فایروال PIX چیست؟ معرفی فایروال PIX سیسکو

فایروال ها از جمله تجهیزات کلیدی در شبکه های مختلف هستند و جهت برقراری امنیت در ساختار شبکه مورد استفاده قرار می گیرند، برخی از فایروال های امروزی قابلیت های بیشتری داشته و بسیار هوشمندتر عمل می کنند و می توانند موارد کنترلی بسیار بالاتری را در اختیار ما قرار دهند و برخی از آن ها مخصوصا مدل های قدیمی تر می توانند در کنار برخی نرم افزارها و سخت افزارهای امنیتی بعنوان بخش استحکام بخش شبکه مورد استفاده قرار گیرند.

Web

PIX فایروال های سیسکو یکی از انواع فایروال های موجود در بازار گسترده تجهیزات امنیت شبکه می باشند و وظیفه اصلی و پایه ای آن ها اجازه و یا عدم اجازه عبور ترافیک در بخش های مختلف شبکه با توجه به محل استقرار فایروال و بر اساس Rule ها و یا قوانینی است که از قبل برای آنها معین می کنیم.

تمامی فایروال ها وظیفه بررسی و بازرسی اطلاعات و ترافیک عبوری از شبکه را برعهده داشته و با توجه به Rule یا مجموعه ای از Rule ها انتظاری را که در زمینه کنترل ترافیک داریم برآورده می کند و با اثر گذاری بر روی ترافیک آن ها را اعمال میکند و به این شکل می توانیم اجازه عبور ترافیک را تنها در اختیار دسته ای از اطلاعات و ترافیک قرار دهیم که پارامترهای امنیتی خاص مورد نظر ما را داشته باشند.

انواع مختلفی از تکنولوژی های فایروال به صورت پایه عرضه شده اند که به دسته های زیر تقسیم می شوند:

– Packet filtering

– Proxy

– Stateful inspection

در دسته Packet filtering فایروال با استفاده از بررسی و یا Inspect ترافیک ورودی در لایه چهارم OSI یعنی لایه Transport موارد کنترلی تعیین شده قبلی بر آنها را اعمال می کند. در این تکنولوژی ترافیک های TCP و UDP آنالیز شده و با مقایسه نوع ساختار یا Pattern آنها با Rule های ساخته شده مورد نظر ما که Access control list یا ACL شناخته می شوند نوع Policy قابل اعمال بر روی آنها مشخص می گردد. مواردی که در Packet filtering قابل بررسی و یا Inspect می باشد شامل پارامترهای زیر می باشد:

Source IP Address

Source Port

Destination IP Address

Destination Port

Protocol

علاوه بر این موارد در برخی سیستم های Packet filtering فایروال ها به بررسی اطلاعات موجود در Header بسته های ارسال شده می پردازند تا در مورد اینکه آن بسته اطلاعاتی یا Packet از یک Connection جدید است یا از همان Connection قبلا ایجاد شده است اطلاعاتی جمع آوری و بر اساس آن ها نیز تصمیم گیری شود.

این پارامترها با توجه به ACL های ساخته شده ما قابل کنترل می باشند و اجازه و یا عدم اجازه عبور ترافیک با توجه به ساختار آنها داده خواهد شد البته در برخی موارد که نرم افزارها پورت های مختلفی را برای برقرار ارتباط در سطح شبکه مورد استفاده قرار می دهند لازم است که Policy لازم برای تمامی Connection های مورد نیاز آن نرم افزار در نظر گرفته شود تا آن نرم افزار بصورت کامل قابل سرویس دهی باشد.

دسته بعدی از تکنولوژی های پایه فایروال Proxy می باشد که در این مدل Proxy firewall که همان Proxy server نیز نامیده می شود به جای یک سرور و یا هاست به ترافیک ها پاسخ می دهد و به این ترتیب با محدود نمودن ارتباط خارج از شبکه با سرورها و تجهیزات داخل شبکه امنیت آن ها را بالا می برد. به این ترتیب که تجهیزات و هاست های داخل یک شبکه محافظت شده در شبکه بصورت مستقیم با شبکه خارج از آن محدوده به هیچ عنوان ارتباط برقرار نمی کنند و درخواست های خود را به سمت Proxy server می فرستند و در آن جا از نظر دسترسی و صحت کاربری مورد بررسی قرار می گیرند و فایروالی که نقش Proxy server را بر عهده دارد به جانشینی از آن هاست های درخواست کننده، درخواست را به سمت شبکه خارج از محدوده حافظت ارسال نموده و جواب برگشتی از آن سمت را به درخواست کننده اولیه در داخل شبکه منتقل می کند، به این ترتیب فایروال در این حالت بعنوان نقطه برقراری تماس عمل می کند و از تماس مستقیم تجهیزات داخل شبکه حفاظت شده به بیرون از شبکه جلوگیری می کند که به این ترتیب بسیاری از جزئیات اطلاعاتی تجهیزات داخلی محفوظ می ماند که این امر در بهبود بخشیدن به امنیت شبکه نقش بسیار مهمی را ایفا می کند. در این حالت Proxy در لایه بالایی OSI اجرا می گردد یعنی در لایه Application که همین امر باعث می گردد برخی از اطلاعات مورد نیاز دسترسی هاست های داخلی که با تعداد بالاتر درخواست می گردد و عمومی تر مورد استفاده هستند Cache گردد و به این صورت زمان پاسخ دهی به درخواست ها نیز کاهش می یابد. حجم پردازش درخواست ها با توجه به تعداد هاست های درخواست دهنده افزایش می یابد و در نتیجه سخت افزار مورد استفاده نقش مهمی را ایفا خواهد نمود، هم چنین در شبکه های بزرگ معمولا چند Proxy server مورد استفاده قرار می گیرد. در برخی application ها و پروتکل ها بدلیل ماهیت ساختاری آن ها امکان استفاده از Proxy وجود ندارد و در این نوع ترافیک ها می باید ارتباط بصورت مستقیم انجام شود تا پروتکل های یاد شده بتوانند به درستی کار کنند. البته یکی دیگر از مواردی که باید در نظر گرفته شود مسئله امنیت است آن هم به دلیل قرار گرفتن سرویس های Proxy در بالاترین سطح Application و در لایه بالای سیستم عامل تمامی کنترل های امنیتی منوط به قدرت در ساختار امنیتی آن سیستم عامل و Application می باشد به این ترتیب اگر امنیت سیستم عامل به خطر افتاده باشد امنیت هاست استفاده کننده نیز می تواند دچار اشکال گردد.

دسته بعدی از تکنولوژی های مورد استفاده در فایروالها Stateful inspection می باشد که در برخی مواقع با عنوان Stateful packet filtering شناخته می شود که در واقع ترکیبی از Packet filtering و Proxy service می باشد. این تکنولوژی قوی ترین حالت امنیتی را به همراه دارد چراکه نه تنها ترافیک بر اساس Rule های ساخته شده چک می گردند بلکه موقعیت ارتباطات در ترافیک های عبوری نیز در یک جدول ذخیره شده و دائم در حال کنترل می باشند. زمانی که ارتباط در connection برقرار گردید موقعیت یا State آن ذخیره می گردد و اگر اطلاعات Session در بازه زمانی ارتباط با جدول ذخیره شده هم خوانی نداشته باشد آن ارتباط قطع و ترافیک Drop می گردد. این نوع کنترل در عبور ترافیک دارای بالاترین میزان امنیت می باشد و ضریب نفوذ را به مقدار زیادی کاهش می دهد.

در PIX فایروال های سیسکو نوع Stateful packet filtering مورد استفاده قرار گرفته است.

برخی از انواع PIX فایروال های پر کاربرد سیسکو به تفکیک وسعت شبکه و نوع استفاده آن ها به شرح زیر می باشند:

– Cisco PIX 515 این کالا را در Adminkala مشاهده نمائید.

این مدل از فایروال های سیسکو برای سازمان ها و شرکت هایی با شبکه متوسط با تعداد پائین شعب مورد استفاده قرار می گیرد.

– Cisco PIX 515E این کالا را در Adminkala مشاهده نمائید.

این مدل از PIX فایروال های سیسکو به نسبت مدل PIX 515 از سخت افزار قوی تری برخوردار بوده و با توجه به این موضوع امکانات بالاتری را برای شبکه های بزرگ تر فراهم می آورد.

– Cisco PIX 525 این کالا را در Adminkala مشاهده نمائید.

این مدل از فایروال های سیسکو متناسب برای شبکه های بزرگ و تامین کنندگان سرویس می باشد

– Cisco PIX 535 این کالا را در Adminkala مشاهده نمائید.

این مدل از فایروال های سیسکو برای شبکه های بسیار بزرگ و تامین کنندگان سرویس بسیار قدرتمند مورد استفاده می باشند.

تمامی این فایروال ها می توانند در سناریوهای مختلفی مانند سناریو های زیر مورد استفاده قرار گیرند.

Intrusion protection, AAA support, X.509 Certificate support, NAT, PAT, VPN

توان امنیتی عملیاتی قابل ارائه در مدل های مختلف PIX فایروال سیسکو معرفی شده در بالا به شرح زیر است:

– Cisco PIX 515 این کالا را در Adminkala مشاهده نمائید.

Concurrent connections

34000R- 128000UR

3DES VPN

10Mbps R- 63Mbps UR

Throughput

147Mbps

– Cisco PIX 515E این کالا را در Adminkala مشاهده نمائید.

Concurrent connections

48000R-130000UR

3DES VPN

20Mbps R-63Mbps UR

Throughput

190Mbps

– Cisco PIX 525 این کالا را در Adminkala مشاهده نمائید.

Concurrent connections

128000R-256000UR

3DES VPN

30Mbps R-72Mbps UR

Throughput

360Mbps

– Cisco PIX 535 این کالا را در Adminkala مشاهده نمائید.

Concurrent connections

250000R-500000UR

3DES VPN

50Mbps R-100Mbps UR

Through

put

1655Mbps

Technorati Tags: سیسکو,فایروال,PIX,امنیت,شبکه,پیکس فایروال,PIX 515,PIX 525,PIX 515E,PIX 535,امنیت شبکه

نوشته های مرتبط:

علی قیدرپور

کارشناس ارشد شبکه و مخابرات ، مدرس دوره های تخصصی و فوق تخصصی شبکه سیسکو ، با بیش از 14 سال تجربه در شبکه های بزرگ سازمانها و تامین کنندگان سرویس بزرگ در کشور ،انجام پروژه های بزرگ تامین کنندگان سرویس در چندین کشور در منطقه ، اروپا و آمریکا و در سطح کشور ------------------------------------------------------------------ دارای مدارک تخصصی CCIP, CCDP, CCNP, CCSP, CCNP-Security, CCDA, CCNA-Security, CCNA-R&S, IPv6 Gold certified engineer,CCIE DC written,CCIE R&S written, CCIE Service provider written,CCIE Security written ----------------------------------------------------------------------------------------------------- تدریس دوره های تخصصی سیسکو در زمینه های MPLS, BGP, QoS, Routing, Switching, Data center, Security, VPLS, VPN and layer2/3 MPLS VPN, network monitoring and network management.

7 ماه ago