 طراحي فايروال محيطي (Perimeter Firewall) | |
در اين مقاله طراحي فايروال براي Data Center و محافظت از يك Data Center مورد بحث قرار خواهد گرفت.
1- تعاريف
طراحي محيط شبكه مطابق با مدل هاي روز به صورت زير خواهد بود
- جدا سازي دامن هاي خطر با لايه هاي مختلف فايروال
- يك دامنه خطر در هر لايه در ساختار طراحی
- نواحي امنيتي در Outer-Tire براي دسترس بودن
- نواحي امنيتي در دامنه خطر Middle-Tire براي اجزاي Tire-2
- امنيت در دامنه خطر لايه داخلی(-TireInner) براي دسترسي داخلي به سرورها و برنامه هاي كاربردي و سرور پايگاه داده
- Out Of Band Management
- Out Of Band Back up
- جدا سازي فيزيكي دامنه هاي خطر
- جدا سازي منطقي نواحي امنيتي
- زوج فايروالهاي با ضريب اطمينان بالا
در اين مقاله واژه هاي خارجي، مياني و داخلي جهت توصيف 3 لايه از فايروال مي باشد. مدل لايه نرم افزار كاربردي به صورت:
Tier 1 Presentation
Tier 2 Application
Tier 3 Data
طراحي جزيي محيطي:
Tier 1 از ساختار نرم افزار كه توسط فايروال خارجي سرويس داده مي شود
Tier 2 از ساختار نرم افزار كه توسط فايروال مياني سرويس داده مي شود.
Tier 3 از ساختار نرم افزار كه توسط فايروال داخلی سرويس داده مي شود.
در اين طراحي، فايروالها تمام ترافيك ورودی وخروجی محيط شبكه را كنترل مي كنند بنابراين افزونگي (Redundancy) كامل لايه هاي خارجي، داخلي و مياني فايروال ميزان اطمينان و پايداري بالا را حتمي مي سازد.
2- دفاع در عمق
در اين طراحي، دو محصول فايروال متفاوت در نظر گرفته شده است. آسيب پذيرهايي كه ممكن است در يك سيستم فايروال كشف شوند نمي توانند روي فايروال ديگر به اجرا در آمده و شبكه پيرامون مركز ديتا (Data Center) را مورد تهاجم قرار دهند.
جدا سازي فيزيكي نواحي خطر، داخل لايه (Tier) فايروال به كمك سوئيچ هاي لايه دو و رابط*هاي فيزيكي فايروال حاصل مي شود.
نواحي چندگانه خطر مي توانند براي هر لايه تعريف شوند. نواحي امنيتي داخل يك حوزه خطر جهت رسيدن به تفكيك بيشتر با استفاده از جداسازي منطقي توسط VLAN به كار مي آيند. دو سوئيچ مجزا ممكن است در يك حوزه خطر براي اهداف افزونگي زير ساخت به كار آيند. استفاده ا ز دو كارت شبكه نيز براي افزونگي ارتباط Host در اين راستا قرار دارد.
- فايروال داخلي
كنترل فايروال ها توسط فايروال داخلي انجام مي شود. اگر هر كدام از فايروال هاي خارجي و يا مياني و يا سيستم هاي داخل DMZ مورد حمله قرار گرفته و كنترل آنها توسط هكرها بدست گرفته شود فايروال داخلي به عنوان محافظ آدرس هاي داخلي شبكه در برابر حملات انجام شده خواهد بود. فايروال Check Point مي تواند بعنوان لايه سوم مورد استفاده قرار بگيرد. به عنوان مثال مجموع دستگاه Nokia IP 530 كه در حالت فعال/غير فعال تنظيم شده اند را مي توان استفاده نمود.
4- فايروالهاي مياني:
نقش فايروالهاي لايه داخلي (Inter-tier) بوسيله فايروالهاي مياني ايفا مي شود. آنها برنامه هاي كاربردي را در معماري سه لايه اي فعال مي كنند. فايروال-1 NG مي تواند در يك پيكربندي HA (High Availability) براي اين منظور استفاده شود.
5- فايروالهاي خارجي
نقش مكانيزمهاي تقويت امنيت بوسيله اين فايروالها ايفا مي شود. اين فايروالها به اينترنت متصل مي شوند. اين فايروالها در يك زوجي از پيكربندي فعال-غير فعال پياده سازي شده كه يكي از آنها به عنوان فايروال اوليه فعاليت كرده و ديگري به عنوان فايروال Standby به منظور اطمينان بالا (High Availability) عمل مي كند.
نواحي امنيتي لايه 1 (Tier-1) نيز بوسيله فايروالهاي خارجي كنترل مي شوند. سرويس هاي برنامه هاي كاربردي مانند Mail Relay، DNS و پروكسي هاي وب توسط فايروالهاي خارجي كنترل مي شوند. فايروالهاي Cisco مانند سري Cisco pix 535 مي*توانند براي لايه خارجي به كار آيند.
6- دستاوردها
طراحي محيطي (Perimeter design) دستاوردهاي زير را به همراه دارد:
- اطمينان و پايداري بالا از طريق افزونگي
- كارايي بالا
- OSPF (آگاهي شبكه)
- افزايش اطمينان و بازيابي (VRRP)
- افزونگي (Failover)ارتباطات داخلی
- افزونگي (Failover)ارتباطات خارجي
- نواحي امنيتي و حوزه هاي خطر چند گانه (درگاههاي VLAN)
- بازرسي بسته ها و فيلترينگ آنها به روش Statefull
- بازرسي محتوي بوسيله مكانيزم Check Point Application Intelligence
- سخت افزار مختص عملكرد فايروال
- دفاع در عمق- لايه هاي مختلف فايروال و محصولات متنوع
- ترجمه و تفسير آدرس بين شبكه ها
- قابليت IDS در ساختار موجود
با تشکر از KingOfNet عزیز برای این مقاله
موفق باشید . | 
]
