق در مواردیکه کامپیوتر موجود در شبکه داخلی، قصد ارسال  اطلاعاتی را برای خارج از شبکه خصوصی  داشته باشند ، نیز صدق می کند.

بهینه سازی استفاده از فایروال

فایروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا” سفارشی نصب و پیکربندی کرد. در این راستا امکان اضافه  و یا حذف فیلترهای متعدد بر اساس شرایط متفاوت وجود خواهد داشت  :

آدرس های IP . هر ماشین بر روی اینترنت دارای یک آدرس منحصر بفرد با نام IP است . IP یک عدد 32 بیتی بوده که بصورت چهار عدد دهدهی که توسط نقظه از هم جدا می گردند نمایش داده می شود (Octet) . در صورتیکه یک آدرس IP خارج از شبکه، فایل های زیادی را از سرویس دهنده می خواند ( ترافیک و حجم عملیات سرویس دهنده را افزایش خواهد داد) فایروال می تواند ترافیک از مبداء آدرس فوق و یا به مقصد آدرس فوق را بلاک نماید.

اسامی دامنه ها ( حوزه ) . تمام سرویس دهندگان بر روی اینترنت دارای اسامی منحصر بفرد با نام ” اسامی حوزه”  می باشند. یک سازمان می تواند با استفاده از فایروال، دستیابی به سایت هائی را غیرممکن  و یا صرفا” امکان استفاده از یک سایت خاص را برای پرسنل خود فراهم نماید.

پروتکل ها . پروتکل نحوه گفتگوی بین سرویس دهنده و سرویس گیرنده را مشخص می نماید . پروتکل های متعدد با توجه به اهداف گوناگون در اینترنت استفاده می گردد. مثلا”  http  پروتکل وب و Ftpp پروتکل مربوط به دریافت و یا ارسال فایل هاا است . با استفاده از فایروال می توان، میدان  فیلتر نمودن را  بر روی  پروتکل ها متمرکز کرد.   برخی از پروتکل های رایج که می توان بر روی آنها فیلتر اعمال نمود بشرح زیر می باشند :

§       IP)Internet Protocol) پروتکل اصلی برای عرضه اطلاعات بر روی اینترنت است .

§       TCP)Transport Control Protocol ) مسئولیت تقسیم یک بسته اطلاعاتی به بخش های کوچکتر را دارد.

§       HTTP)Hyper Text Transfer Protocol) . پروتکل فوق برای عرضه  اطلاعات در وب است.

§       FTP)File Transfer Protocol) . پروتکل فوق برای دریافت و ارسال فایل ها استفاده می گردد.

§       UDP)User Datagram Protocol) . از پروتکل فوق برای اطلاعاتی که به پاسخ نیاز ندارند استفاده می شود( پخش صوت و تصویر)

§       ICMP)Internet control  Message Protocol). پروتکل فوق توسط روترها و بمنظور تبادل اطلاعات فی المابین استفاده می شود.

§       SMTP)Simple Mail Transfer Protocol) . از پروتکل فوق برای ارسال e-mail استفاده می گردد.

§       SNMP)Simple Network  Management Protocol).از پروتکل فوق بمنظور اخذ  اطلاعات از یک کامپیوتر راه دور استفاده  میشود

§       Telnet . برای اجرای دستورات بر روی یک کامپیوتر از راه دور استفاده می گردد.

پورت ها . هر سرویس دهنده ، خدمات مورد نظر خود را با استفاده از پورت های شماره گذاری شده بر روی اینترنت ارائه می دهد. مثلا” سرویس دهنده وب اغلب از پورت 80 و سرویس دهنده Ftp از پورت 21 استفاده می نماید.  یک سازمان ممکن است با استفاده از فایروال امکان دستیابی به پورت 21 را بلاک نماید.

کلمات و عبارات خاص . می توان با استفاده از فایروال کلمات و یا عباراتی را مشخص نمود تا امکان کنترل بسته های اطلاعاتی حاوی کلمات و عبارات فراهم گردد. هر بسته اطلاعاتی  که حاوی  کلمات مشخص شده  باشد  توسط فایروال بلاک خواهد شد.

همانگونه که اشاره شد فایروال ها به  دو صورت نرم افزاری وسخت افزاری استفاده می گردند.فایروال های نرم افزاری بر روی کامپیوتری نصب می گردند که خط اینترنت به آنها متصل است .کامپیوتر فوق بمنزله یک Gateway رفتار می نماید چون تنها نقطه قابل تماس، بمنظور ارتباط کامپیوتر و اینترنت است . زمانیکه فایروال بصورت سخت افزاری در نظر گرفته شود ، تمام بخش فوق بصورت Gateway خواهد بود.  امنیت فایروال های سخت افزاری بمراتب بیشتر از فایروال های نرم افزاری است .

تهدیدات

حمله کنندگان به شبکه های کامپیوتری از روش های متعددی استفاده می نمایند.

Remote Login .  امکان برقراری ارتباط با کامپیوتر و کنترل آن توسط فرد غیرمجاز است .  دامنه عملیات فوق می تواند از مشاهده و دستیابی به برخی از فایل ها تا اجرای برخی برنامه ها بر روی کامپیوتر باشد.

Application Backdoors . برخی از برنامه ها دارای امکانات ویژه ای برای دستیابی از راه دور می باشند. برخی دیگر از برنامه ها دارای اشکالاتی بوده بگونه ای که یک Backdoor را ایجاد و یا امکان دستیابی مخفی را ارائه می دهند. در هر حالتت امکان کنترل برنامه فراهم خواهد گردید.

SMTP session hijacking . پروتکل SMTP رایج ترین روش برای ارسال e-mail است . با دستیابی به لیستی از آدرس های e-mail ، یک شخص قادر به ارسال e-mail به هزاران کاربر دیگر خواهد شد.

اشکالات سیستم های عامل . سیستم های عامل نظیر سایر برنامه های کاربردی ممکن است دارای Backdoor باشند.

انفجار E-mail . یک شخص قادر به ارسال صدها و هزاران e-mail مشابه در مقاطع زمانی متفاوت است . با توجه به وضعیت فوق سیستم پست الکترونیکی قادر به دریافت تمام نامه های ارسالی نخواهد بود.

ماکرو. اغلب برنامه های کاربردی این امکان را برای کاربران خود فراهم می نمایند که مجموعه ای از اسکریپت ها را بمنظور انجام عملیات خاصی نوشته و نرم افزار مربوطه آنها را اجراء نماید. اسکریپت های فوق ” ماکرو ” نامیده می شوند. حمله کنندگان به شبکه های کامپیوتری با آگاهی از واقعیت فوق، اقدام به ایجاد اسکریپت های خاص خود نموده که با توجه به نوع برنامه ممکن است داده ها را حذف  و یا باعث از کار افتادن کامپیوتر گردند.

ویروس . رایج ترین روش جهت آسیب رساندن به اطلاعات، ویروس است . ویروس یک برنامه کوجک است که قادر به تکثیر خود بر روی کامپیوتر دیگر است . عملکرد ویروس ها بسیار متفاوت بوده و از اعلام یک پیام ساده  تا حذف تمام داده ها  را میی تواند شامل گردد.

سرویس دهنده Proxy

سرویس دهنده Proxy اغلب با یک فایروال ترکیب می گردد. سرویس دهنده Proxy بمنظور دستیابی به صفحات وب توسط سایر کامپیوترها استفاده می گردد. زمانیکه  کامپیوتری درخواست یک صفحه وب را می نماید،  صفحه مورد نظر توسط سرویس دهنده Proxy بازیابی و در ادامه برای کامپیوتر متقاضی ارسال خواهد شد. بدین ترتیب تمام ترافیک ( درخواست و پاسخ ) بین درخواست کننده یک صفحه وب و پاسخ دهنده از طریق سرویس دهنده Proxy انجام می گیرد.

سرویس دهنده Proxy می تواند کارائی استفاده از اینترنت را افزایش دهد. پس از دستیابی  به یک صفحه وب ،  صفحه فوق بر روی سرویس دهنده Proxy  نیز ذخیره (Cache) می گردد. در صورتیکه در آینده قصد استفاده از صفحه فوق را داشته باشید  صفحه مورد نظر از روی سرویس دهنده Proxy در اختیار شما گذاشته می شود( الزامی به برقراری ارتباط مجدد و درخواست صفحه مورد نظر نخواهد بود)

 


  • ۰

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

نکات کلیدی در خرید فایروال

۱۰ ویژگی مهمی که در خرید یک دستگاه فایروال باید به دنبال آن باشید چیست؟

نکات کلیدی در خرید فایروال: فایروال ها نقش بسیار مهمی در شبکه ها ایفا میکنند. آنها شبکه را در برابر لیستی پایان ناپذیر از تهدیدات ایمن میکنند و دسترسی های خراب کاران را محدود میکنند. بسیاری از آنها بوسیله پروتکل های خاص ارتباطی، امکان ارتباط ایمن مراکز مختلف با یکدیگر را فراهم میکنند.

ما در این مقاله ۱۰ نکته ای که شما در هنگام خرید فایروال باید در نظر بگیرید یادآوری میکنیم:

 

  • ایمنی در سطح مناسب

بسیاری از شرکت های دنیا، اعم از خارجی و داخلی، در حال تولید دستگاه های یو تی ام و فایروال هستند. تمامی آنها ادعاهایی در مورد ویژگی های دستگاه های خود دارند. بر اساس ویژگی های دستگاه ها و قابلیت های امنیتی آنها، مدل های مختلفی عرضه میشوند که ویژگی های متفاوتی دارند.

شما میبایست مطمئن شوید که ویژگی هایی که انتخاب میکنید تمامی نیازهای شبکه شما را پوشش دهد و استانداردهای بین المللی دستگاه ها را رعایت کنند. مرجع تمامی استانداردهای بین اللملیICSA(Industry Standards for Packet Inspection) میباشد. این استاندارد مخفف “استاندارهای صنعت برای بررسی پکت ها” میباشد.

 

  • قابلیت دسترسی از طریق رابط کاربری

بسیاری از دستگاه ها بر مبنای سیستم های نوشتاری دستور (Command-Line-only) طراحی شده اند که کار را برای بسیاری از متخصصین سخت میکند. مطمئن شوید که دستگاهی که تهیه میکنید از رابط کاربری استاندارد و مناسبی برخوردار است. بسیاری از دستگاه ها تلاش میکنند که دستگاهی با رابط کاربری آسان و کاربرپسند ارائه دهند. این قابلیت فواید بسیاری دارد. از جمله آنها اجتنباب از اشتباهات در حین تنظیمات و نصب است. همچنین رابط کاربری آسان باعث میشود که خطاها و مشکلات سریعتر شناسایی و رفع شوند، کاربران سیستم و مدیران راحت تر و سریعتر آموزش ببینند، و تغییرات درون شبکه سریعتر اتفاق بیفتد.

 

  • پشتیبانی از VPN

یکی از مهم ترین ویژگی های دستگاه های فایروال ایجاد بستر ارتباطی بر اساس تونل ایمن است که هکرها و کاربران نامعتمد را از شبکه دور میکند. یک فایروال خوب میتواند یک شبکه مجازی ایمن ایجاد کند و آن را به طور کامل مانیتور نماید. در صورتیکه ارتباط ایمن بین مراکز برای شما مهم است، حتما به دنبال دستگاه ای باشید که کانال های SSL و IPSec را ساپورت کنند.

 

  • قدرت پشتیبانی از پهنای باند بالا

در برخی از شبکه ها، فایروال ها تنها برای مباحث امنیتی و کنترل پورت ها استفاده میشود. برخی دیگر از ویژگی های سوئیچینگ و روتینگ دستگاه ها نیز استفاده میکنند و به عنوان Internet Gateway از آن استفاده میکنند. بدیهی است نیاز سخت افزاری در هریک از این دستگاه ها متفاوت بوده و میبایست دستگاه هایی متناسب با نیاز شبکه تهیه کرد.

 

  • ساپورت مناسب

مطمئن شوید که دستگاهی که تهیه میکنید، دارای ساپورت ۲۴ ساعت و هفت روزه هفته است. وقتی یک دستگاه جدید و گران قیمت است، این اصلا بدان معنی نیست که شما مشکلی با آن نخواهید داشت. در هنگام خرید دستگاه ها دقت نمایید که از کیفیت خدمات پس از فروشی که از فروشند دریافت میکنید آگاه گردید.

 

  • سیستم بی سیم ایمن

در بسیاری از موارد ، سرویس های بی سیم در سازمان ارائه نمیشوند و خیلی از کارشناسان IT تمایلی به داشتن دستگاه هایی که قابلیت کنترل سیستم بی سیم را داشته باشند احتیاجی ندارند. ولی تهیه این قابلیت این امکان را به کارشناسان میدهد که در صورت نیاز به این قابلیت، مثلا در هنگامیکه سرویس اینترنت بی سیم به مهمان ها ارائه میشود، این امکان را با چند تغییر ساده در ساختار شبکه و بدون هزینه اضافی در اختیار داشته باشند.

 

  • ایمنی در Gateway

داشتن قابلیت هایی نظیر آنتی ویروس مرکزی، آنتی اسپم، Spyware، و غیره، میتواند تا حد زیادی نیاز شبکه به پراکندگی این سرویس ها در سرورهای مختلف و یا حتی خارج از شبکه را حل نماید.

 

  • فیلترینگ محتوا

در حالیکه بسیاری از کارشناسان شبکه، فیلترینگ محتوا را بوسیله ابزارهایی نظیر OpenDNS انجام میدهند، برخی تولید کنندگان فایروال و یو تی ام این قابلیت ها را در دستگاه های خود قرار داده اند. مزیت این روش این است که تمامی سرویس هایی که در شبکه شما نیاز است، از Gateway Security تا Content Filtering در یک دستگاه جمع شده اند. تنها نکته این دستگاه ها قیمت بیشتر آنها نسبت به سایر دستگاه ها خواهد بود.

 

  • مانیتورینگ پیشرفته و گزارش گیری یکپارچه

تعداد گزارشات و لاگ هایی که یک دستگاه فایروال در طی یک روز تولید میکند بسیار زیاد است. در یک روز کاری، یک دستگاه فایروال هزاران حمله نفوذ را شناسایی و بلاک میکند، ویروس ها و بدافزارها را شناسایی میکند و تعداد زیادی اتصالات موفق و ناموفق را مدیریت و ثبت میکند. اما این اطلاعات تنها زمانی مفید هستند که در یک سیستم جامع و گویای گزارش گیری ارائه شوند.

شما باید به دنبال دستگاهی باشید که گزارشات دقیق، گویا و کاربردی تولید و ارائه میدهند. یک فایروال خوب میبایست سیستم ایجاد و ارسال ایمیل در مواقع هشدار را نیز پشتیبانی کند.

 

  • قابلیت Failover

بعضی سازمان ها نیازمند قابلیت Failover هستند. این قابلیت به دستگاه ها اجازه میدهند که بصورت رزرو در کنار یکدیگر کار کرده و در صورتیکه، به هر دلیلی، یکی از آنها از مدار خارج شد، دیگری وارد مدار شده و ادامه فعالیت بدون هیچگونه خللی ادامه یابد. بسیاری از دستگاه های فایروال قابلیت Automatic Failover را پشتیبانی نمیکنند. پس اگر قصد خرید یک دستگاه را دارید و این قابلیت برای شما مهم است، حتما در بین ویژگی های آن این مطلب را جستجو کنید.

 

 


  • ۰

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall

فایروال سایبروم Cyberoam Firewall ، پاسخگوی نیازهای امنیتی متفاوتی در سازمانهای مختلف می باشند . مدیران امنیت شبکه  با توجه به نیاز شبکه تحت مدیریتشان می توانند  UTM فایروال سایبروم مورد نیاز خود را با انتخاب لایسنس مستقل یا بصورت راه اندازی کنند  .

 

وقتی که شما قصد خرید یک فایروال سایبروم را دارید در واقع در ایتدا شما قیمت یک دستگاه سخت افزاری را خواهید گرفت که دارای برخی از امکانات محدود فایروال می باشد . در امکانات اولیه فایروال سایبروم ، شما گزینه هائی مانند :

–          تنظیمات مربوط به اینترفیس های شبکه و ایجاد شبکه های مخنلف

–          تنظیمات مربوط به رول های دسترسی Access Role  در بخش مربوط به فایروال

–          ایجاد کاربران ، گروهها و اعمال Policy های مربوط به آنها

–          ایجاد یک شبکه VPN و تنظیمات ارتباطی شبکه خصوصی مجازی

–          و برخی از امکانات دیگر

 

اما بخش مهمی که باید در راه اندازی یک فایروال سایبروم در شبکه به آن نیاز دارید این است که آیا در شبکه خود سروری یا سرویسی را دارید که نیاز به Publish  کردن آن در اینترنت باشد یا خیر ؟

آیا نیاز دارید که فایلهای ورودی و خروجی در شبکه شما را یک آنتی ویروس بررسی کرده و آلودگی ها را کنترل کند؟

اگر در سازمان خود از سرویسهای ایمیل استفاده می کنید آیا نیاز به آنتی اسپم در فایروال سایبروم دارید ؟

IPS بخش مهمی از امکانات هر فیروالی می باشد که این مورد نیز جزء لایسنسهای فایروال سایروم محسوب می شود .

 

بطور خلاصه اگر شما به امکانات نرم افزاری نیاز دارید  حتماً باید یکی از انواع لایسنس فایروال سایبروم را خریداری نمائید .

اگر قصد خرید فایروال سایبروم  را دارید می توانید  اشتراکهای یکساله ، دوساله و سه ساله لایسنس سایبروم را بصورت یکجا یا جداگانه بنابر نیاز امنیتی خود خریداری نمایند :
لایسنسهای جداگانه سایبروم :

  • لایسنس آنتی  ویروس و ضد بد افزار سایبروم (Antivirus and Antispyware)
  • لایسنس آنتی اسپم (AntiSpam)
  • لایسنس فیلترینگ وب و نرم افزارهای تحت اینترنت (Web and Application Filter)
  • لایسنس سیستم جلوگیری از نفوذ (IPS)
  • لایسنس فایروال نرم افزارهای تحت وب (Web Application Firewall)
  • لایسنس Outbound Anti-Spam
  • لایسنس پشتیبانی 5*8 یا 7*24

 

 

 

لایسنس های یکجا سایبروم (Cyberoam Bundled Subscription)

  • Security Value Subscription (SVS)

لایسنس فایروال سایبروم SVS پاسخگوی نیاز سازمانهایی است که نیازمند امنیت پست الکترونیکی (Mail Server Security) نمی باشند . لایسنس SVS شامل آنتی ویروس و آنتی بد افزار ، فیلترینگ وب و نرم افزارهای تحت اینترنت ، سیستم جلوگیری از نفوذ ، پشتیبانی 5*88 می باشد .

  • Total Value Subscription (TVS)

لایسنس فایروال سایبروم  TVSپاسخگوی نیاز سازمانهایی است که نیازمند امنیت جامع و کامل می باشند . لایسنس TVS شامل آنتی ویروس و آنتی بد افزار، آنتی اسپم ، فیلترینگ وب و نرم افزارهای تحت اینترنت ، سیستم جلوگیری از نفوذ ، پشتیبانی 5*88 می باشد .

  • Comprehensive Value Subscription (CVS)

لایسنس فایروال سایبروم  CVSپاسخگوی تمام نیازهای امنیتی سازمانهایی است که میزبان نرم افزارهای کاربردی تحت وب می باشند . لایسنس CVS شامل آنتی ویروس و آنتی بد افزار، آنتی اسپم ، فیلترینگ وب و نرم افزارهای تحت اینترنت ، فایروال نرم افزارهای تحت وب ، سیستم جلوگیری از نفوذ ، پشتیبانی 7*24 می باشد .

 

Security for varied network needs

Cyberoam meets the varying security needs of customers. Depending on their specific needs, customers can configure Cyberoam UTM appliances to secure their network with choice of individual and bundled security solutions.

Cyberoam security features that come with the UTM appliance at no extra cost

1 CRwi & CRwiNG range of Appliances only      2 Not supported by Cyberoam virtual network security appliances

Cyberoam security features can be subscribed to, individually or as bundles, and are available as 1 year, 2 year and 3 year subscriptions.

Individual Subscriptions

Bundled Subscriptions

Security Value Subscription (SVS) /Security Value Subscription Plus (SVSP) – This security bundle meets the needs of organizations with non-email security requirements. SVS includes Gateway Anti-Virus & Anti-Spyware, Web & Application Filter, Intrusion Prevention System, 8 x 5 Email, phone and chat Tech Support. SVSP covers these security services with 24×7 support.These bundled security offerings are available for CRia and CR NG series of network security appliances.

Total Value Subscription (TVS) / Total Value Subscription Plus (TVSP) – This security bundle offers total security to organizations along with email security. TVS includes Gateway Anti-Virus & Anti-Spyware, Anti-Spam, Web & Application Filter, Intrusion Prevention System, 8 x 5 Email, phone and chat Tech Support. TVSP covers these security services with 24×7 support. These bundled security offerings are available for CRia and CR NG series of network security appliances.

Comprehensive Value Subscription (CVS) – This security bundle meets the needs of organizations hosting web-facing applications. CVS includes Web Application Firewall, Gateway Anti-Virus & Anti-Spyware, Anti-Spam, Web & Application Filter, Intrusion Prevention System, 24×7 Email, phone and chat Tech Support. This bundled security offering is available for CR NG series of network security appliances and Cyberoam virtual security appliances.

 

 


  • ۰

کاربرد پراکسی در امنیت شبکه

کاربرد پراکسی در امنیت شبکه

کاربرد پراکسی در امنیت شبکه

کاربرد پراکسی در امنیت شبکه

پراکسی چیست؟

در دنیای امنیت شبکه، افراد از عبارت «پراکسی» برای خیلی چیزها استفاده می‌کنند. اما عموماً، پراکسی ابزار است که بسته‌های دیتای اینترنتی را در مسیر دریافت می‌کند، آن دیتا را می‌سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می‌دهد. در اینجا از پراکسی به معنی پروسه‌ای یاد می‌شود که در راه ترافیک شبکه‌ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می‌گیرد و آن را می‌سنجد تا ببیند با سیاست‌های امنیتی شما مطابقت دارد و سپس مشخص می‌کند که آیا به آن اجازه عبور از فایروال را بدهد یا خیر. بسته‌های مورد قبول به سرور موردنظر ارسال و بسته‌های ردشده دور ریخته می‌شوند.

پراکسی چه چیزی نیست؟

پراکسی‌ها بعضی اوقات با دو نوع فایروال اشتباه می‌شوند«Packet filter  و  Stateful packet filter» که البته هر کدام از روش‌ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد.

پراکسی با Packet filter تفاوت دارد

ابتدایی‌ترین روش صدور اجازه عبور به ترافیک بر اساس TCP/IP این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه قرار می‌گیرد و اطلاعات آدرس را در header IP ترافیک دیتایی که بین آنها عبور می‌کند، پیمایش می‌کند. اطلاعاتی که این نوع فیلتر ارزیابی می‌کند عموماً شامل آدرس و پورت منبع و مقصد می‌شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و براساس قوانین ایجادشده توسط مدیر شبکه بسته را می‌پذیرد یا نمی‌پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که header، تمام آن چیزی است که سنجیده می‌شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد، نمی‌بیند و به محتوای آسیبشرسان اجازه عبور از فایروال را می‌دهد. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می‌کند و وضعیت (State) ارتباط را دنبال نمی‌کند.

 

 

 پراکسی با Stateful packet filter تفاوت دارد

این فیلتر اعمال فیلتر نوع قبل را انجام می‌دهد، بعلاوه اینکه بررسی می‌کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت (State) شناخته می‌شود.

پروتکل ارتباطی TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP عادی، کامپیوتر A سعی می‌کند با ارسال یک بسته SYN (synchronize) به کامپیوتر B ارتباط را برقرار کند. کامپیوتر B در جواب یک بسته SYN/ACK (Acknowledgement)  برمی‌گرداند، و کامپیوتر A یک ACK به کامپیوتر ‍B می‌فرستد و به این ترتیب ارتباط برقرار می‌شود. TCP اجازه وضعیتهای دیگر، مثلاً   FIN (finish) برای نشان‌دادن آخرین بسته در یک ارتباط را نیز می‌دهد.

هکرها در مرحله آماده‌سازی برای حمله، به جمع‌آوری اطلاعات در مورد سیستم شما می‌پردازند. یک روش معمول ارسال یک بسته در یک وضعیت غلط به‌منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ (Reply) به سیستمی که تقاضایی نکرده، می‌فرستند. معمولاً، کامپیوتر دریافت‌کننده بیاید پیامی بفرستد و بگوید “I don’t understand”. به‌این ترتیب، به هکر نشان می‌دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می‌تواند سیستم‌عامل مورد استفاده را نیز مشخص کند، و برای یک هکر گامی به جلو باشد. یک فیلتر Stateful packet منطق یک ارتباط TCP/IP را می‌فهمد و می‌تواند یک “Reply” را که پاسخ به یک تقاضا نیست، مسدود کند ـــ آنچه که یک فیلتر packet ردگیری نمی‌کند و نمی‌تواند انجام دهد. فیلترهای Stateful packet می‌توانند در همان لحظه قواعدی را مبنی بر‌اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم‌تر است. این امنیت محکم‌تر، بهرحال، تا حدی باعث کاستن از کارایی می‌شود.  نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می‌کند.

 

پراکسی ها یا Application Gateways

Application Gateways که عموماً پراکسی نامیده می‌شود، پیشرفته‌ترین روش استفاده شده برای کنترل ترافیک عبوری از فایروال‌ها هستند. پراکسی بین کلاینت و سرور قرار می‌گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرارشده، میشسنجد. پراکسی بار واقعی تمام بسته‌های عبوری بین سرور وکلاینت را می‌سنجد، و می‌تواند چیزهایی را که سیاستهای امنیتی را نقض می‌کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته‌ها فقط headerها را می‌سنجند، در حالیکه پراکسی‌ها محتوای بسته را با مسدودکردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا، ActiveX و … غربال می‌کنند.

پراکسی‌ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می‌سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله‌های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی‌ها می‌توانند کاراکترهای غیرقانونی یا رشته‌های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی‌ها تمام اعمال فیلترهای ذکرشده را انجام می‌دهند. بدلیل تمام این مزیتها، پراکسی‌ها بعنوان یکی از امن‌ترین روشهای عبور ترافیک شناخته می‌شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته‌ها را پیمایش می‌کنند. بهرحال «کندتر» بودن یک عبارت نسبی است.

آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه‌ای است. پراکسی‌ها باعث کندی سرعت ترافیک در تست‌های آزمایشگاهی می‌شوند اما باعث کندی سرعت دریافت کاربران نمی‌شوند. در شماره بعد بیشتر به پراکسی خواهیم پرداخت.

 

 

 


  • ۰

مدیریت یکپارچه تهدیدات الکترونیکی با UTM

چکیده

از آنجا که اداره جوامع کنونی بدون استفاده از راه حلهای مبتنیبر فناوری اطلاعات تقریباً غیرممکن بنظر میرسد و مفاهیمی چون دولت الکترونیکی، تجارت الکترونیکی، بهداشت، آموزش و بانکداری الکترونیکی جزء راهبردهای اصلی حکومتهاست، اهمیت پرداختن به موضوع امنیت اطلاعات بیش از پیش نمایان میگردد.

به طور کلی فایروال یکی از محصولات امنیتی پرکاربرد در برقراری امنیت شبکههای کامپیوتری است. به همین دلیل تکنولوژی فایروالهای در طول عمر این محصول تغییرات زیادی داشته است. این تغییرات بیشتر به دلیل تولد ایدههای جدید در تهدیدات شبکهای بوده است. در این مقاله تلاش خواهد شد که اخیرترین تکنولوژی در تولید فایروال معرفی شود. این تکنولوژی که منجر به تولید محصول UTM میشود، سطوح مختلفی از تهدیدات شبکه ای را کنترل میکند و پیشبینی میشود تا چند سال آینده جایگزین فایروالهای امروزی شود.

مقدمه

گسترش استفاده از فضای تبادل اطلاعات در کشور طی سالهای گذشته و برقراری ارتباط از طریق وب، موجب افزایش بکارگیری فنآوری اطلاعات و وابستگی نهادهای مختلف اجتماعی به این پدیده گردیده است.

از زمانیکه برخی از نگرانیها در خصوص تعرض به حریم خصوصی افراد و سازمانها ظاهر گردید، متخصصان فنآوری اطلاعات جهت جلوگیری از این تهدیدات و حمایت از اطلاعات خصوصی بنگاهها، افراد و دستگاههای مختلف تلاشهای ارزشمندی را ساماندهی نمودند تا فضای اعتماد به تبادلات الکترونیکی دچار آسیب کمتری شود.

تولید محصولات مختلف امنیتی اعم از تجهیزات سخت افزاری و نرم افزارها در حوزه های گوناگون ICT، ارائه راهکارها و تدوین سیاستهای خرد و کلان جهت صیانت از فضای تبادل اطلاعات، تربیت نیروهای مختصص به منظور حفاطت از شبکههای تبادل اطلاعات همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی، همگام با پیشرفت دانش IT در صحنه دنیای دیجیتال نمود بیشتری پیدا کردند. در این میان همزمان با رشد و توسعه انواع آسیبپذیریها در سیستمهای رایانهای، تکنولوژی در راستای محافظت از این سیستمهای نیز ارتقاء یافتهاند.

رویکرد جدید تهدیدات الکترونیکی عموماً براساس تهدید بر محتوا تلقی میشود. این رویکرد بیشتر به دلیل حضور تجهیزات امنیتی پایینتر از لایه محتوا صورت گرفته است. بدیهی است که امنیت در لایههای بالا، مخصوصاً در محتوا بسیار پیچیده است و البته بالاترین سطح امنیت سازمان نیر امنیت در سطح محتوا میباشد. بر این اساس تکنولوژی تجهیزات امنیتی نیز باید به سمت محافظت از تهدیدات محتوایی حرکت کنند. تکنولوژی UTM اخیرترین ایده در تجهیزات امنیتی است که تلاش میکند امنیت سازمان را تا سطح محتوا حفظ نماید. این تکنولوژی به عنوان نسل جدید از محصولات فایروال منظور میشود و پیشبینی میشود که در آینده نزدیک، محصول UTM به عنوان محصول امنیتی ضروری در سازمانها جایگزین فایروال شود.

در این مقاله تلاش خواهد شد که محصول UTM معرفی شده و مزایا و معایب آن برشمرده شود. براین اساس در ادامه این مستند، و در بخش دوم ضمن بیان نیازمندیهای امنیتی محصول فایروال و UTM، ضرورت وجود این تکنولوژی بررسی میشود. در بخش 3 معماری و مکانیسمهای امنیتی محصولات UTM شرح داده میشود. در پایان نتیجهگیری و جمعبندی ارائه میشود.

 تکنولوژی فایروال و نیازمندیهای جدید

 تهدیدات محتمل سیستمهای رایانه ای

به منظور مقابله با تهدیداتی که حوزههای مختلف فنآوری اطلاعات ممکن است با آنها مواجه باشد، شناخت نوع تهدید ضروری به نظر میرسد. بدیهی است سیستم یکپارچه مقابله با تهدیدات باید بصورت مشخص انواع مورد نظر را پوشش داده و راهکارهای پیشنهادی را ارائه نماید.

انواع حملات و تهدیدات را میتوان به صورت زیر دستهبندی نمود:

  •  حملات تخریب سرویس
  •  حمله از طریق برنامه مخرب
  •  حمله انسانی و فیزیکی

در هر یک از دسته حملات فوق، فعالیتهای متفاوتی از سوی مخربین قابل انجام است.در این بخش فهرستی از این فعالیتها بیان میشوند.

حملات تخریب سرویس

در این نوع حمله، مهاجم تلاش مینماید تا دسترسی منابع رایانه توسط سایر کاربران را ناممکن سازد. برای دستیابی به این هدف، چنانچه منابع مشترک سیستم به گونهای توسط مهاجم اشغال گردیده و حجم استفاده از آنها افزایش یابد که دیگران قادر به استفاده از آنها نباشند، عملاً حمله به منابع سیستم صورت گرفته است. این نوع حمله میتواند به تخریب منابع منجر گردد و یا استفاده از آنها را غیرممکن سازد. برخی از فعالیتهای این نوع تهدید بصورت زیر قابل بیان است.

  • تخریب، پر کردن و خذف فایلهای اساسی دیسک
  • تولید پردازش و اشغال پهنای باند پردازنده
  • تخریب و کنترال سرویسهای شبکه توسط مهاجم
  • ذخیره پیامهای پخش شده، ارسال پیام و درخواست پاسخ از رایانههای شبکه
  • استفاده از اتصالهای غیر باز

حمله از طریق برنامه مخرب

در این نوع حملات، برنامهها بهگونهای نوشته میشوند که رفتاری مخرب و غیر عادی داشته باشند. معمولاً این برنامهها از طرق مختلف برای کاربران رایانه ارسال شده و کاربر بدون توجه به وجود دستورالعمل مخرب نسبت به اجرای آن اقدام مینماید. شیوههای مختلف تخریب این برنامهها بصورت زیر میباشد.

  • حمله به برنامههای سرویسدهنده شبکه
  • تخریب نرم افزارها از طریق ارسال پست الکترونیکی
  • ارسال هرزنامه ها
  • استفاده از دربهای مخفی جهت دسترسی غیرمجاز
  • اسبهای تراوا و کرمها

حمله انسانی و فیزیکی

چنانچه بر اساس ضعفهای موجود در برخی از سیستمها، نفوذگر بتواند به عنوان راهبر سیستم شناخته شود، با در دست گرفتن کنترل سیستم میتواند صدماتی را وارد نماید.

بعلاوه هر مخربی میتواند بصورت فیزیکی منابع سیستم را مورد حمله قرار داده و کارکرد آن را دچار مشکل سازد. فعالیتهای زیر توسط مخاجم قابل انجام میباشد:

  • سرقت رمز عبور
  • نفوذ از طریق برقراری روابط اجتماعی
  • تخریب فیزیکی منابع رایانه ای و شبکه ای

 

نقش ابزارهای کنترل ترافیک

امروزه فایروالهای حالتمند ، IDSها، و آنتی ویروسهای مبتنی بر میزبان 2 محبوبترین محصولات امنیتی را تشکیل میدهند. اما این راهحلها به سرعت در حال از دست دادن تاثیر خود در برابر نسل جدید تهدیدات میباشند و متخصصان فن- آوری اطلاعات حملات و سرایتهای موفق متعددی را بر ضد امنیت و زیرساخت شبکه مشاهده میکنند.

نقش سیستمهای فایروال سنتی و کمبودهای آنها

فایروالهای حالتمند در ابتدا برای امنسازی ارتباط با اینترنت بوسیله یک واسط امن بین شبکههای قابل اعتماد و غیر قابل اعتماد طراحی شدند. این فایروالها با دقت در سرآیند لایه شبکه (L3)، و لایه پروتکل (L4) بسته را نظارت کرده و بر اساس آن به ترافیک اجازه ورود داده، درخواست ورود آن را رد کرده، و یا ترافیک را دوباره بر اساس مجموعهای از خطمشیهای فایروال مسیریابی میکنند. مشکل اصلی فایروالها در این است که هکرها روشهای متعددی را برای گذشتن از خطمشیهای فایروال توسعه دادهاند. بعضی از این روشها شامل موارد زیر میباشند:

  • پویش پورتهای باز روی فایروال و یا سیستمهای موجود در ناحیه قابل اعتماد
  • نرمافزارهای مخرب نظیر تروژانهایی که روی سیستمهای موجود در ناحیه قابل اعتماد نصب شدهاند و میتوانند به عنوان شروع کننده حملات نقش داشته باشند.
  • عدم توانایی فایروالهای نسل قدیمی در بازرسی بخش دادهای بسته جهت شناسایی انواع کدهای مخرب نظیر ویروس، کرم و یا تروژان، میتواند بهعنوان یک مسیر قابل نفوذ برای حمله مورد استفاده قرار گیرد.
  • بسیاری از فایروالهای جدید که قابلیت بازرسی عمیق 3 را پشتیبانی میکنند، در مقابل بستههای تکهتکه شده آسیبپذیر هستند.
  • کاربران با استفاده از سیستمهای قابل حمل نظیر Laptop و یا PDA، میتوانند حامل انواع کدهای مخرب و آلوده از بیرون به داخل سازمان شوند.

در نتیجه باید اذعان داشت که فایروالهایی که ما را احاطه کردهاند کمکی در جهت ممانعت از حملات و سرایتهایی که از داخل شبکه قابل اعتماد آغاز شده باشند نمیکنند.

نقش سیستمهای IDS سنتی و کمبودهای آنها

همانند فایروالهای سنتی، IDSهای سنتی با آمدن تهدیدات مدرن و پیچیده جای خود را به فنآوریهای جدیدتر میدهند. حمله کنندگان ضعفهای سیستمهای IDS را شناخته و متدهای جدیدی برای گذشتن از این سیستمهای نظارتی پیادهسازی کردهاند. مثالهایی از ضعف سیستمهای IDS عبارتند از:

  • محصولات IDS معمولاً در نقاط لبهای شبکه مستقر میشوند و نظارتی بر کل شبکه ندارند.
  • سیستمهای IDS معمولاً به عنوان ابزارهای نظارتی کاربری دارند و قابلیت ممانعت از ترافیک مشکوک در این سیستمهای وجود ندارد.
  • به دلیل نحوه بازرسی در سیستمهای IDS، این سیستمها معمولاً در مقابل حجم بالای ترافیک آسیبپذیر میشوند.
  • اغلب سیستمهای IDS حجم زیادی false positive تولید میکنند که برای جلوگیری از این امر نیاز به نظارت مداوم بر کار IDS میباشد.

برای حل مشکلات فوق، بسیاری از تولید کنندگان محصولات IDS، به سمت تولید نسل جدیدی از این محصولات به نام IPS روی آوردهاند. سیستمهای IPS میتوانند به صورت Inline در توپولوژی شبکه قرار گیرند و کنشهای مورد نیاز مدیر نظیر Drop و یا Reset را اعمال نمایند. این محصولات همچنین میتوانند از مکانیسمهای تشخیص Anomaly بهرهمند شوند.

آنتی ویروسهای مبتنی بر میزبان و کمبودهای آنها

یکی از پر کاربردترین نرمافزارهای امنیتی، سیستمهای آنتی ویروس مبتنی بر میزبان است. این نرمافزارهای آنتی ویروس بهعنوان یکی از معمولترین راهحلهای امنیتی در سازمانها استفاده میشوند. قدمت استفاده از این نرمافزارهای از سال 1980 میلادی و بهدلیل حضور فایلهای ویروسی میباشد. گرچه حضور نرمافزارهای آنتی ویروس مبتنی بر میزبان یک ضرورت در سازمانهای تلقی میشود ولی این راهحلها شامل نقاط ضعف نیز میباشند که در ادامه برخی از آنها بررسی میشوند.

  1. فرآیند نصب، نگهداری و ارتقای الگوهای ویروسی برای این نرمافزارهای پیچیده است. باید توجه داشت که این نرمافزارها باید در تمامی میزبانهای موجود در سازمان نصب شوند.
  2. کاربران بهصورت عمدی و یا غیرعمدی میتوانند آنتی ویروس خود را غیرفعال نمایند. § اغلب کاربران یک فرایند منظم جهت بهروز رسانی الگوهای ویروس برای نرمافزار آنتی ویروس خود اتخاذ نمیکنند و معمولاً در مقابل اخیرترین نسخه ویروسها آسیبپذیر هستند.
  3. برخی از تروژانهای پیشرفته قادرند قبل از فعال شدن آنتی ویروس روی میزبان فعال شوند و همچنین از فعال شدن آنتی ویروس نیز جلوگیری میکنند.

بدیهی است سازمانهایی که از نرمافزارهای آنتی ویروس مبتنی بر میزبان استفاده میکنند، در زمینه امنیت سیستم عامل میزبان و برنامه کاربردی از سطح امنیتی خوبی برخوردارند. ولی باید توجه داشت که این سطح امنیتی برای سازمان کافی نیست. بهطور خاص باید توجه داشت که بسیاری از کدهای مخرب از ناحیه غیرقابل اعتماد وارد نواحی قابل اعتماد شبکه میشوند. بنابراین سازمان باید بتواند این کدهای مخرب را قبل از رسیدن به میزبانهای تشخیص داده و بلاک نماید.

تعریف UTM

نام UTM یا مدیریت یکپارچه تهدیدات الکترونیکی عبارتی است که برای اولین بار توسط شرکت IDC در سال 2004 ابداع شد. محصول UTM یک راهحل جامع امنیتی است که مسئول محافظت سیستم در برابر چندین نوع تهدید میباشد. یک محصول UTM معمولا شامل فایروال، VPN، نرم افزار آنتی ویروس، فیلترینگ محتوا، فیلتر اسپم، سیستمهای جلوگیری و تشخیص حمله (IPS)، حفاظت از Spywareها، و نظارت، گزارشگیری، و مدیریت یکپارچه میباشد.

از UTM میتوان به عنوان نسل تحول یافته محصولات Firewall/VPN و حتی دروازههای امنیتی نام برد که سعی در ارائه سرویسهای امنیتی به کاربران یک سازمان به سادهترین شکل دارد. در واقع بدون وجود UTM و در راهحلهای قدیمی برای بدست آوردن تک تک این سرویسهای امنیتی ابزارهای مجزا به همراه پیچیدگیهای نصب، بهروز سازی، و مدیریت آنها نیاز بود، اما UTM با یکپارچه سازی و مدیریت متمرکز، تمامی نیازمندیهای امنیتی در یک سازمان در برابر تهدیدات الکترونیکی را برآورده میسازد.

نیاز به محصول UTM

روشهای سنتی (امنیت لایه ای به صورت چند نقطه ای)

امروزه بسیاری از سازمانها سعی در پیاده سازی سیستمهای امنیتی با ترکیب راهحلهای مختلف از فروشندگان متفاوت دارند. همگی این محصولات میبایست به صورت مجزا خریداری، نصب، مدیریت، و بروزرسانی شوند. این رویکرد مشکلاتی شامل تعامل و همکاری نامناسب بین سیستمهای امنیتی مجزا، حفاظت ناکامل، و آزمون و درستییابی زمانبر دارد، که همگی باعث کاهش پاسخ شبکه به حملات میشوند. محصولاتی که برای کار با هم طراحی نشده باشند، میتوانند در نرخ کارایی شبکه تاثیر بگذارند. همچنین هزینه لازم برای تهیه انواع محصولات مختلف امنیتی برای رسیدن به امنیت جامع در یک سازمان کوچک یا متوسط بسیار سنگین میباشد. پیچیدگی طراحی چنین راهحلی نیز در شکل 1 مشاهده میشود.

سازمانها به ندرت دارای زیرساخت IT لازم برای نگهداری و مدیریت یک چنین مخلوطی از محصولات متفاوت هستند، که هر کدام دارای سیستم مدیریت خاص خود میباشند. و در نهایت هزینه نگهداری و پشتیبانی از رویکردهای چند نقطهای برای یک سازمان کوچک یا متوسط بسیار زیاد میباشد. به دلیل این مشکلات، پیچیدگیها، و ضعفها، رویکرد یکپارچه سازی محصولات UTM در سطح سازمانها مطرح میشود.

پیچیدگی-امنیت-لایه-ای-به-صورت-چند-نقطه-ای

راه حل مدرن (ابزارهای امنیتی مجتمع)

مفهوم اولیه ابزارهای امنیتی مجتمع، مفهوم جدیدی نیست و به زبان ساده به معنای ترکیب چندین کارکرد امنیتی در یک راهحل یا ابزار واحد میباشد. برخی از فروشندگان راهحلهای امنیتی، ابزارهای امنیتی مجتمعی در گذشته ارائه کردهاند. با این وجود، این راهحلهای جوان دارای کمبودهای زیادی بودهاند. به خصوص اگر یکپارچه سازی کارکردها نامناسب بوده و به صورت ضعیفی پیادهسازی شده باشد. این کمبودها میتواند شامل موارد زیر باشد:

  • کارایی نامناسب
  • کاهش قابلیت اعتماد
  • مقیاس پذیری محدود
  • افزایش پیچیدگی مدیریت
  • امنیت نامناسب

به طور کلی رویه یکپارچه سازی کارکردهای امنیتی باید بهنحوی انجام شود که تکنولوژیهای مختلف استفاده شده بتوانند در کنار یکدیگر فعالیت نمایند. نتیجه این یکپارچه سازی محصول Appliance خواهد شد که قابلیت توسعه سرویسهای امنیتی جدید را خواهد داشت و از یک مکانیسم دفاع امنیتی لایهای جهت مقابله با تهدیدات امروز و آینده بهرهمند میباشد. همچنین محصول نهایی در کنار توان دفاع امنیتی بالا، باید بتواند لحاظ هزینه مقرون بهصرفه باشد. در شکل 2 استفاده از راهحل یکپارچه سازی مکانیسمهای امنیتی در قالب یک محصول UTM در شبکه مورد نظر آورده شده است.

 

راه-حل-یکپارچه-سازی-مکانیسمهای-امنیتی-در-قالب-یک-محصول-UTM

محصول UTM

پیشبینی توسعه در دنیا

بازار چشمگیر محصولات امنیتی UTM روند تولید محصولات تک کاربرد را به سمت ارائه چندین ویژگی امنیتی در یک سکو، در محیطهایی منعطفتر میبرد. به گفته چالرز کولوجی مدیر بخش تحقیقات محصولات امنیتی در UTM ،IDC با ارائه برنامههای کاربردی امنیتی با کارایی بالا، و صرفهجویی در هزینههای عملیاتی و سرمایه، به سرعت در حال محبوبتر شدن است 1[.

بر طبق آمار IDC، بخش فروش UTM در گروه ابزارهای امنیت شبکه سریعترین رشد را در بازار داشته است. (بیش از 100 میلیون دلار سود در سال 2003 که با افزایش 160 درصدی نسبت به سال 2002 همراه بود.) طبق همین گزارش در سال 2008 از کل سود فروش 3,45 میلیارد دلاری دسته محصولات مدیریت امنیت شامل UTM، فایروالهای سنتی، و ابزارهای UTM ،VPN به تنهایی 58 درصد سود فروش را خواهد داشت. همین پیشبینی نشان میدهد که سود فروش فایروالهای سنتی رو به کاهش خواهد بود و این نشان از جایگزینی نیاز مشتریان در زمینه فایروال با محصولات UTM خواهد بود. بخشی از این پیشبینی در شکل 3 آورده شده است ]1[.

با توجه به رشد نیاز به محصولات UTM در بازار، فرآیند تولید این محصول در بسیاری از شرکتهای تولید کننده محصولات امنیتی شکل گرفته است. این فرآیند در شرکتهای تولید کننده محصولات Firewall/VPN با نگرش ارتقاء محصول به UTM با سرعت بیشتری به نتیجه رسیده است، بهطوری که بیشتر شرکتهای معتبر در زمینه تولید محصولات Firewall/VPN، امروزه محصول خود را برای تبدیل به UTM ارتقاء داده و با این نام در بازار تجارت میکنند.

معماری محصول

همانطور که در بخش قبلی شرح داده شد، محصول UTM امنیت را در کل لایههای شبکه و بهطور خاص در لایه محتوا ارائه میکند. برای این منظور باید چندین مکانیسم امنیتی را بهصورت یکپارچه ارائه نماید. این مکانیسمهای امنیتی شامل موارد زیر میباشد.

  • فایروال با قابلیت بازرسی حالتمند ترافیک
  • ارائه سرویس VPN با قراردادهای متنوع
  • امکان تشخیص و جلوگیری از حمله (IPS)
  • آنتی ویروس مبتنی بر دروازه
  • فیلترینگ محتوای ترافیک (بهطور معمول برای محتوای Web و Mail ارائه میشود.)
  • فیلترینگ اسپم روی ترافیک Mail
  • مدیریت پهنای باند

نکته کلیدی در تولید محصولات UTM ارائه یک معماری مناسب برای چیدمان مکانیسمهای فوق میباشد که بتواند بهترین کارایی را روی محصول ارائه نماید. بدیهی است با افزایش میزان بازرسی ترافیک در مکانیسمهای امنیتی مختلف، امکان تاخیر و کاهش کارایی شبکه نمایان میشود. در این راستا استفاده از ایدههایی نظیر استفاده از شتابدهندههای سخت افزاری میتواند برخی از مشکلات را مرتفع سازد. این ایده در بسیاری از شرکتهای بزرگ تولیدکننده محصولات امنیتی استفاده میشود.

شکل 4 یک معماری نمونه از محصول UTM را نشان میدهد. چیدمان مکانیسمهای امنیتی و ترتیب بازرسی ترافیک در این محصول یکی از پارامترهای اصلی این معماری میباشد. در این معماری اولین بازرسی امنیتی توسط ماژول حالتمند انجام میشود که منجر به حذف بسیاری از تهدیدات میشود. همچنین این ایده میتواند منجر به تولید مفهوم نشست برای بازرسی در ماژولهای امنیتی دیگر شود. از نکات دیگر این معماری قرار دادن بازرسیهای محتوا در انتهای حرکت بسته میباشد. این ایده بهدلیل عدم نیاز به بازرسی محتوای ترافیکهای مشکوک میباشد. بدیهی است ترافیکی که توسط ماژول حالتمند متوقف شود، نیاز به بازرسی محتوایی توسط ماژول AntiSpam نمیباشد.

 

جریان-بازرسی-ترافیک-در-یک-محصول-UTM

شکل 4 جریان بازرسی ترافیک در یک محصول UTM معماری ارائه شده در شکل 4 میتواند در یک محصول UTM مورد استفاده قرار گیرد ولی نکته کلیدی در پیادهسازی این معماری ملاحظات پیادهسازی ارتباطات بین ماژولها میباشد. برای نمونه معماری ارائه شده در [] با هدف کاهش تعداد IPCها بین مولفههای محصول میباشد. همچنین نکته دیگری که در پیادهسازی این معماری باید در نظر گرفت، نوع مدل مدیریتی است که محصول برای مدیر ارائه میکند.

مزایای UTM

  •  مدیریت یکپارچه
  1. § مدیریت چندین کاربرد از یک محل و توسط یک ابزار
  2. § ایجاد و پیادهسازی آسان و سریع خطمشیهای سراسری سازگار
  3. § تکیه بر گزارشات و نظارتهای برخط و تعاملی
  4. § استفاده از تنها یک واسط مستقیم برای نصب و مدیریت تمامی ویژگیهای امنیتی

· UTM به عنوان یک محصول یکپارچه فرآیند انتخاب محصولات امنیتی مورد نیاز، یکپارچه سازی آنها، و پشتیبانیهای آتی را ساده کرده است.

  • محصولات UTM دارای مراحل نصب کم، ساده و عمدتاً بهصورت plug and play هستند.
  • از آنجائیکه کاربران عمدتاً تمایل به دستکاری تنظیمات دارند، در بستههایی مانند ابزار UTM با کاهش تعامل اپراتور، خرابیهای ایجاد شده توسط آنها کاهش مییابد و در نتیجه امنیت افزایش مییابد.
  • به دلیل اینکه تنها یک ابزار واسط امنیتی وجود دارد، در مواقع بروز مشکل برای عیبیابی، این وسیله حتی توسط یک فرد غیر متخصص قابل خارج شدن از مدار میباشد.
  • هزینه لازم برای فراهم آوردن سطح امنیت مورد نیاز در یک سازمان توسط ابزارهای مجزای امنیتی بسیار بیشتر از هزینه راهحل UTM میباشد.

چالشهای تولید محصول

با توجه به توصیف ارائه شده از محصول UTM، میتوان این محصول را در رده محصولات پیچیده برای تولید قرار داد. بنابراین چالشهای یک محصول پیچیده و بزرگ را برای تیم تولید خواهد داشت. علاوهبر این طبق نظر تولیدکنندگان این محصول، چالش اصلی برای تولید مساله کارایی محصول و میزان تاخیر شبکه برای بازرسی تمامی مکانیسمهای امنیتی است. این چالش به عنوان مساله اصلی برای انتخاب بین مشتریان نیز مورد نظر میباشد. در این راستا تولیدکنندگان به دنبال ایدههای جدید در تولید این محصول با معماری کاراتر میباشند و در این حین تحقیقاتی نیز نظیر انجام شده است.

جمع بندی و نتیجه گیری

در این مقاله تکنولوژی جدید محصولات امنیت شبکه با نام UTM ارائه شد. همچنین مزایا، معماری و چالشهای اصلی در تولید این محصول مورد بررسی قرار گرفت. طبق پیشبینیهای انجام گرفته، آینده محصولات امنیت شبکه نظیر فایروالها به سمت محصول UTM خواهد بود1[ و ]2. این محصول چندین مکانیسم امنیتی را در کنار هم و بهصورت یکپارچه ارائه میکند. همچنین ایده اصلی محصول UTM مدیریت تهدیدات شبکه در تمامی لایه ها، خصوصاً در محتوا میباشد. با توجه به رشد سریع در تولید محصول UTM و نیاز اساسی شبکه های کامپیوتری به این محصول، به نظر میرسد که دولت و شرکتهای خصوصی باید برنامه ویژهای را برای تولید این محصول در داخل کشور تدوین نمایند.

 

گروه فنی و مهندسی وی سنتر آمادگی خود را برای ارائه مشاوره فنی در خصوص مباحث امنیت شبکه اعلام می دارد.

شماره تماس: 88884268


  • ۰

مدیریت سرورها از راه دور با iLO

iLO

ILO‌ چیست و چگونه کار می کند؟
ILO یا Integrated Lights-Out پورتی مانند شبکه که برروی سرورهای جدید HP طراحی گردیده است که با استفاده از آن می توان یک سرور را روشن و از همان لحظه مدیریت کرد، به عبارت دیگر می توان از همان ابتدا وارد BIOS‌ شده و تغییرات دلخواه را داد یا اینکه سیستم عاملی نصب کرده و یا یک Image از قبل آماده شده را روی سرور بارگذاری کرد.
کار با ابزار فوق بسیار ساده می باشد، بدین ترتیب که تنها نیاز به یک کابل شبکه (برای اتصال پورت ILO به کامپیوتر یا شبکه مورد نظر) و یک مرورگر شبکه می باشد.این پورت را به سه طریق می توان به شبکه وصل کرد که در شکل زیر دیده می شود: مدیریت-سرورها-از-راه-دور-باserver-iLOپس از وصل آن به شبکه با توجه به تنظیمات کارخانه، دنبال DHCP ‌سرور در شبکه می گردد تا از آن IP‌ بگیرد. البته می توان بصورت دستی نیز به سیستم IP دلخواه داد و با زدن IP در مرورگر، ورود به صفحه Web Based و وارد کردن نام کاربر و کلمه عبور که در کارت همراه سرور می باشد، وارد تنظیمات ILO‌ شد .
در این صفحه می توان اطلاعات مفیدی مانند مشخصات سرور، وضعیت سرور، وضعیت پاور، تعریف کاربر و …. را در سیستم مشاهده کرد و حتی تغییراتی را اعمال کرد.
از قابلیتهای این پورت می توان به این گزینه اشاره کرد که می توان کنترل سرور را از همان ابتدای شروع به کار سرور (حتی روشن و خاموش کردن آن) را در اختیار گرفت.

 

قابلیت های کلیدی نرم افزار

iLO-HP-Server-مدیریت-سرور-از-طریق

HP Integrated Lights-Out iLO
HP Intelligent Provisioning
HP Agentless Management
HP iLO Federation
HP Active Health System
HP remote support

لایسنس های iLO در نسخه های مختلفی مانند زیر ارائه می گردد:

1- HP Integrated Lights-Out Advanced license—Smart remote management

2- HP Integrated Lights-Out Essentials license—Just Right IT for small- to medium-sized

3- HP Integrated Lights-Out Scale-Out license—Purpose-built for HPC

4- HP iLO and HP Insight Control or HP OneView4—Better together

تفاوت اصلی میان ILO Advanced و نسخه بدون لایسنس آن در این است که ILO Advanced می تواند به قابلیت های Remote Console و نیز Remote Media دسترسی دارد.

برای نصب و راه اندازی پورت ILO سرور خود می توانید به رسانه آموزشی آنلاین ما سر بزنید.


  • ۰

آموزش کامل Forefront TMG 2010

شاید برای بسیاری از کاربران این سوال مطرح باشد که آیزا سرور و یا TMG چیست و کاربرد آن چیست؟  در این مقاله به بررسی این موضوع خواهیم پرداخت.

آیزا سرور نرم افزاری از شرکت مایکروسافت می باشد و چند کار مهم در شبکه را انجام میدهد. کارهای مهم آیزا سرور حسابداری کاربران شبکه(Accounting) ، مدیریت امنیت شبکه (Firewalling) و کش کردن اطلاعات کاربران می باشد.

ISA Server از سال ۲۰۰۶  به بعد با نام foreFront TMG به بازار عرضه شده است.

برای دریافت کتاب کامل آموزش TMG بر روی لینک های ذیل کلیک کنید:

آموزش TMG – درس اول

آموزش TMG – درس دوم

آموزش TMG – درس سوم

آموزش TMG – درس چهارم

آموزش TMG – درس پنجم

آموزش TMG – درس ششم

آموزش TMG – درس هفتم 

آموزش TMG – درس هشتم

آموزش TMG – درس نهم

آموزش TMG – درس دهم

آموزش TMG – درس یازدهم 

آموزش TMG – درس دوازدهم


  • ۰

فایروال Firewall

انواع دیواره آتش ها

دیواره آتش ها به دو شکل سخت افزاری (خارجی) و نرم افزاری (داخلی) ارائه می شوند :

1- دیواره آتشهای سخت افزاری :

این نوع از دیواره آتش ها که به آنان دیواره آتش های شبکه نیز گفته می شـود ، بـین کـامپیوتر هـا و کابل و یا خط DSL قرار خواهد گرفت.تعداد زیادی از تولید کنندگان و برخی از مراکز ISP ، دسـتگاههـایی با نام Router را ارائه می دهند که دارای یک دیواره آتش نیز می باشند.

دیواره آتش های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بـوده و یـک سـطح مناسـب حفاظتی را ارائه می نمایند.

دیواره آتش های سخت افزاری ، دستگاههای سخت افزاری مجزائی مـی باشـند کـه دارای سیـستم عامـل اختصاصی خود می باشد. بنابراین بکارگیری آنان باعث ایجاد یک لایـه دفـاعی اضـافه در مقابـل تهاجمـات می گردد.

2- دیواره آتش نرم افزاری :

برخی از سیستم عامل ها دارای یک دیواره آتش تعبیه شده درون خود مـی باشـند. بنـابراین مـی تـوان دیواره آتش موجود در سیستم عامل را فعال نموده تا یک سطح حفاظتی در خصوص ایمن سـازی کـامپیوتر و اطلاعات (به صورت نرم افزاری)ایجاد گردد.

در صورتی که سیستم عامل نصب شده بر روی کامپیوتر فاقد دیواره آتش باشد ، می تـوان اقـدام بـه تهیـه یک دیواره آتش نرم افزاری کرد. که در اینحالت برای نـصب دیـواره آتـش نـرم افـزاری بایـستی از طریـق سیدی درایو این روش اقدام گردد و حتی المقدور باید از نصب دیواره آتش نـرم افـزاری از طریـق اینترنـت اجتناب نمود.چون در این روش کامپیوتر محافظت نشده می باشد و در حین نصب نـرم افـزار امکـان ایجـاد مشکلات برای سیستم امکان پذیر می باشد.

 

نحوه عملکرد دیواره آتش

یک دیواره آتش کل ترافیک بین دو شبکه را بازرسی کرده ، تا طبق معیار های حفاظتی و امنیتی پردازش شـوند.

پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد :

1) اجازه عبور بسته صادر می شود.(Accept mode)

2) بسته حذف می شود.(Blocking Mode)

3) بسته حذف شده و پاسخ مناسب به مبدأ آن بسته داده می شود. (Response Mode)

همچنین علاوه بر حذف بسته می توان عملیاتی نظیر ثبـت ، اخطـار ، ردگیـری و جلـوگیری از ادامـه اسـتفاده از شبکه هم در نظر گرفت.

به مجموعه قواعد دیواره آتش سیاست امنیتی نیز گفته می شود. همانطور که همه جا عملیـات ایـست و بازرسـی وقت گیر است ، دیواره آتش هم بعنوان گلوگاه می تواند منجـر بـه بـالا رفـتن ترافیـک ، تـاخیر ازدحـام و نهایتـاً بنبست در شبکه شود.گاهی اوقات بسته ها آنقدر در پشت دیوار آتش معطل می مانند تا زمان طول عمرشان بـه اتمام رسیده و فرستنده مجبور می شود مجدداً اقدام به ارسال آنها کند و این متناوباً تکرار مـی گـردد. بـه همـین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا کمترین تاخیر را در اطلاعات امن و صـحیح ایجـاد نمایـد. تاخیر در دیوار آتش اجتناب ناپذیر است و فقط باید بگونه ای باشد که بحران ایجاد نکند.

از آنجایی که معماری شبکه به صورت لایه لایه است. و مدل های مختلفی در طراحی شبکه می باشد، در مـدل TCP/IP برای انتقال یک واحد اطلاعات از لایه چهارم بر روی شبکه باید تمام لایـه هـا را بگذارنـد، هـر لایـه برای انجام وظیفه خود تعدادی فیلد مشخص به ابتدای بسته اضافه کرده و آن را تحویل لایه پایین تر می دهد. قسمت اعظم کار یک دیواره آتش تحلیل فیلد های اضافه شـده در هـر لایـه و header هـر بـسته مـی باشـد. سیاست امنیتی یک شبکه مجموعه ای متناهی از قواعد امنیتی است که بنا بر ماهیتشان در یکـی از لایـه هـای دیوار آتش تعریف می شوند :

1- قواعد تعیین بسته های ممنوع در اولیه لایه از دیواره آتش

2- قواعد بستن برخی از پورت ها متعلق به سرویسهای مانند FTP یا Telnet در لایه دوم

3- قواعد تحلیل header متن یک نامه الکترونیکی یا صفحه وب در لایه سوم

 

بنابراین دیواره آتش دارای سه لایه می باشد ،که جزئیات هر کدام به شرح زیر می باشد:

الف) لایه اول دیواره آتش :

لایه اول دیواره آتش براساس تحلیل بسته IP و فیلد هـای header ایـن بـسته کـار مـی کنـد و در ایـن بـسته فیلدهای زیر قابل نظارت و بررسی هستند:

1- آدرس مبدا : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص حق ارسال بسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف نشود.

2- آدرس مقصد : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص دریافـت بـسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف شود. ( آدرس های IP غیر مجاز توسط مسئول دیواره آتش تعریف می شود.)

3-شماره شناسایی یک دیتاگرام قطعه قطعه شده (Fragment & Identifier offset) : بسته هایی کـه قطعـه قطعه نشده اند یا متعلق به یک دیتاگرام خاص هستند باید حذف نشوند.

4-شماره پروتکل: بسته هایی که متعلق به پروتکل خاصی در لایه بالاتر هستند می توانند حذف نشوند. یعنی بررسی اینکه بسته متعلق به چه پروتکلی است و آیا تحویل به آن پروتکل مجاز است یا خیر؟

5-زمان حیات بسته : بسته هایی که بیش از تعداد مشخصی مسیریاب را طی کرده اند مـشکوک هـستند و بایـد حذف نشوند. 6-بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیواره آتش قابل بررسی هستند.

مهمترین خصوصیت لایه ازن از دیواره آتش آنست که در این لایه بسته ها بطور مجزا و مستقل از هـم بررسـی می شوند و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یـک بـسته نیـست. بهمـین دلیـل سـاده تـرین و سریعترین تصمیم گیری در این لایه انجام می شود. امروزه برخی مسیر یابها با امکـان لایـه اول دیـوارآتش بـه بازار عرضه می شوند. یعنی به غیر از مسیریابی وظیفه لایه اول یک دیوار آتش را هم انجام می دهند که به آنهـا مسیریابهای فیلترکننده بسته (Pocket Filtering Routre) گفته می شود. بنابراین مسیریاب قبل از اقـدام بـه مسیریابی براساس جدولی، بسته های IP را غربال می کند و تنظیم این جـدول براسـاس نظـر مـسئول شـبکه و برخی قواعد امنیتی انجام می گیرد.

با توجه به سریع بودن این لایه هر چه درصد قواعد امنیتی در ایـن لایـه دقیقتـر و سـخت گیرتـر باشـند، حجـم پردازش در لایه های بالاتر کسر و در عین حال احتمال نفوذ پایین تر خواهد بود، ولـی در مجمـوع بخـاطر تنـوع میلیاردی آدرس های IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امکان پـذیر خواهـد بـود و ایـن ضـعف در لایه های بالاتر باید جبران شود.

ب) لایه دوم دیوار آتش:

در این لایه از فیلدهای header لایه انتقال برای تحلیل بسته استفاده می شود. عمـومی تـرین فیلـدهای بـسته لایه انتقال جهت بازرسی در دیوارآتش عبارتند از:

1-شماره پورت پروسه مبدا و مقصد : با توجه به آنکه پورت های استاندارد شـناخته شـده هـستند، ممکـن اسـت مسئول یک دیوار آتش بخواهد سرویس FTP فقط در محـیط شـبکه محلـی امکـان پـذیر باشـد و بـرای تمـام ماشینهای خارجی این امکان وجود نداشته باشد. بنابراین دیـواره آتـش مـی توانـد بـسته هـای TCP بـا شـماره پورتهای 20 و 21 ( مربوط به FTP ) که مقصد ورود و خـروج از شـبکه را دادنـد، حـذف کنـد. یکـی دیگـر از سرویسهای خطرناک که ممکن است مورد سوء استفاده قرار گیرند Telnet می باشد کـه مـی تـوان بـه راحتـی پورت 23 را مسدود کرد یعنی بسته هایی که مقصدشان شماره پورت 23 است، حذف شوند.

2-فیلد شماره ترتیب و فیلد Ackrowledgment : این دو فیلد نیز بنابر قواعد تعریف شده توسط مسئول شبکه قابل استفاده هستند.

3- کدهای کنترلی (TCP code Bits) : دیواره آتش با بررسی ایـن کـدها، بـه ماهیـت آن بـسته پـی بـرده و سیاست های لازم را بر روی آن اعمال می کند. بعنوان مثال یک دیواره آتش ممکن است بگونه ای تنظیم شـود که تمام بسته هایی که از بیرون به شبکه وارد می شـوند و دارای بیـت SYN=1 هـستند را حـذف کنـد. بـدین ترتیب هیچ ارتباط TCP از بیرون به درون شبکه برقرار نخواهد شد.

از مهمترین خصوصیات این لایه آن است که تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگـذرد و چون در ارتباط TCP ، تا مراحل سه گانه اش به پایان نرسد، انتقال داده امکان پذیر نیست.

لذا قبل از هر گونه مبادله دیواره آتش می تواند مانع برقراری هر ارتباط غیر مجـاز شـود. بـدین معنـا کـه دیـواره آتش می تواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نمـوده و در صـورت قابـل اطمینان نبودن مانع از برقراری ارتباط گردد. دیواره آتش این لایه نیاز به جدولی از شماره پورت های غیـر مجـاز دارد.

ج) لایه سوم دیواره آتش :

در این لایه حفاظت براساس نوع سرویس و برنامه کاربردی انجام می شـود. بـدین معنـا کـه بـا در نظـر گـرفتن پروتکل در لایه چهارم به تحلیل داده ها می پردازد. تعداد header در این لایـه بـسته بـه نـوع سـرویس بـسیار متنوع و فراوان است.

بنابراین در لایه سوم دیواره آتش برای هر سرویس مجزا (ماننـد وب، پـست الکترونیـک و …) بایـد یـک سلـسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش ها در لایه سوم زیاد است. بنابراین توصیه می شود که تمام سرویس های غیر ضروری و شماره پورت هـایی کـه مـورد اسـتفاده نیـستند در لایه دوم مسدود شوند تا کار در لایه سوم کمتر باشد.

انواع فایروال های از لحاظ عملکرد

انواع مختلف فایروال ها اعم از سخت افزاری و نرم افزاری (که در واقع به نـوعی فـایروال هـای سـخت افـزاری خود دارای سیستم عامل و نرم افزارهای مربوط به خود مـی باشـند و بایـستی تنظـیم گردنـد)، روش انجـام کـار توسط آنها متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیـشنهادی فـایروال هـا مـی شـود. بنابراین براین اساس، فایروال ها را به 5 گروه تقسیم می نمایند:

1- دیواره های آتش سطح مدار (Circuit – Level Firewall)

این دیواره های آتش به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP با رایانـه پـشتیبان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند. تنهـا پـس از برقـراری ارتبـاط اسـت کـه اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها بـه بـسته هـای داده ای مـرتبط اجـازه عبـور میدهند. این نوع از دیواره های آتش هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمـی دهنـد و لـذا سرعت خوبی دارند ضمناً امکان ایجاد محدودیت بر روی سایر پروتکل ها (غیر از TCP) را نیز نمی دهند.

2-دیواره های آتش پروکسی سرور (Proxy Based Firewall)

فایروال های پروکسی سرور به بررسی بسته های اطلاعات در لایـه کـاربرد مـی پـردازد. یـک پروکـسی سـرور درخواست ارائه شده توسط برنامه های کاربردی را قطع می کند و خود به جای آنها درخواست را ارسال می کنـد. نتیجه درخواست را نیز ابتدا خود دریافت و سپس بـرای برنامـه هـای کـاربردی ارسـال مـی کنـد. ایـن روش بـا جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیـت بـالایی را تـامین مـی کنـد. از آنجایی که این دیوارههای آتش پروتکل های سطح کاربرد را می شناسند، لذا می توانند بر مبنای این پروتکلهـا محدودیت هایی را ایجاد کنند. همچنـین آنهـا مـی تواننـد بـا بررسـی محتـوای بـسته هـای داده ای بـه ایجـاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به کندی این دیوارههای آتش بیانجامـد. همچنـین از آنجایی که این دیواره های آتـش بایـد ترافیـک ورودی و اطلاعـات برنامـه هـای کـاربردی کـاربر انتهـایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیـستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتواند این دیواره های آتش را به کار گیرد. هـر برنامـه جدیدی که بخواهد از این نوع دیوارهآتش عبور کند، باید تغییراتی در پشته پروتکل دیوارهآتش ایجاد کرد.

عملکرد دیواره آتش پروکسی سرور بدین صورت می باشد که بطور مثال زمانی که یک کـامپیوتر مبـدا تقاضـای یک نشست (_Session) مانند FTP یا برقراری ارتباط TCP با سرویس دهنده وب را بـرای، کـامپیوتر ارسـال می کند، فرایند زیر اتفاق می افتد: پروکسی به نیابت از کامپیوتر مبدأاین نشست را برقرار می کند. یعنی طرف نشست دیـواره آتـش خواهـد بـود نـه کامپیوتر اصلی. سپس یک نشست مستقل بین دیواره آتش و کامپیوتر مقصد برقرار مـی شـود. پروکـسی داده هـا مبدا را می گیرد، سپس از طریق نشست دوم برای مقصد ارسال می نمایـد. بنـابراین در دیـواره آتـش مبتنـی بـر پروکسی هیچ نشست مستقیم رودرویی بین مبدا و مقصد شکل نمی گیرد، بلکه ارتباط آنها بوسیله یـک کـامپیوتر واسط برقرار می شود. بدین نحو دیوارهآتش قادر خواهد بود بر روی داده های مبادله شده درخلال نشست اعمـال نفوذ کند. حال اگر نفوذ گر بخواهد با ارسال بسته های کنترلی خاص ماننـد SYN-ACK کـه ظـاهراً مجـاز بـه نظر می آیند واکنش ماشین هدف را در شـبکه داخلی ارزیابی کند، در حقیقـت واکـنش دیـواره آتـش را مـشاهده می کند و لذا نخواهد توانست از درون شبکه داخلی اطلاعات مهم و با ارزشی بدست بیاورد.

همچنین دیواره آتش پروکسی سرور به حافظه نسبتاً زیاد و CPU بسیار سریع نیازمندند و لـذا نـسبتاً گـران تمـام می شوند، بدین علت که این نوع دیواره آتش باید تمام نشست های بین ماشـین هـای درون و بیـرون شـبکه را مدیریت و اجرا کند، لذا گلوگاه شبکه محسوب می شود و هرگونه تاخیر یا اشکال در پیکربندی آن ، کـل شـبکه را با بحران جدی مواجه خواهد نمود.

3- دیواره آتش غیر هوشمند یا فیلترهای Nosstatful pocket

این نوع دیواره آتش روش کار ساده ای دارند . آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعـه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیم ها با توجه اطلاعـات آدرس دهی موجود در پروتکل های لایه شبکه ماننـد IP و در بعـضی مـوارد بـا توجـه بـه اطلاعـات موجـود در پروتکل های لایه انتقال مانند سرایندهای TCP و UDP اتخاذ می شود.این فیلترها زمانی می توانند بـه خـوبی عمل کنند که فهم خوبی از کاربرد سرویس های مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این نـوع دیواره آتش می توانند سریع باشند ، چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی دربـاره پروتکـل هـای لایه کاربرد ندارند.

4- دیواره آتش هوشمند یا فیلترهای Stateful packet : دیواره آتشی که قادر باشد مشخصات ترافیک خروجی از شبکه را برای مدتی حفظ کنند و بر اساس پردازش آنها مجوز عبور صادر نمایند ، دیواره آتش هوشـمند نامیـده می شوند. این فیلتر ها یا به نوعی دیواره آتش باهوش تر از فیلتر های ساده هستند. آنهـا تقریبـاً تمـامی ترافیـک ورودی را بلوکه می کنند ، اما می توانند به ماشین های پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنهـا ایـن کار را با نگهداری رکورد اتصالاتی که ماشین های پشتشان در لایه انتقـال مـی کننـد ، انجـام مـی دهنـد. ایـن فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی دیواره آتش در شبکه مدرن هستند. این فیلترها میتواننـد ردپای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ، ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدأ و مقصد ، شماره ترتیب TCP و پرچم هـای TCP . بـسیاری از فیلتر های جدید Stateful می توانند پروتکل های لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لـذا می توانند اعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکل ها انجام دهند.همچنین فیلتر های هوشمند باعث می شود بسته هایی که با ظاهر مجاز می خواهند درون شبکه راه پیـدا کننـد را از بسته های واقعی تمیز داده شوند. بزرگترین مشکل این فیلتر ها غبله بر تاخیر پردازش و حجم حافظـه مـورد نیاز می باشد، ولی در مجموع قابلیت اعتماد بسیار بالاتری دارند و ضریب امنیت شبکه را افـزایش خواهنـد داد؛ و بطور کل یک دیواره آتش یا فیلتر هوشمند پیشینه ترافیک خروجی را برای چند ثانیه آخر به خـاطر مـی سـپارد و بر اساس آن تصمیم می گیرد که آیا ورود یک بسته مجاز است یا خیر.؟

5- دیواره های آتش شخصی (Personal Firewall)

دیواره های آتش شخصی ، دیواره های آتشی هستند که بر روی رایانه های شخصی نصب می شوند. آنها بـرای مقابله با حملات شبکهای طراحی شده اند. معمولاً از برنامههای در حال اجرا در ماشین آگاهی دارنـد و تنهـا PC ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند.نصب یک دیـواره آتـش شخـصی بـر روی یک کامپیوتر بسیار مفید است ، زیرا سطح امنیت پیشنهادی توسط دیواره آتش شبکه را افـزایش مـی دهـد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شـده ، انجـام مـی شـوند ، دیـواره آتش شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک دیواره آتش شخصی بسیار مفید خواهـد بـود. معمـولاً نیازی به تغییر برنامه جهت عبور از دیواره شخصی نصب شده (همانند پروکسی) نیست.

موقعیت یابی برای دیواره آتش

محل و موقعیت نصب دیواره آتش همانند انتخاب نوع صـحیح دیـواره آتـش و پیکربنـدی کامـل آن ، از اهمیـت ویژه ای برخوردار است.نکاتی که باید برای یافتن جای مناسب نصب دیواره آتش در نظر گرفت ، عبارتند از :

1- موقعیت و محل نصب از لحاظ توپولوژیکی :

معمولاً مناسب به نظر می رسد که دیواره آتش را در درگاه ورودی/خروجی شبکه خصوصی نصب کرد. ایـن امـر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمـک دیـواره آتـش از یـک طـرف و جداسـازی شـبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.

2- قابلیت دسترسی و نواحی امنیتی :

اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از دیواره آتـش و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی و تنظیم دیواره آتش جهت صدور اجازه بـه کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود و با هک شدن شبکه داخلـی بـدین علـت کـه در اینحالت مسیر را برای هکرها باز شده است. در حالی که با استفاده از ناحیـه DMZ ، سـرورهای قابـل دسترسـی برای شبکه عمومی از شبکه خصوصی بطور فیزیکی جدا می باشند. لذا اگـر هکرهـا بتواننـد بـه نحـوی بـه ایـن سرورها نفوذ نمایند،باز هم دیواره آتش را پیش روی خود دارند.

3- مسیریابی نامتقارن :

بیشتر دیواره های آتش مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفـی را کـه از طریـق آنهـا شـبکه داخلی را به شبکه عمومی وصل کرده است ، نگهداری کنند.اینن اطلاعات کمک می کنند تـا تنهـا بـسته هـای اطلاعاتی مجاز به شبکه خـصوصی وارد شـوند. در نتیجـه حـائز اهمیـت اسـت کـه نقطـه ورود و خـروج تمـامی اطلاعات به / از شبکه خصوصی از طریق یک دیواره آتش باشد.

4- دیواره های آتش لایه ای :

در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند دیواره آتش در مسیر اسـتفاده شـود.در ایـن حالـت اگـر اولین دیواره آتش با مشکلی روبرو گردد ، دومین دیواره آتش به کار خود ادامه می دهد. در این روش بهتـر اسـت از دیواره های آتش شرکت های مختلف استفاده گردد تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتـی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تأمین کنند.

توپولوژی های دیواره آتش

برای پیاده سازی و پیکربندی دیواره آتش هـا در یـک شـبکه از توپولـوژی هـای متفـاوتی اسـتفاده مـی گـردد . توپولوژی انتخابی به ویژگی های شبکه و خواسته های موجود بستگی خواهد داشت.

توپولوژی نوع اول : دیواره آتش Dual-Homed

در این توپولوژی که یکی از ساده ترین و در عین حال متداولترین روش استفاده از یک دیواره آتش اسـت ، یـک دیواره آتش مستقیماً و از طریق یک خط Dial-up ، خطوط ISDN و یا مودم های کـابلی بـه اینترنـت متـصل می گردد. در توپولوژی فوق امکان استفاده از DMZ وجود نخواهد داشت.

دیاگرام فایروال

برخی از ویژگی های این توپولوژی عبارت از :

  • دیواره آتش مسئولیت بررسی بسته های اطلاعاتی ارسالی با توجه به قوانین فیلترینگ تعریـف شـده بـین شـبکه داخلی و اینترنت و برعکس را برعهده دارد.
  • دیواره آتش از آدرس IP خود برای ارسال بسته های اطلاعاتی بر روی اینترنت استفاده می نماید .
  • دارای یک پیکربندی ساده بوده و در مواردی کـه صـرفا” دارای یـک آدرس IP معتبـر ( Valid ) مـی باشـیم ، کارساز خواهند بود .

  • ۰

مراکز داده در ایران

مراکز داده در ایران

دیتاسنتر مرکز داده ای است که نقش استراتژیکی در پیش برد برنامه های اطلاع رسانی و ارتباطی دیجیتالی در یک جامعه اطلاعاتی بازی می کند. همان طور که می دانید ، داده می تواند به صورت های متنی ، صوتی ، تصویری و … باشد . مانند درایو رایانه که امکان فراخوانی فایلهای فولدرهای مختلف را فراهم می کند ؛ دیتا سنتر نیز چنین رفتار فنی دارد با این تفاوت که معمولا دیتاسنترها به شبکه های بومی و بین المللی متصل هستند. این مراکز داده مراکزی به شمار می آیند که از بهم پیوستن مجموعه ای از تجهیزات سخت افزاری و نرم افزاری جهت نگهداری و پشتیبانی و میزبانی (Hosting) پایگاه های اطلاع رسانی تحت وب ، مورد استفاده قرار می گیرد. نوع سخت افزار به کار رفته در دیتا سنترها و نوع سیستم عامل و برنامه های نرم افزاری پشتیبانی و امنیتی و تجارتی خاصی که روی آن قرار گرفته است ، ارزش و قابلیت آن را برای مصرف کننده و درنهایت end user در پی خواهد داشت . مقایسه مراکز داده در ایران وکشورهای پیشرفته جهان هدف ما را در پیشبرد اهدافمان در حوزه فناوری اطلاعات مشخص خواهد کرد.

طراحی-و-راه-اندازی-دیتاسنتر-مشاوره-دیتاسنتر-استاندارد-های-دیتاسنتر-DataCenter-ISO27001

دیتاسنتر های استاندارد بین المللی ISO

EQ_IMG_Data-Center-Colo_Standards_ISO_ISO-Logo_140x105
استاندارد ISO بزرگترین سازمان تولید کننده استاندارد های بین المللی در کلیه حوزه ها می باشد. گواهینامه ISO به منزله اینست که محصول یا سرویس ارائه شده به مشتری کلیه پارامتر های مشخص شده استاندارد شامل کیفیت ، اجرا ، امنیت ، ایمنی و استاندارد های محیطی و انرژی را دارا می باشد و به پذیرش اداره استاندارد رسیده است.

گواهینامه ها

ISO 9001:2008 Quality Management Systems Standard

ISO 14001:2004 Environmental Management System Standard
OHSAS 18001: 2007 Occupational Health & Safety Management System Standard
ISO / IEC 27001:2005 and 27001:2013 Information Security Management System Standard
ISO 50001:2011 Energy Management System Standard
PCI-DSS Payment Card Industry Data Security Standard

data-center-services-خدمات-دیتاسنتر

 


آخرین دیدگاه‌ها

    دسته‌ها