عنوان
|
نويسنده
|
مشاهده
|
توپولوژی های فايروال |
مديريت آموزش |
20624 |
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
توپولوژی های فايروال
توپولوژی های فايروال
برای پياده سازی و
پيکربندی فايروال ها در يک شبکه از توپولوژی های متفاوتی استفاده می گردد .
توپولوژی انتخابی به ويژگی های شبکه و خواسته های موجود بستگی خواهد داشت .
در اين رابطه گزينه های متفاوتی وجود دارد که در ادامه به بررسی برخی از نمونه های
متداول در اين زمينه خواهيم پرداخت.
(برای آشنائی با فايروال ها و برخی از ويژگی های ارائه شده توسط آنان مطالعه مطلب فايروال
ها : يک ضرورت اجتناب ناپذير در دنيای امنيت اطلاعات ،
پيشنهاد می گردد ) .
سناريوی اول : يک فايروال Dual-Homed
در اين توپولوژی که يکی از ساده ترين و در عين حال متداولترين روش استفاده از
يک فايروال است ، يک فايروال مستقيما" و از طريق يک خط Dial-up
، خطوط ISDN و يا
مودم های کابلی به
اينترنت متصل می گردد. در توپولوژی فوق امکان استفاده از DMZ
وجود نخواهد داشت .

برخی از ويژگی های اين
توپولوژی عبارت از :
-
فايروال مسئوليت
بررسی بسته های اطلاعاتی ارسالی با توجه به قوانين فيلترينگ تعريف شده بين شبکه داحلی
و اينترنت و برعکس را برعهده دارد.
-
فايروال از آدرس
IP خود برای ارسال بسته های اطلاعاتی بر روی اينترنت
استفاده می نمايد .
-
دارای يک پيکربندی ساده
بوده و در مواردی که صرفا" دارای يک آدرس IP معتبر (
Valid ) می باشيم ، کارساز خواهند بود .
-
برای اتصال فايروال به
اينترنت می توان از يک خط Dial-up معمولی ،
يک اتصال
ISDN و مودم های کابلی استفاده نمود .
سناريوی دوم : يک شبکه Two-Legged به همراه قابليت
استفاده از يک ناحيه DMZ
در اين توپولوژی که نسبت به مدل قبلی دارای ويژگی های پيشرفته تری است ،
روتر متصل شده به اينترنت
به هاب و يا سوئيچ موجود در شبکه داخلی متصل می گردد .

برخی
از ويژگی های اين توپولوژی عبارت از :
-
ماشين هائی که می بايست
امکان دستيابی مستقيم به اينترنت را داشته باشند ( توسط فايروال فيلتر نخواهند شد )
، به هاب و يا سوئيچ خارجی متصل می گردند .
-
فايروال دارای دو کارت
شبکه است که يکی به هاب و يا سوئيچ خارجی و ديگری به هاب و يا سوئيچ داخلی متصل می
گردد. ( تسهيل در امر پيکربندی فايروال )
-
ماشين هائی که می بايست
توسط فايروال حفاظت گردند به هاب و يا سوئيچ داخلی متصل می گردند .
-
به منظور افزايش کارآئی
و امنيت شبکه ، می توان از سوئيچ در مقابل هاب استفاده نمود .
-
در توپولوژی فوق امکان
استفاده از سرويس دهندگانی نظير وب و يا پست الکترونيکی که می بايست
قابليت دستيابی همگانی و عمومی به آنان وجود داشته باشد از طريق ناحيه DMZ فراهم
می گردد .
-
در صورتی که امکان
کنترل و مديريت روتر وجود داشته باشد ، می توان مجموعه ای ديگر از قابليت های
فيلترينگ بسته های اطلاعاتی را نيز به خدمت گرفت . با استفاده از پتانسيل های فوق
می توان يک سطح حفاظتی محدود
ديگر متمايز از امکانات ارائه شده توسط فايروال ها را نيز پياده سازی
نمود .
-
در صورتی که امکان
کنترل و مديريت روتر وجود نداشته باشد ، ناحيه DMZ بطور کامل در
معرض استفاده عموم کاربران اينترنت قرار خواهد داشت . در چنين مواردی لازم است با استفاده از ويژگی
ها و پتانسيل های ارائه شده توسط سيستم عامل نصب شده بر روی هر يک از کامپيوترهای
موجود در ناحيه DMZ ، يک سطح مناسب امنيتی را برای هر يک
از آنان تعريف نمود .
-
پيکربندی مناسب ناحيه
DMZ به دو عامل متفاوت بستگی خواهد داشت : وجود يک روتر
خارجی و داشتن چندين آدرس IP
-
در صورتی که امکان
ارتباط با اينترنت از طريق يک اتصال PPP ( مودم
Dial-up ) فراهم شده است و يا امکان کنترل روتر وجود
ندارد و يا صرفا" دارای يک آدرس IP می باشيم ، می بايست
از يک راهکار ديگر در اين رابطه استفاده نمود . در اين رابطه می توان از دو راه حل
متفاوت با توجه به
شرايط موجود استفاده نمود :
راه حل اول ، ايجاد و پيکربندی يک فايروال ديگر در شبکه است . راه
حل
فوق در مواردی که از طريق PPP به شبکه متصل می باشيم ،
مفيد خواهد بود . در توپولوژی فوق ، يکی از ماشين ها به عنوان يک فايروال خارجی
ايفای وظيفه می نمايد ( فايروال شماره يک ) . ماشين فوق مسئوليت ايجاد اتصال
PPP و کنترل دستيابی به ناحيه DMZ
را بر عهده خواهد داشت و فايروال شماره دو ، مسئوليت حفاظت از شبکه داخلی را
برعهده دارد .
فايروال شماره يک از فايروال شماره دو نيز حفاظت می نمايد.

راه حل دوم، ايجاد يک فايروال Three Legged
است
که در ادامه به آن اشاره خواهيم کرد .
سناريوی سوم : فايروال Three-Legged
در اين توپولوژی که نسبت به مدل های قبلی دارای ويژگی های پيشرفته تری
است ، از يک کارت شبکه ديگر بر روی فايروال و برای ناحيه DMZ
استفاده می گردد . پيکربندی فايروال بگونه ای خواهد بود که روتينگ بسته های
اطلاعاتی بين اينترنت و ناحيه DMZ با روشی متمايز
و متفاوت از اينترنت و شبکه داخلی ، انجام خواهد شد .

برخی
از ويژگی های اين توپولوژی عبارت از :
-
امکان داشتن يک ناحيه
DMZ وجود خواهد داشت .
-
برای سرويس دهندگان
موجود در ناحيه DMZ می توان از آدرس های
IP غيرمعتبر استفاده نمود .
-
کاربرانی که از اتصالات
ايستای PPP استفاده
می نمايند نيز می توانند به ناحيه DMZ دستيابی
داشته و از خدمات سرويس دهندگان متفاوت موجود در
اين ناحيه استفاده نمايند .
-
يک راه حل مقرون به
صرفه برای سازمان ها و ادارات کوچک است
.
-
برای دستيابی به ناحيه
DMZ و شبکه داخلی می بايست مجموعه قوانين خاصی تعريف
گردد و همين موضوع
، پياده سازی و پيکربندی مناسب اين توپولوژی را اندازه ای پيجيده
تر می نمايد .
-
در صورتی که امکان
کنترل روتر متصل به اينترنت وجود نداشته باشد ، می توان کنترل
ترافيک ناحيه DMZ
را با استفاده از امکانات ارائه شده توسط فايروال شماره يک انجام داد .
-
در صورت امکان سعی گردد
که دستيابی به ناحيه DMZ محدود شود .