لایسنس فایروال سیسکو
فهرست مطالب
آشنایی با فایروال سیسکو (Cisco Firewall License)
عموما کسانیکه با دنیای اینترنت در ارتباط هستند واژه فایروال یا دیوار آتش را شنیده اند. هنگامیکه از بستر اینترنت و شبکه برای برقراری ارتباط با سیستمها و اشخاص دیگر استفاده میکنید،به طور ناخواسته سیستم و تمامی اطلاعات شما در معرض انواع تهاجمات قرار میگیرد. یکی از ابزارهایی که در چنین شرایطی برای حفظ امنیت اطلاعات به کار گرفته میشود، لایسنس فایروال سیسکو می باشد.
لایسنس فایروال سیسکو (Cisco Firewall License) به سیستمی گفته می شود که شبکه و یا کامپیوتر شخصی شما را در برابر نفوذ مهاجمین، دسترسیهای غیرمجاز، ترافیکهای مخرب و حملات هکرها محافظت کند. Firewall میتواند، بستههایی را در بين شبکهها ردوبدل و تعیین مسیر (Route) كند همچنین قادر است، ترافيک ورودی (Inbound) و همچنین ترافيک خروجی (Outbound) را رهبری و فيلتر كند، در حقیقت همه ترافيكی كه وارد آن میشود و هرکدام به يک شبكه وصل هستند را دریافت میکند، و آن را با معيارهای تعیینشده بر روی خود مقايسه میکند و بر اساس اين معيارها تصميم میگیرد.
یکی از مهمترین فاکتورهای این محصول خصوصیت كنترل دستيابی آن است كه ترافيک سالم و ناسالم را از یکدیگر تفکیک میکند. برخی از فایروال ها سخت افزاری و برخی دیگر نرم افزاری هستند:
فایروال نرم افزاری
این نوع از محصولات به صورت نرم افزار می باشند که بر روی سیستم عامل نصب می شوند. فایروال نرم افزاری توانایی کنترل ترافیک شبکه را در لایه های محدودی دارد. به این صورت که توانایی کنترل تنها بخشی از لایه های شبکه که به سیستم عامل مربوط می شود را دارد و قادر به کنترل ترافیک قبل از سیستم عامل نمی باشد.
فایروال هایی نظیر Windows، Comodo، CSF، Symantec، Internet Security و … همگی در این مجموعه قرار دارند. نکته قابل توجه در این نوع فایروال ها این است که می بایست عملکرد بسیار مناسبی در مقابل درخواست های نرم افزاری داشته باشد. این مورد علاوه بر ساختار نرم افزار به پیکربندی داخلی آن نیز ارتباط دارد، زیرا در غیر اینصورت و در صورت عدم وجود ساختار و پیکربندی مناسب به راحتی می توان آنرا با درخواست های متعدد کنار زد و در حالت Overload قرار داد. فایروال نرم افزاری در مدل OSI و TCP/IP تنها در Application Layer قادر به کار خواهد بود.
فایروال سخت افزاری
فایروال های سخت افزاری نوع دیگری از فایروال ها هستند که در بستر شبکه و در مسیر روتر یا بر روی آن نصب می شوند. این مدل، برعکس فایروال های نرم افزاری در لایه های ابتدایی عملکرد بسیار مناسبی داشته و در صورت داشتن کارایی لازم موجب می شوند ترافیک سالمی به سیستم ها و فایروال های نرم افزاری برسد.
باید توجه داشت که فایروال سخت افزاری قادر نیست بصورت کامل جزئیات بسته های موجود در شبکه را بررسی کند، به همین جهت وجود و استفاده از ترکیب های سخت افزاری و نرم افزاری در سطح شبکه به منظور تامین امنیت شبکه ضروری می باشد، فایروال سخت افزاری عملکرد بسیار مناسبی در لایه های انتقال و شبکه دارد. به اینصورت که با بهره گیری از ابزارهای سخت افزاری مناسب می توان تا حد بالایی از کیفیت و پایداری شبکه اطمینان حاصل کرد.
در میان فایروال های سیسکو (Cisco Firewall License) میتوان از سری فایرپاور 2100، 4100، 9300 سیسکو نام برد.
فایروال مجازی
این دسته از فایروال ها را میتوان بصورت ماشین مجازی برروی هایپروایزرهای مختلف راه اندازی کرد و از مزایای آنها درون شبکه بهره برد. در این دسته مشتریان میتوانند از فایروال FTDv سیسکو نام برد.
انواع فایروال ها از لحاظ معماری :
امروزه در طراحی فایروال ها درون سازمان ها میتوان از موارد زیر بهره برد:
فایروال های Stateful
Stateful packet filtering یکی از مهمترین تکنولوژی هایی است که در فایروال های امروزی استفاده می شود. به این خاطر آن را stateful می نامند که وضعیت session های موجود که از طریق فایروال برقرار شده است را به خاطر می سپارد. به همین خاطر stateful نامیده می شود. به صورت پیش فرض، فایروال اجازه ورود هیچ ترافیکی را از شبکه خارجی به شبکه داخلی نمی دهد اما برای ترافیک بازگشتی که مشخصات آن با اطلاعات دیتابیس stateful برابری می کند استثاء قائل می شود.
در تعریف دیگر تنها ترافیکی اجازه ورود به شبکه داخلی را دارد که از طریق شبکه داخلی برای آن درخواست شده باشد و به این شکل ترافیک درخواستی کاربران شبکه داخلی به دست آنها می رسد و از سوی دیگر ترافیک های ناخواسته مانند ترافیک های ارسالی توسط مهاجم وارد شبکه داخلی ما نخواهد شد. در واقع این نوع فایروالها یکی از ساده ترین و معمولی ترین انواع آن هستند.
در این firewall ها داده های خام به عنوان frame یا packet وارد شبکه می شوند و بسته ها براساس پروتکل،پورت یا آدرس مبدا و مقصد از کارت شبکه عبور می کنند یا در آن block می شوند.به عبارتی در این مدل، فایروال آدرس مبدا و مقصد هر بسته را چک می کند،در صورتی که آن آدرس با پروتکل، پورت و آدرس هایی که برایش غیر مجاز تعریف شده است ارتباطی نداشته باشد بسته اجازه خروج یا ورود را دارد،اما اگر ارتباط داشت یا آنها را دور می اندازد و یا به مبدایی که از آنجا می آیند پیغام خطایی جهت عدم ارسال بسته می فرستد. همانطور که پیداست این نسل از فایروال ها تنها با لایه های اول OSI ،برای به دست آوردن IP ها سروکار دارند.
فایروال Circuit Level Gateways
دسته دوم از فایروال ها به نسبت دسته اول پیشرفته تر می باشند.این دسته در لایه ی session مدل OSI کار می کنند و به عنوان واسط بین لایه کاربرد و لایه ی انتقال TCP/IP عمل می کنند و ترافیک شبکه را براساس آدرس و پورتها در لایه ی session فیلتر می کنند.زمانی که یک کامپیوتر تصمیم به برقراری ارتباط ( ایجاد session ) با کامپیوتری دیگر در خارج از شبکه میگیرد،gateway اطلاعات مربوط به این ارتباط را بررسی و چک می کند که این ارتباط بر اساس آدرس و شماره پورتش در شبکه مجاز است یا نه،سپس آن را به کامپیوتر مقصد میفرستد.
تازمانی که gateway ارتباط را مجاز نداند،هیچ گونه دیتایی منتقل نمی شود.زمانی که دیتایی از gateway عبور می کند،کامپیوتر مقصد آدرس gateway را می بیند نه کامپیوتری که از آن دیتا ارسال شده است.امنیت فایروال های Circuit Level Gateways به نسبت دسته قبلی بالاتر می باشد، چرا که به عنوان مثال پس از ارسال اطلاعات به خارج از شبکه، زمانی که همچنان یک session باز داریم،اگر به داخل شبکه نیز ارتباطی داشته باشیم،باز هم تنها پورتها و اطلاعات مجاز به ورود به داخل شبکه باز می شوند.همچنین از ورود ترافیک بی مورد به داخل شبکه نیز جلوگیری می کنند. NAT مثالی از circuit level gateway است.
فایروال Application Level Getaways
این نوع لایسنس فایروال سیسکو (Cisco Firewall License) معمولا به عنوان سیستم میانی بین سیستم شما و اینترنت قرار میگیرد و درخواستهای شما را دریافت و به جای اینکه شما مستقیم به اینترنت دسترسی داشته باشید خود Data مورد درخواست شما را ارسال و جواب را از Server گرفته و پس از بررسی و صحت دادهها به سمت شما ارسال میکند و اگر کسی قبلا این دادهها را درخواست کرده باشد به جای اینکه دوباره به Server مراجعه کند میتواند با قابلیت نگهداری از درخواستهای قبلی از Data ذخیرهشده در حافظه خود به شما پاسخ دهد. به این ترتیب سرعت پاسخگویی شبکه شما را افزایش میدهد. همانگونه که از نام این مورد پیداست در لایه Application مدل OSI فعالیت میکند.
فایروال Stateful Inspection
قابلیت Stateful Inspection که به Dynamic Packet Filtering نیز معروف است قابلیتی در فایروال ها می باشد که وضعیت connection های Active یا فعال را مانیتور می کند و با استفاده از این اطلاعات تعیین می کند که چه Packet هایی اجازه عبور از فایروال را دارند.
قابلیت Stateful Inspection به طور عمده ای با تکنولوژی مشابه خود که Static Packet Filtering یا Stateless Inspection نام دارد جایگزین شده است. در Static Packet Filtering تنها Header بسته ها مورد بررسی قرار می گیرند از این رو یک مهاجم به سادگی می تواند با استفاده از علامت “” reply موجود در Header اطلاعاتی در مورد شبکه را توسط فایروال بدست بیاورد.
از سوی دیگر Stateful Inspection می تواند پکت ها یا بسته های اطلاعاتی را که به لایه Application می رسند را مورد تجزیه و تحلیل و بررسی قرار بدهد. با در اختیار داشتن اطلاعاتی که در یک Session موجود است مانند آدرس IP ، شماره Port و … قابلیت Stateful Inspection محافظت قدرتمندتری در برابر تهدیدات شبکه به عمل می آورد.
در یک شبکه که از فایروالی با تکنولوژی Dynamic Packet Filtering استفاده می کند مدیر شبکه می تواند بر اساس نیاز سازمان و سرویس های مربوطه پورت ها و یا سرویس های مربوطه را در فایروال باز بگذارد تا پکت های مربوط به آن سرویس اجازه ورود به شبکه را داشته باشند. به صورت پیش فرض در فایروال ها کلیه پورت های پرکاربرد در شبکه مانند پورت 80 ، 22 ، 443 و … به سمت داخل یا Inbound در فایروال بسته می باشند.
بنابراین تا اینجا پی بردیم که تکنولوژی Stateful Inspection در فایروال علاوه بر Header بسته اطلاعاتی می تواند داخل بسته اطلاعاتی را نیز ببیند و حتی در آن تغییر ایجاد کند. قابلیت Stateful Inspection در فایروال همچنین می تواند از بروز حمله Port Scanning در شبکه جلوگیری کند و با استفاده از اطلاعات اجازه برقراری ارتباطات را می دهد.
امروزه بسیاری از فایروال های شبکه ای یا همان Network-based Firewall ها از تکنولوژی Dynamic Packet Filtering بخوبی پشتیبانی می کنند. قابل ذکر است که این نوع از فایروال ها تکامل یافته فایروال های Packet Filtering هستند و فایروال های Stateful Multi Level Inspection یا SMLI به خوبی از تکنولوژی Stateful Packet Inspection پشتیبانی می کنند.
دیدگاهتان را بنویسید