فایروال شرکت سیسکو با نام Adaptive Security Appliance) ASA) تولید می شود که علاوه بر امکانات فایروال ، قابلیت های فراوانی را برای ما مهیا می سازد.فایروال ها وظیفه محافظت از شبکه داخلی را در برابر دسترسی غیر مجاز از بیرون شبکه دارند. علاوه بر این فایروال ها می توانند محافظت بخش های مختلف شبکه را نسبت به هم تامین کنند به طور مثال منابع شبکه را از کاربر شبکه جدا کنیم. همچنین فایروال امکان دسترسی به برخی از سرویس ها مانند وب که نیاز به ایجاد دسترسی برای کاربران خارج شبکه است را فراهم می کند
به این صورت که سرورهای مربوطه را در یک شبکه جداگانه تحت عنوان Demilitarized Zone) DMZ) قرار می دهیم و توسط فایروال امکان دسترسی محدود از طریق محیط خارج از شبکه را به DMZ می دهیم. با اینکار یک محیط ایزوله ایجاد کرده ایم و در صورتی که حمله به این سرورها صورت گیرد فقط این سرورها تحت تاثیر قرار می گیرد و سرورهای داخلی از این حمله در امان هستند. علاوه بر این می توانید دسترسی کاربران به شبکه خارجی (مانند اینترنت) را نیز کنترل کنید مثلا به چه آدرس ها و سایت هایی دسترسی داشته باشند.
زمانی که بحث استفاده از فایروال در شبکه پیش می آید شبکه خارجی در مقابل فایروال است و شبکه داخلی و DMZ پشت فایروال قرار می گیرند و توسط آن محافظت می شوند و تنها اجازه دسترسی محدود به کاربران خارج از شبکه را به محیط DMZ می دهد. فایروال ASA دارای چندین اینترفیس است که می توان برای هر کدام آن سیاست های خاص خودش را در نظر گرفت. حتی شما می تواند چند شبکه داخلی ، DMZ و یا چند شبکه خارجی داشته باشید.
ASA در دو Mode یا حالت Transparent و Routed کار می کند. در مقاله قبلی با عملکرد فایروال در حالت Transparent آشنا شدیم و در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Routed Mode را بررسی کنیم.
به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.0/24 ، اینترفیس 1 به نام inside به شبکه 192.168.200.0/24 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.
زمانی که فایروال ASA را برای اولین بار در شبکه قرار می دهیم باید توپولوژی شبکه را نسبت به آن تغییر دهیم به این صورت که در هر سمت اینترفیس های ASA باید یک Subnet متفاوت داشته باشیم همانند یک روتر. به طور مثال ما یک شبکه با یک subnet داریم برای اینکه از ASA استفاده کنیم حداقل این شبکه را به دو Subnet باید تقسیم کنیم مثلا در یک سمت کلاینت ها و در سمت دیگر سرور ها را قرار می دهیم.
این تغییر توپولوژی با عث می شود که نصب ASA در حالت Routed را با مشکل مواجه کند چون نیاز به تغییرات در سیستم آدرس دهی شبکه دارد. ساده ترین حالت این است که IP کلاینت ها و دستگاه هایی که از اهمیت زیادی برخوردار نیست را تغییر ندهیم و آنها را به عنوان یک Subnet در نظر بگیریم و IP دستگاه هایی که نیاز به محافظت دارند را تغییر و در یک Subnet قرار دهیم زیرا معمولا تعداد این دستگاه ها کمتر است و IP دستگاه های کمتری را تغییر می دهیم.
حالت دیگر این است که می خواهیم فایروال را بین شبکه داخلی و اینترنت قرار دهیم. در این حالت تنها کافیست IP فعلی مودم (Gateway) را به ASA اختصاص دهیم و برای مودم یک IP در یک Subnet جدید در نظر بگیریم.علاوه بر اختصاص IP برای هر اینترفیس از یک Subnet باید یک نام و یک عدد تحت عنوان Security Level برای آن در نظر بگیریم این عدد که می تواند بین صفر تا صد باشد و مشخص کننده نحوی ارتباطات بین اینترفیس ها می باشد. به طور مثال یک اینترفیس Security Level صفر و دیگری Security Level صد دارد ترافیک از Security Level بالاتر اجازه ورود به Security Level پایین تر را دارد ولی برعکس آن امکان پذیر نیست مگر اینکه ما آنرا مجاز کنیم.
برای عمل Routing با توجه به اینکه در Routed Mode انتقال ترافیک براساس IP مقصد بسته ها صورت می گیرد می توان از Static Route یا Dynamic Route استفاده کرد.
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو
جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود