فایروال سخت افزاری با TMG ؟

[mohamad-23]

سلام دوستان ...
من یک سوال داشتم و بعد از سرپ به نتیجه واضحی نرسیدم...
به نظر شما فایروال TMG و فایروال های سخت افزاری مثل mikrotik ، سیسکو و ... مکمل هم هستند یا جایگزین؟؟؟
من کلا دنبال فایروال سخت افزاری باشم ؟ در صورت مثبت بودن جواب کدوم برند ها بهترن؟ و اینکه این فایروال های سخت افزاری قابلیت هایی مثل CaCHe SRV هم دارن؟

[hamed_mhk]

من فکر کنم بد نباشه قبلش خودت همون نتایج اولیه‌ای که به نظر خودت هم واضح نیست گرفتی در مورد فایر وال ها رو اینجا مطرح کنی چون فکر کنم بحث خوبی بشه از این قضیه در آورد و مثل اون تاپیکی که در مورد "انتخاب سرور برای مجازی سازی" توی بحث مطرح شد،‌ توی اینجا هم مطرح بشه ....


- - - Updated - - -

در مورد فایروال‌ها یا بهتر بگیم، نرم‌افزارها و سخت‌افزارهایی که میتونن یک "دیواره کنترلگر درگاه ورودی خروجی" ایجاد کنن بحث‌های خیلی زیادی میشه کرد و از مناظر مختلف نگاه کرد....


مثلاً ماکروسافت 2 تا نرم‌افزار اساسی داره برای کنترل درگاه یا همون Gateway
یکی اسمش TMG :Thread Management Gateway هستش که قبلاً به اسم ISA میومد بیرون
اونیکی اسمش Unified Assess Gateway :UAG هستش که قبلاً به اسم IAG میومد بیرون
UAG خودش روی بستر و موتور TMG سوار میشه ولی کاربردش کاملاً متفاوته با TMG نصب و راه اندازی و به قولی Deploy کردنش هم خیلی کار داره و به قولی یک سولوشن کاملاً متفاوت با TMG هستش


یا مثلاً مقایسه بین یک روتر سخت افزاری میکروتیک و یک روتر نرم‌افزاری ویندوزی و یک سوئیچ لایه 3 سیسکویی
هر سه اینا میتونن یک Gateway باشن و هر سه اینا هم میتونن کنترل بکنن چیزایی که از درگاهشون میاد بیرون و میره تو !
حالا سیسکو فایروال هم داره
برندهایی مثل Cyberom هم فایروال سخت افزاری دارن و چیزای مثبت و منفی زیادی هم میتونن بدن بهمون

اینکه ما دقیقاً چی میخواییم یا حتی سولوشن‌های مختلف چی بهمون میتونن بدن که ما دوست داریم داشته باشیم باید بررسی بشه

حالا من سر فرصت میام و در موردش صحبت میکنم و البته از صبحتهای دوستان هم استفاده میکنم !

[mohamad-23]

حامد جان طبق آمار FBI 70 درصد ATTACK های امروز از طرف داخل شبکه انجام میشه ... یعنی دیگه حتما عامل خارجی مشکل زا نیست ...
یعنی دیگه فقط درگاههای ورودی و خروجی نیستند که باید چک بشن ...
دیگه مسئله فقط کنترل مرزها نیست !!! باید سر هر خیابون هم یک ایست بازرسی بذاریم و در عمل هم واقعا همینطوره ...

[mahyar49]

سلام دوستان ...
من یک سوال داشتم و بعد از سرپ به نتیجه واضحی نرسیدم...
به نظر شما فایروال TMG و فایروال های سخت افزاری مثل mikrotik ، سیسکو و ... مکمل هم هستند یا جایگزین؟؟؟
من کلا دنبال فایروال سخت افزاری باشم ؟ در صورت مثبت بودن جواب کدوم برند ها بهترن؟ و اینکه این فایروال های سخت افزاری قابلیت هایی مثل CaCHe SRV هم دارن؟

با سلام
به نظر من بستگی به شرایطی دارد که می خواهیم از فایروال استفاده کنیم، یکجا TMG مورد نیاز است، یکجا با میکروتیک کار راه می افتد، و یکجا هم مجبور می شوید ASA سیسکو کانفیگ کنید!
بعضی وقتا هم از ترکیبی از فایروال ها استفاده می شود...

[hamed_mhk]

حامد جان طبق آمار FBI 70 درصد ATTACK های امروز از طرف داخل شبکه انجام میشه ... یعنی دیگه حتما عامل خارجی مشکل زا نیست ...
یعنی دیگه فقط درگاههای ورودی و خروجی نیستند که باید چک بشن ...
دیگه مسئله فقط کنترل مرزها نیست !!! باید سر هر خیابون هم یک ایست بازرسی بذاریم و در عمل هم واقعا همینطوره ...

البته من نگفتم که درگاه ها و Gateway بین شبکه و بیرون،‌ کلاً گفتم درگاه که خب این میتونه حتی کارت شبکه یک کامپیوتیر به طور مجزا باشه !

[hamed_mhk]

بریم سراغ فایروال ها
بحث اول توضیحات بسیار ابتدایی و اولیه

فایروال چیست؟
فایروال یا دیواره آتش یک سیستم نرم‌افزاری یا سخت افزاریه که ترافیک های ورودی و خروجی از یک درگاه یا Gateway رو آنالیز میکنه و بسته به نوع قوانینی که براش تعیین میشه، اجازه یا عدم اجازه ورود یا خروج اطلاعات از این درگاه رو صادر میکنه.
هدفش هم مشخصاً‌ امن کردن شبکه و اعمال محدودیت بر درگاه‌های ورودی یا خروجیه که چیا بیان و چیا برن !

پیشرفت و نوع فایروال‌ها سه نسل رو طی کردن :
نسل اول فایروال‌ها یا First Generation که کارشون Packet Filtering‌ هستش
کسایی که با مدل OSI آشنا هستن میدونم که بحث Packet روی لایه سوم این مدل مطرح میشه
در واقع این نسل از فایروال‌ها تا لایه سوم مدل OSI میتونستن اطلاعات رو کنترل و آنالیز کنن و با توجه به اطلاعاتی که درمیارن و قوانینی که برای این فایروال مشخص میکنن، به فیلتر کردن Packet ها و صد البته Frame ها (لایه 2) میپرداختن
حالا چه ایرادی داشت این فایروال؟ ایرادش اینه که State یک packet رو نمیفهمه. یعنی چی؟ یعنی مثلاً نمیفهمه که این Packetی که داره میاد مال یک Connection جدیده یا یک Connectionی که قبلاً‌ وجود داشته !!! یعنی فقط نگاه میکنه که این Packet از کجا اومده و داره به کجا میره! اینکه چرا داره میره میاد براش مهم نیست!
برای اینکه بفهمیم این قضیه رو یک مثال خیلی ساده میشه از از پروتکل و کانکشن ftp و ببینیم که چی میشه که این تیپ فایروال مشکل‌ساز میشه برای این پروتکل:

ارتباط FTP Active یک ارتباطیه که به این صورته:

1 - کلاینت درخواست رو میفرسته به سمت سرور FTP و یک Concetion میزنه (درخواست رو مثلاً از پورت 1026 خودش میده به پورت 21 سرور)
2 - سرور به conccetion کلاینت جواب میده (سرور پاسخ رو از پورت 21 خودش به پورت 1026 کلاینت میفرسته)
3 - سرور یک conncetion میزنه به کلاینت برای ارسال اطلاعات (سرور از پورت 20 خودش یک کانکشن میزنه به پورت 1027 کلاینت)
4 - کلاینت قبول میکنه و اطلاعات رو دریافت میکنه

حالا اگر کلاینت از یک فایروال نسل اول استفاده کنن، فایروال مرحله 3 جلوش رو میگره! میگه پورت 20 کجا بود؟! 1027 چیه؟!
نمیشه به این فایروال فهموند که بابا این یه تیریپی که قبلاً اینا روی پورت 21 و 1026 توافقاتشون رو کردن حالا میخوان با این پورت‌ها کار کنن !!! (که برای اینکه این تیپ گیر فایروال ها سری FTP دور زده بشه،‌ پروتکل FTP Passive درست شد)

نسل دوم فایروال‌ها یا Second Generation بهشون میگن Stateful Filtering که میشه فایروال‌هایی که تا لایه 4 مدل OSI میان بالا و State و حالت Connection رو میشه بهشون فهموند !
این فایروال‌ها میفهمن که مثلاً توی حالت ftp که قضیه چی بوده و برای اون کار خاص اجازه رو به سیستم بده که کارش رو انجام بده!

نسل سوم فایروال‌ها یا Third Generation فایروال‌های application layer هستن
این نوع فایروال‌ها تا لایه هفتم مدل OSI میتونن بالا بیان و میتونن توی کنترل ترافیک بسیار بسیار هوشمندانه‌تر عمل کنن چون میشه خیلی چیزها رو در سطح لایه اپلیکیشن بهشون فهمون.
مثلاً میتونه ترافیک از نوع DNS رو تشخیص بده یا مثلاً HTTP رو بفهمه





حالا بریم سراغ

انواع مختلف فایروال

1. فایروال‌های Network-Level

که معمولاً از نسل اول و نسل دوم فایروال‌ها هستن
کار این فایروال‌های Packet Filtering هستش که حالا این رو یا به صورت Stateless‌ (نسل اول) یا به صورت Stateful‌ (نسل دوم) میتونن انجام بدن
کارشون هم اینه که Packet ها و Frame هایی که میاد رو بازرسی میکنن و روشون اعمال قانون (!) میکنن ! و همونطوری که گفتیم حداکثر تا لایه 4 مدل OSI رو میتونن هندل کنن
این تیپ فایروال‌ها رو امروزه توی اکثریت روتر‌ها و سوئیچ‌ها میبینیم
مثلاً کسایی که با روترهای سیسکو کار کرده باشن و مفهوم Access List ها رو بدون، دقیقاً همین نوع فایروال داره استفاده میشه و حتی اکثر قریب به اتفاق روترهای خونگی (مودم‌ ای‌دی‌اس‌ال/روتر/سویچ/اکسس پوینت) به این نوع فایروال ها مجهز هستن و میتونن پکت فیلترینگ انجام بدن
مزیت اصلی این فایروال‌ها سرعت خیلی بالای اونا هست که خیلی سریع و به قولی سه سوت کارشون رو انجام میدن حالا اگر Stateless باشن که دیگه سرعتشون عالیه (چون حافظه کمتری اشغال میکنن و به گذشته و آینده کاری ندارن! پکت رو میبینیه اگر اوکی بود بود نبود هم نوکی ِ ش میکنه!!) ولی Stateful‌ باشه یه مقداری کندتره چون باید بدونه که پکت چه تاریخچه‌ای داشته !
عیبشون هم اینه که محتوای پکت براشون مهم نیست و دست برای انواع اعمال قانون‌های کوتاهه و ضمن اینکه قابلیت نفوذ بیشتری دارن نسبت به بقیه فایروال‌ها.

یک Stateless Network Layer Firewall


یک Stateful Network Layer Firewall

2. فایروال‌های Application layer
این نوع فایروال‌ها که نسل سوم باشن تا لایه 7 رو کنترل میتونن بکن و روی همین حساب بسیار بسیار متفاوت میتونن عمل کنن نسبت به فایروال‌های Network layer
مزیت این فایروال‌ها به اینکه که به دلیل اینکه این نوع فایروال روی لایه هفتم کار میکنن، میتونن محتوای اطلاعات رد و بدل شده رو هم ببینن و حتی بر اساس محتوا اعمال فیلتر بکنن. مثلاً میشه از این فایروال برای بلاک کردن رد و بدل شدن موسیقی بین شبکه استفاده کرد. کاری که با فایروال سری قبلی نمیشه انجام داد. چون اون فایروال ها فقط مبدا و مقصد و پورت و پرتکل رو میبینن، نگاه نمیکنن که توش چیه ولی این تیپ فایروال‌ها میتونن محتوا رو هم بازرسی کنن و خب دست بسیار بازتر خواهد بود برای امن کردن قضیه. به انضمام اینکه میشه به سیستم این تیپ فایروال‌ها افزونه‌هایی رو هم اضافه کرد تا کارای بیشتری انجام بدن برامون، مثلاً فایروال بیاد از لحاظ ویروس هم محتوا رو چک کن واسمون و هزارتا کار دیگه رو هم انجام بده
اما عیب بزرگی که دارن اینه که خیلی کندتر هستن نسبت به تیپ قبلی چون کار خیلی بیشتری باید انجام بدن.
مثلاً یک فایروال قراره که درخواستی که سراغش اومده رو هم از لحاظ کسی که درخواست رو فرستاده چک کنه که Authenticated هست یا نیست، بعد محتوا رو نگاه کنه که ویروسی هست یا نه ، بعد ببینه که چه اپلیکیشنی داره این درخواست رو میفرسته (مثلاً یک Web Browser هستش یا یک مسنجر مثل یاهو مسنجر) بعد درخواست رو 2 تیکه کنه، تیکه اول رو بده به یک سرور و تیکه دوم رو به یک سرور دیگه (کاری که Reverse Proxy ها انجام میدن به نیت لود بالانس)، و یک پهنای باند 128 رو هم اعمال کنه روش !




حالا بریم سراغ بحث بعدی
سخت‌افزاری و نرم‌افزاری بودن فایروال‌ها

تمامی کارهایی که یک فایروال انجام میده توی یک محیط نرم‌افزاری انجام میشه.
حالا اینکه این نرم‌افزار چطور ارائه میشه و در اختیار مصرف کننده قرار میگیره داستانش فرق میکنه.
خیلی از وقت‌ها هست که سازنده نرم‌افزار، نرم‌افزار رو جداگونه میفروشه به شما و میگه این پیش‌نیازهای نرم‌افزاری و سخت‌افزاری رو داری. توی این حالت یک فایروال نرم‌افزاری خریدیم!
بعضی وقت‌ها هم سازنده نرم‌افزار رو به همراه سخت‌افزار به شما میده. توی این حالت میگیم یک فایروال سخت‌افزاری خریدیم!

هر کدومش مزایای خاص خودش رو هم داره وعیب‌های خودش
مزیت اصلی‌ای که یک فایروال سخت‌افزاری داره اینه که اگر سازنده، یک سازنده درست و درمون باشه، تک تک اعضای اون سخت‌افزار رو طوری درست کرده که با نرم‌افزار مربوطه به طور خیلی اساسی هماهنگی داشته باشه و به قولی بهترین پرفورمنس و بازدهی رو داشته باشه سیستم. اما توی حالت نرم‌افزاری اینطوری نیست!
توی یک فایروال سخت‌افزاری Ram و CPU و Board و ماژول‌هایی که روش کار شده، به بهترین وجه TuneUP شدن برای کاری که قرار نرم‌افزاره انجام بده ولی یک فایروال نرم‌افزاری که پایه‌ش بر اساس یک سیستم عامل مثل ویندوز یا لینوکس هست رو نمیشه اندازه اون فایروال سخت‌افزاری انتظار پرفورمنس داشت.
البته همه اینا به شرطیه که اون سازنده سیستم سخت‌افزار رو واقعاً TuneUP کرده باشه
مثلاً یکی از دلایلی که Cisco برند شماره 1 سیستم‌های Routing و Switching و Firewallهستش هم همینه! سخت‌افزاری که برای هر تجهیزی که میسازه متفاوته و مثلاً CPU ای که قرار کار Routing انجام بده با CPU ای که قرار کار سئویچینگ بکنه فرق میکنه !
از طرفی یک فایروال نرم‌افزاری میتونه خیلی ارزون‌تر و حتی کارا تر باشه



بحث بعدی اینه که
یک فایروال امروزی چه کارهایی میتونه برامون بکنه و یا چه انتظاراتی از یک فایروال باید داشته باشیم:

• کنترل ترافیک بر اساس IP (محل مبدا و مقصد)، Port (پرتکل انتقال داده) ، نام دامنه (نام محل مبدا و مقصد) ، نام یوزر، نوع محتوا (مثل موسیقی، فیلم، فایل rar)، نوع اپلیکیشن (مثلاً فایرفاکس از پورت 80 استفاده کند ولی یاهومسنجر استفاده نکند) و ...
• پاس‌کاری ترافیک به سمت سرورهای مختلف و تغییر آی پی (NAT) و تغییر پورت (PAT) برای این پاس‌کاری
• لاگ کردن ثبت وقایع که "کی، کِی، برای چی، چیکار کرده ؟!"
• کنترل پهنای باند
• کَش کردن اطلاعات جهت تسریع سرعت
• کنترل ویروس و حملات

هر کدوم از این کارهایی که یک فایروال میکنه، میتونه روی انتخاب فایروال ما تاثیر بذاره
و اینکه مثلاً‌ ما چه تیپ فایروالی رو میخواییم انتخاب کنیم (لایه نتوورکی یا لایه اپلیکیشن)
دقیقاً چیا رو میخواییم و چیا رو نمیخواییم
بعد اون رو سخت‌افزاری انتخاب کنیم یا نرم‌افزاری

وقتی اینا مشخص شد میشه کاملاً سیستم مورد نیاز رو انتخاب کرد و توی شبکه اون رو Deploy کرد.


این لینک‌ها هم اطلاعات خوبی در مورد فایروال میتونن بدن:

Chapter 1: Types of Firewalls
What are the basic types of firewalls?
Firewall (computing) - Wikipedia, the free encyclopedia

[dodvaod]

آقا حامد دمت گرم و سرت خوش باد
بسیار عالی بود