azim
2011/11/04, 19:47
طراحی dmz و کلاستر چند لایه ای فایروال
مقدمه:
در شبکه های واقعی ما چند فایروال را به صورت کلاستر داریم که وظیفه انها حفاظت از اطلاعات بارزش ما میباشد.در این راه ما از دو یا چند لایه فایروال استفاده میکنیم.همچنین ما میتوانیم یک dmz در مکانهای مختلف شبکه مان قرار دهیم . حالا اجازه بدهید تفاوت های قرارگیری DMZدر جاهای مختلف شبکه را برایتان شرح دهیم.و شایستگی و عدم شایستگی این شبکه های حد واسط را بررسی کنیم
زونها و پراکنش آنها:
در خیلی از شبکه ها ما احتیاج داریم ناحیه های مختلف شبکه را از هم جدا کنیم.وقتی که جدا سازی ناحیه ها از لحاظ امنیتی باشد این زون ها عموما دارای یک فایروال خواهند بود که برای انها امنیت و کنترل ترافیک را به ارمغان می اورند و این سازگاری به انها میدهد که وقتی قرار باشد سرویس هایی داشته باشیم که در دو یا چند زون دیده شوند بتوانیم از dmz استفاده کنیم .dmz از قدیم هم بوده اما انتخابهایی دیگر نیز برای انجام وجود داشته است.
1- زون ها:
در این قسمت ما دو زون را بررسی میکنیم یک زون خارجی و یک زون داخلی
زون خارجی یک زون بدون اطمینان مثل اینترنت هست و زون داخلی جایی هست که کاربران ما هستندمثل یک شبکه lan.
در شبکه های عادی ترافیک در هر زمان و هر مکان که بخواهد میتواند جاری شود و محدودیتی ندارد اما وقتی که یک فایروال اضافه میشود امنیت اجباری خواهد شد.
فایروال دو لایه ای:
در همه شرکت های بزرگ این سیاست استفاده ازدو فایروال برای gateway اینترنت بکار برده می شد.
در همه شرکت های بزرگ این سیاست استفاده از دو لایه فایروال بکار گرفته می شود این ایده بنیادی بلند پروازانه از جلسات امنیتی که قبلا برگزار میشد نشات میگرفته است که میگفتند فایروال ها امن نیستند. احتمالا بر اساس این واقعیت است که درگاه فایروال ها تنها مجرای خروجی(مجرای ورود اینترنت امن به شرکت) بود در ان زمان ، یک مشکل اساسی داشت در دهه نود که واقعا خوب کار نمی کرد, و به اسانی می شد از ان عبور کرد. هر چند از ان زمان تا کنون سیاست امنیتی استفاده از دو فایروال برای ازبین بردن ریسک بکار گرقته میشده یکی از راههای خوب برای دگرگون کردن عقیده مشاوران امنیتی شرکت های بزرگ
این است که ارائه اسنادی مبنی برامن بودن استفاده دو فایروال چقدر میتونه امن باشد؟
به عنوان مثال اگر یک cisco asa و یک nokia/checkpoint این ده درصد بهتر است یا بیست درصد؟ البته این جواب این سوال نیست و اکثر مشاوران در واقع به دنبال توجیه این مسایل می باشند متاسفانه بیشتر این مشاوران هیچ گونه پیشنهادی در این موارد ندارند
مکان- DMZ در کجا قرار بدهیم:
اکنون مکان dmz بوسیله افراد خاصی معین میشود و در جاهای مثل ایجاد زون های امنیتی برای ماشین های میزبان .که باید از محیط بیرون دیده شوندو همچنین باید با محیط داخلی تبادل دیتا کنند
در یک طراحی دوال فایروال ما dmz را در مکانهای مختلفی میتوانیم قرار بدهیم
برای ایجاد DMZ به ایجاد شرایط زیر احتیاج داریم:
1- تعدادی vlan در ساختار سوییچ خود ایجاد کنیم
2- اختصاص ip به یکی از اینتر فیس های فایروال با یک سابنت خاص
3- - اججاد یک رول روی فایروال که چه ترافیکی به dmz بیاید و په ترافیکی نه
قرار گیری DMZ روی فایروال خارجی :
ما می توانیم DMZ را بروی فایروال خارجی قرار دهیم.
این عقیده من هست که شاید اینجا مکان درستی برای قرارگیری dmz نباشداگر بر این باور هستی که باید از دو فایروال استفاده کنی برای امنیت شبکه پس سرویس ها را پشت یک فایروال خارجی قرار بده
و منطقه نا ایمن جزو ان نیست و اینجا تو متوجه می شوی که فایروال خارجی یک فایروال اصلی بوده و فایروال داخلی بعد از ان قرارگرفته
قرار گیری DMZ روی فایروال داخلی:
ما میتوانیمDMZ را روی فایروال داخلی قرار بدهیم
دلایلی که باعث می شوند من این طراحی را ترجیح بدهم:
- ترافیک از فایروال خارجی و منابع و زون های نامعتبر عبور میکند و به فایروال داخلی میرسد پس باید از فیلتراسیون دو فایروال عبورکند
- - ترافیک به شبکه داخلی همیشه زیاد و پیچیده است .که این شامل ترافیک همه admn برای دستیابی به سرویس های درون dmz پس بنابراین ترافیک داخلی فقط از میان یک فایروال گذشته و هزینه نگهداری کاهش یافته و همچنین رول های نوشته شده روی فایروال هاکمتر است.
- -
DMZ بین دو فایروال:
این نوع از طراحی خیلی جالب است.. افراد بدون تجربه طراحی عملی قبلی فکر میکنند که خیلی هوشمندانه است و خیلی خیلی جالب وقتی در حال طراحی اون هستید فکر میکنید درست ترین چیزی هست که باید باشد ولی متاسفانه ایتم غلط زیادی در این طراحی است.
1- مسیریابی: سرور های درون dmz احتیاج به routing table دارند برای اینکه تصمیم بگیرند ترافیک را روی کدام کارت شبکه خود بفرستند .
2- مسیریابی روی فایروال: باید بدانیم که فایروال یک روتر نیست و نباید از اون به عنوان یک روتر استفاده کنیم.
3- تست و سروس:
4- ما بدون فرایند های پیچیده نمی توانیم از شبکه داخلی به اینترفیس های خارجی dmz دسترسی داشته باشیم.
دسترسی به اینترفیس خارجی:
اجازه بدهید برایتان طر احی انجام بدهم برای دسترسی به اینترفیس خارجی تا از این پس بتوانید سرویس هایی را که در دسترس شما نبودند بتوانید نظارت کنید.همان طور که در شکل زیر می بینید انتقال دیتا به شبکه خارجی کار زیادی می بره .رول های فایروال ، مسیریابی این ها همه اضافاتی هستند ما را به سمتی اشتباه سوق دهد و هزینه نگهداری را بالا ببرد
پل های DMZ بین شیکه داخلی و خارجی: (سرور به مانند فایروال)
این اید ه همیشه از طرف کسانی مطرح میشود که در تیم سرور هستند زیرا انها گاهی اوقات فکر میکنند که سرور ها فایر وال هستند در واقع کل جامعه امنیتی بر این باور هست که سرور ها ماشین هایی هستند که ما باید از انها محافظت کنیم و سیستم عامل هایی مثل ویندوز و لینوکس قابل اعتماد نیستند هنوز.
چند نکته:
به دلایلی که گفتم قرارگیری DMZ روی فایروال داخلی بهتر است که هدایت انها اسان تر است و نگه میدارد پیچیدگی ها را روی فایروال داخلی. من اینجا بحثی ندارم اما فایروال بهتر کار میکند وقتی
HA (HIGH AVAILIBILITY)))داشته باشد.
تحقیق ، ترجمه ، تایپ : عظیم پورجعفر
مقدمه:
در شبکه های واقعی ما چند فایروال را به صورت کلاستر داریم که وظیفه انها حفاظت از اطلاعات بارزش ما میباشد.در این راه ما از دو یا چند لایه فایروال استفاده میکنیم.همچنین ما میتوانیم یک dmz در مکانهای مختلف شبکه مان قرار دهیم . حالا اجازه بدهید تفاوت های قرارگیری DMZدر جاهای مختلف شبکه را برایتان شرح دهیم.و شایستگی و عدم شایستگی این شبکه های حد واسط را بررسی کنیم
زونها و پراکنش آنها:
در خیلی از شبکه ها ما احتیاج داریم ناحیه های مختلف شبکه را از هم جدا کنیم.وقتی که جدا سازی ناحیه ها از لحاظ امنیتی باشد این زون ها عموما دارای یک فایروال خواهند بود که برای انها امنیت و کنترل ترافیک را به ارمغان می اورند و این سازگاری به انها میدهد که وقتی قرار باشد سرویس هایی داشته باشیم که در دو یا چند زون دیده شوند بتوانیم از dmz استفاده کنیم .dmz از قدیم هم بوده اما انتخابهایی دیگر نیز برای انجام وجود داشته است.
1- زون ها:
در این قسمت ما دو زون را بررسی میکنیم یک زون خارجی و یک زون داخلی
زون خارجی یک زون بدون اطمینان مثل اینترنت هست و زون داخلی جایی هست که کاربران ما هستندمثل یک شبکه lan.
در شبکه های عادی ترافیک در هر زمان و هر مکان که بخواهد میتواند جاری شود و محدودیتی ندارد اما وقتی که یک فایروال اضافه میشود امنیت اجباری خواهد شد.
فایروال دو لایه ای:
در همه شرکت های بزرگ این سیاست استفاده ازدو فایروال برای gateway اینترنت بکار برده می شد.
در همه شرکت های بزرگ این سیاست استفاده از دو لایه فایروال بکار گرفته می شود این ایده بنیادی بلند پروازانه از جلسات امنیتی که قبلا برگزار میشد نشات میگرفته است که میگفتند فایروال ها امن نیستند. احتمالا بر اساس این واقعیت است که درگاه فایروال ها تنها مجرای خروجی(مجرای ورود اینترنت امن به شرکت) بود در ان زمان ، یک مشکل اساسی داشت در دهه نود که واقعا خوب کار نمی کرد, و به اسانی می شد از ان عبور کرد. هر چند از ان زمان تا کنون سیاست امنیتی استفاده از دو فایروال برای ازبین بردن ریسک بکار گرقته میشده یکی از راههای خوب برای دگرگون کردن عقیده مشاوران امنیتی شرکت های بزرگ
این است که ارائه اسنادی مبنی برامن بودن استفاده دو فایروال چقدر میتونه امن باشد؟
به عنوان مثال اگر یک cisco asa و یک nokia/checkpoint این ده درصد بهتر است یا بیست درصد؟ البته این جواب این سوال نیست و اکثر مشاوران در واقع به دنبال توجیه این مسایل می باشند متاسفانه بیشتر این مشاوران هیچ گونه پیشنهادی در این موارد ندارند
مکان- DMZ در کجا قرار بدهیم:
اکنون مکان dmz بوسیله افراد خاصی معین میشود و در جاهای مثل ایجاد زون های امنیتی برای ماشین های میزبان .که باید از محیط بیرون دیده شوندو همچنین باید با محیط داخلی تبادل دیتا کنند
در یک طراحی دوال فایروال ما dmz را در مکانهای مختلفی میتوانیم قرار بدهیم
برای ایجاد DMZ به ایجاد شرایط زیر احتیاج داریم:
1- تعدادی vlan در ساختار سوییچ خود ایجاد کنیم
2- اختصاص ip به یکی از اینتر فیس های فایروال با یک سابنت خاص
3- - اججاد یک رول روی فایروال که چه ترافیکی به dmz بیاید و په ترافیکی نه
قرار گیری DMZ روی فایروال خارجی :
ما می توانیم DMZ را بروی فایروال خارجی قرار دهیم.
این عقیده من هست که شاید اینجا مکان درستی برای قرارگیری dmz نباشداگر بر این باور هستی که باید از دو فایروال استفاده کنی برای امنیت شبکه پس سرویس ها را پشت یک فایروال خارجی قرار بده
و منطقه نا ایمن جزو ان نیست و اینجا تو متوجه می شوی که فایروال خارجی یک فایروال اصلی بوده و فایروال داخلی بعد از ان قرارگرفته
قرار گیری DMZ روی فایروال داخلی:
ما میتوانیمDMZ را روی فایروال داخلی قرار بدهیم
دلایلی که باعث می شوند من این طراحی را ترجیح بدهم:
- ترافیک از فایروال خارجی و منابع و زون های نامعتبر عبور میکند و به فایروال داخلی میرسد پس باید از فیلتراسیون دو فایروال عبورکند
- - ترافیک به شبکه داخلی همیشه زیاد و پیچیده است .که این شامل ترافیک همه admn برای دستیابی به سرویس های درون dmz پس بنابراین ترافیک داخلی فقط از میان یک فایروال گذشته و هزینه نگهداری کاهش یافته و همچنین رول های نوشته شده روی فایروال هاکمتر است.
- -
DMZ بین دو فایروال:
این نوع از طراحی خیلی جالب است.. افراد بدون تجربه طراحی عملی قبلی فکر میکنند که خیلی هوشمندانه است و خیلی خیلی جالب وقتی در حال طراحی اون هستید فکر میکنید درست ترین چیزی هست که باید باشد ولی متاسفانه ایتم غلط زیادی در این طراحی است.
1- مسیریابی: سرور های درون dmz احتیاج به routing table دارند برای اینکه تصمیم بگیرند ترافیک را روی کدام کارت شبکه خود بفرستند .
2- مسیریابی روی فایروال: باید بدانیم که فایروال یک روتر نیست و نباید از اون به عنوان یک روتر استفاده کنیم.
3- تست و سروس:
4- ما بدون فرایند های پیچیده نمی توانیم از شبکه داخلی به اینترفیس های خارجی dmz دسترسی داشته باشیم.
دسترسی به اینترفیس خارجی:
اجازه بدهید برایتان طر احی انجام بدهم برای دسترسی به اینترفیس خارجی تا از این پس بتوانید سرویس هایی را که در دسترس شما نبودند بتوانید نظارت کنید.همان طور که در شکل زیر می بینید انتقال دیتا به شبکه خارجی کار زیادی می بره .رول های فایروال ، مسیریابی این ها همه اضافاتی هستند ما را به سمتی اشتباه سوق دهد و هزینه نگهداری را بالا ببرد
پل های DMZ بین شیکه داخلی و خارجی: (سرور به مانند فایروال)
این اید ه همیشه از طرف کسانی مطرح میشود که در تیم سرور هستند زیرا انها گاهی اوقات فکر میکنند که سرور ها فایر وال هستند در واقع کل جامعه امنیتی بر این باور هست که سرور ها ماشین هایی هستند که ما باید از انها محافظت کنیم و سیستم عامل هایی مثل ویندوز و لینوکس قابل اعتماد نیستند هنوز.
چند نکته:
به دلایلی که گفتم قرارگیری DMZ روی فایروال داخلی بهتر است که هدایت انها اسان تر است و نگه میدارد پیچیدگی ها را روی فایروال داخلی. من اینجا بحثی ندارم اما فایروال بهتر کار میکند وقتی
HA (HIGH AVAILIBILITY)))داشته باشد.
تحقیق ، ترجمه ، تایپ : عظیم پورجعفر