 |
ویژگیهای مهم |  |
سپر |  |
در ادامه جزئیات بیشتری در مورد امكانات سپر ارائه میشود.
كارائی بالا و سرعت
یكی از مهمترین ویژگیهایی كه میتوان برای یك فایروال در نظر گرفت، كارایی بالای آن است. فایروال معمولاً در محل اتصال شبكه داخلی به شبكه سراسری قرار میگیرد و تنها راه ارتباط شبكه داخلی با شبكه جهانی است. بنابراین تمامی بستههایی كه بین طرفین صافی رد و بدل میشوند، باید از آن عبور كرده و مورد بررسی قرار گیرند. در نتیجه ممكن است فایروال باعث كند شدن سرعت انتقال اطلاعات شود و یك گلوگاه در محل آن ایجاد گردد. آمارها نشان میدهند كه بسیاری از فایروالهای موجود، با مشكل پایین بودن كارایی مواجهند. بنابراین یكی از مهمترین پارامترهایی كه در طراحی و پیادهسازی سپر در نظر گرفته شده، كارایی بالای آن است، طوریكه بتواند با سرعتی بالا و مورد قبول به تصفیه اتصالات وب بپردازد. برای این منظور تلاش شده است تا عملیات تصفیه URL تا حد امکان در هسته سیستم عامل انجام شود و از سربار اضافی عملیات Context Switching در سیستمعامل جلوگیری شود. ارزیابی کارایی سپر با استفاده از ابزار استاندارد Specweb و Netperf انجام شده است و سپر در محیط تست 100Mbps برای پهنای باند بیش از 50Mbps گلوگاه نشده است. این نتایج نشان از استحکام سپر برای محیطهای با پهنای باند بالا (تا حدود 50Mbps) را میدهد. همچنین نتایج دقیق ارزیابی کارایی سپر با استفاده از ابزارهای استاندارد برای ارزیابی فایروالها موجود است.
پیكربندی پیشرفته، انعطافپذیر، امن و ساده
سپر با در اختیار گذاشتن واسط كاربری پیشرفتهای امكان مدیریت و تعریف سیاستهای امنیتی سازمان را ممکن نموده است. با استفاده از این واسط كاربری كه “مركز كنترل و مدیریت سپر” نامیده میشود، امكان ایجاد، تغییر و حذف سیاستهای امنیتی توسط یك كانال امن در اختیار مدیر قرار داده شده است. مزیت این روش، سهولت استفاده، انعطافپذیری بالا، واسط گرافیكی قدرتمند و راهنمای جامع آن میباشد. این واسط گرافیکی با استفاده از یک کانال امن به سپر وصل شده و تغییرات پیکربندی و سیاست امنیتی را به سپر منتقل میکند. همچنین از این طریق مدیر میتواند وضعیت اتصالات مورد تصفیه را بهصورت Online مشاهده نماید. علاوهبر این واسط گرافیکی، مدیر میتواند با استفاده یک کانال امن SSH به ماشین سپر وصل شده و عملیات پیکربندی سیستم را از این طریق انجام دهد. با اتصال مدیر به سپر، یک CLI (Command Line Interface) مدیریتی به وی نشان داده میشود که بهسادگی میتواند آخرین پیکربندی را مشاهده نموده و تغییرات خود را اِعمال نماید. شكل زیر نمایی از مركزكنترل و مدیریت سپر را نشان میدهد.
برای دانلود واسط كاربري سپر به اينجا مراجعه نمائيد.
صفحه نمایش LCD
یكی از قابلیتهای حفاظ سپر، نمایش اطلاعات ترافیك شبكه و وضعیت عمومی سیستم بر روی نمایشگر LCD میباشد. با استفاده از این نمایشگر میتوان اطلاعات زیر را مشاهده نمود:
 وضعیت حافظه |
| وضعیت CPU |
| میزان تقاضاهای وب دریافتی |
| میزان تقاضاهای وب پذیرفته شده |
| میزان تقاضاهای وب رد شده |
| میزان اتصالات وب جاری |
| میزان اطلاعات ارسالی |
| زمان بالابودن سیستم |
نصب در شبكه
سپر در قالب یك بسته سختافزاری-نرمافزاری ارائه میگردد و براساس كاربردهای مورد نیاز سازمانها و با توجه به شرایط محیطی، میتوان امكانات و بسترهای نرمافزاری و سختافزاری آن را تنظیم كرد. با توجه به توپولوژیهای مختلف سه حالت برای نصب سپر در نظر گرفته شده است. بهعبارت دیگر سپر در یکی از سه حالت زیر در شبکه سازمان قرار میگیرد.
| مسیریاب (Router) |
| پل (Bridge) |
| Sniffer |
زمانیکه سپر در حالت Sniffer باشد، ابتدا یک آدرس IP به سپر داده میشود و سپس سپر به Switch وصل خواهد شد و خود اقدام به Sniff کردن و تصفیه بستهها میکند. در حالتی که سپر بهعنوان روتر قرار میگیرد، باید بستهها بهنحوی به سپر هدایت شوند. بنابراین در این شرایط سپر باید مستقیماً به روتر سازمان وصل باشد. باید دقت نمود در این حالت اصلاً نیازی نیست تا پیکربندی ماشینهای داخلی تغییر کند و خود سپر بهنحوی عمل میکند که بهعنوان روتر برای سازمان نقش داشته باشد.
پایگاه آدرسها و تصفیه URL
سپر بر اساس سیاستهای تصفیه وب و پایگاهداده خود از برقراری برخی از اتصالات HTTP جلوگیری میكند. آدرسهای موجود در پایگاه آدرس، به صورت موضوعی سامان یافتهاند و مدیر سیستم قادر است تا از طریق واسط كاربری مبتنی بر وب، هر یك از موضوعات را برای انجام عمل تصفیه انتخاب كند. در حال حاضر بیش از 15 موضوع مختلف در پایگاه داده موجودند و این در حالی است كه مدیر سیستم میتواند آدرسهای مورد نیاز را به صورت دستی نیز وارد كند. علاوه برآن وی قادر است تا الگوهای خاصی را به عنوان كلمات غیرمجاز اعلام كند تا سپر از اتصال كاربران به آدرسهایی كه حاوی این نوع كلمات هستند، جلوگیری نماید. قابل توجه اینکه بعد از تعریف نمودن کلمات (Black List)، سپر از جستجوی این کلمات در موتورهای جستجو نیز جلوگیری میکند. همچنین مدیر میتواند کلمات فارسی را در قالب Unicode بهعنوان Black List وارد نماید و بدینوسیله از جستجوی فارسی در موتورهای جستجو برای کلمات موردنظر، جلوگیری نماید. همانطور كه گفته شد سپر از یك پایگاهداده مركزی آدرسها استفاده میكند كه دائماً در حال بروز شدن است. این پایگاه آدرسها بر اساس نوع نیاز كاربر، میتواند روزانه، هفتگی و یا ماهانه به روز درآید. برای بهروزرسانی نرمافزارهای صافی شرکت امنافزار(از جمله سپر)، سیستم مدیریت مشتریان برای بهروزرسانی وجود دارد که به درخواست بهروزرسانی صافیها پاسخ میدهد. همچنین تعدادی روبات نرمافزاری با معماری توزیع شده، بهصورت تمام وقت در حال جستو در اینترنت و دستهبندی آدرسهای اینترنتی هستند. خروجی این روباتها به سیستم بروزرسانی داده میشود و این سیستم نیز آخرین نتایج را به صافیها (از جمله سپر) میرساند. سیستم دستهبندی اینترنت (کاوا)، بهطور متوسط پهنای باندی حدود 2Mbps را در اختیار روباتها قرار داده است و تاکنون بیش از 350 میلیون سایت را بررسی نموده است که خروجی این بررسی، دستهبندی بیش از 4 میلیون آدرس اینترنتی در 15 دسته (Category) میباشد. همانطور که گفته شد این سیستم بهصورت تمام وقت در حال کار است و بهطور میانگین روزانه بیش از 10000 آدرس اینترنتی را به پایگاه آدرسهای دستهبندی شده اضافه میکند.
رویدادنگاری
یكی از مهمترین نیازهای امنیتی، داشتن سابقه عملیات است. سپر امكان ثبت رویدادها را با جزئیترین مشخصات بوجود میآورد. سه نوع رویدادنگاری زیر در سپر پشتیبانی میشود.
| رویدادنگاری بستهصافی حالتمند و ترجمه آدرس در سطح اطلاعات لایه شبکه |
| رویدادنگاری بروزرسانی پایگاه آدرسهای دستهبندی شده |
| Sniffer |
زمانیکه سپر در حالت Sniffer باشد، ابتدا یک آدرس IP به سپر داده میشود و سپس سپر به Switch وصل خواهد شد و خود اقدام به Sniff کردن و تصفیه بستهها میکند. در حالتی که سپر بهعنوان روتر قرار میگیرد، باید بستهها بهنحوی به سپر هدایت شوند. بنابراین در این شرایط سپر باید مستقیماً به روتر سازمان وصل باشد. باید دقت نمود در این حالت اصلاً نیازی نیست تا پیکربندی ماشینهای داخلی تغییر کند و خود سپر بهنحوی عمل میکند که بهعنوان روتر برای سازمان نقش داشته باشد.
نظارت Online
مدیر با استفاده از رویدادنامه میتواند بهصورت Offline سیستم را بازرسی نماید ولی برای نظارت Online مدیر باید بتواند در هر لحظهای از زمان از راه دور به سیستم وصل شده و اطلاعات نظارتی را مشاهده نماید. برای این منظور در سپر دو نوع نظارت Online وجود دارد. این اطلاعات با استفاده از برنامه واسط گرافیکی (GUI) قابل رویت هستند.
| نظارت بر وضعیت کلان سیستم سپر |
| نظارت بر اتصالات در حال تصفیه |
در نوع اول اطلاعات سیستمی برای نظارت بر سیستم نمایش داده میشود و این اطلاعات در هر 5 ثانیه بروز رسانیده میشود. این اطلاعات شامل نمودارهای درصد استفاده از CPU، حافظه، پهنای باند ورودی و خروجی و آمار اتصالات تصفیه شده و نتایج آنها است. بهطور کلی این بخش تنها شامل برخی از اطلاعات آماری است. نوع دیگر از نظارت، امکان نمایش جزئیات اتصالات در حال تصفیه را میدهد. در این بخش اطلاعات تمامی اتصالات در حال تصفیه هر 5 ثانیه بروز شده و نمایش داده میشود. بهازای هر اتصال آدرس IP مبدأ، زمان شروع، نام کاربری، کُنش، و URL نشان داده میشود.
امنیت
سپر به گونهای ساخته شده كه تمامی ارتباطات با آن تنها از طریق كانالهای امن ممكن است و امكان حملات كلاسیك در آن از بین رفته است. استفاده از تشخیص هویت و رمزنگاری در مركز كنترل و مدیریت سپر نمونهای از این امر میباشد. در صورت لزوم، سپر میتواند بدون داشتن شماره IP بخشهای عمدهای از كار خود (از جمله فیلترینگ وب) را انجام دهد. اهمیت این مسأله در آن است كه عدم وجود IP، امكان حملات نفوذی را به كلی از بین میبرد. همچنین سیستمعامل سپر که بنای آن یک سیستم عامل یونیكسی است، تا حد امکان بومی شده است. این بومیسازی در راستای امنسازی و افزایش کارایی سیستمعامل انجام شده است و تلاش شده تا حد امکان سرویسهای اضافی از سیستم عامل حذف شده و به سطح مناسبی از لحاظ امنیتی و کارایی برسد. مقاوم در برابر حملات یکی از امکانات اصلی در فایروالها مقاومت در برابر حملات است. سپر از حملات کلاسیک که در اثر مشکلات قرارداد TCP/IP پیش میآیند، جلوگیری میکند. این حملات دامنه وسیعی از حملات DOS، حملات ناشی از Data Fragmentation و سرریز بافر(Buffer Overflow) را شامل میشود که برخی از آنها عبارتند از:
| LAND |
| BONK و TEARDROP |
| NESTEA |
| NEWTEAR |
| SYNDROP |
| WinNuke |
| JOLT (Ping Of Death) |
| IGMP |
زمانیکه سپر در حالت Sniffer باشد، ابتدا یک آدرس IP به سپر داده میشود و سپس سپر به Switch وصل خواهد شد و خود اقدام به Sniff کردن و تصفیه بستهها میکند. در حالتی که سپر بهعنوان روتر قرار میگیرد، باید بستهها بهنحوی به سپر هدایت شوند. بنابراین در این شرایط سپر باید مستقیماً به روتر سازمان وصل باشد. باید دقت نمود در این حالت اصلاً نیازی نیست تا پیکربندی ماشینهای داخلی تغییر کند و خود سپر بهنحوی عمل میکند که بهعنوان روتر برای سازمان نقش داشته باشد.
استحکام و Watch Dog
سپر جزئی از شبكه سازمان است كه به تصفیه اتصالات و درخواستهای شبكه محلی میپردازد. بنابراین باید همیشه سرپا و فعال باشد و فعال نبودن آن میتواند منشأ ناامنی باشد. به همین دلیل، سپر طوری طراحی شده است كه در صورت بروز تخریب سختافزاری و نرمافزاری، مجدداً و به سرعت راهاندازی گردد. بدین صورت كه اگر در اثر قطع برق و یا دیگر عوامل، سپر خاموش شود، بازآغازی و راهاندازی مجدد آن، به سرعت انجام میشود. زمان كوتاه بازآغازی باعث میشود تا اتصال به اینترنت تنها برای زمان كوتاهی قطع شود. همچنین برای افزایش درجه استحکام سیستم، ابزاری به نام Watch Dog در داخل سیستم وجود دارد که وظیفه مراقبت از سرویسها و کارکرد سپر را برعهده دارد. این ابزار بهطور مداوم تمامی بخشهای سپر را بررسی میکند و درصورت مشاهده هرگونه خرابی و عیب، ابتدا تلاش در رفع خرابی میکند و در صورت عدم موفقیت، سیستم را دوباره راهاندازی نموده و گزارش مناسبی را برای مدیر Mail میزند.
دريافت اطلاعات بیشتر
|
سپر White Paper |
|
راهنمای كاربری GUI Graphic User Interface User Guide |
|
راهنمای كاربری CLI Command Line Interface User Guide |
|
توپولوژی های نصب سپر Separ Installation Topologies |
|
بروشور Catalog |