سپر : فایروال و فیلتر اینترنتی , Separ : Firewall and Internet Filter

توپولوژی‌های نصب سپر

سپر

نصب در شبكه

مستقل از طراحی و پیاده‌سازی یک حفاظ و یا صافی اینترنتی، چگونگی نصب و راه‌اندازی آن خود یک فرایند پیچیده است. این فرایند کاملاً به ساختار و توپولوژی شبکه مورد نظر دارد و همین امر بر پیچیدگی فرایند نصب می‌افزاید. چرا که معمولاً توپولوژی شبکه مشتریان مشابه نیستند و برای هر کدام باید تدابیر خاصی را در نظر گرفت. از طرفی نصب و راه‌اندازی محصول معمولاً در سایت مشتری انجام می‌گیرد و نبود یک فرایند از پیش تعریف شده و سیستماتیک می‌تواند روند نصب را در سایت مشتری با تاخیر مواجه کند. این امر می‌تواند در برخورد مشتریان نسبت به محصولات تاثیر داشته باشد و بعضاً برخی از آنان نمی‌خواهند این روند طولانی شود. سپر در قالب یك بسته سخت‌افزاری-نرم‌افزاری ارائه می‌گردد و براساس كاربردهای مورد نیاز سازمان‌ها و با توجه به شرایط محیطی، می‌توان امكانات و بسترهای نرم‌افزاری و سخت‌افزاری آن را تنظیم كرد. با توجه به توپولوژی‌های مختلف سه حالت برای نصب سپر در نظر گرفته شده است. به‌عبارت دیگر سپر در یکی از سه حالت زیر در شبکه سازمان قرار می‌گیرد.

مسیریاب (Router)

پل (Bridge)

Sniffer

حفاظ و صافی سپر در تمام حالات فوق به‌صورت Pass-Through کار می‌کند. بنابراین باید بسته‌ها به‌نحوی به آن ارسال شوند. برای این منظور روش‌هایی برای Sniff نمودن بسته و تغییر مسیر آن‌ها به سمت سپر وجود دارد ولی در شرایط ایده‌آل سپر باید به‌عنوان مسیریاب برای ماشین‌های داخلی و یا پل (Bridge) قرار گیرد و در این حالت می‌توان آن را به‌صورت یک حفاظ مناسب استفاده نمود. در حالاتی که سپر به عنوان مسیریاب برای کامپیوترهای داخلی معرفی نشده است، با استفاده از بسته‌های قرارداد ARP، بسته‌های تغییر مسیر داده می‌شوند و سپر خود را به عنوان مسیریاب اصلی به شبکه معرفی می‌کند و بسته‌ها را بعد از تصفیه به مسیریاب اصلی ارسال می‌کند. بدیهی است در این شرایط سپر نمی‌تواند تضمینی در مورد تصفیه تمامی بسته‌های داشته باشد و برخی از سوئیچ‌ها از عمل Sniffing ممانعت می‌کنند و ممکن است در برخی از شرایط بسته‌ها به سپر وارد نشوند و از مسیر اصلی بدون تصفیه خارج شوند.

حالت مسیریاب و پل

ایده‌آل‌ترین و ساده‌ترین حالت نصب برای سپر این است که سپر به‌عنوان مسیریاب و برای ماشین‌های داخلی و یا پل قرار گیرد. در این حالت بسته‌ها به‌صورت خودکار به سمت سپر ارسال می‌شوند و عملیات تصفیه به‌سادگی انجام می‌شود. برای نصب سپر در این حالت کافی است آدرس‌های شبکه‌ای روی ماشین سپر تنظیم شود و سپر به سوئیچ و یا هاب موجود وصل شود. باید توجه داشت كه در حالت پل نیازی به انتساب آدرس IP برای سپر نمی‌باشد. تنها برای مدیریت راه دور سپر می‌بایست یك آدرس IP به آن داده شود.

حالت جایگزین مسیریاب

در این حالت ماشین‌های داخلی مسیریاب خود را تغییر نمی‌دهند و سپر بین شبکه داخلی و مسیریاب اصلی قرار می‌گیرد و بنابراین تمام بسته‌های موجود از سپر می‌گذرد. این حالت در شکل 1 نشان داده شده است.

شکل 1 قرار گرفتن سپر در شبکه به جای مسیریاب

در حالت فوق پیکربندی نرم‌افزاری هیچ‌کدام از ماشین‌های موجود تغییر نمی‌کند و تنها مسیریاب اصلی به‌صورت فیزیکی از شبکه جدا شده و بعد از سپر قرار می‌گیرد. بنابراین سپر باید برای ماشین‌های داخلی نقش مسیریاب را داشته باشد و ماشین‌های داخلی بتوانند بسته‌ها را به همان آدرس IP ارسال نمایند. همان‌طور كه در این شكل نیز دیده می‌شود، سپر در این حالت به‌سادگی می‌تواند نقش یك پل را داشته باشد و تمامی عملیات فیلترینگ را نیز انجام دهد. بنابراین در این شرایط پیشنهاد می‌شود كه سپر در حالت پل نصب شود.

حالت Spoof نمودن مسیریاب

این حالت برای شبکه‌هایی با توپولوژی شبیه حالت جایگزین مسیریاب استفاده می‌شود. در این حالت سپر به‌صورت منطقی بین شبکه داخلی و مسیریاب قرار می‌گیرد. به‌عبارت دیگر مسیریاب از سوئیچ قطع نمی‌شود بلكه همانند مسیریاب به سوئیچ متصل است و در عین حال سپر تلاش می‌کند خود را به جای سپر در سوئیچ جا بزند. با این کار سوئیچ اشتباهاً بسته‌هایی که باید به مسیریاب ارسال کند، به سپر می‌دهد و سپر بعد از تصفیه بسته‌های مجاز را به مسیریاب می‌دهد. این حالت در شکل 2 نشان داده شده است.

شکل 2 قرار گرفتن سپر در شبکه و Spoof نمودن مسیریاب

استفاده از این روش مزایای زیر را دارد.

نصب و راه‌اندازی آسان: همان‌طور که شرح داده شد، سپر بدون هیچ تغییری وارد شبکه می‌شود و کار تصفیه را انجام می‌دهد. به‌عبارت دیگر تنها کافیست که سپر به سوئیچ زده شود.

در صورتی که مدیر بخواهد سپر را از سر راه بردارد، کافیست که کابل آن را بکشد و هیچ مشکلی در کل شبکه پیش نمی‌آید.

این روش برای بسیاری از توپولوژی‌ها قابل استفاده است.

معایب این روش عبارتند از:

برخی از سوئیچ‌ها بعد از مدتی عمل Spoofing را تشخیص داده و آن را به‌عنوان یک حمله در نظر می‌گیرند. در این حالات سپر برای مدتی نمی‌تواند بسته‌ها را تصفیه نماید. همچنین برخی از سوئیچ‌ها اصلاً اجازه Spoofing را نمی‌دهند و در این شرایط بسیار هوشمندانه عمل می‌کنند.

استفاده از مكانیسم‌های Spoofing باعث می‌شود که بخشی از پهنای باند شبکه برای این کار مصرف شود.

برخی از مسیریاب‌ها عمل Spoofing را تشخیص می‌دهند و بنابراین برای مقابله با آن تلاش می‌کنند. برای نمونه کارگزارهای ویندوزی از این دسته می‌باشند.

تاثیر وجود پراکسی HTTP

در بسیاری از توپولوژی‌ها یک پراکسی HTTP برای انجام عملیات تشخیص هویت و یا Caching وجود دارد. وجود پراکسی و مکان آن برای نصب سپر بسیار مهم می‌باشد. به‌طور کلی چون سپر به‌صورت شفاف عمل می‌کند، وجود چند پراکسی، بعد و یا قبل از آن مشکلی ایجاد نمی‌کند ولی بسته به نیازمندی مدیران باید در انتخاب مکان سپر در مقابله با عملیات پراکسی دقت نمود. در صورتی که پراکسی برای عمل Caching استفاده می‌شود، اکیداً توصیه می‌شود که سپر قبل از پراکسی قرار گیرد. دلیل این امر نیازمندی‌های متنوع مدیران برای نحوه تصفیه URL برای انواع کاربران و یا زیرشبکه‌هاست. برای نمونه فرض کنید، سپر طوری پیکربندی شده است که دسته خاصی از آدرس‌ها را برای برخی از IPها ممنوع کند و برای برخی دیگر مجاز بدارد. در صورتی که Cache قبل از سپر قرار گرفته باشد، آدرس‌هایی که برای عده‌ای مجاز بوده در Cache قرار می‌گیرد و بنابراین برای همه افراد قبل از رسیدن به سپر مجاز می‌شود و سیاست‌های تعریف شده در سپر اِعمال نمی‌شود. در صورتی که پراکسی برای عملیات تشخیص هویت پیکربندی شده است، سپر می‌تواند قبل یا بعد از پراکسی قرار گیرد. نکته مهم این است که در این شرایط استفاده از امکان تشخیص هویت از نوع User (Basic در قرارداد HTTP) وجود ندارد، چرا که در قرارداد HTTP بیش از یک پراکسی نمی‌تواند عملیات تشخیص هویت را انجام دهد. در این حالت اگر سپر بعد از پراکسی قرار گیرد، پیکربندی آن مانند حالات قبل انجام می‌شود. تنها مساله این است که تمامی آدرس‌های مبدأ که به سپر می‌رسد، آدرس آن پراکسی می‌باشد و نمی‌توان براساس آدرس‌های مبدأ، سیاست‌ها را روی سپر تعریف نمود.

تغییر مسیر در سیستم‌های RAS

برای حالتی که کاربران از طریق خطوط تلفن به RAS وصل شده و از آن طریق به اینترنت وصل می‌شوند، باید تدابیر خاصی در نظر گرفت. به طور معمول برای RAS از یک مسیریاب شامل ماژول‌های Dial up استفاده می‌شود. این مسیریاب‌های معمولاً دارای یک یا چند پورت LAN می‌باشند که از آن طریق می‌توانند به کارگزارهای دیگر نظیر Authentication Server، DNS و ... وصل شوند. برای سادگی پورت LAN می‌تواند به یک Switch وصل شود. برای تصفیه کاربران Dial می‌توان از یکی از راه‌های قبل استفاده نمود ولی با توجه به وجود یک روتر با امکان Source Routing، راه‌کار دیگری نیز وجود دارد. این امکان به‌خصوص برای مسیریاب‌های CISCO وجود دارد. با وجود این امکان می‌توان مسیریاب را به‌نحوی پیکربندی نمود که ترافیک موردنظر به سمت صافی تغییر مسیر داده شود. بنابراین نیازی نیست تا صافی خود راه‌کاری را برای گرفتن بسته‌ها اتخاذ نماید. در این شرایط می‌توان با استفاده از دستور route-map در مسیریاب، عملیات تغییر مسیر بسته به سمت سپر را انجام داد.

دريافت اطلاعات بیشتر


	سپر White Paper
	راهنمای كاربری GUI Graphic User Interface User Guide
	راهنمای كاربری CLI Command Line Interface User Guide
	توپولوژی های نصب سپر Separ Installation Topologies
	بروشور Catalog