استفاده از فایروال سخت افزاری در کنار سوییچهای سیسکو

[th95]

سلام
من یه فایروال دارم که میخوام ازش تو شبکه داخلی استفاده کنم
تو شبکه داخلی هفت هشت تا سوییچ 2960 - چند تا 3750 برای سرورها و چند تا هم برای core دارم

سوال اول اینکه اصلا این کار رو بکنم با اصلا لازم نیست و هر بحث امنیتی رو با همون سوییچهام و اکسس لیست میتونم پیاده کنم

مثلا میخوام فلان کاربران در فلان vlan فقط بتونند با پورت 80 وصل بشن به سرور اتوماسیون (در zone سرورها) یا فلان کاربران فقط بتونند فلان application رو در فلان سرور اجرا کنند (نظورم اینه که سراغ لایه های بالاتر از 3 هم بریم)

سوال دوم اینکه محل قرار گیری این فایروال توی شبکه کجا بایدباشه (فرض کنید ده تا zone هم داره) میخوام ببینم لینکهایی که بهش میاد باید چطور باشه و چجوری zone بندی بشه

ضمنا در شبکه داخلی من اینترنت وجود ندارد (کلا جدا از شبکه داخلی هستش)

ممنون از همه دوستان گل در سایت

---

موضوعات مشابه:

• نمونه فایل مستند سازی برای روتر و سوییچ سیسکو رو کسی می تونه در اختیار من بذاره ؟
• سوال در مورد سوییچ سیسکو
• کمک برای چک کردن سریال سوییچ های سیسکو
• انتخاب سوییچ سیسکو 100 یا 1000؟

---

[hamid khan]

با سلام خدمت دوست عزیز
فلسفه وجودی Firewall وجود شبکه های Untrust در طرح شبکه شما است
که این Untrust میتواند اینترنت یا اینترانت و یا هرگونه شبکه WAN خارج از کنترل Admin شبکه باشد که بصورت کلی Firewall را در نقطه اتصال این شبکه ها به شبکه LAN قرار میدهند . با توجه به اینکه شما مد نظرت کنترل ترافیک بالاتر از لایه 3 است باید فایروال خودت را به اصطلاحی سر گردنه بگذاری که پکتهای عبوری به آن سرور مورد نظر از آن عبور کند .
پیشنهاد میکنم پلان شبکه ات را هم قرار دهی تا دوستان بهتر بتوانند محل مناسب را پیشنهاد دهند ...

[kazem_m]

درود.
اگر تا لايه 7 نياز نداريد بررسي كنيد فكر مي كنم Access ليست به راحتي تا لايه 4 جواب مي ده. شما كه اينترنت هم جدا كردين امنيت رو بالاتر بردين. اگر فكر مي كنيد از داخل سيستم احتمال نفوذ هست اين يه بحث ديگه است. البته بهتر از من مي دونين براي اجرا كردن يا نكردن برنامه توسط كاربر راه هاي ديگه اي مثلا تو A.D هم هست.
در كل فايروال ها قابليت هاي اسكن با Anti virus و شناسايي حمله ها و همچنين IDP و IPS و .... دارن كه بعضي هاش رو نمي شه با Device ديگه اي فراهم كرد.
به نظر من شما مي تونيد بين سويچ Server farm و Distribution قرار بدين. چون معمولا سرور ها مهمترن. البته اين كارو جاهايي انجام مي دن كه خيلي امنيت براشون مهمه. (بيشتر از حد معمول)
اكثرا در بحث ارتباط بين شبكه ها از فاير وال استفاده مي كنن و با روش هاي ديگه اي Lan رو امن مي كنن و احتمال حمله از طريق Lan داخلي رو كمتر در نظر مي گيرن. ( منظورم اين نيست كه امنيت Lan مهم نيست. اتفاقا شايد در بعضي جاها احتمال حمله از داخل بيشتر باشه)
بحث امنيت بي انتهاست و هميشگي نيست بسته به شرايط و امكانات مي شه به روش هاي مختلفي پياده سازي كرد.

Cisco Catalyst 6500 Series Firewall Services Module - Products & Services - Cisco Systems

اينجا متخصصين امنيت هم زيادن كه خيلي بهتر از من مي تونن شما رو راهنمايي كنند. منتظر نظر ساير اساتيد هستيم !

[th95]

با تشکر از هر دو دوست گرامی و سایر دوستان متخصص که منتظر نظراتشون هستم
من حتما یک نقشه تقریبی از شبکه رو هم قرار میدم تا دوستان بهتر بتونند کمک کنند

راستی یه نکته ای : از چند نفر آدم امنیتی شنیدم که 70 درصد حملات و نفوذها از شبکه داخلی هستش و نه از شبکه های بیرونی !!

شما با این مساله موافقید ؟

[aryagohar]

راه حل هست ولی .... خودت بخون شاید بدردت خورد
VLAN Membership Policy Server (VMPS) / Dynamic VLANs - Cisco Systems

[th95]

راه حل هست ولی .... خودت بخون شاید بدردت خورد
VLAN Membership Policy Server (VMPS) / Dynamic VLANs - Cisco Systems

من سوال در مورد Dynamic Vlanning نپرسيدم دوست عزيز
من ميگم فايروال رو كجا بذارم

[shabake_karan]

بحث شما یک مشکل اساسی دارد آنهم اینکه بستگی به قابلیت های firewall شما دارد .
مثلا اگر که VDOM یا بقولی Virtual-context پشتیبانی می کند یا نه ، اعمال کردن آن چه امکاناتی را خذف و اضافه می کند
تعداد حداکثر bbs ، pps و seesion هایی firewall چقدر است
چه سرور هایی دارید ، چند تا ، تعداد کاربران هر کدام ، نوع application ها ، نوع ترافیک آنها و ...
قابلیت های ALF فایروال شما
و هزار و یک سوال دیگر
بله هر آنچه دوستان فرمودند درست و اما پیشنهاد به این سادگی نیست

[th95]

فایروال ایرانیه
مال امن افزار هستش
ظاهرا که امکانات خوبی داره
اگه چیز خاصی مد نظر هست بفرمایید تا بگم
البته یه ذره ساده تر که من بفهمم