فایروال

اهمیت راهکارهای HA درفایروالهای فورتی گیت

در این نوشتار در نظر داریم دو مورد از مهم ترین راهکارهای HA برای فایروالهای فورتی گیت؛ تحت عنوان VRRP و FGCP، مزایا، معایب و نحوه پیاده سازی آنها را بررسی نماییم. در دنیای امروز که وقوع یک لحظه قطعی در شبکه ی شرکت ها می تواند هزاران دلار ضرر برای آنها به همراه داشته باشد، شرکت ها از چندین لینک اینترنت استفاده می کنند. اما اگر روتر و یا فایروال شما به درستی عمل نکند، داشتن چندین لینک اینترنت هم نمی تواند مثمر ثمر واقع شود. در این حالت داشتن دو دستگاه شبکه که بتوانند به صورت master/salve کار کنند، ایده بسیار خوبی است که موجب می شود در صورت بروز مشکل برای یکی از دستگاه ها، دستگاه دوم به راحتی جایگزین شود و این امر دلیل به وجود پروتکلهای FHRP همچون HSRP و VRRP است. اما این پروتکل ها بیشتر برای روترها مورد استفاده قرار می گیرند. هرچند که فایروالها نیز از این پروتکل ها بهره می برند اما دارای پروتکل های اختصاصی خود نیز هستند.
Virtual Router Redundancy Protocol

تاریخچه VRRP

VRRP یک پروتکل توسعه یافته است که به برند خاصی تعلق ندارد؛ اما پروتکل HSRP که قبل از آن توسعه یافته، مختص سیسکو است. اصول کارکرد این دو پروتکل مانند هم است و تنها تفاوت در این است که هر چند HSRP تنها بین تجهیزات سیسکو قابل استفاده است، می توانید از VRRP بین دو برند متفاوت استفاده کنید.

 

منطق VRRP

VRRP از منطق به اشتراک گذاری IPمجازی و همچنین آدرس Mac بین دستگاه Master و Slave استفاده می کند. دستگاه Master از آی پی مجازی بر روی Interface خودش استفاده می کند و چنانچه به هر دلیلی از دسترس خارج شود، دستگاه slave جای آن را گرفته و از همان آی پی مجازی استفاده می کند. VRRP با تشکیل یک VRRP Group از طریق دو یا تعداد بیشتری دستگاه فورتی گیت، پیاده سازی می شود. همچنین می توانید VRRP را بین فورتی گیت و یک روتر ساده مانند روترهای سیسکو که از VRRP پشتیبانی می کنند، کانفیگ نمایید. علاوه بر اینها شما می توانید VRRP را به منظور انجام load balancing پیکربندی نمایید که در این صورت دیگر هیچ دستگاهی به عنوان idle نخواهید داشت.

 

VRRP چگونه کار می کند؟

همچون اکثر پروتکل های شبکه، VRRP از ارسال پیام بین اعضا استفاده می کند. دو مدل ارسال و دریافت پیام وجود دارد که hello و dead نامیده می شوند. فاصله زمانی ارسال و دریافت پیامهای VRRP بین وندورهای مختلف متفاوت است که این زمان در مورد فورت نت برای ارسال hello یک ثانیه و برای keep alive سه ثانیه است. پکت های hello هر یک ثانیه یکبار توسط master ارسال می شوند و تا زمانی که slave این پیام ها را دریافت می کند، هیچ فعالیتی برای تبدیل شدن به واحد اصلی انجام نمی دهد. اما چنانچه پیام های hello از master به salve نرسد، پس از گذشت سه ثانیه زمان پیش فرض که بر روی dead interval تعریف شده، salve تشخیص می دهد که دستگاه اصلی از سرویس دهی خارج شده و خودش را جایگزین آن می کند.

 

FGCP HA چیست؟

FGCP HA پروتکل مخصوص فورتی گیت است که به شما قابلیت افزونگی را می دهد. FGCP همانند VRRP کار می کند؛ اما مهم ترین تفاوت FGCP این است که در این پروتکل حتما می بایست دو دستگاه فورتی گیت از یک مدل داشته باشید که بتوانید HA را پیاده سازی نمایید. در صورت راه اندازی کلاستر FGCP، فایروالها کانفیگ هایشان را با یکدیگر همگام سازی کرده و به عنوان یک دستگاه عمل می کنند. همچنین عملیات load balancing و failover را در صورت نیاز انجام می دهند.

چگونگی شکل گیری کلاستر FGCP

برای اینکه بتوانید فورتی گیت ها را در یک کلاستر قراردهید می بایست دارای یک مدل، سخت افزار و فریم ور باشند. هر کلاستر ، یک فورتی گیت به عنوان واحد اصلی و یک تا نهایتا سه فورتی گیت دیگر به عنوان واحدهای ثانویه دارد.

مفهوم FGCP
مانند VRRP، FGCP هم از یک مک مجازی استفاده می نماید و اطلاعات بین دستگاه از طریق پروتکل ARP تبادل می شود. همچنین اگر FGCP را خودتان تنظیم کنید، می توانید تایمرهای آن را حتی کمتر از یک ثانیه قرار دهید.

نیازمندی های FGCP

اگر بخواهید در شبکه uptime بالایی داشته باشید می توانید بین فورتی گیت ها از سوئیچ استفاده کنید. زیرا هر فورتی گیت دو پورت برای حالت HA دارد و اگر برای مثال بخواهید ۴ فورتی گیت در یک کلاستر داشته باشید، نیازمند تهیه سوئیچ برای اتصال فورتی گیت ها به آن هستید. در صورت down شدن سوئیچ مرکزی، ارتباط کل کلاستر قطع می شود؛ بنابراین بهتر است دو سوئیچ شبکه داشته باشید که آنها را stack کرده و فورتی گیت ها را به آنها وصل کنید که هیچگونه down timeی نداشته باشید. همچنین برای بالاتر رفتن uptime می توانید دو دستگاه دیگر هم تهیه کنید و آنها را به صورت VRRP برای شبکه راه اندازی کنید و آنها نقش VRRP را داشته باشند و ترافیک را به فورتی گیت ها بدهند.

 

پیکربندی VRRP

 – کانفیگ واحد master:

config system interface
Jamaica # config system interface
Jamaica (interface) # edit port4
new entry ‘port4’ added
Jamaica (port4) # set vrrp-virtual-mac enable
Jamaica (port4) # config vrrp
Jamaica (vrrp) # edit 100
new entry ‘100’ added
Jamaica (100) # set vrip 172.16.50.100
Jamaica (100) # set priority 255
:Slave unit configuration
Cuba # config system interfac
Cuba (interface) # edit port4
new entry ‘port4’ added
Cuba (port4) # set vrrp-virtual-mac enable
Cuba (port4) # config vrrp
Cuba (vrrp) # edit 100
new entry ‘100’ added
Cuba (100) # set vrip 172.16.50.100
Cuba (100) # set priority 50

ما از پورت ۴ هر دو فورتی گیت برای کانفیگ VRRP استفاده نمودیم. در ابتدا می بایست یک MAC مجازی را به این پورت اختصاص دهیم و این MAC مجازی جایگزین MAC اصلی آن اینترفیس می شود. علت این امر این است که در صورت وقوع failover یا به عبارت دیگر Down شدن یک دستگاه، کامپیوترهایی که داخل LAN هستند، MAC اصلی دستگاه یا روتر fail شده را نداشته باشند و به همین دلیل MAC مجازی جایگزین MAC اصلی می شود.
بعد از این مرحله وارد حالت کانفیگ VRRP شده و VRRP group id رو بر روی پورت۴، روی ۱۰۰ قرار می دهیم و virtual IP استفاده شده نیز ۱۷۲٫۱۶٫۵۰٫۱۰۰ است. در نهایت اولویت را برای دستگاهی تنظیم می کنیم که اولویت بالاتر و دارای ارجحیت بیشتری است؛ به طور مثال دستگاهی که ۲۵۰ به آن داده شده master است و دستگاه دیگر slave شده. در اینجا preempt هم به صورت پیشفرض فعال است که در دستگاه سیسکو فعال نمی باشد. کار preempt به این صورت است که زمانیکه دستگاه master مجدد به شبکه باز می گردد، دوباره به صورت master می شود و دستگاهی که slave بوده دیگر کار نمی کند. کانفیگ Load balancing VRRP نیز تقریبا مشابه است به جز اینکه از یک group id و virtual IP دیگر می بایست استفاده شود.

VRRP Load Balancing configuration
config system interface
Jamaica # config system interface
Jamaica (interface) # edit port4
new entry ‘port4’ added
Jamaica (port4) # set vrrp-virtual-mac enable
Jamaica (port4) # config vrrp
Jamaica (vrrp) # edit 100
new entry ‘100’ added
Jamaica (100) # set vrip 172.16.50.100
Jamaica (100) # set priority 255
Jamaica (100)# end
Jamaica (vrrp) # edit 200
new entry ‘200’ added
Jamaica (200) # set vrip 172.16.50.200
Jamaica (200)# set priority 50
Slave unit configuration:
Cuba # config system interface
Cuba (interface) # edit port4
new entry ‘port4’ added
Cuba (port4) # set vrrp-virtual-mac enable
Cuba (port4) # config vrrp
Cuba (vrrp) # edit 100
new entry ‘100’ added
Cuba (100) # set vrip 172.16.50.100
Cuba (100) # set priority 50
Cuba (100) # end
Cuba (vrrp) # edit 200
new entry ‘200’ added
Cuba (200) # set vrip 172.16.50.200
Cuba (200) # set priority 255
Cuba (200) # end

هنگامی که کانفیگ ما برای virtual group بعدی تمام شد و به آن IP مجازی اختصاص دادیم، یکی از دستگاه های فورتی گیت برای گروه اول master می شود و یکی دیگر برای گروه دوم master می شود و به این صورت load balance انجام می شود. شما نیاز به ارسال دو default rout به سمت کاربر دارید؛ یکی به آی پی فورتی گیت اول ۱۷۲٫۱۶٫۵۰٫۱۰۰ و دومی به آی پی فورتی گیت دوم ۱۷۲٫۱۶٫۵۰٫۲۰۰٫ اگر یکی از فورتی گیت ها از مدار خارج شود، فورتی گیت دیگر برای هر دو گروه نقش master را ایفا می کند و بنابراین downtime نخواهیم داشت.

HA – High Availability configuration

کانفیگ HA با FGCP: در این کانفیک می بایست ابتدا دستگاه هایتان را به یکدیگر متصل کنید. اگر فایروال شما پورت اختصاصی برای HA دارد از آن استفاده کنید در غیر اینصورت می توانید از یک پورت بلااستفاده ی دیگر بین دو دستگاهتان استفاده کنید. پس از این مرحله با روشن کردن دستگاه ها، به طور اتوماتیک اطلاعات را رد و بدل می کنند و یکی از این دستگاه ها به عنوان اصلی و دیگری به عنوان ثانویه انتخاب می شوند.
ابتدا hostname را برای فایروالها انتخاب می کنیم که به آن نام قابل شناسایی باشند.

 


Jamaica # config system glob
Jamaica (global) # set host Jamaica1
Jamaica # config system glob
Jamaica (global) # set host Jamaica2

 

اکنون می بایست HA mode را انتخاب کنیم. Active-passive فقط به ما failover میدهد اما active-active هم failover و هم load-balancing می دهد.

 

Jamaica1 # config system ha
Jamaica1 (ha) # set mode active-passive
Jamaica1 (ha) # set group-name Cluster
Jamaica1 (ha) # set password P@ssw0rd

در این مرحله باید اسم کلاستر را انتخاب کنیم و یک پسورد ایجاد کنیم که سخت باشد به هر کسی نتواند با آن وارد کلاستر شود.


Jamaica2 # config system ha
Jamaica2 (ha) # set mode active-passive
Jamaica2 (ha) # set group-name Cluster
Jamaica2 (ha) # set password P@ssw0rd

اکنون فایروالها با هم اطلاعات را رد و بدل می کنند و یکی از آنها به عنوان اصلی انتخاب می شود. بعد از همگام سازی کامل HA cluster فورتی گیت ها و رد و بدل کردن کانفیگ هایشان، به عنوان یک دستگاه با یکدیگر فعالیت می کنند و اگر یکی از آنها از مدار خارج شود دستگاه دیگر افزونگی آن بوده و downtime نخواهیم داشت. در این مرحله می بایست به این اینترفیس ها IP اختصاص دهیم که به شبکه متصل شوند.

Jamaica1 # config system int
Jamaica 1 (interface) # edit port1
new entry ‘port1’ added
Jamaica (interface)
Jamaica1 (port1) # set ip 192.168.134.25/24
Jamaica1 (port1) # next
Jamaica1 (interface) # edit port2
Jamaica1 (port2) # set ip 192.168.135.25/24
Jamaica1 (port2) # end
Jamaica1 (port2) # config router static
Jamaica1 (static) # edit 1
Jamaica1 (1) # set dst 0.0.0.0 0.0.0.0
Jamaica1 (1) # set gateway 192.168.135.25 set device port1
Jamaica1 (1) # next
Jamaica1 (static) # edit 2
Jamaica1 (2) # set gateway 192.168.136.25 set device port2
Jamaica1 (2) # end

این کانفیگ ها بسیار ساده بود و به این ترتیب فایروالها با پروتکل FGCP قابل کانفیگ هستند.

 

نتیجه گیری

در این نوشتار یک کانفیگ ساده از هر پروتکل به زبان ساده بیان شد و اکنون می توان بین آنها مقایسه ای صورت داد:
VRRP یک پروتکل Open Source است. به عبارت دیگر شما می توانید با فایروالهای دیگری هم که VRRP داشته باشند، load balancing و failover را انجام دهید. بخش دیگر آن این است که اگر دستگاه دیگر شما فورتی گیت نباشد بخش همگام سازی کانفیگ ها که اطلاعات پیکربندی را همگام سازی می کند نخواهید داشت و برخی از قابلیت های اختصاصی فایروال شما نیز به درستی عمل خواهد کرد.
در مقابل پروتکل FGCP قرار دارد که در آن پیکربندی این پروتکل حتما می بایست کلیه سخت افزارها، مدلها و حتی OS و لایسنس آنها یکی باشند. در FGCP اگر بیش از دو فورتی گیت داشته باشید می توانید دو سوئیچ نیز به صورت stack بین آنها قرار داده و به منظور افزونگی بیشتر پیشنهاد می شود از دو سوئیچ دیگر نیز برای failover و loadbalancing بخش lan شبکه استفاده نمایید.

برای کسب اطلاعات بیشتر در مورد خرید، نصب و راه اندازی فایروال و HA نمودن آنها با ما در تماس باشید. ۰۲۱۵۴۷۴۴
منبع : https://indeni.com

0دیدگاه

مزایای فورتی آنالایزر

FortiAnalayzer؛ ابزار گزارش‌گیری و مانیتورینگ پهنای باند

فایروال آنالایزر به شما اجازه می‌دهد لاگ دستگاه امنیتی فورتی گیت را بطور مرکزی جمع‌آوری، آرشیو و تحلیل نموده و گزارش‌های forensic را از آن استخراج نمایید. ویژگی‌های گزارش‌گیری Firewall Analyzer برای دستگاه فایروال فورتی گیت به شما امکان فراهم آوردن و تقویت امنیت شبکه را ارائه می‌نماید.

 

گزارش‌های مانیتورینگ پهنای باند و ترافیک

Firewall Analyzer برای فورتی گیت یک روش منحصر به‌ فرد برای نظارت بر مصرف پهنای باند شبکه فراهم می‌نماید. Firewall Analyzer پهنای باند شبکه را براساس تجزیه و تحلیل لاگهای دریافت شده از فورتی گیت اندازه‌گیری می‌کند. لاگهای فایروال به‌منظور دریافت جزئیات granular در مورد پهنای باند، جمع‌آوری، آرشیو و آنالیز می‌شوند. شما برای دریافت این جزئیات در مورد پهنای باند به هیچ‌گونه سخت‌افزار یا عامل جمع‌آوری اطلاعات نیاز ندارید.

گزارش‌های مانیتورینگ پهنای باند و ترافیک
fortianalyzer advantages

گزارش‌های امنیتی

Firewall Analyzer برای فورتی گیت، گزارش‌های امنیتی فوری از ویروس‌ها، حملات و نقص امنیتی در شبکه را فراهم می‌آورد. این گزارش‌ها بلافاصله به شما ویروس‌های فعال در شبکه و میزبان‌های تحت تأثیر قرارگرفته را نشان می‌دهد. با این گزارش‌ها برای IT آسان‌تر است که ارزیابی ریسک‌های تجاری، شناسایی مشکلات و حل‌وفصل آن‌ها را به ‌محض یافتن انجام دهند.

گزارش‌های امنیتی فورتی آنالایزر
fortianalyzer advantages

مدیریت سیاست فایروال

Firewall Analyzer برای فورتی گیت ، بر قوانین، سیاست‌ها و کاربرد ACLs نظارت نموده و گزارش می‌نماید. به‌عبارت‌دیگر تمامی قوانین فایروال‌ها را بازنگری کرده و گزارش‌های استفاده از قوانین و Role های پیشنهادی و بهتر را ارائه می‌کند. با کمک گرفتن از گزارش‌ها می‌توانید کاربری و اثربخشی فیلتر ها و Role های فورتی گیت را بررسی نموده و آن‌ها را برای عملکرد مطلوب تنظیم کنید.

مدیریت سیاست فایروال
fortianalyzer advantages

Security Audit

Firewall Analyzer گزارش کاملی را همراه با جزئیات برای دستگاه‌های فایروال فورتی گیت ارائه می‌دهد. گزارش کمک می‌کند Role ها و تنظیمات فایروال را پیکربندی نمایید که از دسترسی خطرناک به شبکه جلوگیری کرده و تنها به میزبان‌های موردنیاز اجازه دسترسی می‌دهد. مسائل، مورد ارزیابی قرار می‌گیرند و نتایج به‌عنوان آمار ارائه می‌شوند.

Security Audit
fortianalyzer advantages
استانداردهای مطابقت
fortianalyzer advantages
مدیریت پیکربندی
fortianalyzer advantages

استانداردهای مطابقت
سیسم مدیریت انطباق یکپارچه Firewall Analyzer برای فایروال فورتی گیت حسابرسی‌های مربوط به خود را با گزارش‌های out-of-the-box بر مجوزهای نظارتی مانند PCI-DSS، ISO 27001، NIST، SANS و NERC-CIP به‌طور خودکار انجام می‌دهد.

مدیریت پیکربندی
این گزارش به شناسایی اینکه چه کسی چه تغییراتی را چه زمان و چرا ایجاد کرده، کمک می‌کند. همچنین زمانی که تغییرات اتفاق می‌افتد، بالافاصله به شما بر روی موبایلتان هشدار می‌دهد. این ویژگی تضمین می‌کند که تمامی پیکربندی‌ها و تغییرات بعدی ایجادشده در دستگاه فایروال، به‌صورت دوره‌ای انجام ‌شده و در پایگاه داده ذخیره می‌شوند. داده‌های پیکربندی برای تولید گزارش‌های مختلف استفاده می‌شود.


چرا Firewall Analyzer را انتخاب کنیم؟

  •  ارزش واقعی دستگاه‌های امنیتی خود را درک کنید.
  • پشتیبانی از حجم وسیعی از لاگهای دستگاه امنیتی محیطی که شامل فایروال‌ها، VPNها، IDS/IPS و سرورهای پروکسی است.
  • طیف وسیعی از گزارش‌ها را برای نظارت بر تهدیدات خارجی، مدیریت تغییر و تطبیق قانونی فراهم می‌کند.
  • هزینه تمام شده جذاب و بازگشت سریع سرمایه
  • عدم نیاز به سخت‌افزار اضافی، حداقل هزینه ورود و نگهداری
  • قیمت رقابتی. استقرار سریع، نتایج فوری، کاهش سربار فناوری اطلاعات، تضمین بازگشت سریع سرمایه
  • کسب‌وکار پویا به‌سرعت نیاز دارد
  • به‌سرعت لاگهای دستگاه امنیتی را به اطلاعات کاربردی تغییر می‌دهد
  • گزارش‌ها را در یک فرمت کاربرپسند مانند فرمت‌های PDF و CSV تولید می‌کند
  • بهبود بهره‌وری برای IT/MSSP
  • از استقرار محصول تا تولید گزارش در چند دقیقه
  • هشدارهای بلادرنگ در حوادث امنیتی IT را قادر می‌سازد تا به‌سرعت به تهدیدهای امنیتی پاسخ دهند.
0دیدگاه

معرفی سری های فایروال فورتی گیت

سری های فایروال فورتی گیت
فایروالهای فورتی گیت، فایروالهایی سطح بالا و با عملکرد قوی از تامین کننده امنیت شبکه فورتی نت هستند. فایروالهای فورتی گیت دارای گزینه های مختلفی برای نصب و راه اندازی هستند که آنها را برای نیازهای منحصر به فرد شما مناسب می سازد.
فایروالهای نسل بعدی فورتی گیت
دستگاه های امنیت شبکه فورتی گیت یک پلتفرم واحد برای امنیت شبکه end-to-end با کارایی بالا فراهم می اورند. فایروالهای نسل بعدی برای تقسیم بندی درونی، ابر، مرکز داده، محیط و پیاده سازی های کوچک تجاری و توزیع شده، بهینه سازی شده اند.
مدلهای فایروال فورتی گیت
تامین کنندگان فورتی گیت می توانند برای استفاده های مختلف سازمان شما، فایروالهای فورتی گیت را فراهم نمایند که این فایروالها از سطح اولیه و متوسط مانند FG-60E و FG-100E تا فایروالهای سطح بالا همچون سری ۱۰۰۰ و ۷۰۰۰ گسترده هستند. یک نمای کلی از فایروالهای فورتی گیت به شرح زیر هستند:
فایروالهای سطح اولیهفایروالهای متوسطفایروالهای سطح بالا
FortiGate 30 seriesFortiGate 100 seriesFortiGate 1000 series
FortiGate 50 seriesFortiGate 200 seriesFortiGate 2000 series
FortiGate 60 seriesFortiGate 300 seriesFortiGate 3000 series
FortiGate 90 seriesFortiGate 400 seriesFortiGate 5000 series
FortiGate 500 seriesFortiGate 7000 series
FortiGate 600 series
FortiGate 800 series
FortiGate 900 series
ویژگی فایروالهای نسل بعدی فورتی گیت
فایروالهای فورتی گیت شامل ویژگی های مختلفی هستند تا بتوانند بهترین تجربه امنیت شبکه را برای سازمان شما فراهم نمایند. فایروالهای سازمانی فورتی گیت شامل موارد زیر هستند:
  • امنیت ابتدا تا انتها(End-to-End Security) در طول کلیه چرخه حمله
  • Cloud-readiness: یکپارچه سازی آسان ابر عمومی
  • مدیریت متمرکز در همه انواع گسترش های ابر
  • پیاده سازی فایروال با تقسیم بندی داخلی برای محافظت بیشتر
فورتی گیت ۹۰۰، ۸۰۰، ۶۰۰
دستگاه های سری ۶۰۰تا ۹۰۰  به میزان ۵۲Gbps توان عملیاتی، همراه با چندین پورت Integrated 10G را فراهم می آورند. این ترکیب به عنوان یک فایروال تقسیم کننده داخلی همانند فایروال نسل بعدی راه حلی ایده آل را فراهم می آورد. همچنین امنیتی بالاتر و سرعتی چند گیگابایتی برای محافظت از بخشهای خاصی از شبکه داخلی و edge شبکه را فراهم می نمایند.
 
فورتی گیت سری ۳۰۰-۵۰۰
دستگاه های سری ۳۰۰-۵۰۰ توان عملیاتی بالای ۳۶Gbps را همراه با پورت های integrated چندگانه ۱G و ۱۰G فراهم می اورند. این ترکیب از عملکرد، تراکم پورت و امنیت یکپارچه، پلتفرمی ایده آل برای فضاهای شرکتی و مکان شعبات، فراهم می آورد.
فورتی گیت سری ۱۰۰-۲۰۰
دستگاه های سری ۱۰۰-۲۰۰ توسط آخرین پردازنده های امنیتی قدرت یافته اند به علاوه اینکه پورت های integrated چندگانه ۱G را فراهم می آورند. ترکیب عملکرد، تراکم پورت و امنیت یکپارچه، پلتفرمی ایده آل برای شرکت های متوسط و شعبات شرکت ها فراهم آورده است.
فورتی گیت سری ۱۰۰۰ (۱۰۰۰, ۱۲۰۰, ۱۵۰۰)
فورتی گیت سری ۱۰۰۰ توان خروجی بالای ۸۰Gbps و تاخیر فوق العاده کم را با چندین رابط سریع ۱۰GE ارائه می نماید که موجب حداکثر انعطاف پذیری و مقیاس پذیری می شود.
فورتی گیت سری ۲۰۰۰ (۲۰۰۰, ۲۵۰۰)
فورتی گیت سری ۲۰۰۰ دارای ویژگی های آخرین نواوری پردازنده های امنیتی است. به علاوه اینکه امنیتی بی نظیر را همراه با عملکرد بالای ۱۵۰Gbps با inspection SSL و کارایی NGFW برای بخش های داخلی و edge فراهم می نماید.
فورتی گیت سری ۳۰۰۰ (۳۰۰۰, ۳۱۰۰, ۳۲۰۰, ۳۷۰۰, ۳۸۰۰, ۳۹۰۰)
فورتی گیت سری ۳۰۰۰، به شما امکان می دهد تا با حداکثر توان بالای ۱Tbps بالاترین عملکرد در صنعت امنیت را همراه با پورت های ۱۰GE، ۴۰GE و ۱۰۰GE در یک دستگاه به طور فشرده با حداکثر انعطاف پذیری و مقیاس پذیری داشته باشید.
منابع :
www.cameoglobal.eu
www.fortinet.com
www.fortinet.com/products
0دیدگاه

معرفی FortiDB محصول شرکت Fortinet

فورتی نت مجموعه گسترده ای از محصولات امنیتی شامل فایروالها، محصولات امنیتی دسترسی به شبکه و محصولات مدیریت تهدید یکپارچه است که همچنین خانواده نرم افزارها و سخت افزارهای امنیت پایگاه داده تحت عنوان FortiDB را شامل می شود. نرم افزار FortiDB یک پلتفرم سازگار و جامع امنیتی پایگاه داده است که به شرکت های بزرگ و فراهم آورندگان سرویس های مبتنی بر ابر کمک می کند از پایگاه های داده و نرم افزارهای خود در مقابل تهدیدات داخلی و خارجی محافظت کنند. پلت فرم FortiDB فورتی نت بسیار مقیاس پذیر است و عمدتا به سمت شرکت های بزرگ متمرکز شده است. علاوه بر این، نظارت بر فعالیت های پایگاه داده و ارزیابی آسیب پذیری را در یک محصول ترکیب می کند.

مشخصات محصول

سازمانها می توانند FortiDB را به عنوان یک دستگاه یا نرم افزار در محیط های مجازی اجرا کنند. پلت فرم FortiDB فورتی نت، مدیریت آسیب پذیری و اکتشاف را فراهم می آورد. نظارت بر فعالیت پایگاه داده، ممیزی (برای کاربران نرم افزار و کاربران ممتاز)، مدیریت دسترسی و مدیریت ریسک و انطباق همگی از طریق یک کنسول مبتنی بر وب قابل دسترسی هستند.

اسکن های دیتابیس می توانند کلیه بانکهای اطلاعاتی را در یک شبکه و در زیرشبکه های یک شبکه ی WAN شناسایی کنند. برخلاف سایر رقبا، FortiDB به مدیران اجازه می دهد اطلاعات را به سه روش مختلف جمع آوری کنند. گزینه native audit از این عوامل استفاده نمی کند و کلیه رویدادها را ضبط می نماید و تاثیر آن بر عملکرد ۳ تا ۴ درصد است. گزینه network agent به اندازه native audit اطلاعات زیادی را ضبط نمی کند اما تاثیر آن بر عملکرد سرور نیز پایین تر است (۲ تا ۳ درصد). گزینه Sniffer بر روی عملکرد سرور هیچ تاثیری ندارد.

بروزرسانی ها و سیاست ها از طریق FortiGuard Threat Research Team اعلام می شود. ویژگی های محافظت در مقابل نفوذ به طور اتوماتیک انتقالهای مخرب را براساس تنظیمات ، متوقف می کند. زمانی که قوانین یا بهترین شیوه های مانند Payment Card Industry compliance، Digital Signature Standard، Sarbanes-Oxley Act یا Health Insurance Portability و Accountability Act تغییر می کنند، سیاست های از پیش تنظیم شده به طور خودکار بروزرسانی می شوند. همچنین FortiDB مدیریت کنترل تغییر را برای تغییر ساختار پایگاه داده و نظارت بر تغییرات کاربران ممتاز فراهم می کند. FortiDB مجموعه بزرگی از گزارش های مبتنی بر آسیب پذیری و انطباق را جمع آوری و در اختیار شما قرار می دهد که شامل اطلاعاتی برای رفع مشکلات هستند.

فورتی نت، سه دستگاه, ۱۰۰۰D ,FortiDB 500D و ۳۰۰۰D را ارائه می نماید. هر دستگاه ۴TB ظرفیت ذخیره سازی دارد و ترکیبی از پورت های RJ45 و پورت های SFP است. فورتی نت یک نسخه ی آنلاین از دموی کار کردن با دستگاه FortiDB را برای مشتریان آینده نگر فراهم نموده که بتوانند با داشبورد آن کار کنند ، تنظیمات خط مشی را بررسی کنند، آسیب پذیری پایگاه داده را بررسی کرده و گزارش ها را ارزیابی نمایند. در جدول زیر مقایسه ویژگی های سه مدل دستگاه FortiDB درج گردیده است.

0دیدگاه

سیسکو ASA چیست؟

شاید برای بسیاری از شما سوال باشد که ASA چیست؟! اصطلاح ASA در سیسکو مخفف Adaptive Security Appliance است که به معنای دستگاه امنیتی سازگار می باشد. از آنجائیکه ASA می تواند به عنوان راه حل امنیتی برای هر دو نوع شبکه کوچک و بزرگ مورد استفاده قرار گیرد، بسیار ارزشمند و انعطاف پذیر است. فایروالهای سیسکو ASA سری ۵۵۰۰ ادامه سری فایروالهای Cisco PIX500 هستند. با این حال Cisco ASA تنها یک فایروال سخت افزاری نیست؛ بلکه یک دستگاه امنیتی است که قابلیت های فایروال، آنتی ویروس، پیشگیری از نفوذ و شبکه خصوصی مجازی (VPN) را ترکیب نموده است. این دستگاه با فراهم آوردن دفاع پیشگیرانه در مقابل تهدیدات، حملات را قبل از انتشار از طریق شبکه، متوقف می کند.

ورای فایروال بودن ASA می تواند موارد زیر را انجام دهد:

– Antivirus
– Antispam
– IDS/IPS engine
– VPN device
– SSL device
– Content inspection

همچنین با استفاده از افزونه هایی که ویژگی های مختلفی را ارائه می کنند، شما می توانید قابلیت های امنیتی بیشتری را دریافت کنید. فایروالهای Cisco ASA در کنار بازار برندهایی همچون FortiGate، Juniper Netscreen، Checkpoint، SonicWall، WatchGuard و … دارای یکی از بزرگترین بازارهای فروش فایروالهای سخت افزاری هستند. سری ۵۵۰۰ از فایروالهای ASA شامل مدلهای زیر هستند:
– Cisco ASA 5505
– Cisco ASA 5510
– Cisco ASA 5520
– Cisco ASA 5525-X
– Cisco ASA 5540
Cisco ASA 5550
– Cisco ASA 5580-20
– Cisco ASA 5580-40
– و …

از جمله مزایای فایروالهای سیسکو می توان به موارد زیر اشاره کرد:
– فایروالهای Cisco ASA از طریق CSC، IPS و مانند آن، محافظت پیشرفته ای را در مقابل تهدیدات فراهم می کنند.
– به دلیل قیمت بهتر،TCO کاهش می یابد.
– راه حل های ارائه شده، سطوح عملکرد بالایی را فراهم می کنند.
– برنامه های جدید به راحتی می توانند بر روی لایه های امنیتی اعمال شوند.
– دسترسی به منابع تجاری از طریق دسترسی مبتنی بر شناسایی کنترل می شود که می تواند با دیگر سرویس ها همچون LDAP و Microsoft Active Directory ترکیب شود.
– منابع IT آزاد می شوند و هزینه های پاکسازی نرم افزار های جاسوسی به علت پیشگیری موثرتر کاهش می یابد.
سیستم عامل اصلی خانواده ASAهای سیسکو، Cisco Adaptive Security Appliance Software نام دارد. این سیستم عامل قابلیت های فایروال کلاس سازمانی را برای دستگاه های ASA در هر محیط شبکه توزیع شده ای، ارائه می نماید. همچنین ASA Software با سایر تکنولوژی های مهم امنیتی ترکیب می شود تا راه حل های جامعی را که به طور مداوم نیازهای امنیتی را در برمیگیرد، ارائه نماید. از جمله مزایای این سیستم عامل می توان به موارد زیر اشاره کرد:
– قابلیت های IPS یکپارچه، VPN و ارتباطات یکپارچه را ارائه می نماید.
– به سازمانها کمک می کند که ظرفیت ها را افزایش دهند و کارایی را بهبود بخشند.
– دسترسی بالایی را ارائه می نماید.
– بین دستگاه های فیزیکی و مجازی همکاری ایجاد می کند.
– نیازهای منحصر به فرد شبکه و مرکز داده را فراهم می نماید.
– مسیریابی پویا و site-to-site VPN را در یک زمینه ی per-context تسهیل می کند.
– و …

 

0دیدگاه

تفاوت فایروال های نرم افزاری و سخت افزاری

در اصطلاح کامپیوتری واژه فایروال به سیستمی اطلاق می شود که شبکه خصوصی یا کامپیوتر شخصی شما را در مقابل نفوذ مهاجمین، دسترسی های غیرمجاز، ترافیک های مخرب و حملات هکری خارج از سیستم شما محافظت می کند. فایروال ها می توانند ترافیک ورودی به شبکه را کنترل و مدیریت کرده و با توجه به قوانینی که در آنها تعریف می شود به شخص یا کاربر خاصی اجازه ورود و دسترسی به یک سیستم خاص را بدهند. مثلا شما می توانید برای فایروال خود که از یک شبکه بانکی محافظت می کند با استفاده از قوانینی که در آن تعریف می کنید بخواهید که به کاربر X در ساعت Y اجازه دسترسی به کامپیوتر Z را که درون شبکه داخلی شما قرار دارد را بدهد.
قوانینی که در یک فایروال وجود دارد بر اساس نیازمندی های امنیتی یک سازمان تعیین می شود. برای مثال اگر فایروال بر اساس قوانینی که در آن تعیین شده تشخیص دهد که ترافیکی که از آن عبور می کند برا شبکه مضر است، بلافاصله آنرا بلوکه می کند و از ورود آن به شبکه جلوگیری به عمل می آورد. روش هایی که یک فایروال توسط آنها ترافیک را مدیریت می کند به ترتیب روش فیلترینگ بسته یا Packet Filtering، پروکسی سرور ‌و یا Stateful Inspection هستند. فایروال ها می توانند هم بصورت نرم افزاری و هم بصورت سخت افزاری وجود داشته باشند اما نقطه ایده آل یک فایروال، یک فایروال ترکیبی سخت افزاری و نرم افزاری است.
فایروال های سخت افزاری معمولا بصورت زیر ساخت هایی هستند که توسط شرکت های تولید کننده بر روی بورد های سخت افزاری نصب و راه اندازی شده اند و معمولا در قالب یک روتر در شبکه فعالیت می کنند، یک روتر نیز می تواند در یک شبکه به عنوان یک فایروال سخت افزاری فعالیت کند. یک فایروال سخت افزاری می تواند بصورت پیش فرض و بدون انجام هرگونه تنظیمات اولیه در حد مطلوبی از ورود داده ها و ترافیک ناخواسته به شبکه محافظت کرده و اطلاعات ما را ایمن نگه دارد. اینگونه فایروال های معمولا در قالب فیلترینگ بسته یا Packet Filtering فعالیت می کنند و Header های مربوط به مبدا و مقصد (Source & Destination) بسته ها را به دقت بررسی کرده و در صورتیکه که محتویات بسته با قوانینی که در فایروال انجام شده است مقایرت داشته باشد بلافاصله از ورود آن به شبکه جلوگیری کرده و آنرا بلوکه می کند. بسته اطلاعاتی در صورتیکه مقایرتی با قوانین موجود در فایروال نداشته باشد به مقصد مورد نظر هدایت خواهد شد. راحتی کار با فایروال های سخت افزاری این است که هر کاربر ساده ای ممکن است براحتی بتواند آنرا در شبکه قرار داده و از تنظیمات پیشفرض انجام شده در آن استفاده کند، تنها بعضی از تنظیمات پیشرفته امنیتی در اینگونه فایروال ها هستند که نیاز به داشتن دانش تخصصی فراوان برای انجام دادنشان دارند. اما این را در نظر داشته باشید که فایروال های سخت افزاری می بایشت توسط یک کارشنان متخصص امنیت آزمایش شده تا از کارکرد آنها اطمینان حاصل شود. فایروال های سخت افزاری بار ترافیکی و لود کاری کمتری برای شبکه ایجاد می کنند و طبیعتا سرعت و کارایی بهتری در شبکه دارند اما از نظر هزینه بیشتر از فایروال های نرم افزاری هزینه دارند.
فایروال های نرم افزاری در حقیقت نرم افزار هایی هستند که بر روی سیستم عامل ها نصب شده و ترافیک ورودی و خروجی به شبکه یا سیستم عامل را کنترل می کنند. اینگونه فایروال های بیشتر استفاده های خانگی و سازمان ها و شرکت های کوچک و متوسط را به خود اختصاص داده اند. فایروال های نرم افزاری سیستم ها را از خطرات معمولی که در اینترنت وجود دارند اعم از دسترسی های غیر مجاز، ترجان ها و کدهای مخرب، کرم های کامپیوتری و بسیاری دیگر از این موارد حفاظت می کنند. اکثرآ اینگونه فایروال ها به کاربران این قابلیت را می دهند که بتوانند برای به اشتراک گذاشتن منابع خود از جمله پرینتر و پوشه ها در قوانین فایروال تغییرات دلخواه خود را اعمال کرده تا بتوانند از امکاناتی که مد نظر دارند استفاده و بهره کافی را ببرند. در برخی اوقات فایروال های نرم افزاری ابزارهای جانبی را در اختیار ما قرار می دهند که توسط آنها میتوانید تنظیمات محرمانگی و فیلترینگ خاصی را برای خود یا کاربران دیگر اعمال کنید. اینگونه فایروال ها در دو نوع شبکه ای و تک محصولی ارائه می شوند ، فایروال های نرم افزاری تحت شبکه می توانند یک شبکه را تحت کنترل خود گرفته و از آن محافظت کنند اما فایروال های تک محصولی صرفا بر روی یک سیستم عامل نصب می شوند و می توانند از آن محافظت کنند.
تصور کنید که شما ۲۰۰ کامپیوتر در شبکه خود داشته باشید و بخواهید از یک محصول فایروال تک محصولی استفاده کنید!!! ۲۰۰ بار نصب بر روی کلی شبکه می تواند بسیار طاقت فرسا و مشکل یاشد. تنوع فایروال های نرم افزاری بسیار زیاد است اما همیشه در نظر داشته باشید که بهترین فایروال نرم افزاری فایروالی است که ضمن اینکه در پس زمینه یا Background‌ سیستم شما فعالیت کند از کمترین منابع سیستمی استفاده کند و بار سیستم را زیاد نکند. فایروال های نرم افزاری ترافیک و لود کاری بیشتری در شبکه ایجاد می کنند اما به نسبت فایروال های سخت افزاری از هزینه قابل قبولتری برخوردارند.

جمع بندی :

فایروال های سخت افزاری بصورت ابزارهایی بر روی برد های سخت افزاری نصب شده اند، روتر نیز می تواند در نقش یک فایروال عمل کند.
فایروال های نرم افزاری، برنامه هایی هستند که بر روی هر سیستم عامل می توانند نصب شده و شروع بکار کنند و هم بصورت شبکه ای و هم بصورت تک محصولی می توانند مورد استفاده قرار بگیرند.
بصورت پیشفرض شما می تواند از تنظیمات پیشفرض فایروال های سخت افزاری و نر م افزاری برای محافظت از شبکه خود استفاده کنید.
فایروال سخت افزاری نیز در حقیقت نوعی فایروال نرم افزاری میتواند باشد که بر روی یک برد سخت افزاری نصب شده است.
فایروال های سخت افزاری سرعتت و کارایی بیشتری نسبت به فایروال های نرم افزاری دارند.
هزینه پیاده سازی و استفاده از فایروال های نرم افزاری بسیار کمتر از فایروال های سخت افزاری است.
برای داشتن بهترین کارایی در شبکه همیشه می بایست از اینگونه فایروال های بصورت ترکیبی استفاده کرد.
0دیدگاه

آیا برای مقابله با حملات DDoS آماده هستید؟

FortiOS DoS protection به وسیله شناسایی و مسدود کردن حملات DoS مبتنی بر IPv6 و IPv4، یکپارچی و کارایی شبکه را حفظ می نماید. DoS زمانی اتفاق می افتد که مهاجم منابع سرور را از طریق ارسال بسته های ناخواسته زیاد درگیر کرده و باعث میشود سرور نتواند به درخواست کاربران اصلی پاسخ دهد. اما یک DDoS زمانی افتاق می افتد که مهاجم از یک سرور اصلی برای کنترل شبکه ای از سیستم های مورد نفوذ قرار گرفته، استفاده می نماید که به عنوان ‘botnet’ شناخته می شود و از طریق مجموع این سیستم ها، تعداد زیادی بسته های داده غیر عادی را به سیستم هدف ارسال می نماید.

آیا برای مقابله با حملات DDoS آماده هستید؟

FortiOS DoS and DDoS protection
FortioOS DoS protection ترافیک بالقوه مضر را که می تواند بخشی از یک حمله DoS یا DDoS باشد، شناسایی می کند. ناهنجاری های ترافیکی که می تواند بخشی از حمله DoS باشند عبارتند از: TCP SYN floods، UDP floods، ICMP floods، TCP port scans، TCP session attacks، UDP session attacks، ICMP session attacks و ICMP sweep attacks. تنها ترافیکی که به عنوان بخشی از حمله DoS شناخته می شود، مسدود می گردد و اتصالات کاربران مشروع به طور معمول پردازش می شود.
FortiOS در توالی پردازش ترافیک، بسیار زود DoS protection را به کار می برد تا بتواند اثرات حملات DoS بر روی عملکرد سیستم را به حداقل برساند. اولین گام برای بسته ها هنگامی که توسط یک رابط فورتی گیت دریافت می شوند، DoS protection است. حملات DoS بالقوه قبل از اینکه بسته ها به دیگر سیستم های FortiOS ارسال شوند، شناسایی و مسدود می گردند. همچنین FortiOS شامل یک ویژگی لیست کنترل دسترسی است که در مرحله بعدی اجرا می شود. این تکنولوژی ACL تسریع شده، از پردازنده های NP6 برای مسدود کردن ترافیک (شامل حملات DoS) به وسیله آدرس منبع و مقصد و سرویس قبل از ارسال بسته ها به پردازنده FortiGate، استفاده می کند.
FortiOS DoS protection می تواند در یک پیکربندی استاندارد کار کند یا در حالت sniffer به صورت out of band عمل نماید. زمانی که operating در حالت sniffer فعال می شود، واحد فورتی گیت حملات و لاگها را بدون مسدود کردن آنها شناسایی می کند. سیاست های FortiOS DoS کاری که باید انجام شود را مشخص می کند. شما می توانید یه مهاجم را مسدود کنید، یک رابط را مسدود کنید، مهاجم و رابط را مسدود کنید یا به ترافیک اجازه دهید برای اهداف نظارتی عبور کند. این مورد به شما اجازه می دهد امنیت شبکه خود را با جمع آوری اطلاعات در مورد حملات، نظارت بالقوه بر ترافیک و یا مسدود کردن متجاوزین برای محافظت بیشتر، حفظ کنید. فورتی گیت هایی با پردازنده های NP6 همچنین از synproxy DoS protection پشتیبانی می کنند.
FortiOS DDoS Prevention
علاوه بر استفاده از DoS protection برای محافظت در مقابل حملات، FortiOS شامل ویژگی هایی است که مانع انتشار Botnet و فعالیت های C&C می شوند. محافظت در مقابل Mobile Malware یا Botnet و C&C از وارد شدن کدهای C&C و Botnet به یه شبکه محافظت شده جلوگیری می کند. در نتیجه سیستم های موجود در یک شبکه محافظت شده نمی توانند میزبان Botnet باشند. بعلاوه FortiOS می تواند تلاش های صورت گرفته برای برقراری اتصالات Botnet را نظارت و مسدود نماید. مانیتورینگ به شما اجازه می دهد میزبان های Bontet را در شبکه خود بیابید و آنها را حذف کنید. همچنین از ارتباط سیستم های آلوده با سایت های Botnet جلوگیری می نماید.
گزینه های پیکربندی
برای حفاظت حداکثری از پیکربندی استاندار استفاده نمایید یا حالت sniffer را برای جمع آوری اطلاعات، پیکربندی کنید.
پیکربندی استاندارد
DoS protection معمولا در واحد FortiGate که یک شبکه خصوصی یا DMZ را به اینترنت متصل می کند، یا در واحد FortiWiFi که یک wireless LAN را به شبکه داخلی و به اینترنت متصل می کند، پیکربندی می شود. تمامی ترافیک اینترنت یا ترافیک wireless LAN از DoS protection در واحد FortiGate یا واحد FortiWiFi عبور می کند.
آیا برای مقابله با حملات DDoS آماده هستید؟
حالت Sniffer یا Out of band configuration
یک واحد FortiGate در حالت sniffer به عنوان یک سیستم تشخیص نفوذ مسلح در خارج از باند عمل کرده و حملات را شناسایی و گزارش می نماید. این بخش ترافیک شبکه را پردازش نمی کند و در در مقابل تهدیدات اقدامی انجام نمی دهد. رابط FortiGate در حالت sniffer به یک نقطه دسترسی تست (TAP) یا یک Switch Port Analyzer (SPAN) متصل است که تمامی ترافیک را به منظور بررسی پردازش می کنند.  به منظور بررسی، TAP یا SPAN یک کپی از ترافیک سوئیچ را برای out of band FortiGate ارسال می نمایند.
FortiOS لاگها را چک می کند و زمانی که یک حمله DoS شناسایی شود، هشداری را به مدیران سیستم ارسال می کند. اگر IDS آفلاین یا fail شود، اسکن کردن IDS بر روی ترافیک یا کارایی شبکه تاثیر نمی گذارد و اگر در هر صورت فورتی گیت DOWN شود شبکه به کار خود ادامه خواهد داد.
آیا برای مقابله با حملات DDoS آماده هستید؟
DoS policies
سیاست های DoS تشخیص حملات DoS را به صورت زودهنگام و موثر فراهم می آورد. آنها برای نظارت و متوقف کردن ترافیک با ویژگی های و الگوهای غیرطبیعی پیکربندی شده اند. هنگامی که ترافیک به حد مجاز پیکربندی شده برسد، DoS policy ترافیک را به عنوان تهدید شناسایی کرده سپس اقدام مناسب را تعیین می کند. بعلاوه انتخاب اینکه هر نوع از ناهنجاری log شود یا نه، شما می توانید انتخاب کنید که تهدیدها عبور کنند یا مسدود شوند. DoS policy anomaly protection بر روی تمامی ترافیک ورودی به یک رابط FortiGate اعمال می شود اما شما با مشخص کردن سرویس، آدرس های مبدا و آدرس های مقصد، می توانید سیاست ها را محدود کنید. واحد پردازش کننده FortiGate سیاست های DoS را به ترتیب اولیت های خود پردازش می کند که توسط سیاست های دیگر فایروال ها دنبال می شود.
Hardware acceleration
Hardware acceleration محافظت و کارایی شبکه شما را افزایش می دهد. FortiOS integrated Content Processors (CPs)، Network Processors(NPs) و Security Processors(SPs) پردازش های امنیتی خاص را تسریع می کنند. DoS SYN proxy protection در داخل پردازنده های NP6 و بسیاری از پردازنده های امنیتی فورتی نت مانند CE4، XE2 و FE8 جاسازی شده تا در مقابل TCP SYN floods محافظت نماید. بسته های TCP با پرچم SYN مهم ترین ابزار حملات DoS هستند زیرا مشخص می کنند که communication session چگونه بین سیستم ها مقداردهی می شود. پردازنده های NP6 و SP می توانند حملات TCP SYN flood را تشخیص دهند و مسدود نمایند. ماژولهای SP کارایی و ظرفیت واحدهای فورتی گیت را برای محافظت در مقابل حملات TCP SYN flood افزایش داده و تاثیرات حملات در کاهش کارایی واحد های فورتی را به حداقل می رساند. نتیجه افزایش ظرفیت و عملکرد کلی سیستم است.
منبع: https://help.fortinet.com
0دیدگاه

خوش قیمت ترین فایروال فورتی گیت کدام است؟

فایروال FortiGate/FortiEiFi 30E یک فایروال جمع و جور و مقرون به صرفه است که تمامی ویژگی های امنتی UTM های فورتی گیت را در خود جا داده. این فایروال برای کسب و کارهای کوچک، به عنوان تجهیزات نظارت بر مشتری (CPE) و شبکه های retail مناسب است. این دستگاه، امنیت شبکه، اتصال و عملکرد مورد نیاز شما را تامین می نماید.
فورتی گیت سری ۳۰E که براساس FortiOS5 ساخته شده، مجموعه ای از فناوری های امنیتی ضروری را برای حفاظت از تمام برنامه ها و داده های شما فراهم می سازد. با این فایروال شما می توانید حفاظت پیشرفته در مقابل تهدیدات شامل فایروال، کنترل برنامه، IPS، VPN و وب فیلترینگ را در یک دستگاه داشته باشید که به راحتی قابل راه اندازی و مدیریت است. با استفاده از خدمات امنیتی FortiGuard، در برابر تهدیدات پیچیده ای که هر روز ایجاد می شود، از محافظت خودکار بهره مند خواهید شد.
FortiGate/FortiWiFi 30E فراتر از بهترین فایروال این صنعت، اخرین تکنولوژی محافظت پیشرفته شامل Sandboxing،anti-boot protection، Feature Select Option برای ساده کردن پیکربندی و استقرار و قابلیت های متنی برای افزایش توان گزارش گیری و مدیریت را ارائه نموده است.
VDOMها در FortiGate/FortiWiFi 30E به شما اجازه می دهد شبکه های خود را برای دسترسی کارمندان و مهمانان بخش بندی نموده و از مواردی همچون داده های دارندگان کارت محافظت کنید. در نتیجه شما انعطاف پذیری لازم برای مطابقت نیازهای تجاری خود با استانداردهایی همچون PCI و HIPAA را خواهید داشت. ویژگی های سخت افزاری این فایروال به شکل زیر می باشد:
  1. USB Port
  2. Console RJ45
  3. ۱x GE RJ45 WAN Port
  4. ۴x GE RJ45 Switch Ports
  • نصب در دقیقه با استفاده از FortiExplorer
ویزارد FortiExplorer امکان راه اندازی و پیکربندی آسان را فراهم می آورد که با دستورالعمل هایی ساده برای پیروی همراه است. FortiExplorer بر روی دستگاه های محبوب تلفن همراه مانند اندروید و iOS اجرا می شود. استفاده از FortiExplorer به اندازه شروع اپلیکیشن و اتصال به پورت USB مناسب بر روی فورتی گیت، ساده است. با استفاده از FortiExplorer شما می توانید در عرض چند دقیقه دستگاه خود را فعال کرده و محافظت نمایید.
  • Wireless and 3G/45 WAN Extensions
فورتی گیت از مودم های ۳G/4G خارجی پشتیبانی می کند که برای حداکثر قابلیت اطمینان امکان اتصال اضافی یا تکراری WAN را فراهم می کند. همچنین به منظور گسترش قابلیت های بی سیم، فورتی گیت می تواند به عنوان یک کنترل کننده نقطه دسترسی بی سیم عمل کند.
  • پوشش بی سیم بی نظیر
یک اکسس پوینت dual-band با آنتن داخلی در FortiWiFi 30E وجود دارد که پوشش سریع ۸۰۲٫۱۱n را بر هر دو باند فرکانسی ۲٫۴ و ۵ گیگاهرتز فراهم می کند.
  • FortiOS
تمامی قابلیت های شبکه و امنیت را در سراسر پلت فرم FortiGate با یک سیستم عامل بصری فراهم می آورد. هزینه های عملیاتی را کاهش می دهد و با یک پلت فرم امنیتی نسل بعدی سازگار موجب صرفه جویی در زمان می شود.
  • یک پلت فرم واقعا سازگار با یک سیستم عامل برای تمامی سرویس های امنیتی و شبکه برای تمامی پلت فرم های فورتی گیت.
  • کنترل کردن هزاران اپلیکیشن، مسدود کردن آخرین exploitها و فیلتر کردن ترافیک وب براساس میلیون ها real-time URL rating.
  • شناسایی و مسدود کردن حملات پیچیده به طور اتوماتیک در عرض چند دقیقه با چهار چوب محافظت در برابر تهدید پیشرفته
  • حل کردن نیازهای شبکه با مسیریابی گسترده، سوئیچینگ و قابلیت های WiFi، LAN و WAN
  • در دسترس بودن تمامی قابلیت های ASIC-boosted که شما در سریعترین پلت فرم فایروال نیاز دارید
FortiGuard Security Services
آزمایشگاه فورتی گارد، real-time intelligence را در زمینه چشم اندازه تهدید ارائه می دهد که بروزرسانی های جامع امنیتی را برای طیف گسترده ای از راه حل های فورتی نت فراهم می آورد. این آزمایشگاه تعدادی از سرویس های امنیتی هوشمند را برای تقویت کردن پلت فرم فایروال FortiGate ارائه می نماید. شما به راحتی می توانید قابلیت های محافظت فورتی گیت خود را با FortiGuard Enterprise Bundle بهینه سازی نمایید. این Bundle شامل مجموعه ای کامل از خدمات امنیتی FortiGuard و سرویس و پشتیبانی FortiCare است که انعطاف پذیری بیشتر و طیف گسترده ای از محافظت را در یک پکیج ارائه می نماید.
ویژگی های خاص فایروال FG-30E
ویژگی های سخت افزاری
GE RJ45 Switch Ports
۴
GE RJ45 WAN Port
۱
USB Port
۱
Console (RJ45)
۱
Wireless Interface
Internal Storage
۱۶GB
عملکرد سیستم
Firewall Throughput
۹۵۰Mbps
Firewall Latency (64 byte UDP packets)
۱۳۰ μs
Firewall Throughput (Packets Per Second)
۱۸۰ Kpps
Concurrent Sessions (TCP)
۹۰۰۰,۰۰۰
New Sessions/Second (TCP)
۱۵,۰۰۰
Firewall Policies
۷۵ Mbps
IPsec VPN Throughput (512 byte packets)
۲۰
Gateway-to-Gateway IPsec VPN Tunnels
۲۵۰
SSL-VPN Throughput
۳۵ Mbps
Concurrent SSL-VPN Users (Recommended Maximum)
۸۰
IPS Throughput (HTTP / Enterprise Mix)
۶۰۰/۲۴۰Mbps
SSL Inspection Throughput
۲۰۰ Mbps
NGFW Throughput
۱۵۰ Mbps
CAPWAP Throughput
۹۵۰ Mbps
Virtual Domains (Default / Maximum)
۵/۵
Maximum Number of FortiAPs (Total / Tunnel Mode)
۲/۲
Maximum Number of FortiTokens
۲۰
Maximum Number of Registered FortiClients
۲۰۰
High Availability Configurations
Active/Active, Active/Passive, Clustering
ابعاد
Height x Width x Length (inches)
۱٫۶۱ x 8.27 x 5.24
Height x Width x Length (mm)
۴۱ x 210 x 133
Weight
۱٫۹۸۲ lbs (0.899 kg) 2.008 lbs (0.911 kg)
Form Factor
Desktop
Environment
Power Required
۱۰۰–۲۴۰V AC, 60–۵۰ Hz(External DC Power Adapter)
Maximum Current
۱۰۰V / 0.6A, 240V / 0.4A
Power Consumption (Average / Maximum)
۱۳ / ۱۵ W
Heat Dissipation
۵۲ BTU/h
Operating Temperature
۳۲–۱۰۴°F (0–۴۰°C)
Storage Temperature
-۳۱–۱۵۸°F (-35–۷۰°C)
Humidity
۲۰–۹۰% non-condensing
Operating Altitude
Up to 7,400 ft (2,250 m)
Compliance
Regulatory Compliance
FCC Part 15 Class B, C-Tick, VCCI, CE, UL/cUL, CB
این فایروال رک مونت نبوده اما با استفاده از ریل کیت قابلیت رک مونت شدن دارد. RM-FR-T9 یک کیت رک مونت برای فورتی گیت ۳۰E، ۵۰E و ۵۱E است. این کیت تمامی اتصال های RJ45 را در جلو دارد و رنگ آن با خود دستگاه مطابقت دارد.
به طورکلی برای مجموعه هایی که از بودجه بالایی برای خرید فایروال برخوردار نبوده، شبکه نسبتا کوچکی داشته و یا سطح کاربری آنها با ویژگی های این دستگاه متناسب است، فایروال FG-30E بهترین انتخاب می باشد.  این فایروال را می توان به راحتی در ایران از طریق شرکت های معتبر فعال در زمینه امنیت فراهم نمود.
0دیدگاه

اصول فایروال میکروتیک

از آنجاییکه که فایروال میکروتیک از کرنل بهینه سازی شده لینوکسی بهمراه مجموعه NetFilter بهره می گیرد، پس برای درک بهتر اصول و قواعد نحوه کار فایروال میکروتیک باید اصول Netfilter در لینوکس مورد بررسی قرار گیرد.
فایروال میکروتیک متشکل از مجموعه ای از زنجیره ها و زنجیره ها تشکیل شده از چندین جدول با کاربرد مختلف می باشند.
زنجیره های کلی عبارتند از:
  • زنجیره PreRouting
  • زنجیره Forward
  • زنجیره Input
  • زنجیره Outout
  • زنجیره PostRouting
جدول های کلی شامل:
  • جدول Mangle
  • جدول Nat
  • جدول Filter
نکته: تعداد زنجیره ها در لینوکس قابل افزایش هستند ولی در میکروتیک این امر امکان پذیر نیست.
هر زمان بسته ای وارد میکروتیک شود، از این زنجیره ها عبور کرده و در جدول ها مورد پردازش قرار می گیرد. لازمه ی دانستن چگونگی تنظیمات فایروال میکروتیک داشتن درک خوب نسبت به مراحل گذر بسته ها از زنجیره ها و جدول های مختلف می باشد. مراحل گذر بسته در شکل زیرآورده شده است.

اصول فایروال میکروتیک

سوال مهم که در اینجا مطرح می شود اینست که بسته ها چگونه و از چه زنجیره هایی عبور می کنند؟
در هنگام بررسی زنجیره ها می بایست به این نکته توجه داشته باشید که یک بسته از همه ی زنجیره ها عبور نمی کند و با توجه به این که بسته متعلق به خود سیستم می باشد یا سیستم دیگری، مراحل عبور از زنجیره ها متفاوت می باشد. همانطور که در شکل مشخص شده است، بلافاصله بعد از اینکه بسته ای به میکروتیک برسد، فارغ از اینکه متعلق به کجاست و به کجا می رود، ابتدا وارد زنجیره Prerouting می شود. بعد از این وارد مرحله مسیریابی شده و مقصد بعدی بسته و جهت حرکت بسته مشخص خواهد شد.
۱- اگر بسته متعلق به سیستم دیگری باشد وارد زنجیره Forward شده وسپس زنجیره Postrouting را طی می کند.
۲- اگر بسته متعلق به خود میکروتیک باشد ابتدا وارد زنجیره Input شده و پردازش های داخلی بر روی آن صورت می گیرد.
۳- اگر آغازگر بسته ای خود میکروتیک باشد ابتدا وارد زنجیره Output شده و سپس زنجیره Postrouting را طی می کند.

اصول فایروال میکروتیک

اشتباه رایج اکثر افراد در این است که تصور می کنند زنجیره Input و Output بر روی بسته هایی که متعلق به میکروتیک نیست نیز اثرگذار است در حالیکه اگر به شکل اول به دقت نگاه شود، متوجه خواهید شد که برای بسته های عبوری، این دو زنجیره پردازشی صورت نخواهند داد. در شکل دوم مسیرهای مختلف توضیح داده شده در بالا با رنگ های متفاوت آورده شده است.
کاربرد جدول ها در زنجیره ها
قبل از بررسی عملکرد جدول در زنجیره ها نیاز است که ساختار بسته ها را بخوبی بشناسید. مهمترین بخش بسته هدر می باشد که ساختار آن در شکل زیر آورده شده است. هدر در ابتدای بسته قرار می گیرد و شامل فیلدهایی می باشد که اطلاعات مربوط به بسته مانند آدرس مبدا و مقصد، درگاه مبدا و مقصد و … در آن قرار می گیرد. در واقع مسیریابها، سوییچ ها و دیگر دستگاه ها با بررسی هدر بسته ها به اطلاعاتی راجب آنها دست پیدا می کنند و عملیات مورد نیاز را بر روی آنها انجام می دهند.

اصول فایروال میکروتیک

در زنجیره ها با بررسی آدرس مقصد در فیلد Destination Address زنجیره بعدی مشخص می شود و از فیلد Source Address مشخص کننده اینست که آغاز گر بسته میکروتیک یا سیستم دیگری در شبکه بوده است.
جدول Mangle
جدول منگل در تعریف ساده برای دستکاری بسته ها مورد استفاده قرار می گیرد و سه هدف عمده را دنبال می کند:
  • TOS
  • TTL
  • Mark
TOS
از طریق منگل می توان فیلد TOS – Type of Service هدر بسته را تغییر داد. این تنظیم در اکثر روتر ها، فایروال ها و … بی تاثیر است مگر اینکه در سیاست های تنظیماتی در مسیریابی، فیلترینگ، QOS و… مورد استفاده قرار گیرد.

 

TTL
از طریق منگل می توان فیلد TTL – Time To Live در هدر بسته را تغییر داد. فیلد TTL برای این منظور است که بسته های سرگردان بعد از مدتی از بین برند، بدین ترتیب که بسته از هر روتر (به اصطلاح HOP) که عبور می کند، یکی از مقدار TTL کم می شود تا نهایتا مقدار آن به صفر برسید و بسته از بین برود. در صورتیکه از TTL استفاده نمی شد، حلقه هایی با تکرار بی نهایت اتفاق می افتاد که با گسترش سریع این حلقه ها، به مرور کل شبکه از فعالیت باز می ایستاد.

اصول فایروال میکروتیک

یکی از کاربردهای تغییر TTL اینست که با تعییر TTL می توان عملیات هایی که در شبکه ما رخ می دهد را تا حدودی مخفی کرد. بعضی خرابکاران از طریق مقدار TTL به نوع سیستم عامل یا دستگاه های موجود در شبکه پی می برند یا سرویس دهندگان اینترنت از طریق TTL می توانند متوجه شوند که آیا سرویس گرفته شده بین چندین سیستم به اشتراک گذاشته شده است یا خیر.
Mark
جدول منگل این قابلیت را دارد که از طریق آن بسته ها را نشانه گذاری کرد و از این نشانه ها می توان در فیلترینگ، مسیریابی و کنترل پهنای باند استفاده کرد.
جدول NAT
جدول NAT – Network Address Translation فقط برای ترجمه آدرس در بسته های مختلف مورد استفاده قرار می گیرد. ترجمه آدرس هم می تواند بر روی آدرس مبدا صورت پذیرد و هم بر روی آدرس مقصد.
سه عملیات اصلی جدول NAT عبارت اند از:
  • DNAT
  • SNAT
  • MASQUERADE
DNAT
عملیات DNAT – Destination Netowrk Address Translation برای ترجمه آدرس مقصد بسته استفاده می شود. بیشترین کاربرد DNAT در محیط های DMZ می باشد.
فرض کنید شبکه ای مطابق شکل زیر داشته باشید:

اصول فایروال میکروتیک

کاربری از طریق اینترنت می خواهد وبسایت شرکت واقع در شبکه داخلی با آدرس ۱۰٫۱٫۱۰٫۱۰۰ را مشاهده کند، ولی این آدرس خصوصی است و از طریق اینترنت قابل دسترسی نیست. راه حل این است که به کاربر، آدرس عمومی شبکه یعنی ۲۰۰٫۱۵۰٫۱۰٫۳ که از اینترنت در دسترس است را داده و بر روی میکروتیک بوسیله DNAT آدرس مقصد یعنی ۲۰۰٫۱۵۰٫۱۰٫۳ را به ۱۰٫۱٫۱۰٫۱۰۰ ترجمه کرده تا وبسایت قابل مشاهده گردد.
SNAT
عملیات SNAT – Source Network Address Translation بر خلاف DNAT برای ترجمه آدرس صورت مورد استفاده قرار می گیرد. زمانیکه سیستمی در شبکه داخلی بخواهد به منابع مختلف موجود در اینترنت از قبیل صفحات وب، پست الکترونیکی، سرورهای انتقال فایل و … دسترسی داشته باشد، باید از یک آدرس عمومی برای این منظور استفاده شود، این در حالیست که سیستم در شبکه داخلی از آدرس خصوصی استفاده می کند، پس باید آدرس خصوصی به یک آدرس عمومی ترجمه شود که به این عملیات SNAT گویند. علت استفاده از آدرس خصوصی در شبکه ها معمولا به دلایل امنیتی یا کمبود آدرس عمومی می باشد.
اصول فایروال میکروتیک
MASQUERADE
عملیات MASQUERADE دقیقا همانند SNAT می باشد با این تفاوت که برای هر بار فرخوانی عملیات MASQUERADE برای یک بسته، سیستم بصورت خودکار بدنبال آدرس عمومی که برای ترجمه مورد نیاز است، می گردد. پس MASQUERADE بار و عملیات اضافی به سیستم تحمیل می کند، هر چند امتیاز بزرگی نسبت به SNAT دارد و آن اینست که با هر بار تغییر آدرس عمومی، تغییری در عملکرد سیستم به وجود نمی آید. بعضی از سرویس دهندگان از طریق DHCP ،PPPoE ،VPN و… اینترنت در اختیار مشترکان قرار می دهند که با هر قطع و وصل شدن ارتباط و سیستم، آدرس عمومی تغییر خواهد کرد، پس ناگریز به استفاده از MASQUERADE خواهید بود.
جدول Filter
هدف اصلی در جدول Filter، فیلترینگ بسته ها بر اساس سیاست های امنیتی تعریف شده در مجموعه می باشد. در جدول فیلتر بسته هایی که اجازه عبور دارند و بسته های غیر مجاز که باید فیلتر شوند تعیین می شود. امکان فیلتر بسته ها بر اساس آدرس مبدا و مقصد، درگاه مبدا و مقصد، زمان عبور بسته ها، وضعیت ارتباط، محتوا، TOS ،TTL، بسته های نشانه گذاری شده در منگل و بسیاری گزینه های دیگر وجود دارد.

اصول فایروال میکروتیک

حال که اطلاعاتی در ارتباط با زنجیره ها و جدول های تشکیل دهنده آن کسب کردید، مهترین نکته در استفاده از دیواره آتش میکروتیک، انتخاب درست زنجیره و جدول مورد استفاده می باشد. این انتخاب با توجه به کارکرد مورد نظر و شناختی که بعد از معرفی زنجیره، جدول و مسیر عبوری بسته ها بدست آوردید، حاصل می شود. توجه داشته باشید که ترتیب قرار گیری جدول ها در زنجیره ها مهم می باشد، همیشه در یک زنجیره اولیت با جدولی منگل سپس نت و در آخر فیلتر می باشد.
انتخاب زنجیره بر اساس جدول ها

 

Filter
۱- برای فیلتر کردن زنجیره های Input ،Output و Forward مورد استفاده قرار می گیرد.
۲- اگر مبدا و مقصد بسته سیستم دیگری جز میکروتیک می باشد از زنجیره Forward استفاده کنید.
۳- اگر مبدا بسته میکروتیک و مقصد سیستم دیگری باشد از زنجیره Output استفاده کنید.
۴- اگر مبدا بسته سیستم دیگر و مقصد میکروتیک باشد از زنجیره Input استفاده کنید.

 

Nat
۱- اگر می خواهید عملیات SNAT یا MASQUERADE را بکار بگیرید، از زنجیره POSTROUTING استفاده کنید.
۲- اگر می خواهید عملیات DNAT را بکار بگیرید، از زنجیره PREROUTING استفاده کنید.
نکته: در میکروتیک زنجیره Postrouting به SNAT و زنجیره Prerouting به DNAT تغییر نام یافته است.

 

Mangle
انتخاب زنجیره بر اساس جدول منگل مشکل تر از بقیه جدول ها می باشد و کاملا وابسته به کارکرد بسته، دیگر قوانین تنظیم شده و… دارد. این عدم قطعیت از آنجا ناشی می شود که جدول منگل در واقع یاری رسان دیگر جدول ها یعنی NAT و بخصوص Filter می باشد و بدون توجه به تنظیمات آنها نمی توان از منگل استفاده کرد. در صورتیکه می خواهید بسته را قبل از مسیریابی دستکاری کنید باید از زنجیره Prerouting استفاده کنید.
همانطور که ترتیب جدول ها در زنجیره مهم می باشد، در هنگام نوشتن قوانین باید به اولویت زنجیره ها که در شکل ۱-۲ بر اساس محل عبور بسته مشخص شده است، نیز توجه کافی داشت. اگر اولویت قرارگیری و بررسی جدول ها و زنجیره ها مورد توجه قرار نگیرد، احتمال آنکه قوانین نوشته شده بدرستی کار نکنند و تداخل ایجاد شود، وجود خواهد داشت. فرض کنید بسته ای را در زنجیره Forward فیلتر کرده اید، پس نشانه گذاری یا ترجمه آدرس آن در زنجیره Postrouting سودی نخواهد داشت.
0دیدگاه

بررسی گزینه های فایروال میکروتیک

در این پست می خواهیم به بررسی گزینه های موجود در فایروال میکروتیک بپردازیم.
برای دسترسی به فایروال میکروتیک، با استفاده از وینباکس (نرم افزار مدیریتی میکروتیک) به دستگاه وصل شده، سپس مطابق شکل زیر از منوی اصلی ابتدا IP سپس Firewall را انتخاب کنید.

1

پنجره Firewall مطابق با شکل ۲ باز خواهد شد.

2

بخش های اصلی فایروال میکروتیک به قرار زیر است:
  • Layer ٧ Protocol
  • Address Lists
  • Connections
  • Service Ports
  • Mangle
  • NAT
  • Filter Rules
Layer7-Protocols
Layer٧Protocols یک روش جستجوی الگو در جریان داده UDP ,ICMP و TCP می باشد. تطبیق دهنده لایه هفتم، ۱۰ بسته اولیه یا ۲KB اولیه جریان ارتباطی را جمع آوری کرده و بدنبال الگوی مشخص شده در داده جمع آوری شده می گردد. تطبیق دهنده اگر الگو در داده جمع آوری شده پیدا نشد بررسی بیشتری انجام نخواهد داد. حافظه اختصاص داده شده به این امر خالی شده و پروتکل بعنوان ناشناخته در نظر گرفته می شود. باید به این نکته توجه داشته باشید که مصرف حافظه با افزایش تعداد ارتباطات بطور قابل توجهی بیشتر خواهد شد.
تطبیق دهنده لایه هفتم به دو طرف ارتباط (ورودی و خروجی) برای بررسی بسته ها نیاز دارد، بدین منظور باید قانون های لایه هفتم را در زنجیره Forward قرار دهید. اگر قانون در زنجیره Prerouting جدول INPUT قرار گرفت، باید مشابه همین قانون را در زنجیره Postrouting جدول Output ایجاد کنید، در غیر اینصورت داده جمع آوری شده ممکن است در تبطیق دادن الگو نتیجه اشتباهی در بر داشته باشد.
Address Lists
Address Lists یکی از ویژگی های خوب و کاربردی میکروتیک می باشد، با استفاده از لیست آدرس می توان بصورت دستی و خودکار لیستی از آدرس ها تهیه کرد تا هنگام استفاده نوشتن قوانین از آنها بهره جست.

23

مزیت لیست آدرس در کمتر شدن و ساده تر شدن قوانین می باشد. بدین صورت که اگر بخواهید برای چندین کاربر دسترسی مشترکی را محدود یا باز کنید، در حالت عادی باید به ازای هر کاربر یک قانون ایجاد کنید ولی در این حالت کافیست، یک لیست آدرس ایجاد، آدرس کاربران را به آن اضافه کرده و در قانون ها بجای آدرس مبدا یا مقصد از لیست آدرس مبدا یا مقصد که متعلق به گزینه های پیشرفته می باشد، استفاده کنید.
با استفاده از لیست آدرس خودکار می توان، آدرس ها را بصورت خودکار به لیست اضافه کرد، برای این منظور کافیست در تب Action قانون، گزینه Add dst to address list برای ارسال مقصد بسته ها و Add src to address list برای ارسال مبدا بسته ها به لیست آدرسی که در زیر آن مشخص می شود، استفاده کرد.
می توانید ابتدا یک قانون برای ایجاد لیست آدرس خودکار ایجاد کرده و سپس عملیات مورد نظر را بر روی لیست آدرس انجام دهید.
لیست آدرس در آنالیز شبکه هم قابل استفاده است، برای مثال تهیه لیستی شامل تمامی کاربرانی که از سرویس SSH استفاده می کنند یا سرورهایی که آنها به آن متصل می شوند را با لیست آدرس خودکار می توان بدست آورد.
Connections
از طریق تب Connections می توانید لیست کلیه ارتباط هایی که با میکروتیک برقرار شده است را بر اساس آدرس مبدا و مقصد، نوع پروتکل و مدت زمان فعال بودن ارتباط مشاهده کنید.

22

Service Ports
سرویس هایی وجود دارند که در صورت فعال شدن NAT بدلیل احتیاج به ارتباط واقعی پایاپای بدرستی کار نخواهند کرد، برای حل این مشکل میکروتیک از خاصیت NAT Traversal برای چند سرویس خاص استفاده می کند.

21

Filter , NAT, Mangle
در پنجره Firewall، سه جدول اصلی که قبلا مفاهیم آنها مورد بررسی قرار گرفت وجود دارند. در این پنجره می توان لیست قانون هایی که قبلا نوشته شده اند را در تب های مختلف مشاهده و ویرایش کرد.

2

برای اضافه کردن قانون جدید بر روی علامت “+” کلیک کنید تا پنجره New Manage Rule باز شود. گزینه ها در سه دسته عمومی، پیشرفته و اضافی تقسیم بندی شده اند.
این گزینه ها در هر سه جدول NAT ,Mangle و Filter یکسان می باشند و فقط در جدول NAT P2P وجود ندارد. این گزینه ها را می توانید مشاهده کنید.

3

نیاز به یادآوری است که دانستن ساختار بسته ها، یکی از ملزومات تنظیم دیواره آتش می باشد. اکثر گزینه های موجود با دانش نسبت به این ساختار، کاربردی و قابل استفاده خواهند بود.
در دسته عمومی، گزینه ها شامل نوع زنجیره، آدرس مبدا و مقصد، نوع پروتکل، درگاه مبدا و مقصد، اینترفیس ورودی یا خروجی، بسته و ارتباطات قبلا نشانه گذاری شده و وضعیت ارتباط می باشد.
گزینه های دسته پیشرفته در بر گیرنده، لیست آدرس مبدا یا مقصد پروتکل لایه هفتم، محتوای خاص در آدرس، آدرس سخت افزاریTOS ، TTL و… می باشد.

4

دسته اضافی شامل گزینه هایی همچون تنظیم زمان برای فعال شدن قانون بر اساس ساعت و روزهای هفته، نوع آدرس از قبیل Broadcast Unicast , Multicast و Local ، محدود کردن تعداد ارتباطات و… می باشد.

5

عملیات های قابل انجام توسط منگل در تب Action شکل ۱۰ لیست شده اند. باید توجه داشت که هر قانون فقط یک عمل در آن واحد قادر است انجام دهد. پس برای عملیات های متفاوت باید قوانین مجزا ایجاد کنید.

8

عملیات های قابل انجام توسط جدول NAT در شکل زیر آورده شده است.

13

و در آخر لیست عملیات های جدول Firewall در ادامه قابل مشاهده است.

19

عملیات های مشترک بین همه جدول ها عبارت اند از:
Accept: قبول کردن بسته، بسته در قانون های بعدی بررسی نمی شود.
Add dst to address list: اضافه کردن آدرس مقصد به لیست آدرس مشخص شده
Add src to address list: اضافه کردن آدرس مبدا به لیست آدرس مشخص شده
Jump: پرش به زنجیره مشخص شده
Log: فرستادن پیغامی حاوی قانون تطبیق داده شده با فرمت خاص به سیستم ثبت وقایع
Passthrough: در نظر نگرفتن قانون و رفتن به قانون بعدی (کاربرد، بیشتر برای آمارگیری)
Return: برگردان کنترل به زنجیره در جایی که پرش صورت گرفته

 

عملیات های غیرمشترک جدول Firewall متشکل شده از:
Drop: رها کردن بسته بدون ارسال پیغام
Reject: رها کردن بسته همراه با ارسال یک پیغام ICMP Reject
Tarpit: ضبط و نگهداری ارتباطات TCP (کاربرد در کم کردن اثر حملات DOS)

 

عملیات های غیرمشترک جدول NAT به قرار زیر است:
Src-NAT: ترجمه آدرس مبدا بسته به آدرس مشخص شده
Dst-NAT: ترجمه آدرس مقصد بسته به آدرس مشخص شده
MASQUERADE: ترجمه آدرس مبدا بسته به آدرس عمومی موجود در سیستم
Redirect: جایگزین کردن درگاه مقصد بسته با درگاه مشخص شده
Same
Netmap
عملیات های غیرمشترک جدول منگل عبارت اند از:
Change DSCP – TOS: تغییر مقدار فیلد TOS بسته
Change TTL: تغییر مقدار فیلد TTL بسته
Change MSS: تغییر مقدار فیلد Maximum Segment Size بسته
Clear DF: پاک کردن بیت Don’t Fragment (کاربرد در تانل IPSEC)
Mark Connection: نشانه گذاری ارتباط
Mark Packet: نشانه گذاری بسته (کاربرد در کنترل پهنای باند)
Mark Routing: نشانه گذازی مسیر (کاربرد در عملیات مسیریابی پیشرفته)
Set Priority: تغییر مقدار فیلد اولویت در لینک هایی که مقدار اولویت را ارسال می کنند.
Strip IPv4 Options
تب Statistics نیز آماری از میزان ترافیک و تعداد بسته هایی که این قانون شامل حال آنها می شود را بصورت عددی و گراف در اختیار ما قرار می دهد. از طریق این تب می توان درستی قانون نوشته شده را مورد بررسی قرار داد. شکل زیر گویای این موضوع می باشد.

7

0دیدگاه

با فایروال و انواع آن آشنا شوید

فایروال سیستمی است که از دسترسی غیرمجاز ورودی و خروجی شبکه خصوصی جلوگیری می کند. شما می توانید یک فایروال را در هر دو نوع سخت افزار یا نرم افزار و یا به صورت ترکیبی پیاده سازی نمایید. فایروال از دسترسی کاربران غیرمجاز به شبکه های خصوصی متصل به اینترنت به خصوص اینترانت ها، جلوگیری می نماید. تمامی پیام های ورودی یا خروجی از اینترانت (شبکه محلی که به آن متصل شده اید) می بایست از فایروال عبور نماید. فایروال تمامی پیام ها را بررسی کرده و آنهایی را که معیارهای امنیتی مشخصی را براورده نمی نمایند، مسدود می کند.
در محافظت از اطلاعات شخصی، فایروال به عنوان اولین خط دفاعی شناخته می شود اما به هر حال این نمی تواند به عنوان تنها خط امنیتی شناخته شود. فایروالها به طور کلی برای حفاظت از ترافیک شبکه و اتصالات طراحی شده اند و بنابراین برای شناسایی افرادی که می توانند به یک کامپیوتر یا شبکه مشخص دست یابند تلاشی نمی کنند.

با فایروال و انواع آن آشنا شوید

انواع مختلفی از فایروال وجود دارد که در چهار دسته طبقه بندی می شوند:

Packet filtering: سیستم هر بسته ای که به شبکه وارد یا از آن خارج می شود را بررسی می کند و براساس قوانین تعریف شده توسط کاربر آن را پذیرفته یا رد می نماید. فیلتر کردن بسته ها برای کاربران شفاف و موثر است اما پیکربندی آن دشوار است. علاوه بر این، به IP spoofing حساس است.
Circuit-level gateway implementation: در این روند، هنگامی که اتصالات TCP یا UTP برقرار می شوند، مکانیسم های امنیتی اعمال می شوند. هنگامی که اتصال برقرار شد، بسته ها می توانند بین میزبانها بدون بررسی های بیشتر جریان داشته باشند.
Acting as a proxy server: یک سرور پروکسی یک نوع گیت وی است که آدرس های صحیح شبکه کامپیوتر را از طریق آن مخفی می کند. یک سرور پروکسی به اینترنت متصل می شود، درخواست صفحات و اتصالات به سرور و … را به انجام می رساند و داده ها را از کامپیوترها دریافت می کند. قابلیت های فایروال بر این حقیقت استوار است که یک پروکسی می تواند برای اجازه دادن به عبور نوع خاصی از ترافیک (برای مثال فایلهای HTTP یا صفحات وب) پیکربندی شود. نقص بالقوه سرور پروکسی کند کردن عملکرد سرور پروکسی است زیرا می بایست فعالیت ها را تجزیه و تحلیل کرده و ترافیک عبوری از آن را مدیریت کند.
Web application firewall: یک فایروال web application یک ابزار سخت افزاری، افزونه سرور یا برخی فیلترهای نرم افزاری دیگر است که مجموعه ای از قوانین را به یک HTTP اعمال می کند. چنین قوانینی به طور معمول برای برنامه کاربری سفارشی شده که موجب می شود حملات شناسایی شده و مسدود گردند.
در عمل بسیاری از فایروالها از دو یا تعداد بیشتری از این تکنیک ها استفاده می نمایند. در OS X ویندوز و مک، فایروالها در سیستم عامل تعبیه شده اند. همچنین بسته های فایروال third-party نیز وجود دارند مانند Zone Alarm، Norton Personal Forewall، Tiny، Black Ice Protection و McAfee Personal Firewall. بسیاری از اینها، نسخه های رایگان یا تریال محصولات تجاری خود را ارائه می نماید. به علاوه بسیاری از روترهای broadband شرکت های کوچک یا خانه، امکانات فایروالهای اولیه را در خود دارند. هرچند مدلهایی با کنترل دقیق تر در دسترس هستند، اینها معمولا فیلترهای پورت/پروتکل هستند.

منبع: https://kb.iu.edu

0دیدگاه

فایروالهای پیشتاز Cisco ASA

Cisco ASA، اولین فایروال نسل بعدی (متمرکز بر تهدید) کمپانی سیسکو است که به صورت سازگار برای بخش جدیدی از تهدید و حفاظت پیشرفته در مقابل بدافزار طراحی شده است. Cisco ASA با سرویس های FirePOWER محافظت یکپارچه ای را در مقابل تهدیدات برای کلیه شرایط حمله شامل: قبل از حمله، در طول حمله و بعد از آن فراهم می آورد. این امر با ترکیب قابلیت های امنیتی ثابت فایروال Cisco ASA با industry-leading Sourcefire threat و ویژگی هایAdvanced Malware Protection (AMP) با هم در یک دستگاه واحد، فراهم آمده است. این راه حل به طور منحصر به فرد قابلیت های فایروالهای نسل بعدی سری Cisco ASA 5500-X را فراتر از آنچه که امروزه راه حل های NGFW پشتیبانی می کنند، گسترش می دهد. اینکه شما برای یک کسب و کار کوچک یا متوسط، یک مجموعه ی توزیع شده و یا یک دیتاسنتر واحد به محافظت نیاز داشته باشید، Cisco ASA با سرویس های FirePOWER مقیاس و زمینه مورد نیاز را در یک راه حل NGFW فراهم می کند.

حفاظت چند لایه برتر

Cisco ASA با سرویس های FirePOWER خدمات امنیتی نسل بعدی متمرکز بر تهدید را برای فایروال های نسل بعدی سری ASA 5500-X به ارمغان می آورد. فایروال  Cisco ASA در مقابل تهدیدات شناخته شده و پیچیده حفاظت جامعی را فراهم می آورد که شامل حفاظت در مقابل حملات هدفمند و بدافزارهای مخرب است. Cisco ASA فایروالی متداول در سطح سازمانی در جهان است. Cisco ASA با سرویس های FirePOWER شامل قابلیت های زیر می باشد:
– Site-to-site و remote access vpn و clustering پیشرفته بسیار امن، دسترسی با کارایی بالا و قابلیت دسترسی بالا برای اطمینان از تداوم کسب و کار.
– Granular Application Visibility and Control (AVC) از بیش از ۴۰۰۰ application-layer و risk-based controls پشتیبانی می کند که می تواند سیستم جلوگیری از نفوذ (IPS) طراحی شده را برای بهینه سازی اثربخشی امنیتی راه اندازی نماید.
– محصول پیشتاز کمپانی سیسکو Cisco ASA با FirePOWER next-generation IPS(NGIPS) جلوگیری از تهدیدات را با اثربخشی بالا فراهم می کند و آگاهی کامل از محتوای کاربران، زیرساخت ها، برنامه ها را برای شناسایی تهدیدات چندگانه و پاسخ دفاعی خودکار ارائه می نماید.
– فیلترینگ URL مبتنی بر رتبه بندی و طبقه بندی، هشدار و کنترل بر روی ترافیک مشکوک وب را ارائه می نماید و سیاست ها را بر روی صدها میلیون از URLها در بیش از ۸۰دسته اجرا می کند.
– AMP موجب می شود فایروال این کمپانی در تشخیص موثر درز اطلاعات در صنعت فایروال پیشتاز بوده و ویژگی هایی همچون sandboxing، هزینه پایین برای خریدار دستگاه و superior protection value را فراهم می آورد که به شما در فهمیدن، کشف و توقف بدافزارها کمک می کند و تهدیداتی که در سایر لایه های امنیتی گم شده اند را پیدا کرده و جلوی آنها را می گیرد.
فایروالهای پیشتاز Cisco ASA

Unprecedented Network Visibility

سیسکو ASA با FirePOWER Services به طور متمرکز توسط  Cisco Firepower Management Center(به طور رسمی به عنوان Cisco FireSIGHT Management Center شناخته می شود) مدیریت می شود که تیم های امنیتی را با دید جامع و کنترل فعالیت در داخل شبکه فراهم می کند. چنین دیدی شامل کاربران، دستگاه ها، ارتباط بین ماشین های مجازی، تهدیدات، برنامه های جانبی، فایل ها و وب سایت ها می شود. نشانه های جامع و قابل اجرا برای سازش (IoCs) شبکه های دقیق و اطلاعات مربوط به رویداد را به هم مرتبط می کنند و دیدگاه بیشتری نسبت به بدافزارهای مخرب ایجاد می کنند. ابزار مدیریت  سازمانی سیسکو با کنترل استقرار NGFW، به مدیران کمک می کند پیچیدگی را کاهش دهند. همچنین Cisco Firepower Management Center آگاهی محتوا را با فراهم نمودن مسیر فایل های مخرب ارائه می نماید. Cisco Security Manager مدیریت عملیات جریان کاری شبکه را به صورت متمرکز و مقیاس پذیر فراهم می کند. این خصیصه موجب ادغام یک مجموعه قدرتمند از قابلیت ها می شود که شامل مدیریت سیاست و اشیاء، مدیریت رویداد، گزارش دهی و عیب یابی برای عملکردهای فایروال سیسکو ASAدر هنگام استفاده از Cisco Firepower Management Center، می شود.
برای مدیریت محلی روی دستگاه، شامل راه اندازی برای کسب و کارهای کوچک و متوسط، Cisco Adaptive Security Device Manager (ASDM) 7.3X، کنترل دسترسی و مدیریت پیشرفته دفاع در مقابل تهدید را فراهم می کند. ASDM V 7.3X رابط کاربری پیشرفته ای را فراهم می کند که دیدگاه های سریع بر روی روند کار و توانایی تمرین برای تجزیه و تحلیل بیشتر را ارائه می نماید.
کاهش هزینه ها و پیچیدگی
Cisco ASA با سرویس های FirePOWER شامل یک رویکرد یکپارچه برای دفاع در مقابل تهدید، کاهش هزینه های عملیاتی و پیچیدگی اجرایی است. این فایروال به خوبی با محیط موجود فناوری، جریان کار و شبکه سازگار است. خانواده این دستگاه بسیار مقیاس پذیر هستند؛ با سرعتی بالای چند گیگ اجرا می شوند و در هر دو محیط فیزیکی و مجازی، امنیتی قوی و پایدار در سراسر شاخه، edge اینترنت و مراکز داده را فراهم می اورند.
با Cisco Firepower Management Center، مدیران می توانند عملیات را برای مقابله با تهدیدات ساده نمایند، تاثیرات آنها را ارزیابی کنند، سیاست های امنیتی را به طور اتوماتیک تنظیم نمایند و به راحتی هویت کاربران را به رویدادهای امنیتی نسبت دهند. Cisco Firepower Management Center به طور پیوسته نظارت می کند که چگونه شبکه در طول زمان تغییر می کند. تهدیدات جدید به طور خودکار ارزیابی می شود تا مشخص شود کدامیک از آنها می تواند بر کسب و کار شما تاثیر بگذارد. دفاع های شبکه برای تغییر شرایط تهدید سازگار می شوند، فعالیت های امنیتی حیاتی مانند تنظیم سیاست خودکار شده، در زمان و تلاش صرفه جویی می شود، در حالیکه محافظت ها و اقدامات متقابل در حالت مطلوب حفظ شده اند. Cisco Firepower Management Center براحتی با راه حل های امنیتی third-party از طریق eStreamer API ادغام می شود تا جریان کاری عملیات را ساده کرده و network fabric موجود را مناسب سازد.
منبع: https://www.cisco.com
0دیدگاه

به کانال تلگرام رسیس بپیوندید .رد کردن