مشخصه هاي مهم يك فايروال
مشخصه هاي مهم يك فايروال قوي و مناسب جهت ايجاد يك شبكه امن عبارتند از:
1- توانايي ثبت و اخطار :ثبت وقايع يكي از مشخصه هاي بسيار مهم يك فايروال به شمار مي شود و به مديران شبكه اين امكان را مي دهد كه انجام حملات را كنترل كنند. همچنين مدير شبكه مي تواند با كمك اطلاعات ثبت شده به كنترل ترافيك ايجاد شده توسط كاربران مجاز بپردازد. در يك روال ثبت مناسب ، مدير مي تواند براحتي به بخشهاي مهم از اطلاعات ثبت شده دسترسي پيدا كند. همچنين يك فايروال خوب بايد بتواند علاوه بر ثبت وقايع، در شرايط بحراني، مدير شبكه را از وقايع مطلع كند و براي وي اخطار بفرستد.
2- بازديد حجم بالايي از بسته هاي اطلاعات: يكي از تستهاي يك فايروال ، توانايي آن در بازديد حجم بالايي از بسته هاي اطلاعاتي بدون كاهش چشمگير كارايي شبكه است. حجم داده اي كه يك فايروال مي تواند كنترل كند براي شبكه هاي مختلف متفاوت است اما يك فايروال قطعا نبايد به گلوگاه شبكه تحت حفاظتش تبديل شود.عوامل مختلفي در سرعت پردازش اطلاعات توسط فايروال نقش دارند. بيشترين محدوديتها از طرف سرعت پردازنده و بهينه سازي كد نرم افزار بر كارايي فايروال تحميل مي شوند. عامل محدودكننده ديگر مي تواند كارتهاي واسطي باشد كه بر روي فايروال نصب مي شوند. فايروالي كه بعضي كارها مانند صدور اخطار ، كنترل دسترسي مبني بر URL و بررسي وقايع ثبت شده را به نرم افزارهاي ديگر مي سپارد از سرعت و كارايي بيشتر و بهتري برخوردار است.
3- سادگي پيكربندي: سادگي پيكربندي شامل امكان راه اندازي سريع فايروال و مشاهده سريع خطاها و مشكلات است.در واقع بسياري از مشكلات امنيتي كه دامنگير شبكه هاي مي شود به پيكربندي غلط فايروال بر مي گردد. لذا پيكربندي سريع و ساده يك فايروال ، امكان بروز خطا را كم مي كند. براي مثال امكان نمايش گرافيكي معماري شبكه و يا ابزراي كه بتواند سياستهاي امنيتي را به پيكربندي ترجمه كند ، براي يك فايروال بسيار مهم است.
4- امنيت و افزونگي فايروال: امنيت فايروال خود يكي از نكات مهم در يك شبكه امن است.فايروالي كه نتواند امنيت خود را تامين كند ، قطعا اجازه ورود هكرها و مهاجمان را به ساير بخشهاي شبكه نيز خواهد داد.
امنيت در فايروال
امنيت در دو بخش از فايروال ، تامين كننده امنيت فايروال و شبكه است:
الف- امنيت سيستم عامل فايروال : اگر نرم افزار فايروال بر روي سيستم عامل جداگانه اي كار مي كند، نقاط ضعف امنيتي سيستم عامل ، مي تواند نقاط ضعف فايروال نيز به حساب بيايد. بنابراين امنيت و استحكام سيستم عامل فايروال و بروزرساني آن از نكات مهم در امنيت فايروال است.
ب- دسترسي امن به فايروال جهت مقاصد مديريتي : يك فايروال بايد مكانيزمهاي امنيتي خاصي را براي دسترسي مديران شبكه در نظر بگيرد. اين روشها مي تواند رمزنگاري را همراه با روشهاي مناسب تعيين هويت بكار گيرد تا بتواند در مقابل نفوذگران تاب بياورد.
انواع فايروال
انواع مختلف فايروال كم و بيش كارهايي را كه اشاره كرديم ، انجام مي دهند، اما روش انجام كار توسط انواع مختلف ، متفاوت است كه اين امر منجر به تفاوت در كارايي و سطح امنيت پيشنهادي فايروال مي شود.بر اين اساس فايروالها را به 5 گروه تقسيم مي كنند.
1- فايروالهاي سطح مدار (Circuit-Level): اين فايروالها به عنوان يك رله براي ارتباطات TCP عمل مي كنند. آنها ارتباط TCP را با رايانه پشتشان قطع مي كنند و خود به جاي آن رايانه به پاسخگويي اوليه مي پردازند.تنها پس از برقراري ارتباط است كه اجازه مي دهند تا داده به سمت رايانه مقصد جريان پيدا كند و تنها به بسته هاي داده اي مرتبط اجازه عبور مي دهند. اين نوع از فايروالها هيچ داده درون بسته هاي اطلاعات را مورد بررسي قرار نمي دهند و لذا سرعت خوبي دارند. ضمنا امكان ايجاد محدوديت بر روي ساير پروتكلها ( غير از TCP) را نيز نمي دهند.
2- فايروالهاي پروكسي سرور : فايروالهاي پروكسي سرور به بررسي بسته هاي اطلاعات در لايه كاربرد مي پردازد. يك پروكسي سرور درخواست ارائه شده توسط برنامه هاي كاربردي پشتش را قطع مي كند و خود به جاي آنها درخواست را ارسال مي كند.نتيجه درخواست را نيز ابتدا خود دريافت و سپس براي برنامه هاي كاربردي ارسال مي كند. اين روش با جلوگيري از ارتباط مستقيم برنامه با سرورها و برنامه هاي كاربردي خارجي امنيت بالايي را تامين مي كند. از آنجايي كه اين فايروالها پروتكلهاي سطح كاربرد را مي شناسند ، لذا مي توانند بر مبناي اين پروتكلها محدوديتهايي را ايجاد كنند. همچنين آنها مي توانند با بررسي محتواي بسته هاي داده اي به ايجاد محدوديتهاي لازم بپردازند. البته اين سطح بررسي مي تواند به كندي اين فايروالها بيانجامد. همچنين از آنجايي كه اين فايروالها بايد ترافيك ورودي و اطلاعات برنامه هاي كاربردي كاربر انتهايي را پردازش كند، كارايي آنها بيشتر كاهش مي يابد. اغلب اوقات پروكسي سرورها از ديد كاربر انتهايي شفاف نيستند و كاربر مجبور است تغييراتي را در برنامه خود ايجاد كند تا بتوان داين فايروالها را به كار بگيرد.هر برنامه جديدي كه بخواهد از اين نوع فايروال عبور كند ، بايد تغييراتي را در پشته پروتكل فايروال ايجاد كرد.
3- فيلترهاي Nosstateful packet : اين فيلترها روش كار ساده اي دارند. آنها بر مسير يك شبكه مي نشينند و با استفاده از مجموعه اي از قواعد ، به بعضي بسته ها اجازه عبور مي دهند و بعضي ديگر را بلوكه مي كنند. اين تصميمها با توجه به اطلاعات آدرس دهي موجود در پروتكلهاي لايه شبكه مانند IP و در بعضي موارد با توجه به اطلاعات موجود در پروتكلهاي لايه انتقال مانند سرآيندهاي TCP و UDP اتخاذ مي شود. اين فيلترها زماني مي توانند به خوبي عمل كنند كه فهم خوبي از كاربرد سرويسهاي مورد نياز شبكه جهت محافظت داشته باشند. همچنين اين فيلترها مي توانند سريع باشند چون همانند پروكسي ها عمل نمي كنند و اطلاعاتي درباره پروتكلهاي لايه كاربرد ندارند.
4- فيلترهاي ٍStateful Packet : اين فيلترها بسيار باهوشتر از فيلترهاي ساده هستند. آنها تقريبا تمامي ترافيك ورودي را بلوكه مي كنند اما مي توانند به ماشينهاي پشتشان اجازه بدهند تا به پاسخگويي بپردازند. آنها اين كار را با نگهداري ركورد اتصالاتي كه ماشينهاي پشتشان در لايه انتقال ايجاد مي كنند، انجام مي دهند.اين فيلترها ، مكانيزم اصلي مورد استفاده جهت پياده سازي فايروال در شبكه هاي مدرن هستند.اين فيلترها مي توانند رد پاي اطلاعات مختلف را از طريق بسته هايي كه در حال عبورند ثبت كنند. براي مثال شماره پورت هاي TCP و UDP مبدا و مقصد، شماره ترتيب TCP و پرچمهاي TCP. بسياري از فيلترهاي جديد Stateful مي توانند پروتكلهاي لايه كاربرد مانند FTP و HTTP را تشخيص دهند و لذا مي تواننداعمال كنترل دسترسي را با توجه به نيازها و سرعت اين پروتكلها انجام دهند.
5- فايروالهاي شخصي : فايروالهاي شخصي ، فايروالهايي هستند كه بر روي رايانه هاي شخصي نصب مي شوند.آنها براي مقابله با حملات شبكه اي طراحي شده اند. معمولا از برنامه هاي در حال اجرا در ماشين آگاهي دارند و تنها به ارتباطات ايجاد شده توسط اين برنامه ها اجازه مي دهند كه به كار بپردازند نصب يك فايروال شخصي بر روي يك PC بسيار مفيد است زيرا سطح امنيت پيشنهادي توسط فايروال شبكه را افزايش مي دهد. از طرف ديگر از آنجايي كه امروزه بسياري از حملات از درون شبكه حفاظت شده انجام مي شوند ، فايروال شبكه نمي تواند كاري براي آنها انجام دهد و لذا يك فايروال شخصي بسيار مفيد خواهد بود. معمولا نيازي به تغيير برنامه جهت عبور از فايروال شخصي نصب شده (همانند پروكسي) نيست.
موقعيت يابي براي فايروال
محل و موقعيت نصب فايروال همانند انتخاب نوع صحيح فايروال و پيكربندي كامل آن ، از اهميت ويژه اي برخوردار است.
نكاتي كه بايد براي يافتن جاي مناسب نصب فايروال در نظر گرفت عبارتند از :
موقعيت و محل نصب از لحاظ توپولوژيكي : معمولا مناسب به نظر مي رسد كه فايروال را در درگاه ورودي/خروجي شبكه خصوصي نصب كنيم. اين امر به ايجاد بهترين پوشش امنيتي براي شبكه خصوصي با كمك فايروال از يك طرف و جداسازي شبكه خصوصي از شبكه عمومي از طرف ديگر كمك مي كند.
قابليت دسترسي و نواحي امنيتي : اگر سرورهايي وجود دارند كه بايد براي شبكه عمومي در دسترس باشند ، بهتر است آنها را بعد از فايروال و در ناحيه DMZ قرار دهيد. قرار دادن اين سرورها در شبكه خصوصي وتنظيم فايروال جهت صدور اجازه به كاربران خارجي براي دسترسي به اين سرورها برابر خواهد بود با هك شدن شبكه داخلي. چون شما خود مسير هكرها را در فايروال باز كرده ايد. در حالي كه با استفاده از ناحيه DMZ ، سرورهاي قابل دسترسي براي شبكه عمومي از شبكه خصوصي شما بطور فيزيكي جدا هستند، لذا اگر هكرها بتوانند به نحوي به اين سرورها نفوذ كنند بازهم فايروال را پيش روي خود دارند.
مسيريابي نامتقارن : بيشتر فايروالهاي مدرن سعي مي كنند اطلاعات مربوط به اتصالات مختلفي را كه از طريق آنها شبكه داخلي را به شبكه عمومي وصل كرده است، نگهداري كنند. اين اطلاعات كمك مي كنند تا تنها بسته هاي اطلاعاتي مجاز به شبكه خصوصي وارد شوند. در نتيجه حائز اهميت است كه نقطه ورود و خروج تمامي اطلاعات به/از شبكه خصوصي از طريق يك فايروال باشد.
فايروالهاي لايه اي : در شبكه هاي با درجه امنيتي بالا بهتر است از دو يا چند فايروال در مسير قرار گيرند. اگر اولي با مشكلي روبرو شود، دومي به كار ادامه مي دهد.معمولا بهتر است دو يا چند فايروال مورد استفاده از شركتهاي مختلفي باشند تا در صورت وجود يك اشكال نرم افزاري يا حفره امنيتي در يكي از آنها ، سايرين بتوانند امنيت شبكه را تامين كنند.
اولین اتصال یک کامپیوتر به اینترنت :
این بخش مشخصاً به سیستم های عامل ویندوز XP و Apple Macintosh OSX و چند اشاره به سایر سیستم عاملها دارد.
۱- ویندوز XP
بمنظور انجام این مراحل، شما نیاز دارید که به یک اکانت با اختیارات مدیر محلی وارد شوید.
الف. در صورت امکان، از طریق یک فایروال سخت افزاری متصل شوید.
پ. Internet Connection Firewall موجود در XP را فعال کنید.
(مایکروسافت دستورهای فعال کردن این فایروال را ارائه کرده است.)
ت. اشتراکها را اگر فعال هستند، غیرفعال کنید.
۱- به Control Panel بروید.
۲- “Network and Internet Connections” را باز کنید.
۳- “Network Connections” را باز کنید.
۴- روی Connection که می خواهید تغییر ایجاد کنید کلیک راست کنید.
۵- “Properties” را انتخاب کنید.
۶- مطمئن شوید که “File and Printer Sharing for Microsoft Networking” انتخاب نشده است.
ث. به شبکه متصل شوید.
ج. به آدرس http://windowsupdate.microsoft.com بروید.
چ. دستورهای موجود در آنجا را برای نصب تمام بروز رسانیهای مهم دنبال کنید.
ح. «امن ماندن» را در زیر مرور کنید.
Apple Macintosh OSX
الف. در صورت امکان، از طریق یک فایروال سخت افزاری متصل شوید.
ب.فایروال نرم افزاری را فعال کنید.
۱- “System Preferences” را باز کنید.
۲- “Sharing” را انتخاب کنید.
۳- نوار “Firewall” را انتخاب کنید.
۴- روی “Start” کلیک کنید.
۵- نوار “Services” را انتخاب کنید.
۶- بررسی کنید که هیچکدام از سرویس ها انتخاب نشده باشند.
ت. به اینترنت متصل شوید.
ث. نرم افزار نصب شده را به روز کنید.
۱- “System Preferences” را باز کنید.
۲- “Software Updates” را انتخاب کنید.
۳- با انتخاب “ Automatically check for updates when you have a network connection “ به روزرسانی خودکار را فعال کنید.
۴- زمان بروزرسانی مناسبی انتخاب کنید ( بصورت روزانه توصیه می شود)
۵- روی “Check Now” کلیک کنید.
۶- تمام به روزرسانیهای توصیه شده را نصب کنید.
ج. «امن ماندن» را در زیر مرور کنید.
۳- سایر سیستم عامل ها
کاربران سایر سیستم عامل ها باید مقاله قبل را مطالعه کنند و سپس از سایت های مربوط به فروشندگان سیستم عامل شان برای دستورالعمل مربوطه کمک بگیرند. بعلاوه، کاربران یونیکس و لینوکس می توانند مطالب مروبط به چک لیست امنیتی یونیکس یا خلاصه آن را مطالعه کنند.
امن ماندن
الف. مطالب مربوط به امنیت شبکه های خانگی و امنیت کامپیوترهای خانگی را مطالعه کنید.
ب. نرم افزار آنتی ویروس نصب و استفاده کنید.
در حالیکه یک بسته نرم افزاری آنتی ویروس به روز شده، نمی تواند در برابر تمام کدهای آسیب رسان از یک سیستم محافظت کند، برای بیشتر کاربران بهترین وسیله دفاعی در خط مقدم علیه حملات کدهای آسیب رسان است. بسیاری بسته های آنتی ویروس از بروزرسانیها پشتیبانی می کنند.
پ. اگر امکان دارد بروز رسانیهای خودکار نرم افزار را فعال کنید.
بعضی برنامه ها بصورت خودکار وجود بروزرسانیها را بررسی می کنند، و بسیاری فروشندگان از طریق لیست ایمیل بصورت خودکار وجود بروزرسانی ها را اطلاع می دهند. وب سایت مورد نظر خود را برای اطلاعات در مورد این نحوه آگاهی نگاه کنید. اگر هیچ لیست ایمیل یا مکانیسم دیگر آگاه سازی بصورت خودکار ارائه نمی شود، نیاز است که وب سایت فروشنده در فواصل زمانی معین برای وجود بروزرسانی ها سرزده شود.
ت. از رفتار ناامن خودداری کنید.
• هنگام بازکردن پیوست های ایمیل یا هنگام استفاده از اشتراک نقطه به نقطه، پیام رسانی فوری یا اتاق های گفتگو، احتیاط کنید.
• اشتراک فایل را روی واسط های شبکه که به طور مستقیم در معرض اینترنت هستند، فعال نکنید.
ث. اصول کمترین حقوق دسترسی را دنبال کنید.
به استفاده از یک اکانت با تنها حقوق «کاربر» بجای حقوق «مدیر» یا سطح «ریشه» برای کارهای روزانه توجه کنید. بسته به سیستم عامل، شما تنها نیاز به استفاده از سطح دسترسی مدیر برای نصب نرم افزار جدید، تغییر پیکربندی سیستم و مانند اینها دارید. حتی بسیاری از سوءاستفاده ها از شکافهای امنیتی (مانند ویروس ها و اسب های تروا) در سطح دسترسی کاربر اجرا می شود، بنابراین بسیار خطرناکتر می شود که همواره بعنوان مدیر وارد سيستم شد .
فايروالها به دو گونه تقسيم مي شوند ، برنامه هاي کاربردي نرم افزاري که در پس زمينه اجرا مي شوند و وسايل سخت افزاري که بين مودم شما و سيستم و يا سيستمهايتان در شبکه قرار مي گيرند . هر دو گونه ديوارهاي آتش سيستم شما را از ديد ديگر سيستمهاي خارجي مخفي نگه مي دارد و از دسترسي هاي غيرمجاز منابع بيروني جلوگيري مي کنند. در اين زمينه مي توان از نرم افزار فايروال شرکت مايکروسافت که در سرويس پک 2 ويندوز XP تا حدودي بهبود بخشيده شده است ، نرم افزار Zone Alarm يا Sygate Personal firewall ( که مي توان آنها را مجاني دانلود کرد ) استفاده کرد . البته فايروالهاي سخت افزاري هم طرفداران خود را دارد ، مخصوصا در کشورهايي که خريد نرم افزار کمي گرانتر تمام مي شود .
استفاده از فايروال هاي سخت افزاري بسياري ساده تري هم هست و يکي ديگر از مزاياي استفاده از فايروال هاي سخت افزاري اين است که اگر يک نرم افزار مخرب مثلا يک Spyware روي سيستم شما از قبل نصب شده باشد با نصب اين فايروال نرم افزار مخرب درون سيستم شما حبس شده و ارتباطش با دنياي بيرون کلا قطع مي شود. درحاليکه نرم افزاري مخرب ، مي توانند آنتي ويروسها و ساير نرم افزارهاي فايروال را که نصب کرده ايد غيرفعال کند و به عمليات مخرب خود همچنان ادامه دهد. اگر هم سيستم شما عضوي از يک شبکه است ديگر نيازي به خريد سخت افزار جدا براي سيستم خود نداريد چراکه مسيرياب شبکه شما که چندين کامپيوتر را به هم متصل مي کند حتما از يک فايروال مطمئن استفاده مي کند که شما را در نصب مجدد فايروال روي سيستمتان بي نياز مي کند. اما اگر فکر مي کنيد تنها با خريد يک فايروال مساله امنيت شبکه تان حل شده است در اشتباهيد . فايروال ها ممکن است در متوقف کردن برنامه هاي ناخواسته و ميهمان سرزده موفق باشند اما اغلب کار مهمي براي تشخيص يک نامه الکترونيکي به با ويرويس هاي خطرناک بارگذاري شده و يا توقف ورود نرم افزارهاي جاسوسي به شبکه که سيستم شما انجام نمي دهند شما به يک آنتي ويروس نيز براي خنثي کردن اين گونه حملات نياز داريد .
مساله اين است که فايروال هاي سخت افزاري معمولا نمي توانند ترافيک بيرون از شبکه را کنترل کنند و بنا براين يک Spyware مي تواند براحتي داده اي را از روي سيستم شما به سروري روي اينترنت بفرستد. پس فايروال هاي سخت افزاري چه مي کنند ؟پيش از هر چيز ، آنها مانع نرم افزاري حستجوگري مي شوند که مي خواهند با Ping کردن ، استراق سمع و پرس و جو درباره آدرسهاي IP ، سيستم آسيب پذير را پيدا کنند و براي محقق کردن اين امر فايروال ها عمليات متعددي انجام مي دهند که از آن جمله مي توان به موارد ذيل اشاره کرد :
ترجمه آدرس شبکه NAT : هر سيستمي روي اينترنت به يک آدرس IP نياز دارد - چيزي شبيه شماره تلفنها براي کامپيوترها - که براي برقراري ارتباط با ساير کامپيوترهاي موجود در شبکه مورد استفاده قرار مي گيرد .
NAT : اتصال غيرمجاز به شبکه از بيرون را به وسيله مخفي نگه داشتن آدرسهاي کامپيوترهاي موجود در شبکه دشوار مي سازد و با تخصيص مجموعه اي از آدرسهاي خصوصي به PC هايي که درون شبکه هستند ، تشخيص يک کامپيوتر خاص مشکل مي شود ، چراکه براي آنهايي که خارج از شبکه هستند ، يک آدرس منفرد و عمومي نمايش داده مي شود.
مديريت درگاه : به طور پيش فرض بيشتر فايروال ها اجازه دسترسي آزاد به درگاه ( Port ) هاي يک سيستم را به ديگران نمي دهند. بنابراين اگر نرم افزاري از بيرون روي آدرس IP شما زوم کرده باشد و بخواهد به هر نحو شده مثلا از Port80 ( که براي اتصالات وبي ( http ) استفاده مي شود و يا Port 25 که براي email مورد استفاده قرار مي گيرد ) وارد شود فايروال ها درخواست آن نرم افزار را ناديده مي گيرند.
SPI : ( بازرسي بسته هاي حال وضعيت ) به طور دقيق بسته هاي داده را که در شبکه گردش مي کنند مي کاود . فايروال کاري بيش از فيلتر کردن بسته هاي يک منبع خاص انجام مي دهند . به طوري که اطلاعات داخل هر بسته در شبکه گردش مي کنند را مورد جستجو قرار مي دهند تا با موازين امنيتي سازگار باشد .
پراکسی سرور
در یک تشکیلات که از اینترنت استفاده میکند، یک پراکسی سرور ترکیبی از سختافزار و نرمافزار است که بعنوان یک واسطه بین کاربر داخلی و اینترنت عمل میکند به طوریکه امنیت، نظارت مدیریتی و سرویسهای caching تامین میشود. یک سرور پراکسی دارای پروتکل مشخصی است، بنابراین برای هرنوع پروتکلی( HTTP، FTP، Gogher و غیره) باید تنظیم شود. پراکسی سرور بعنوان بخشی از یک سرور( gatewayنقطهای در یک شبکه که ورودی به شبکهای دیگر است) رفتار میکند و میتواند برای انجام یک یا چند فانکشن که در بخش بعد به آن اشاره میشود، تنظیم شود.
عملکردهایی که پراکسی سرور میتواند داشته باشد:
با تعریفی که از یک پراکسی ارائه شد، میتوان از پراکسی برای بهبود عملکرد یک شبکه استفادههایی کرد که در اینجا به چند مورد آن به اختصار اشاره میکنیم:
• Firewall دیواره آتش
برای سازمانی که فایروال دارد، پراکسی سرور تقاضاهای کاربران را به فایروال میدهد که به آنها اجازه ورود یا خروج به شبکه داخلی را میدهد.
• Caching ذخیره سازی
سرور پراکسی که عمل caching را انجام میدهد، منابعی مانند صفحات وب و فایلها را ذخیره میکند. هنگامی که یک منبع مورد دسترسی قرار گرفت، در سرور دخیره میشود و تقاضاهای بعدی برای همین منبع مشخص با محتویات cache پاسخ داده میشود. این عمل، دسترسی به آن منبع را برای کاربرانی که از طریق پراکسی به اینترنت متصل هستند، سرعت میبخشد و از طرفی از ترافیک اینترنت میکاهد و اجازه استفاده بهتر از پهنای باند به کاربران داده میشود.
• Filtering کردن
سرور پراکسی میتواند ترافیک وارد شونده و خارج شونده از شبکه را بررسی کند و به آنچه که با معیارهای امنیتی یا سیاست سازمان مغایرت دارد، اجازه عبور ندهد.
• Authentication تصدیق هویت
بسیاری منابع الکترونیکی سازمانی توسط ورود با کلمه رمز یا قرار داشتن در دامنه مشخصی از IP محدود شدهاند. کاربران دور معمولاً از یک سرویسدهنده اینترنت ثالث استفاده میکنند که در این صورت این کاربر یا IP کامپیوتر آن برای سازمان معتبر تشخیص داده نمیشود. برای کاربرانی که بصورت فیزیکی به شبکه داخلی سازمان متصل نشدهاند، پراکسی طوری عمل میکند که به کاربران دور اجازه ورود موقت داده شود یا به آنها بطور موقت یک IP سازمان تخصیص داده شود که بتوانند به منابع محدود شده دسترسی پیدا کنند.
• Anonymization تغییر هویت
برای محافظت شبکه داخلی یک سازمان از کاربران موجود در اینترنت، سرور پراکسی میتواند هویت سیستمهای متقاضی داخلی را تغییر دهد. اگر منبع (مثلاً صفحه وب یا فایل) تقاضا شده توسط کاربر داخلی سازمان، در cache موجود نباشد، سرور پراکسی برای آن کاربر، بعنوان کلاینت عمل میکند و از یکی از آدرسهای IP خودش برای تقاضای آن منبع از سرور موجود در اینترنت استفاده میکند. این آدرس IP «موقت»، آدرسی نیست که واقعاً در شبکه داخلی سازمان استفاده گردد و در نتیجه از بعضی از حملههای نفوذگران جلوگیری میشود. هنگامی که صفحه تقاضا شده، از طرف سرور روی اینترنت به پراکسی سرور میرسد، پراکسی سرور آن را به تقاضای اولیه مرتبط میکند و برای کاربر میفرستد. این پروسه تغییر دادن IP باعث میشود که تقاضا دهنده اولیه قابل ردیابی نباشد و همچنین معماری شبکه سازمان از دید بیرونی مخفی بماند.
• Logging ثبت کردن
پراکسی سرور میتواند تقاضاها را بهمراه اطلاعات لازم در جایی ثبت کند تا بعداً امکان پیگیری اعمال کاربران داخل سازمان فراهم شود.
پیکربندی مرورگر
• تعامل کاربر: کاربر باید از ابتدا مرورگر خود را پیکربندی کند که بدین ترتیب نیاز است که اطلاعات را از پشتیبانی فنی سازمان بدست آورد.
• پیکربندی دستی: در این پیکربندی کاربر باید سروری را که نرمافزار پراکسی را اجرا میکند، مشخص کند. کاربر باید استثنائات هر دامنهای را که میتواند بطور مستقیم به آن وصل شود، مشخص کند و به این ترتیب در اتصال به این دامنههای مشخصشده، پراکسی در مسیر قرار نمیگیرد.
• پیکربندی خودکار: یک فایل تنظیم پیکربندی توسط سازمان که منطق استفاده از پراکسی توسط مرورگر در آن قرار دارد. URL فایل باید در پیکربندی مرورگر وارد گردد. اینکه یک تقاضا از طریق پراکسی مسیریابی شود یا خیر، بستگی به شروط موجود در آن فایل دارد.
روترها:
روتر تنها قطعه و وسيله اي است كه مي تواند پيغام هاي ارسالي از سوي كامپيوترها را داخل شبكه رديابي كند.
وقتي انيماتوري بخواهد فايل حجيمي را به انيماتور ديگري ارسال كند ، روتر آدرس گيرنده را بررسي كرده و ترافيك حاصل از حركت فايل مذكور را در شبكه انيماتورها نگه مي دارد.
هرگاه انيماتوري بخواهد پيغامي را براي دفتر دار بفرستد تا در مورد مبلغ چك پرداخت شده از ايشان سوال كند در اين صورت روتر پس از بررسي آدرس گيرنده ، پيغام را به شبكه دوم راهنمايي و هدايت مي كند.
يكي از ابزارهايي كه توسط روتر مورد استفاده قرار مي گيرد تا مسير يك بسته (Packet ) را مشخص كند جدولي موسوم به Configuration Table مي باشد.يك روتر دو كار جدا از هم انجام مي دهد كه اين كارها به هم مربوطند.
• اول اينكه مراقب است تا مبادا اطلاعات به جايي كه نياز نباشد ارسال شوند.
• دوم از رسيدن اطلاعات به مقصد مورد نظر اطمينان حاصل مي نمايد.
روترها با انجام اين دو كار مي توانند در ارتباط دادن دو شبكه كامپيوتري مجزا مفيد واقع شوند. روترها با ايجاد ارتباط بين دو شبكه مجزا ، اطلاعات را از يك سوي شبكه به شبكه ديگر انتقال مي دهند و در برخي مواقع ، پروتكل هاي مختلفي را بين دو شبكه انتقال مي دهند. همچنين روتر با توجه به اينكه داراي سيستم عامل ، پردازنده و دستورات كنترلي بوده مي تواند از ورود ترافيك و بسته هاي بي مورد به شبكه جلوگيري كند.
با افزايش تعداد شبكه هايي كه به يكديگر وصل مي باشند ، جدول مذكور نيز براي كنترل ترافيك موجود در بين شبكه ها توسعه مي يابد و همسو با اين تغييرات ، قدرت پردازش روتر نيز افزايش مي يابد. از آنجايي كه اينترنت مجموعه عظيمي از ده ها هزار شبكه كوچك و بزرگ مي باشد ، استفاده از روتر امري ضروري مي باشد.
انتقال بسته ها
فرض كنيد مي خواهيد با شخصي كه در آن سوي كشور اقامت دارد تماس تلفني داشته باشيد.در اين صورت بين تلفن شما و شخص دوم يك مدار ثابت برقرار ميشود كه اين مدار از 5 يا 6 مرحله و شايد بيشتر تشكيل شده است : كابل هاي مسي ، سوييچ ، فيبر نوري ، ميكرو ويوها ( امواج كوتاه ) و ماهواره ها. البته اين مراحل تا اتمام مكالمه برقرار مي باشند و كيفيت خط ارتباطي مدار مذكور در طول مدت زمان تماس ثابت باقي مي ماند.
اما اگر در يكي از قسمت هاي مدار مشكلي بوجود آيد مثلاً درختي بشكند و بر روي خط ارتباطي بيفتد و يا سوييچ با مشكل برق روبرو شود در اين صورت تماس شما قطع مي شود. اما اگر بخواهيد ايميلي را به همراه يك ضميمه (Attachment ) به آنسوي كشور خود بفرستيد ، در اين صورت فرآيند آن كاملا متفاوت مي باشد.
ديتاهاي اينترنتي اعم از صفحات وب ، فايل و يا ايميل براي جابجايي از سيستمي موسوم بهPacket-Switching Network استفاده مي كنند
در اين سيستم ديتاهاي موجود در يك پيغام يا فايل به بسته هاي 1500 بايتي تقسيم مي شوند. هر يك از اين بسته ها داراي اطلاعاتي از قبيل آدرس فرستنده ، آدرس گيرنده ، محل بسته اطلاعاتي و همچنين حصول اطمينان از صحت و سقم بسته هاي واصله مي باشند.
هر كدام از اين بسته ها را packet مي نامند كه براي رسيدن به مقصد از مسيري مناسب استفاده مي كنند و در صورت بروز مشكل در يك مسير ، روتر مسير ديگري را براي ارسال بسته ها پيشنهاد مي كند ممكن است يك مسير توسط بسته هاي ديگر نيز استفاده شود .
همانطور كه مشاهده كرديد فرآيند مذكور در مقايسه با مدارات مخابراتي در يك ارتباط تلفني كاملا متفاوت است.
نماي روبرو و پشت يك روتر سيسكو Cisco 2500
انواع روتر از نظر كارايي
روترها قسمت هاي اصلي اينترنت را تشكيل مي دهند كه قادرند بسته هاي اطلاعاتي را از نو بازسازي كرده و اطلاعات آنها را مورد بررسي قرار داده و يكديگر ( يعني روترهاي همسايه ) را در جريان شرايط مسير قرار دهند. اين شرايط مي توانند مواردي باشند از قبيل: تاخير در دريافت يا ارسال بسته و وضعيت ترافيك در قسمت هاي مختلف شبكه.
وظايف روترها در رده هاي مختلف يكسان نيستند به همين خاطر روترها داراي اندازه هاي مختلفي مي باشند به عنوان مثال:
• اگر بين دو سيستم عامل Windows XP گزينه Internet Connection Sharing را فعال سازيد ، يكي از آن دو به عنوان روتر ساده شروع به كار مي كند كه در اين حالت روتر كار بسيار ساه اي انجام مي دهد يعني براي تعيين مقصد ، ديتا را مورد بررسي قرار مي دهد. اين كار در پس زمينه سيستم اتفاق مي افتد بدون اينكه ساير برنامه هاي در حال اجرا را تحت تاثير قرار دهد به عبارت ديگر يك نوع روتر نرم افزاري است.
• روترهايي كه براي اتصال يك شبكه كوچك اداري به اينترنت مورد استفاده قرار ميگيرند بسيار متفاوتند و كار بيشتري انجام مي دهند. اين روترها قوانين امنيتي را براي شبكه اعمال مي كنند ( سعي دارند تا شبكه را از حملات خاص مصون نگه دارند ) همچنين آنها مي توانند ترافيك را هدايت كنند. اين روترها عموماً قطعات مستقلي هستند كه بدون وابستگي به سيستم عامل سرور در شبكه مشغول به كار مي باشند.
• دسته ديگري از روترها بزرگ تر مي باشند كه در نقاط ويژه ترافيكي مشغول به جابجايي ديتا بوده و در يك لحظه ميليون ها بسته اطلاعاتي را جابجا مي كنند و به صورت موثرتري شبكه را مرتب مي سازند. اين روترها وجوه مشترك زيادي با ابركامپيوترها دارند.
مسيريابي روتر
در اين قسمت به نحوه كار روتر با سايز متوسط نگاهي مي اندازيم. روتري را در نظر بگيريد كه در يك اداره متوسط استفاده مي شود و قرار است ارتباط شبكه محلي ( LAN) را با اينترنت برقرار سازد. بنابراين روتر با دو شبكه در ارتباط است:
• نخست شبكه اي مشتمل بر 50 كامپيوتر و تجهيزات ديگر كه همان شبكه محلي يا LAN مي باشد.
• دوم شبكه اينترنت.
شبكه اداري يا LAN به كمك يك اتصال كابل شبكه با روتر در ارتباط است. اما بين روتر و مركز ISP دو نوع ارتباط وجود دارد:
• ارتباط از طريق خطوط T1 كه سرعت آن معادل 5/1 مگا بيت ثانيه است.
• خطوطISDN كه سرعت آن معادل 128 كيلو بيت در ثانيه مي باشد.
جدول Configuration Table در درون روتر وظيفه دارد بسته هاي ارسالي از داخل به خارج را از خط ارتباطي T1 مسيريابي كرده و به بيرون بفرستد مگر در مواقعي كه خط مذكور به علت نقص فني قابل استفاده نباشد در آن صورت ترافيك به سمت خط ISDN هدايت مي شود به عبارت ديگر خط ISDN به عنوان پشتيبان براي T1 عمل مي كند و در مواقعي كه خط T1 دچار مشكل باشد جدول Configuration درون روتر خود مي داند چه كاري بايد انجام دهد.
روترها علاوه بر هدايت بسته هاي اطلاعاتي از نقطه اي به نقطه ديگر داراي قوانين محدود كننده مي باشند كه نحوه ارتباط و دسترسي كامپيوترهاي بيرون از شبكه را به كامپيوترهاي درون شبكه مشخص مي سازد. هرچند اكثر شركت ها براي حفظ امنيت شبكه از قطعات سخت افزاري و يا نرم افزاري موسوم به Firewall يا ديواره آتش استفاده مي كنند اما با اين وجود جدولConfiguration در روترها نيز براي حفظ امنيت شبكه موجود در شركت داراي دستوراتي مي باشند.
يكي ديگر از وظايف روتر انتقال بسته ها ( Packet ) در شبكه محلي مي باشد. براي تحقق آن ، روتر از طريق Subnet Mask متوجه مي شود كه آيا بسته بايد به خارج برود يا با كامپيوتري در شبكه محلي و داخلي كار دارد.
آگاهي از مقصد ديتا
همانطور كه عنوان شد روترها يكي از ابزارهايي مي باشند كه شبكه هاي كامپيوتري را به هم متصل مي كنند. هاب ها ، سوئيچ ها و روترها همگي سيگنال ها را از كامپيوترها مي گيرند وآنها را به سمت كامپيوترهاي ديگر هدايت مي كنند با اين تفاوت كه روترها تنها ابزاري هستند كه ديتا را در حين عبور ، امتحان كرده و در مورد مقصد دقيق آن تصميم مي گيرد. براي اتخاذ اين تصميم روترها مي بايد آدرس ها و ساختار شبكه را بشناسند.
فايروال سخت افزاري:
يك لايه فيزيكي محافظ است كه بين رايانه و اينترنت قرار مي گيرد و مي تواند نقل و انتقالات از اينترنت به رايانه را اسكن كند.اين نوع فايروال فقط مواردي كه خوانده مي شوند را مي تواند فيلتر كند.رمز نگاري شده ،فشرده شده و فايل هايي كه پسوند آن ها ناشناخته است،چك نمي شوند و مبهم هستند
در نوع سخت افزاري آسانتر جلوي حملات هكرها گرفته مي شود،زيرا قبل از رسيدن به رايانه جلوي آن ها سدي قرار دارد.شما دزد را در جلوي ورودي متوقف مي كنيد اما در نوع نرم افزاري او به خانه شما وارد شده است.
مشكل ديگر فايروال نرم افزاري در شبكه است.هر رايانه بايد آن را نصب كند و هنگام ارتباط با رايانه هاي ديگر شبكه كارهاي شما چك مي شود.مثل اين است كه براي هر اتاق خانه خود يك نگهبان گذاشته باشيد و براي رفتن از اتاقي به اتاق ديگر مرتب بازرسي شويد.
فايروال نرم افزاري سرعت انتقالات را كند مي كند.RAM و پردازشگر CPU قسمتي از نرم افزار فايروال مي شوند و بر روي بازدهي رايانه تاثير منفي مي گذارند.
فايروال سخت افزاري درواقع ماشين هايي هستندكه بيشتر طراحي آنها شبيه به case هاي جديدcomputer هاي شخصي است ودرسرراه مسيراصلي اتصال شبكه به اينترنت قرارمي گيرندودرواقع شبیه به يك سرورهستند كه حتي خودسرورشبكه وclient هابايد به آن وصل شوند.
اين فايروال ها ازپروسسورهاي قدرتمند وريزتراشه هاي زيادي همراه با يك روترقوي ساخته شده اند كه مسيريابي را براي شبكه به ارمغان مي آورند وطرزكارورهبري آنها توسط الگوريتم هاي سنگين مي باشد كه توسط يك تيم نوشته مي شود ومعمولا قيمت بسياربالايي دارندوبيشتردرراستاي دولت الكترونيك و بانكدداري الكترونيك E-Shopping و...كمپاني هاي بزرگ استفاده مي شود.
فايروال ها اين قابليت را دارند كه ازترافيك شبكه جلوگيري كنند بدين صورت كه باتشخيص وپيداكردن بسته های خراب وبسته هاي بي استفاده آنها را Drop مي كنند و بار شبكه را كاهش مي دهند البته اين تاحدي امكان پذير است واگربسته ازلحاظ محتوي يا Headerيا footer درموقعيتي باشندكه فايروال نتواند نوع آنها را تشخيص دهد(هكرها) درآن صورت بارشبكه زيادمي شودوكاري ازدست فايروال برنمي آيد.
فايروالهاي نرم افزاري بيشتر مناسب استفاده هاي تک کاربره و يا دفاتر کوچک مي باشند و فايروالهاي سخت افزاري در ورودي شبکه هاي بزرگ نصب مي شوند.
در حال حاضر معمولا فايروالهاي سخت افزاري علاوه بر وظيفه اصلي خود معمولا عمليات ديگري نيز مانند جلوگيري از ورود ويروس به شبکه (Antivirus) يا عمليات فيلترينگ سايتهاي غير مجاز (جلوگيري از دسترسي کاربران داخلي به سايتهاي غير مجاز) ، شناسايي تهاجم (IDS) و ... را نيز انجام مي دهند.
در واقع براي فايروال 4 وظيفه اصلي را ميتوان در نظر گرفت:
امنيت شبکه داخلي : با فيلتر کردن اطلاعات ورودي و کشف و جلوگيري از حملات داده ايي امنيت را براي کاربران داخلي ايجاد و آسودگي ذهني براي آنان ايجاد مي کند.
کنترل تبادل اطلاعات بين شبکه داخلي با شبکه اي ديگر:کنترل تبادل اطلاعات بين داخل و خارج سازمان بدين صورت که مدير سيستم دسترسي به برخي از داده هاي موجود در اينترنت يا بيرون سازمان را محدود
(يا ممنوع) مي سازد.(بعنوان مثال با بستن پروتکلهاي مربوط به صدا يا messenger ها دسترسي به انها را غير ممکن مي سازد.)
کنترل دسترسي به اطلاعات درون سازماني: (داخل شبکه)يکي از وظايف فايروال کنترل دسترسي به اطلاعات درون سازماني (داخل سازمان) است و دسترسي به اطلاعات داخل شبکه را بر اساس سياستهاي امنيتي تعريف شده توسط مدير سيستم کنترل و محدود مي نمايد.
جلوگيري از حملات غير داده اي: حملات غير داده اي حملاتي هستند که باعث قطعي ارتباط و يا کندي بسيار زياد آن مي شوند. يکي از مهمترين وظايف فايروال شناسايي اين حملات و خنثي سازي آنها مي باشد.
Buy a firewall خريد اگرقصدخريد فايروال سخت افزاري يانرم افزاري را داريد مواظب باشيد كه آنها را ازيك شركت تهیه کنید چون دراكثر موارد %70 فايروال هاي سخت افزاري ونرم افزاري شركت هاي مختلف باهم Matchنمي شودومشكلاتي ازقبيل ترافيك شبكه را به وجودمي آورد.
درواقع ويژگي مهم فايروال سخت افزاري نسبت به نرم افزاري اين است كه فايروال سخت افزار قابليت Multi Protect داردكه اين قابليت فايروال را نرم افزاري ندارد وفايروال نرم افزاري يك مزيت نسبت به سخت افزاري داردوآن نداشتن حجم فيزيكي مي باشد اما شركت هاي توليد كننده فايروال يك شعار مشترك دارندوآن اين است كه براي امنيت بيشر وداشتن يك محيط امن كامل بايدازهردوي فايروال هاي سخت افزاري ونرم افزاري باهم استفاده كنيد.
در صورت استفاده از يک فايروال سخت افزاری ، می بايست پورت های مورد نياز يک برنامه بر روی آن نيز فعال گردند . فرآيند نحوه فعال نمودن پورت بر روی فايروال های سخت افزاری متفاوت بوده و به نوع آنان بستگی دارد . مثلا" در اکثر روترهائی که از آنان در شبکه های موجود در منازل استفاده می شود ، می توان با استفاده از يک صفحه وب پارامترهای مورد نظر ( نظير پورت های فعال ) را تنظيم نمود . فايروالهاي سخت افزاري عمدتا" براي جلوگيري از حملاتي چون SIGN ATTACK و عدم توازن در بيتهاي پاکتهاي اينترنتي هستند که بهترين آنها سيسکو است که فقط 5 ميليون تومان قيمت دارد. البته انواع ديگري هم دارد که شرکت مايکروسافت بخش اعظمي از آنها را با تغييراتي در پروتکل اينترنت خود رفع کرده است
يک فايروال شبکه ای و يا روتر فايروال ، سخت افزاری است که کاربران می توانند آن را بين کامپيوترهای موجود در يک شبکه و دستگاههای Broadband نظير مودم کابلی و يا DSL نصب نمايند . با بلاک نمودن امکان دستيابی به کامپيوترهای موجود بر روی يک شبکه محلی از طريق اينترنت ، يک فايروال سخت افزاری قادر به ارائه يک سطح حفاظتی مناسب برای کاربران در خصوص دريافت و نصب patch های نرم افزاری ضروری خواهد بود .
در صورتی که قصد اتصال کامپيوتر خود به اينترنت را از طريق يک فايروال و يا روتری با پتانسيل NAT:Netwoirk Address Translation ، داشته باشيد و يکی از موارد زير درست باشد : الف ) ماشين جديد تنها کامپيوتر متصل شده به شبکه محلی از طريق فايروال است . ب ) ساير ماشين های متصل شده به شبکه محلی پشت فايروال نسبت به نصب patch های مورد نياز بهنگام بوده و بر روی آنان کرم ها و يا ويروس هائی وجود نداشته باشد ، ممکن است به وجود يک فايروال نرم افزاری نياز نباشد .
در صورت امکان ، از فايروال نرم افزاری همراه کامپيوتر نيز استفاده نمائيد .
در صورتی که سيستم عامل نصب شده بر روی کامپيوتر شما دارای يک فايروال نرم افزاری از قبل تعبيه شده می باشد ، پيشنهاد می گردد آن را فعال نموده تا امکان اتصال سايرين به شما وجود نداشته باشد . همانگونه که اشاره گرديد ، در صورتی که کامپيوتر شما از طريق يک فايروال به شبکه متصل است و تمامی کامپيوترهای موجود در شبکه محلی نسبت به نصب هر يک از Patch های مورد نياز بهنگام شده می باشند ، اين مرحله می تواند اختياری باشد .عليرغم موضوع فوق ، در بخشی از استراتژی "دفاع در عمق " به اين موضوع اشاره شده است که بهتر است فايروال نرم افزاری ارائه شده همراه سيستم عامل،همواره فعال گردد. در صورتی که سيستم عامل موجود برروی کامپيوتر شما دارای يک فايروال نرم افزاری از قبل تعبيه شده نمی باشد ، می توان يک نرم افزار فايروال مناسب را تهيه نمود . پيشنهاد می گردد که اينگونه نرم افزارها از طريق رسانه های ذخيره سازی نظير CD و يا DVD نصب گردند (در مقابل اتصال به يک شبکه و دريافت نرم افزار مورد نياز از يک کامپيوتر حفاظت نشده ) . در غير اينصورت همواره اين احتمال وجود خواهد داشت که کامپيوتر شما قبل از اينکه قادر به دريافت و نصب اين چنين نرم افزارهائی گردد ، مورد تهاجم واقع شود .
• غير فعال نمودن سرويس های غيرضروری نظير "اشتراک فايل و چاپگر"
اکثر سيستم های عامل به صورت پيش فرض پتانسيل "اشتراک فايل و چاپ " را فعال نمی نمايند .در صورتی که شما سيستم خود را به يک سيستم عامل جديد ارتقاء داده ايد و کامپيوتر دارای گزينه فعال "اشتراک فايل و چاپ " می باشد، بديهی است که سيستم عامل جديد نيز اين گزينه را فعال نمايد . سيستم عامل جديد ممکن است دارای نقاط آسيب پذيری باشد که شما آنان را در نسخه قبلی سيستم عامل مربوطه از طريق نصب تمامی patchهای مورد نياز ، برطرف کرده باشيد و در سيستم عامل جديد اين وضعيت وجود ندارد. برای حل مشکل فوق پيشنهاد می گردد قبل از ارتقاء سيستم عامل ، پتانسيل "اشتراک فايل و چاپ " را غير فعال نموده و در ادامه فرآيند ارتقاء را انجام دهيد . پس از ارتقاء سيستم و نصب Patch های مورد نياز ، می توان در صورت ضرورت اقدام به فعال نمودن پتانسيل "اشتراک فايل و چاپ " نمود .
• دريافت و نصب patch های مورد نياز
پس از ايمن سازی کامپيوتر در مقابل حملات با استفاده از فايروال های سخت افزاری و يا نرم افزاری و غير فعال نمودن پتانسيل "اشتراک فايل و چاپ " ، می توان با اطمينان بيشتری سيستم خود را به منظور دريافت و نصب patch های مورد نياز به شبکه متصل نمود . به منظور دريافت patch های نرم افزاری، توصيه می گردد که حتما" از سايت های ايمن و مطمئن ( وب سايت توليد کنندگان ) استفاده گردد .بدين ترتيب احتمال اين که يک مهاجم قادر به دستيابی سيستم شما از طريق برنامه هائی موسوم به Trojan گردد ، کاهش می يابد .
فايروال سخت افزاري و نرم افزاري از لحاظ كيفيت در به وجود آوردن امنيت در لايه هاي مختلف شبكه (در شرايط مساوي)هيچ فرقي نمي كنند...اما مطلب مهمي كه بايد به آن توجه كنيد اينست كه فايروال نرم افزاري از CPU كامپيوتر Gateway شما استفاده مي كند و اين خودش ممكن است مسئله ساز شود...كندي سيستم و شبكه، خطر خراب شدن فايروال به دلايل مختلف و ...
نتيجه اينكه براي شبكه هاي كوچك و اصطلاحا خانگي استفاده از فايروال نرم افزاري توصيه ميشود (به خاطر ارزان تر بودن و كانفيگ راحت ترآن) و براي شبكه هاي حرفه اي تر و بزرگ تر فايروال سخت افزاري(و اين كه كدام Brand و Model را انتخاب كنيد بستگي به آيتم هاي مختلفي در شبكه شما و نيازهايتان دارد)
يك مطلب ديگر هم هست وآن اينكه در هر شبكه اي علاوه بر فايروال اصلي كه بر روي Gateway نصب ميشود، كامپيوتر هاي لپ تاپ متصل به شبكه هم بايد يك فايروال نرم افزاري داشته باشند...دليلش را هم خودتان بهتر مي دانيد...چون آنها مي توانند حمل بشوند و به شبكه هاي ديگري هم وصل بشوند كه ما هيچ گونه اطلاعي از امنيت انها نداريم.
انواع فايروال سيسكو:
Cisco Firewalls
Cisco PIX-515 Firewall
Cisco PIX-515-R-BUN Firewall
Cisco PIX-515E Firewall
Cisco PIX-520 Firewall
Cisco PIX-520-FO-BUN Firewall
Cisco Firewall Interface Cards
Cisco PIX-515 Firewall
Cisco PIX-515-R-BUN Firewall
CiCisco Firewalls
Cisco PIX-515 Firewall
Cisco PIX-515-R-BUN Firewall
Cisco PIX-515E Firewall
Cisco PIX-520 Firewall
Cisco PIX-520-FO-BUN Firewall
Cisco Firewall Interface Cards
Cisco PIX-4FE-66 Interface Card
Cisco PIX-1GE-66 Interface CardscoCisco Firewall Memory
Cisco PIX-515-MEM-32 Firewall Memory
Cisco PIX-515-MEM-128 Firewall Memo
DS_GATE
DOURAN Secure Gate يك راه حل امنيتي جامع در سطح Gateway است كه به محافظت از شبكه داخلي سازمان مي پردازد. DS-Gate با استفاده از پيشرفته ترين فناوريهاي موجود در فايروالهاي امروزي امكان كنترل يكپارچه و متمركز ترافيك ورودي و خروجي را فراهم مي نمايد. به علاوه پشتيباني از سرويسهاي امنيتي ويژه همچون سيستم پيشگيري و تشخيص نفوذ (IDP )، فيلتر وب، آنتي ويروس و كنترل ترافيك اين محصول را به عنوان بهترين راه حل يکپارچه و جامع امنيت شبكه در سطح Gateway مطرح نموده است. امكان مديريت ساده، انعطاف پذير و در عين حال قدرتمند سياستهاي شبكه از قابليتهاي ويژه اين محصول است. DS-Gate به صورت سخت افزار قابل اتصال به Rack در اندازه 1u ، داراي 4 ناحيه امنيتي بوده و در دو حالت NAT/Router و Bridge در شبكه نصب شده و از پروتكلهاي مسيريابي براي تأمين توپولوژيهاي مختلف پشتيباني مي كند. محصول در چهار مدل زير ارائه مي گردد:
رابط مديريت DS-Gate مبتني بر وب بوده و انواع امكانات پيكربندي سيستم در آن تعبيه شده است . به علاوه تنظيمات اوليه براي نصب و راه اندازي سيستم بدون نياز به رابط مديريت از طريق رابط LCD قابل انجام است.
بهره گيري از ويژگيهاي فوق DS-Gate را به عنوان يک محصول داخلي قابل رقابت با محصولات مشابه خارجي مطرح نموده است.
در ابتدا ليست کاملي از کليه امکانات DS-Gate که در تمامي مدلها در دسترس است ارائه مي گردد.
ليست امکانات DS-Gate :
داراي چهار پورت Internal ، External ، DMZ و Management
کار در حالت هاي Bridge و NAT/Router
رابط مديريت تحت وب
پشتيباني از پروتکلهاي NTP ، SNMP
رويدادنگاري محلي و راه دور با استفاده از Syslog Server
قابل اتصال به Rack در اندازه (1U)
پشتيبان گيري از کليه پيکربنديهاي سيستم
ارتباط با نرم افزار ISPUtil و توليد گزارش بر اساس نام کاربران
امکان فيلترينگ ترافيک در تمام جهات به صورت Stateful
کنترل دسترسي و پيشگيري از حملات به شبکه داخلي و DMZ
امکان بستن IP/Port به تعداد نامحدود
تشخيص حملات رايج پروتکلهاي مختلف
ارائه طبقه بنديهاي پيش فرض براي پيکربندي قواعد IDP
پيشگيري از برخي حملات رايج
رويدادنگاري حملات
امکان تعريف قواعد خاص کنترل ترافيک
امکان تضمين حداقل و کنترل حداکثر پهناي باند اتصالات
قابليت اولويت بندي اتصالات (QoS)
امكان نصب در شبكه بصورت Transparent
امکان نصب در سر راه فقط ارسال بسته ها
امكان انجام عمل فيلترينگ برروي تمامي Port ها
امکان تعريف قواعد فيلترينگ مختلف براي گروه هاي کاربري
بانك اطلاعاتي از ميليون ها سايت اينترنتي با 35 موضوع گوناگون
فيلتر کلمات فارسي و لاتين با encoding هاي مختلف
امكان مسدود کردن سايتهاي HTTPS و Chat Room هاي مختلف
امكان كار در دوحالت فيلترينگ نرمال و معکوس (Reverse Filter)
مسدود کردن URL هاي حاوي عبارات خاص (Pattern Matching)
امكان مسدود کردن URL هاي حاوي URL ممنوع (URL in URL)
امكان فيلتر كردن Cache در سايتهاي جستجو مثل ياهو و گوگل
مزيتهاي DS-Gate :
1- کارآيي
فايروالها در حساس ترين نقطه شبکه (Gateway ) که محل اتصال شبکه داخلي به اينترنت يا شبکه هاي ديگر است، نصب مي شوند . کليه ترافيک ورودي و خروجي شبکه از فايروال عبور مي کند، به همين خاطر بررسي بسته هاي عبوري توسط فايروال بايد با کارآيي و سرعت مناسب انجام شود تا کيفيت سرويسهاي شبکه افت نکند. اين مسأله در محصولي همچون DS-Gate که علاوه بر وظايف اوليه فايروال يعني فيلترينگ بسته ها و NAT ، به عنوان يک دروازه امنيتي در نقش IDP ، فيلتر وب و آنتي ويروس نيز انجام وظيفه مي کند اهميت چشمگيرتري مي يابد. بهبودهاي انجام شده در Firmware محصول به خصوص در بخشهاي فايروال، فيلتر وب و IDP باعث شده است که DS-Gate به کارآترين راه حل براي شبکه هاي متوسط و کوچک تبديل شود.
2-انعطاف پذيري
محصول DS-Gate در دو حالت NAT/Router و Bridge عمل مي کند. اين مسأله امکان سازگاري و سهولت نصب در طيف وسيعي از شبکه ها با توپولوژيهاي مختلف را فراهم مي نمايد. کار در حالت Bridge و سياست هاي پيش فرض (Factory Defaults) به مدير شبکه امکان مي دهد که بدون نياز به تغيير توپولوژي شبکه يا قطع ترافيک شبکه DS-Gate را در محل مناسب نصب نموده و سپس پيکربنديهاي مناسب را انجام دهد. از طرف ديگر در دسترس بودن 4 ناحيه امنيتي قابليت اعمال انواع سياست هاي سازمان روي شبکه هاي مختلف را فراهم مي کند.
3- پيکربندي امن، قدرتمند و ساده
رابط مديريت DS-Gate مبتني بر وب با پشتيباني پروتکل SSL سياستهاي امنيتي و پيکربنديهاي مختلف را به صورت امن به سيستم منتقل مي کند. طراحي رابط به گونه ايست که مفاهيم مختلف و امکانات سيستم به شکلي ساده در عين حال کاملاً انعطاف پذير در اختيار راهبر سيستم قرار گرفته است . به علاوه راهنماي جامع سيستم به صورت Online در دسترس راهبر قرار دارد. رابط مديريتي علاوه بر فراهم نمودن امکان پيکربندي سيستم ، به عنوان يک واسط جهت انجام مونيتورينگ، مشاهده رويداد نگاريها و گزارشها هم قابل استفاده است.
4- راه حل جامع امنيت در سطح Gateway
گسترش تهديدها در شبکه هاي امروزي برخورداري از يک سيستم دفاعي همه جانبه را به امري ضروري براي سازمانها مبدل نموده است. فايروال به طور سنتي به عنوان خط مقدم دفاع در برابر تهديدهاي خارجي مطرح است، اما تأمين امنيت در برابر تهديدها و حملات پيچيده امروزي نياز به قابليتهايي فراتر از فيلتر نمودن ترافيک مبتني بر آدرس و سرويس مربوطه است.
محصول DS-Gate بر مبناي اين واقعيت طراحي شده تا علاوه بر انجام وظايف سنتي فايروال، امکان اعمال سياستهاي دفاعي پيشرفته متناسب با تهديدهاي پيچيده امروزي را فراهم نمايد. ويژگيهايي چون تشخيص و جلوگيري از ورود انواع ويروسها و کرمها، جلوگيري از انواع حملات از جمله Denial of Service ، کنترل دسترسي در سطوح مختلف و ديگر ساز و کارهاي دفاعي از لايه شبکه تا لايه کاربرد DS-Gate را به يک راه حل جامع براي دفاع همه جانبه در سطح Gateway تبديل کرده است.
با در نظر داشتن امتيازات فوق مي توان DS-Gate را يک محصول بومي، پيشرفته و قابل مقايسه با برترين تکنولوژيهاي موجود در دنيا دانست. در ادامه به معرفي مکانيزمهاي تأمين امنيت در DS-Gate مي پردازيم.
استراتژي دفاعي DS-Gate :
الف : امنيت در سطح بسته ها
اين مکانيزم که به عنوان Packet Filter هم شناخته مي شود عبارت است از بررسي اينکه هر کدام از بسته هاي دريافتي آيا اجازه عبور از فايروال را دارند يا خير؟
بسته ها مي توانند از هريک از 4 ناحيه امنيتي داخلي، خارجي، DMZ و مديريت وارد فايروال شده و از ناحيه ديگر خارج شوند. اجازه ورود و خروج بسته ها بر مبناي سياست امنيت شبکه سازمان توسط راهبر با استفاده از رابط مديريت مبتني بر وب قابل تعريف و اعمال است. به اين طريق مي توان کنترل دسترسي متمرکز روي ترافيک عبوري از DS-Gate اعمال نمود . محصول DS-Gate با فراهم آوردن امکان مدلسازي عناصر شبکه همچون اشياء آدرس، سرويس، زمان و ... علاوه بر ارائه ابزارهاي مناسبي براي اعمال سياستها، تغييرات لازم در سياستها و پيکربنديها را به صورت يکپارچه و به ساده ترين شکل ممکن به سيستم اعمال مي کند.
به اين طريق مي توان شبکه سازمان را در مقابل دسترسيهاي غير مجاز محافظت نموده و از دسترسي غيرمجاز کاربران سازمان به منابع شبکه هاي ديگر جلوگيري نمود، اما اين قابليت براي حفاظت کامل کافي نمي باشد.
ب: امنيت در سطح اتصالات
بسته هاي عبوري از فايروال علاوه بر مشخصات اوليه مثل آدرس و سرويس مبدأ و مقصد، مي توانند داراي ارتباطاتي با يکديگر باشند، به عنوان مثال برخي بسته ها متعلق به يک اتصال مشترک TCP هستند. بايد توجه داشت که ممکن است آدرس و سرويس مجموعه اي از بسته هاي عبوري از فايروال طبق سياست امنيت شبکه مجاز و قانوني باشند، اما اتصالي که بسته ها متعلق به آن هستند غيرمجاز باشد. مثلاً بسته هايي با آدرس مبدأ شبکه داخلي و آدرس مقصد سايت www.yahoo.com مجاز به عبور از فايروال هستند، پاسخ اين بسته ها ( که آدرس مبدأ و مقصد آنها عکس حالت قبل است) الزاماً بايد مجاز به عبور باشد، اما اگر اتصالي از سايت www.yahoo.com به شبکه داخلي سازمان درخواست شود، نبايد توسط فايروال اجازه داده شود . لذا فيلتر كردن بسته ها صرفاً بر مبناي آدرس مبدأ و مقصد نمي تواند سطح امنيتي لازم را تأمين نمايد. محصول DS-Gate با ارائه فناوري Stateful Inspection كليه بسته هاي عبوري را برمبناي اتصالات ايجاد شده بررسي نموده و از ايجاد اتصال غيرمجاز جلوگيري مي نمايد . اين ويژگي باعث افزايش چشمگير كارآيي فايروال در ترافيك بالا هم مي گردد.
ج: امنيت در سطح برنامه ها و فايلها
تهديدهاي امروزي بسيار پيچيده شده و از انواع پروتكلها در لايه هاي مختلف استفاده مي كنند، لذا يك فايروال Stateful علي رغم بازرسي کليه اتصالات، نمي تواند تمام نيازهاي امنيت Gateway را فراهم كند. مثال واضح در اين زمينه برنامه هاي مخرب (Malicious Program ) هستند . برخي از انواع برنامه هاي مخرب عبارتند از :
- ويروس:برنامه اي كه از طريق ايميل، سايت وب و ... وارد سيستم شده و معمولاً با آلوده كردن برنامه ها و فايلهاي سيستمي باعث آسيب هايي همچون سرقت اطلاعات محرمانه تا خرابي كامل سيستم مي گردد..
- كرم اينترنتي : كرمها هم گونه اي از ويروسهاهستند كه با گسترش اينترنت به وفور يافت شده و مي توانند كل شبكه سازمان را آلوده كرده و از كار بياندازند. كرمها به طور خودكار سيستمهاي مجاور را در شبكه آلوده مي كنند.
- تروجان : اين برنامه ها از لحاظ شكل ظاهري كاملاً شبيه به برنامه ها و سرويسهاي قانوني يك سيستم هستند، اما در پس زمينه اين ظاهر قانوني، به سرقت اطلاعات محرمانه، اشغال منابع سيستم و وارد كردن آسيب هاي جدي به سيستم مي پردازند.
- Spyware : اين برنامه ها مختص فعاليتهاي جاسوسي و سرقت اطلاعات محرمانه هستند و علاوه بر آن معمولاًمنابع سيستم مثل حافظه و CPU را به شدت اشغال مي كنند.
تهديدهاي فوق همگي از طريق ترافيك عبوري از يك فايروال مي توانند به شبكه سازمان وارد شوند. DS-Gate با ارائه سيستم ضد ويروس Kaspersky كه يكي از قويترين محصولات ضد برنامه هاي مخرب در سطح جهان است شبكه را از ورود هرگونه برنامه مخرب در كارآترين شكل ممكن حفاظت مي كند.
سيستم پيشگيري / تشخيص نفوذ (IDP) با بهره گيري از روشهاي مختلف تحليل ترافيك طيف وسيعي از حملات در سطح برنامه هاي كاربردي را تشخيص داده و از وقوع برخي حملات متداول هم پيشگيري مي نمايد. بانك اطلاعاتي حملات شامل Signature صدها حمله مبتني بر پروتكلها و برنامه هاي كاربردي مختلف است كه در صورت عبور ترافيك مشكوك رويدادنگاري مناسب را انجام مي دهد. از جمله مي توان به انواع حملات سر ريز بافر، SQL Injection و exploit هاي شناخته شده اشاره نمود.
د: امنيت در سطح خدمات:
اتصال به اينترنت امروزه يكي از حياتي ترين نيازهاي شبكه سازمان ها مي باشد. به همين خاطر اطمينان از استفاده موثر و مجاز از سرويسهاي اينترنت به خصوص خدمات وب نقش مهمي در افزايش كارآيي سازمان ايفا مي كند. يك فايروال مناسب بايد امكان اعمال سياستهاي متمركز و پيشرفته فيلتر صفحات وب را ارائه نمايد، تا مدير شبكه از نحوه عملكرد كاربران و استفاده هاي غير مجاز از اينترنت مطلع شده و بتواند بر مبناي سياستهاي سازمان و نيز قوانين عمومي به ارائه سرويس بپردازد. بر اين مبنا سرويس فيلتر DS-Gate با كارآيي بسيار بالا و انعطاف پذيري فوق العاده در اعمال سياستهاي فيلترينگ نيازهاي سازمانهاي دولتي، خصوصي، ISP ها و ... را به بهترين شكل برآورده مي كند. امكان طبقه بندي سايتهاي وب، گروههاي كاربري، كلمات فارسي و لاتين، ليست هاي سياه و سفيد و ديگر قابليتهاي سرويس فيلتر مؤيد اين ادعاست. کارآيي و انعطاف پذيري سرويس فيلتر DS-Gate قابل رقابت با برترين محصولات خارجي مي باشد.
محدوديت پهناي باند يكي از مشكلات اغلب شبكه هاست و لذا امكان استفاده بهينه از پهناي باند و اعمال محدوديت ها و اولويت بندي ترافيك از ديگر ويژگيهاي يك فايروال پيشرفته مي باشد كه از ايجاد تأخير يا قطع سرويسهاي حياتي شبكه پيشگيري مي كند . در اين راستا محصول DS-Gate امكان تضمين حداقل و محدود سازي حداكثر پهناي باند مصرفي براي گروههاي كاربري و سرويسهاي مختلف را فراهم مي كند. همچنين امكان اولويت بندي ترافيك عبوري از فايروال هم براي سرويسهاي مختلف در دسترس است.
در ادامه ويژگيهاي DS-Gate را به تفصيل بررسي مي شود:
ويژگيهاي عمومي:
• داراي چهار پورت Internal ، External ، DMZ و Management :
پورتهاي Internal و External بنا به پيش فرض و بدون نياز به اعمال قواعد فايروال، به ترتيب براي اتصال شبکه داخلي به فايروال و اتصال فايروال به اينترنت قابل استفاده است و در صورت نياز قواعد فايروال براي انجام فيلترينگ بسته ها ميان اين دو پورت قابل اعمال است. از پورت DMZ معمولاً براي اتصال سرورها به فايروال استفاده مي شود، اين مساله يک توصيه اکيد امنيتي است چرا که قواعد و سياستهاي مورد نياز سرورها کاملاً متفاوت با شبکه داخلي است. پورت Management هم به منظور استفاده اختصاصي راهبر فايروال تعبيه شده است، که اين مساله از جنبه انعطاف پذيري و نيز امنيت دستگاه يک ويژگي مهم به شمار مي آيد. البته پيکربندي DS-Gate از طريق پورتهاي ديگر هم بنا به تشخيص راهبر قابل انجام است. کليه بسته هاي عبوري از هريک از چهار پورت مذکور قابل فيلتر کردن با قواعد فايروال، فيلتر وب و IDP مي باشند.
• کار در حالت هاي Bridge و NAT/Router :
اساسي ترين تفاوت اين دو حالت کاري، نحوه مسيريابي بسته ها توسط DS-Gate است. در حالت NAT/Router که اغلب فايروالها در اين حالت تنظيم مي شوند بسته ها از پورت Internal به External مسيريابي مي شوند (Route) ، هر دو پورت حداقل بايد يک IP داشته باشند و لذا کاربران شبکه داخلي از وجود فايروال مطلع مي شوند. در صورت لزوم در اين حالت کاري از سرويس NAT براي ترجمه آدرس IP مبداً بسته هايي که از شبکه داخلي به سمت اينترنت مي روند استفاده مي شود.
اما در حالت Bridge ، دستگاه به صورت شفاف و پنهان از ديد کاربران عمل مي کند و آدرس IP به پورتهاي Internal و External تخصيص داده نمي شود. در اين حالت هيچ نيازي به تغيير توپولوژي شبکه و انجام تنظيمات روي کلاينتها نمي باشد و سرويس NAT هم قابل دسترسي نيست چرا که اصولاً دستگاه در لايه 2 کار مي کند.
• رابط مديريت مبتني بر وب
کليه تنظيمات دستگاه از طريق يک رابط کاربري مبتني بر وب قابل انجام است. اين رابط امکان مدلسازي اشياء مختلف را براي استفاده در پيکربندي سرويسها به راهبر مي دهد. اين اشياء مي توانند از نوع آدرس IP ، سرويس (پروتکل و پورت مبدا و مقصد) ، زمان، IP-Pool و نيز گروه هاي آدرس و سرويس باشد. سرويسهاي فايروال، فيلتر وب، سيستم پيشگيري / تشخيص نفوذ، کنترل ترافيک ، آنتي ويروس و آنتي اسپم با استفاده از اين رابط و اشياء تعريف شده قابل پيکربندي بوده و انجام تغييرات در پيکربنديها به صورت مجتمع و بسيار ساده امکان پذير است. طراحي رابط به گونه ايست که حداقل آشنايي با مفاهيم سرويسها براي انجام پيکربندي کافيست، به علاوه سيستم راهنماي آنلاين فارسي هم در کليه بخشهاي رابط در دسترس مي باشد.
• پشتيباني از پروتکلهاي NTP ، SNMP
يکي از نيازمنديهاي اوليه محصولات شبکه اي قابليت همزماني با يک سرويس دهنده زمان يا Time Server است که اين مهم با استفاده از پروتکل NTP انجام پذير است. همينطور براي مديريت يکپارچه دستگاه ها در شبکه پروتکل مديريتي SNMP v2 قابل پيکربندي و استفاده مي باشد.
• رويدادنگاري محلي و راه دور با استفاده از Syslog Server
امکان رويدادنگاري (Log) يکي از اساسي ترين ويژگيهاي هر فايروال مي باشد. رويدادنگاري بر اساس قواعد فايروال روي بسته هاي ورودي و خروجي، قواعد فيلتر وب براي دسترسيهاي مجاز و غير مجاز اينترنت، حملات تشخيص داده يا پيشگيري شده سيستم IDP ، ويروسهاي شناخته شده و دسترسيهاي مديريتي قابل انجام است. خدمات رويدادنگاري مي تواند با راه اندازي يک Syslog Server به صورت راه دور انجام شود. در اين حالت کليه رويدادها از DS-Gate به سرور مربوطه ارسال مي گردد.
• قابل اتصال به Rack در اندازه (1U)
محصول DS-Gate با استفاده از سخت افزار ويژه محصولات صنعتي ارائه مي گردد. سخت افزار مربوطه قابل اتصال به Rack بوده و در سايز 1U در ابعاد 37*43 سانتي متر ارائه مي شود.
• پشتيبان گيري از کليه پيکربنديهاي سيستم
ابزارهاي امنيتي امکانات مختلفي براي پيکربندي سرويسها دارند که اين مهم در شبکه هايي با توپولوژي پيچيده و تعداد زياد کاربران ممکن است کار راهبر سيستم را براي اعمال تغييرات و بهينه سازي پيکربنديها با مشکل مواجه کند. به همين خاطر امکان پشتيبان گيري از کليه تنظيمات سيستم DS-Gate و نيز بازيابي اين تنظيمات وجود دارد. لذا راهبر DS-Gate مي تواند با اطمينان از اينکه تنظيمات پيشين قابل بازيابي مي باشد، به اعمال تغييرات مورد نظر پرداخته و حتي تنظيمات را از يک دستگاه DS-Gate به دستگاه مشابه منتقل نمايد.
• ارتباط با نرم افزار ISPUtil و توليد گزارش بر اساس نام کاربران
يکي از چالشهاي مديريت ترافيک در شبکه ها عدم يکپارچگي سيستم هاي Accounting با فايروالها مي باشد، به خصوص در شبکه هايي با تعداد کاربر بالا امکان بررسي فعاليت کاربران بر اساس نام کاربري بسيار حائز اهميت است. اين قابليت در فايروالهاي عادي وجود ندارد چرا که فايروال به نگاشت IP / User Name دسترسي ندارد. اين قابليت بسيار مهم در DS-Gate فراهم شده تا کاربراني که از نرم افزار ISPUtil شرکت دوران استفاده مي کنند بتوانند به صورت خودکار رويدادها و گزارش هاي توليد شده توسط DS-Gate را بر اساس نام کاربران نيز در اختيار داشته باشند.
ويژگيهاي فايروال:
• امکان فيلترينگ ترافيک در تمام جهات به صورت Stateful :
محل نصب فايروال در شبکه معمولاً در نقطه اتصال به اينترنت يا به شبکه هاي ديگر که همان Gateway ناميده مي شود بوده و لذا ترافيک کل شبکه (هاي) داخلي از فايروال عبور مي کند. DS-Gate داراي چهار پورت شبکه مي باشد که ترافيک ممکن است از هر يک از اين چهار پورت وارد DS-Gate شده و از يکي از سه پورت باقي مانده خارج شود. همانطور که پيشتر ذکر شد قواعد بخش فايروال DS-Gate (که در برخي فايروالها Policy خوانده مي شود) امکان مي دهد که بسته ها در هر جهتي که از دستگاه مي گذرند به صورت Stateful فيلتر شوند. لذا علاوه بر آدرس و سرويس بسته ها، مجاز يا غير مجاز بودن اتصالات مربوط به بسته ها هم کنترل مي شود و بر اين اساس مي توان با تعداد قواعد کمتر فايروال را پيکربندي نمود و در عين حال شبکه داخلي يا DMZ را از دسترسي شبکه هاي خارجي محافظت نمود.
• کنترل دسترسي و پيشگيري از حملات به شبکه داخلي و DMZ
سياست پيش فرض در DS-Gate به گونه ايست که امکان دسترسي شبکه خارجي (متصل به پورت External ) به شبکه داخلي (متصل به پورت Internal) و شبکه DMZ به هيچ وجه وجود ندارد، مگر آنکه اين مساله صريحاً با اعمال قواعد مربوطه در بخش فايروال اجازه داده شود. در مورد دسترسي شبکه DMZ به Internal و بالعکس نيز اين مساله صادق است. لذا شبکه هاي داخلي و سرورهاي DMZ حتي در صورت تعريف نکردن قواعد از دسترسي غيرمجاز مصون هستند.
• امکان NAT ، PAT و IP Publishing
يکي از وظايف عمده فايروال، امکان ترجمه پورت (PAT) و ترجمه آدرس (NAT / IP Publishing) مي باشد. سرويس NAT آدرس IP مبدا بسته ها را به آنچه که راهبر معين کرده تغيير مي دهد. ترجمه آدرس مبدا دو ويژگي بسيار مهم را فراهم مي کند، اولاً شبکه مبدأ را به طور کامل از ديد شبکه مقصد پنهان مي کند؛ ثانياً مشکل کمبود IP هاي Valid را که در اغلب شبکه ها وجود دارد، حل مي کند. سرويس IP Publishing امکان مي دهد که يک سرور که توسط DS-Gate محافظت مي شود (و معمولاً به پورت DMZ يا Internal متصل است) از طريق ترجمه آدرس مقصد و نه مستقيماً در دسترس کاربران شبکه هاي ديگر باشد. به عنوان مثال کاربر از شبکه خارجي به آدرس X متصل شده و DS-Gate اين آدرس را به Y که آدرس واقعي سرور در DMZ است ترجمه مي کند.
• امکان بستن IP/Port به تعداد نامحدود
با توجه به اينکه تعداد IP هاي موجود در سطح اينترنت بسيار زياد بوده و هر لحظه رو به افزايش است، امکان تعريف قواعد فايروال براي هر جفت IP / Port عملاً غير ممکن است. از طرف ديگر در بسياري موارد نياز است که جفت IP/Port هاي دلخواه توسط فايروال بسته شود. يکي از موارد کاربرد بسيار مهم اين ويژگي، بستن پراکسي هايي است که به طور رايگان در دسترس بوده و براي دور زدن فيلتر وب و دسترسي به سايتهاي ممنوعه به کار مي روند. فايروال DS-Gate امکان بستن ليست نا محدودي از جفت IP/Port ها را فراهم مي کند. اين ويژگي در انعطاف پذيرترين و کارآترين حالت ممکن در Firmware دستگاه و جدا از قواعد فايروال تعبيه شده است، لذا مسدود نمودن ليستي شامل صدها هزار IP/Port بدون کمترين سربار توسط DS-Gate قابل انجام است.
ويژگيهاي سيستم پيشگيري / تشخيص نفوذ:
• تشخيص حملات رايج پروتکلهاي مختلف :
تشخيص بسياري از حملات رايج امروزي از عهده قوي ترين فايروالهاي stateful هم خارج است، چرا که اينگونه حملات در سطح Application انجام مي شود و براي تشخيص آنها لازم است که اطلاعات بسته ها در سطح پروتکلهاي لايه Application بازرسي شود. DS-Gate قواعد متعددي براي تشخيص حملات انجام شده ارائه مي کند. به عنوان مثال، تلاش براي اجراي فرمان از طريق بسته هاي http که معمولاً در حملاتي مثل buffer Overflow يا SQL Injection انجام مي شود قابل تشخيص است.
• ارائه طبقه بنديهاي پيش فرض براي پيکربندي قواعد
تعداد قواعد در سيستمهاي تشخيص نفوذ گاه به صدها قاعده مي رسد که پيکربندي يک به يک آنها به صورت بهينه براي راهبر زمانبر است. به علاوه تعداد هشدارهاي توليد شده توسط سيستم IDS و ميزان صحت آنها با ميزان بهينگي پيکربندي قواعد رابطه مستقيم دارد. به همين خاطر DS-Gate قواعد بخش IDS را در طبقه بنديهاي پيش فرضي همچون Information ، Low ، Medium ، High و Critical در اختيار راهبر قرار مي دهد.
• پيشگيري از برخي حملات رايج:
برخي از انواع حملات Denial of Service ونيز برخي از انواع Port Scan ها که توسط ابزارهاي رايجي چون Nmap قابل انجام است، توسط DS-Gate قابل شناسايي و پيشگيري مي باشد.
• رويدادنگاري حملات
سيستم IDS رويدادهاي خود را با جزئيات کامل در نمايشگر مربوطه نمايش مي دهد. اطلاعاتي از قبيل آدرس نفوذگر و قرباني، زمان، دسته بندي قاعده مربوطه و نوع حمله در اين رويدادها قابل دستيابي است.
ويژگيهاي سيستم کنترل ترافيک:
• امکان تعريف قواعد خاص کنترل ترافيک:
اغلب شبکه هاي محلي با محدوديت پهناي باند مواجه هستند. از طرف ديگر نرم افزارهاي مختلف شتاب دهنده دانلود به وفور در دسترس کاربران قرار دارد و عدم کنترل پهناي باند کيفيت خدمات شبکه را به شدت پايين مي آورد. به همين خاطر قابليت محدود سازي پهناي باند مصرفي کاربران يکي از مزاياي موجود در DS-Gate است که به راهبر امکان تعريف قواعدي مشابه قواعد فايروال را مختص کنترل ترافيک، مي دهد. قواعد مذکور به طور جداگانه روي ارسال و دريافت پروتکلهاي مختلف قابل اعمال مي باشند.
• امکان تضمين حداقل و کنترل حداکثر پهناي باند اتصالات:
اين ويژگي در شبکه هاي کوچک و متوسط که پهناي باند محدودي دارند بسيار حياتي است و کيفيت مناسب سرويس اينترنت را تضمين مي نمايد. به عنوان مثال مي توان حداکثرحجم دريافت فايل گروهي از کاربران را محدود نمود، يا حداقل پهناي باند http دريافتي مجموعه مديران را تضمين نمود.
• قابليت اولويت بندي اتصالات (QoS)
برخي پروتکلها ماهيتاً نسبت به برخي ديگرکند عمل مي کنند، و در برخي ديگر مانند SSH يا Telnet که به صورت محاوره اي کار مي کنند تا حد امکان بايد تأخير را کاهش داد تا کيفيت سرويس افت نکند. با استفاده از DS-Gate مي توان بسته هاي دلخواه را در صفهاي اولويتي High ، Medium و Low طبقه بندي نمود و اين اولويت بنديها در پردازش بسته ها توسط DS-Gate لحاظ خواهد شد.
ويژگيهاي سيستم فيلتر وب:
• امكان نصب در شبكه بصورت Transparent
سيستم فيلتر DS-Gate به صورت کاملاً پنهان از ديد کاربر عمل مي کند، نياز به هيچگونه تنظيماتي در سطح کلاينتها نداشته و صرفنظر از اينکه DS-Gate در حالت NAT/Router يا Bridge پيکربندي شده باشد به صورت شفاف در شبکه عمل مي کند.
• امکان نصب در سر راه فقط ارسال بسته ها
بسياري از محصولات فيلتر وب به صورت مبتني بر پراکسي کار مي کنند، در نتيجه بايد خط ارسال و دريافت بسته ها يکي باشد. به عنوان مثال اين محصولات در شبکه هايي که براي ارسال اطلاعات از Leased Line و براي دريافت از خط ماهواره اي استفاده مي کنند قادر به کار نيستند، چرا که نمي توانند تنها روي خط ارسال بسته ها فيلتر کنند. سيستم فيلتر DS-Gate مبتني بر پراکسي عمل نمي کند لذا به راحتي به صورت Send-Only در شبکه قرار مي گيرد.
• امكان انجام عمل فيلترينگ برروي تمامي Port ها
صفحات وب مبتني بر پورت استاندارد 80 پروتکل TCP عمل مي کنند. اما بسياري از سايتهاي وب از پورتي غير از 80 براي سرويس دهي استفاده مي کنند، که اين مسأله براي بسياري از سيستمهاي فيلترينگ معمول ايجاد مشکل مي کند. سيستم DS-Gate ترافيک http را مستقل از شماره پورت مربوطه تشخيص داده و فيلتر مي کند. به عنوان مثال اگر آدرس درخواستي www.example.com:8849/sex باشد، اين آدرس توسط DS-Gate مسدود مي شود. اين قابليت جلوي استفاده از پروکسي هايي که براي دور زدن سيستم فيلتر با معرفي يک شماره IP و پورت غير 80 به مرورگر کلاينت کار مي کنند را مي گيرد.
• امکان تعريف قواعد فيلترينگ مختلف براي گروه هاي کاربري
سيستم فيلترينگ DS-Gate مانند ديگر بخشها از اشياء تعريف شده توسط کاربر براي اعمال سياستها استفاده مي کند. قواعد فيلترينگ در DS-Gate از اجزايي همچون URL ها ، کلمات کليدي فارسي و انگليسي، فايلها، ليست سفيد و زمان تشکيل شده است. بر اين اساس براي کاربران و گروه هاي کاربري مختلف مي توان سياستهاي فيلترينگ را اعمال نمود.
• بانك اطلاعاتي از ميليون ها سايت اينترنتي با 35 موضوع گوناگون
به منظور مسدود نمودن سايتهاي وب ممنوعه، ميليونها سايت در 35 طبقه بندي مختلف با موضوعاتي همچون Porn ، LifeStyle ، Proxy ، Crime و ... به صورت پيش فرض در بانک اطلاعاتي DS-Gate موجود بوده و در کارآترين شکل ممکن قابل مسدود سازي است. قابل ذکر است که بانک اطلاعاتي فوق به صورت اتوماتيک قابل به روزرساني است.
• فيلتر کلمات فارسي و لاتين با encoding هاي مختلف
يکي از نيازمنديهاي اساسي فيلتر وب، امکان مسدود سازي کلمات ممنوعه است. در کشور ما امکان مسدودسازي کلمات فارسي از اهميت ويژه اي برخوردار است. اين کلمات ممکن است در هر بخشي از URL ظاهر شوند، به عنوان مثال در يک درخواست جستجوي سايت www.google.com . سيستم فيلترينگ DS-Gate اين امکان را فراهم نموده همچنين اجازه ويرايش و افزودن کلمات فارسي و لاتين را نيز مي دهد. نحوه نمايش کلمات فارسي در مرورگرهايي مثل Internet Explorer ، Mozilla و ... داراي encoding هاي مختلف است، به عنوتان مثال مي توان به Unicode ، Arabic Windows و ... اشاره کرد. لذا DS-Gate يک کلمه ممنوع را در کليه نمايشهاي فوق مسدود مي کند.
• امكان مسدود کردن سايتهاي HTTPS و Chat Room هاي مختلف
بسياري از سايتهاي وب از جمله پراکسي ها بر اساس پروتکل HTTPS کار مي کنند. اين سايتها نيز توسط DS-Gate قابل مسدود کردن مي باشند. بسياري از سايتها نيز Chat Room هايي در اختيار کاربران مي گذارند که در صورت لزوم مي توان آن Chat Room ها را مسدود نمود.
• امكان كار در دوحالت فيلترينگ نرمال و معکوس (Reverse Filter)
علاوه بر انجام فيلترينگ در حالت عادي، گاه لازم است که کاربران به جز چند سايت مشخص، به هيچ سايتي دسترسي نداشته باشند. به اين حالت کاري فيلترينگ معکوس گفته مي شود که معمولاً در ادارات و سازمانهايي که اتصال به اينترنت مگر به چند سايت خاص ممنوع است، مورد استفاده قرار مي گيرد. DS-Gate اين ويژگي را نيز پشتيباني مي کند.
• مسدود کردن URL هاي حاوي عبارات خاص (Pattern Matching)
گاهي يک URL حاوي يک عبارت ممنوعه است که نمي توان آن را با يک Keyword بيان کرد. در اين حالت خود عبارت يا الگوي مجموعه اي از عبارات را تعريف نموده و فيلتر مي کنيم.
• امكان مسدود کردن URL هاي حاوي URL ممنوع (URL in URL) گاهي يک URL درخواست شده توسط کاربر، حاوي يک URL ممنوعه مي باشد که به آن اصطلاحاً URL in URL اطلاق مي شود. اين مسأله در بسياري از پراکسي ها براي دور زدن فيلتر اتفاق مي افتد. سيستم فيلتر DS-Gate اينگونه URL ها را هم به راحتي مسدود مي کند.
• امكان فيلتر كردن Cache در سايتهاي جستجو مثل ياهو و گوگل
يکي از امکانات موتورهاي جستجو همچون ياهو و گوگل نگهداري نسخه اي از کليه سايتهاي وب و ارائه آن به صورت Cache هنگام جستجو مي باشد. برخي کاربران براي دسترسي به سايتهاي ممنوعه از نسخه Cache شده اين موتورهاي جستجو استفاده مي کنند، که DS-Gate از اين امر جلوگيري مي کند.
ry PIX-515E Firewall
در اين مقاله طراحي فايروال براي Data Center و محافظت از يك Data Center مورد بحث قرار خواهد گرفت.
1- تعاريف
طراحي محيط شبكه مطابق با مدل هاي روز به صورت زير خواهد بود
- جدا سازي دامن هاي خطر با لايه هاي مختلف فايروال
- يك دامنه خطر در هر لايه در ساختار طراحی
- نواحي امنيتي در Outer-Tire براي دسترس بودن
- نواحي امنيتي در دامنه خطر Middle-Tire براي اجزاي Tire-2
- امنيت در دامنه خطر لايه داخلی(-Tire Inner) براي دسترسي داخلي به سرورها و برنامه هاي كاربردي و سرور پايگاه داده
- Out Of Band Management
- Out Of Band Back up
- جدا سازي فيزيكي دامنه هاي خطر
- جدا سازي منطقي نواحي امنيتي
- زوج فايروالهاي با ضريب اطمينان بالا
در اين مقاله واژه هاي خارجي، مياني و داخلي جهت توصيف 3 لايه از فايروال مي باشد. مدل لايه نرم افزار كاربردي به صورت:
Tier 1 Presentation
Tier 2 Application
Tier 3 Data
طراحي جزيي محيطي:
Tier 1 از ساختار نرم افزار كه توسط فايروال خارجي سرويس داده مي شود
Tier 2 از ساختار نرم افزار كه توسط فايروال مياني سرويس داده مي شود.
Tier 3 از ساختار نرم افزار كه توسط فايروال داخلی سرويس داده مي شود.
در اين طراحي، فايروالها تمام ترافيك ورودی وخروجی محيط شبكه را كنترل مي كنند بنابراين افزونگي (Redundancy) كامل لايه هاي خارجي، داخلي و مياني فايروال ميزان اطمينان و پايداري بالا را حتمي مي سازد.
2- دفاع در عمق
در اين طراحي، دو محصول فايروال متفاوت در نظر گرفته شده است. آسيب پذيرهايي كه ممكن است در يك سيستم فايروال كشف شوند نمي توانند روي فايروال ديگر به اجرا در آمده و شبكه پيرامون مركز ديتا (Data Center) را مورد تهاجم قرار دهند.
جدا سازي فيزيكي نواحي خطر، داخل لايه (Tier) فايروال به كمك سوئيچ هاي لايه دو و رابطهاي فيزيكي فايروال حاصل مي شود.
نواحي چندگانه خطر مي توانند براي هر لايه تعريف شوند. نواحي امنيتي داخل يك حوزه خطر جهت رسيدن به تفكيك بيشتر با استفاده از جداسازي منطقي توسط VLAN به كار مي آيند. دو سوئيچ مجزا ممكن است در يك حوزه خطر براي اهداف افزونگي زير ساخت به كار آيند. استفاده ا ز دو كارت شبكه نيز براي افزونگي ارتباط Host در اين راستا قرار دارد. دياگرام زير طراحي شبكه در سطوح بالا را نشان مي دهد.
3- فايروال داخلي
كنترل فايروال ها توسط فايروال داخلي انجام مي شود. اگر هر كدام از فايروال هاي خارجي و يا مياني و يا سيستم هاي داخل DMZ مورد حمله قرار گرفته و كنترل آنها توسط هكرها بدست گرفته شود فايروال داخلي به عنوان محافظ آدرس هاي داخلي شبكه در برابر حملات انجام شده خواهد بود. فايروال Check Point مي تواند بعنوان لايه سوم مورد استفاده قرار بگيرد. به عنوان مثال مجموع دستگاه Nokia IP 530 كه در حالت فعال/غير فعال تنظيم شده اند را مي توان استفاده نمود.
4- فايروالهاي مياني:
نقش فايروالهاي لايه داخلي (Inter-tier) بوسيله فايروالهاي مياني ايفا مي شود. آنها برنامه هاي كاربردي را در معماري سه لايه اي فعال مي كنند. فايروال-1 NG مي تواند در يك پيكربندي HA (High Availability) براي اين منظور استفاده شود.
5- فايروالهاي خارجي
نقش مكانيزمهاي تقويت امنيت بوسيله اين فايروالها ايفا مي شود. اين فايروالها به اينترنت متصل مي شوند. اين فايروالها در يك زوجي از پيكربندي فعال-غير فعال پياده سازي شده كه يكي از آنها به عنوان فايروال اوليه فعاليت كرده و ديگري به عنوان فايروال Standby به منظور اطمينان بالا (High Availability) عمل مي كند.
نواحي امنيتي لايه 1 (Tier-1) نيز بوسيله فايروالهاي خارجي كنترل مي شوند. سرويس هاي برنامه هاي كاربردي مانند Mail Relay، DNS و پروكسي هاي وب توسط فايروالهاي خارجي كنترل مي شوند. فايروالهاي Cisco مانند سري Cisco pix 535 ميتوانند براي لايه خارجي به كار آيند.
6- دستاوردها
طراحي محيطي (Perimeter design) دستاوردهاي زير را به همراه دارد:
- اطمينان و پايداري بالا از طريق افزونگي
- كارايي بالا
- OSPF (آگاهي شبكه)
- افزايش اطمينان و بازيابي (VRRP)
- افزونگي (Failover)ارتباطات داخلی
- افزونگي (Failover)ارتباطات خارجي
- نواحي امنيتي و حوزه هاي خطر چند گانه (درگاههاي VLAN)
- بازرسي بسته ها و فيلترينگ آنها به روش Statefull
- بازرسي محتوي بوسيله مكانيزم Check Point Application Intelligence
- سخت افزار مختص عملكرد فايروال
- دفاع در عمق- لايه هاي مختلف فايروال و محصولات متنوع
- ترجمه و تفسير آدرس بين شبكه ها
- قابليت IDS در ساختار موجود
Ip6600توضیحات :
Ip6600 یک روتر مجاز صنعتی است که دو پورت سریال و دو پورت اترنت lan دارد ار آن ممکن است برای اتصال خروجی بالای 700 kbps استفاده شود.
از آنجایی که هر اترنت و پورت سریال مستقل است ، روتر دارای کاربردهای بسیاری در افزایش به استفاده های عادی dial_in T dial_out و سبک اتصال lan ناهمزمان می باشد .دو پورت سریال RS232 در سرعت های ناهمزمان حداقل 300 bps و حداکثر 230 kbps عمل می کنند. آنها ممکن است برای اتصال دو موقعیت دور و جدا از هم با dial connection , leased بکار روند، پورت اول برای اتصال isp استفاده می شود و پورت دوم برای dial_in ، و استفاده از ترکیب dial_in , dial_out , dial_on یا برای ترکیب های مناسب دیگر می باشد .
دو اتصال lan اترنت ممکن است روی سگمنت های lan متمایز برای مسیریابی dmz ، فایروال کردن و فیلترینگ پورت / ادرس یا استفاده هایی به عنوان DSL یا کابل مودم برای ترجمه آدرس شبکه پیکربندی شده باشد.
Ip6600 با DSL ، کابل یا dial مودم ، مودم های خط اجاره ای ، CDPD یا مودم های GSM ، لینک های بدون سیم و مودم های ماهواره ای ، DCB DA_56 DSU و یا حتی با درایو های خط ساده به خوبی کار می کند.
انعطاف پذیری یک کلید است ، مسیر یابی ممکن است بین هیچ ترکیبی از رابط هایی با ویژگی های کامل فیلترینگ آدرس یا پورت، پورت جلویی و NAT پیکربندی شده باشد .
پورت های مشابه ممکن است حتی برای استفاده های DIAL_OUT , DIAL_ON_DEMAND پیکربندی شده باشند تا وقتی که DIAL_IN از کاربران کامپیوتر پذیرفته شود که آن براحتی برای" ماندن بر روی خط" صفحه اتصال پیکربندی می شود.
پیکربندی یک جستجوگر وب راحت و سریع می باشد و روتر از 3 پیکربندی متمایز استفاده می کند : یکی پیکربندی انباشته و بعدی پیکربندی اجرا و دیگری پیکربندی متکی یا مشروط .
این روش ها اجازه موقت تغییرات پیکربندی ، تست ، و تغییر پیکربندی های راه دور را می دهند ، تا یک اتصال PPP روی روتر ایجاد شود . پیکربندی های ممکن است روی PC برای استفاده های بعدی ذخیره شوند و همچنین فایل های CONFIG روی یک PC قابل ویرایش است .
IP6600 راست_جلو پیکربندی و نگهداری راحت می باشد . IP6600 دارای ترکیبی است که شما می خواهید پیچیده نباشد .
ویژگی های IP6600 :
• نرخ صنعتی C40- تا 70+
• دو پورت اترنت :10baseT , 10/100baseT
• دو پورت سریال نا همزمان RS232
• هر پورتی مستقل و آزاد است
• آسان برای setup و نگهداری
• مدیریت و پیکربندی جستجوگر وب
• فایل های پیکربندی چندگانه
• ورود آمار و ارقام گسترده به سیستم و ابزار تشخیص خطا
• فیلترینگ آدرس / پورت ، ارسال پورت و NAT
• ویژگی های امنیتی و فایروال های وسیع
• اطمینان از صحیح بودن PAP , CHAP , MSCHAP(1&2)
• رابط های اختصاصی ، ترکیبات DIAL_OUT و DIAL_IN . DIAL_ON_DEMAND
• اتصال LAN TO LAN یا DIAL_IN کامپیوتر های دور
• DHCP سرور یا مشتری
• سایز فشرده ، توقف محض و نصب قفسه
• انتخاب منبع برق AC , DC
مشخصات:
عمومی:
دو پورت سریال ناهمگون RS_232 :
• رابط DE_9P(PC_9PIN)
• سرعت Kbps230
دو پورت اترنت:
• 10/100baseT
• 10baseT
ویژگی های پروتکل:
• ICMP ,UDP, DHCP(SERVER & CLIENT), IP, PPP
• اطمینان از صحیح بودن: MSCHAP(V1 AND V2) , CHAP , PAP
• Dial_on_demand داخل و خارج از محدوده ppp
• زمان disconnect اتوماتیک
• ترجمه آدرس شبکه(nat ) ، فیلترینگ آدرس و پورت و ارسال پورت
• مدیریت و پیکربندی جستجوگر وب
• آدرس IP قردادی:192.168.0.1
شاخص هی پانل جلو:
• برق جلو ، وضعیت ها ، پورت فعالیت (2)
• اتصال LAN (2) عقب ، LAN فعالیت (2)
کنترلها:
سوئیچ DIP :
• SETUP
• RESET
فیزیکی و الکتریکی :
• برق مورد نیاز :ma600 و vdc12 استاندارد ،vdc 12،24،48،125،vAc240 منابع قابل دسترس هستند که با برق خارجی VAC 120 تولید می شوند.
محیطی:
• درجه حرارت قابل استفاده: 40- تا C 70+
• درجه حرارت مخزن : 50- تا C 75+
• رطوبت: 95% بدون غلظت
قیمت توضیحات DCB PART
489$ روتری با دو پورت ناهمگام و دو پورت LAN IP_6600
789$ روتری با یک پورت ناهمگام و مودم V.92 و دو پورت LAN IP_6690
75$ انتخاب منبع برق داخلی VDC 18-9 IP_66XX_12V
75$ انتخاب منبع برق داخلی VDC 35-18 IP_66XX_24V
75$ انتخاب منبع برق داخلیVDC 72-36 IP_66XX_48V
125$ انتخاب منبع برق خارجی VDC125 IP_66XX_125VDC
دستگاه فایروال GB_200 :
مهمترین خصوصیات :
• سه پورت اترنت 10/100
• جعبه نرم افزار سیستم IC SA_certified BNAT
• 10 کاربر همزمان (وقابل افزایش تا 50 کاربر)
• تعیین اعتبار کاربر
• سرور DHCP
• امنیت پراکسی ایمیل(SMTP)
• SNMP
• PPP/PPPOE/PPTP
• فیلترینگ محتوای لیست محلی (LCL)
• مدیریت راه دور امنیت
• بازرسی پاکت های مفید
• فیلتر TIME_BASED
• ترجمه آدرس شبکه به طور شفاف
• رابط کنسول سریال RS_232
ویژگی های انتخابی :
• نگهبان MAIL ؛ فیلترینگ ایمیل با آنتی اسپم
• نگهبان SURF ؛ فیلترینگ محتوای وب
• انتخاب VPN با 1 مشتری VPN سیار
• افزایش مجوز مشتری VPN سیار
• تایید قرداد ها
مشخصه ویژگی ها:
• اتصالهای همزمان 2500
• پیکربندی PPP 5
• IP مستعار 5
• هاست های سراسری IP 10
• فیلترها (از هر نوع) 75
• کانال ها 25
• هدف آدرس ها 50
• نگاشت IP مستعار 25
• مسیرهای استاتیک 10
• گروههای زمانی 75
• لیست های کنترل دستیابی 10
• لیست فیلترهای محتوای محلی 25
• پروتکل ها 255
نرم افزار ساپورت شده:
• دنباله گزارش های GTA
• GB فرمانده(مدیریت فایروالها)
طراحی سخت افزاری:
کالبد GB_200 یک واحد صفحه کاری کوچک است که برای جمع کردن ذخایر حرارتی کمینه بدون فن خنک کننده طراحی شده است. آن دارای 3 رابط اترنت با سرعت بالای Mbps 10/100 برای تضمین کارایی بالا و طراحی شبکه انعطاف پذیر و یک رابط سریال DB_9 چند کاره برای فراهم کردن دسترسی به کنسول های سریال یا یک dial_up مودم / ISDN TA وجعبه نرم افزار سیستم GNAT که قبلا نصب شده را ذخیره و اجرا می کند.برق آن توسط یک آداپتور برق خارجی تهیه می شود.
مشخصات رابط I/O :
• سه رابط شبکه baseT10 اترنت Mbps10/100 روی UDP cat3,4,5 و سریعترین رابط شبکه base_TX 100 اترنت روی UTP cat .5.NIC که فاکتوری برای IP 192.168.71.254 می باشد .
• یک رابط سریال RS_232(DB_9) ، کنسول سریال / پورت مودم با bps 38400 ، 8 بیت و 1 توقف و هیچ PARITY و کنترل جریان به سخت افزار را باید نصب کرد .
ساعت سیستم:
فایروال ثبت وقایع را شروع می کند و گروهها توسط زمان وقوع زمانبندی می شوند . برای اطمینان یافتن از اینکه بیشترین دقت زمانی استفاده شده است ، GB_200 شما باید وضعیت سرور شبکه را اعلام کند .
برای ثبت سرورهای زمانی شبکه شما باید همانگونه عمل کنید. دستیابی به رابط وب فایروالهایتان ، روی SERVICES کلیک کنید تا منوی شما بسط یابد و سپس روی NETWORK TIME SERVICES کلیک کنید جعبه ENABLE را چک کنید و نام دامنه از یک سرور زمانی شبکه را وارد کنید سپس روی SAVE و بعد روی OK کلیک کنید .
مشخصات سخت افزار
1” x 6” x 6.25”
(2.54 cm x 15.24 cm x
15.875 cm)
ابعاد
1.25 lbs (0.568kg)
وزن
مشخصات POWER
ولتاژ خروجی فرکانس ورودی ولتاژ ورودی محل
12 VDC
50 Hz
240 VAC
Australia
12 VDC
50 Hz
230 VAC
Europe
12 VDC
50-60 Hz
100 VAC
Japan
12 VDC
60 Hz
120 VAC
USA
12 VDC
50Hz
230 VAC
UK
مشخصات عملیات سیستم
32° to 140° F (0° to 60° C)
دما
10% to 90%, non-condensing
رطوبت وابسته
0 to 10,000 ft. (0 to 3,048 m)
ارتفاع
مشخصات CPU , MEMORY
133 MHz AMD SC 520
CPU
64 MB SDRAM
Memory
64 MB Type 1 Compact
Flash
Flash Memory