شرکت افزارپرداز هوشمند سورنا

دسته بندی محصولات

استعلام قیمت
شرکت افزارپرداز هوشمند سورنا
شرکت افزارپرداز هوشمند سورنا

دسته بندی محصولات

استعلام قیمت

معرفی تکنولوژی های مدرن امنیتی – فایروال

با توجه به گسترده و پیچیده تر شدن حملات بر بستر شبکه، استفاده از یک فایروال به تنهایی نمی تواند امنیت شبکه را تضمین نماید. از اینرو نیاز به سیستم هاي امنیتی خواهیم داشت که هر سیستم و معماري امنیتی از چندین بخش و یا تکنولوژي تشکیل یافته است.

معرفی تکنولوژی های مدرن امنیتی - فایروالراه اندازي سیستم هاي امنیتی که به صورت ترکیب چندین تکنولوژي ارایه می شوند، می تواند تا حد زیادي امنیت اطلاعات و تراکنش ها را فرآهم سازد. از اینرو استفاده از تکنولوژي هاي معرفی شده در کنار یکدیگر به شدت پیشنهاد می گردد. در قسمت اول و دوم این مطالب به معرفی راهکار امنیتی سیسکو برای تجهیزات شبکه در لایه Access پرداختیم و قابلیت ها و نحوه راه اندازی آنها را بفضیل مرور کردیم. در این مطلب به دومین بخش از مهمترین اجزاي تشکیل دهنده یک معماري امنیتی که بکارگیري آن پیشنهاد می گردد ، اشاره خواهد شد.

فایروال های Next Generation و سیستم هاي تشخیص نفوذ

یکی از مهمترین بخش هاي شبکه از لحاظ امنیتی، مربوط به سرورها یا همان Server Farm می باشد و سرویس دهنده هاي اصلی هر شبکه در این بخش متمرکز میباشند. پس براي کامل کردن چرخه (ساختار) امنیت، (بعد ازClean  کردن بخش مربوط به کاربران داخلی) نیازمند مکانیزم ها و استفاده از تکنولوژي هایی کارا براي این بخش خواهیم بود. در بین برندهاي متفاوتی که دراین زمینه فعالیت میکنند، براي محافظت از سرویس دهنده ها (بنابر نوع سرویسی که ارائه میدهند) استفاده ترکیبی از فایروال و دستگاههاي تشخیص نفوذ (IPS) های سیسکو پیشنهاد میشود. شرکت سیسکو در این راستا فایروال هاي ASA 5500-X که نسل جدید فایروالهای سیسکو (NGFW) بودند، را روانه بازار کرد. این فایروال ها مبتنی بر معماري Secure-X بوده و یکی از مهمترین تفاوت هایی که با فایروال هاي 5500 دارند، ارایه سرویس تشخیص نفوذ یا و IPS به صورت Built-in درون فایروال می باشد. این دستگاه ها داراي قابلیت هایی منحصر به فردي هستند که آن‌ها را از برندهاي مشابه و ASA هاي 5500 متمایز میکند. در ادامه و تا امروز نیز ادامه راه این فایروال ها بعهده فایرپاورهای سیسکو قراردارد. به برخی از این قابلیت های این فایروال ها در ادامه اشاره شده است:

  • همگام بودن با معماري نوین امنیتی Secure-X
  • پشتیبانی از قابلیت Botnet Traffic Filter
  • پشتیبانی از مدرنترین روش های دسترسی از راه دور (VPN) از قبیل: IPSEC Remote-access (IKEv1 ,IKEv2)  IPSEC Site-to-Site ،Client-Less SSL VPN و Cisco AnyConnect
  • پشتیبانی از قابلیت (Failover) High availabilityبه منظور امکان پیاده سازی Clustering
  • پشتیبانی از مکانیزم‌هاي QoS
  • پشتیبانی از قابلیت Security Group Access (در این رابطه دربخش قبلی توضیحاتی ارایه شده است.)
  • پشتیبانی از قابلیتObject-Oriented NAT
  • قابلیت یکپارچه شدن با مجموعه سیسکو TALOS
  • پشتیبانی از قابلیت Remote Device Blocking
  • پشتیبانی از قابلیت Global Correlation به منظور جلوگیري ازZero-Day Attack ها
  • پشتیبانی از قابلیت Dynamic Reputation برای جلوگیري از Zero-Day Attack ها و افزایش کارایی IPS
  • پشتیبانی از قابلیت Blended Signature جهت مقابله با Exploit ها

استفاده از Cisco Next Generation Firewalls  به دلیل مزایاي که بدان اشاره گردید، به منظور ارتقاي سطح امنیتی پیشنهاد میگردد. این سري از محصولات Cisco که در راستاي محصولات قبلی این شرکت (ASA ها) قراردارند از مارچ سال 2012 وارد بازار شدند و درآنها IPS به یک بلاك پردازشی از فایروال تبدیل شده است. این فایروال ها با بهره وري از سیستم عامل FX-OS سیسکو میتوانند پکت ها را با دقت و Performance بسیار بالاتري آنالیز نمایند. در شکل زیر مدل هاي متفاوت و میزان Throughput مدل هاي مختلف ارایه شده است.

سیستم عامل FX-OS سیسکوهمچنین لایسنس هاي متفاوتی، بمنظور ارتقاي ساختار امنیتی و بهره مندی از تمامی قابلیت های این فایروال ها، مورد نیاز خواهد بود که در  شکل زیر نمایش داده شده است.

قابلیت های این فایروال

لایسنس مورد نیاز برای فایرپاور نام لایسنس مدت زمان قابلیت ها
Base موجود برروی سخت افزار دائمی User and application control, Switching and routing, NAT
Threat

T

TC (Threat + URL)

TMC(Threat+ Malware + URL)

مدت دار

1-3-5 ساله

 Intrusion detection and prevention, File control, Security Intelligence filtering
Malware

TM (Threat + Malware)

TMC (Threat + Malware + URL)

AMP

مدت دار

1-3-5 ساله

AMP for Networks (network-based Advanced Malware Protection)

Cisco Threat Grid

File storage
URL Filtering

TC (Threat + URL)

TMC (Threat + Malware + URL)

URL

 Term-based Category and reputation-based URL filtering
Firepower Management Center Virtual دوره ای یا دائمی تعداد دستگاههایی که میتوان بوسیله FMC مدیریت کرد.
Export-Controlled Features دوره ای یا دائمی برای قابلیت هایی که سیاست های بین المللی خاصی برای آنها در نظر گرفته شده است.

Remote Access VPN:

AnyConnect Apex

AnyConnect Plus

AnyConnect VPN Only

 دوره ای یا دائمی برای ایجاد دسترسی های از راه دور

لازم بذکر است لایسنس PLR فایرپاور سیسکو معادل لایسنس TMC و با مدت زمان دائمی میباشد. همچنین این لایسنس امکان مدیریت تا 25 فایرپاور را برروی FMC فعال خواهد کرد. لایسنس های PLR سیسکو راهکار آفلاین سیسکو برای رجیستر کردن محصولات این شرکت میباشد.

دسته بندی Zone ها

بطور کلی هدف از پیاده سازي فایروال در شبکه ها کنترل ترافیک ورودي و خروجی می باشد. براي اینکه بتوان کنترل دقیقی روي ترافیک انجام داد، در مرحله اول باید شبکه به بخش ها یا در اصطلاح Zone هاي متفاوت دسته بندي گردد. بر اساس استانداردها شبکه ها به 4 بخش اصلی دسته بندي می شوند.

  • Inside Zone

در این بخش کلیه کاربران و سیستم هاي LAN قرار خواهند گرفت. (در صورت پیاده سازي تکنولوژي ISE میتوان این بخش را به عنوان بخشی که بالاترین سطح امنیت را دارد در نظر گرفت.)

  • DMZ Zone

در این بخش کلیه سرورها قرار خواهند گرفت. به دلیل اهمیت و حساسیت این بخش سیاست هاي امنیتی سخت گیرانه تري برای دسترسی به این بخش اعمال خواهد شد.

  • Outside Zone

این بخش در اصلا قسمتی از شبکه می باشد که با اینترنت و دیگر شبکه هاي ناامن در ارتباط مستقیم می باشد. این قسمت معمولا پایین ترین سطح امنیتی را خواهد داشت.

  • Management Zone

در راستاي پیاده سازي ساختار Out Of Band Management، یک بخش مجزایی براي دسترسی مدیریتی به دستگاه هاي شبکه و نرم افزارهاي مدیریتی در نظر گرفته می شود.

پیاده سازی فایروال سیسکو

بعد از جداسازي شبکه به بخش هاي مختلف، پیکربندي قابلیت هاي زیر صورت خواهد گرفت.

  • Access-List

به طور کلی با  پیکربندي Access List می توان سطح دسترسی ها را کنترل و مشخص نمود. این سرویس در لایه 3 و 4 پیاده-سازي گردیده و با استفاده از Source IP , Destination IP , Source Port و Destination Port می توان Rule هاي مورد نیاز را اجراء و فیلترینگ را اعمال نمود. Next Generation Firewall ها می توانند با Active Directory Server یکپارچه شوند و اطلاعات کاملی از کلیه کاربران داشته باشند و بر اساس User هاي موجود در Active Directory، سیاست ها و ACL های مورد نیاز را به کاربران اختصاص دهند.

  • NAT

در صورت وجود سرورهایی که قرار است روي شبکه عمومی (اینترنت) Publish  شوند، استفاده از Network Address Translation مورد نیاز می باشد.

Network Address Translation

فایروال هاي سیسکو نیز مانند سایر فایروال ها می توانند عملیات NAT کردن را انجام دهند. اما یکی از تفاوت هایی که این فایروال با سایر فایروال ها دارد، کنترل بر روي تعداد Connection هایی است که روي سرورها ایجاد میشود. براي جلوگیري از DDoS Attack ها این روش می تواند به صورت موثر عمل نماید و بر روي کلیه سرورهایی که NAT شده اند فعال شود.

  • High-Availability

فایروال ها یکی از مهمترین دستگاه هاي تشکیل دهنده زیرساخت شبکه ها می باشند. از اینرو در صورت Fail شدن این تجهیزات، سرویس دهی دچار اختلال خواهد شد. به همین منظور استفاده از حداقل 2 فایروال به جاي یک عدد پیشنهاد می شود. از این 2 فایروال می توان به عنوانHigh availability Pairs  استفاده شود.

High-Availability

مطالب جدید

درباره شرکت سورنا

شرکت افزار پرداز هوشمند سورنا به عنوان بزرگترین تامین کننده لایسنس شبکه و امنیت در کشور افتخار خدمت رسانی به طیف وسیعی از مشتریان بانکی، دولتی، خصوصی را داشته و همراه رسالت و هدف خود را تامین لایسنس بروز ترین و قوی ترین محصولات دنیا در حوزه شبکه و امنیت با پایین ترین قیمت و کمترین زمان تحویل می داند.

درباره ما

دسته‌بندی محصولات

اطلاعات تماس

تمامی حقوق برای شرکت سورنا محفوظ می‌باشد.

PHP Code Snippets Powered By : XYZScripts.com
Golicense
سبد خرید

هیچ محصولی در سبد خرید نیست.