طراحی Subnetting چگونه است؟ معمار سابنتینگ شوید!

سابنتینگ (Subnetting) چیست؟

در شبکه های کامپیوتری کلاس های آی پی وجود دارد با نام های A, B و C که در واقع یک نوع معماری آدرس دهی به تجهیزات شبکه می باشد که از سال 1981 تا زمان معرفی Classless Inter-Domain Routing در سال 1993 کاربرد داشت. در جدول ذیل اطلاعات کامل تری از این نوع آدرس دهی مشاهده می نمایید:

Num of Networks	Hosts per Network ID	Subnet Mask	IP Range	First Binary Octed	Firts Decimal Octed	Class
126	16,777,214	255.0.0.0	127.255.255.255 - 0.0.0.0	0XXXXXXX	127 - 0	Class A
16,382	65,534	255.255.0.0	191-255.255.255 - 128.0.0.0	10XXXXXX	191 - 128	Class B
2,097,150	254	255.255.255.0	223.255.255.255 - 192.0.0.0	110XXXXX	223 - 192	Class C

سابنت (Subnet) یک زیرشبکه یا (Sub-Network) از شبکه ها است که زیر کلاس های A, B و C قرار می گیرد.
برای مثال، 172.16.0.0/16 یک شبکه کلاس B می باشد. این نتورک با توجه به این که 65536 آی پی در آن وجود دارد می توان گفت که یک شبکه خیلی بزرگ است و استفاده از این شبکه برای یک شرکت کوچک با 6 دستگاه متصل به شبکه کار اشتباهی است.

حال به جای اینکه از این تکه بزرگ از کل آی پی های موجود برای یک شبکه کوچک استفاده کنیم، از یک قسمت کوچک تر آن بهره برداری می کنیم. برای مثال 172.16.3.0/24 یک سابنت Subnet از کلاس B می باشد که تعداد کمتری از آی پی ها را استفاده کرده است به همین دلیل به آن "زیر-شبکه" یا “Sub-Net” می گویند.برای درک مفاهیم ویادگیری عمیق دوره دوره آموزشی CCNP Enterprise

پیشنهاد میشود.

خب حالا بذارید ببینیم که دلیل این کار چیه؟ به توپولوژی زیر نگاه کنید:

در توپولوژی فوق شبکه کوچک یک شرکت را می بینید که یک روتر مرکزی (Core Router) به همراه 3 سوییچ دارد که هر سوییچ نشان دهنده یک شعبه از آن شرکت است. به هر یک از سوییچ ها و روتر های این مجموعه یک نتورک کلاس C اختصاص داده شده است که هیچ مشکلی از لحاظ فنی ندارد. اما چرا این طراحی اشتباه می باشد؟

1. کلاس آی پی C یک کلاس محدود است که می توانیم از بین 192.168.0.0/24 تا 192.168.255.0/24 استفاده کنیم. خب اگر این شرکت توسعه پیدا کند و تعداد دفاتر این شرکت به بیشتر از 256 شعبه افزایش پیدا کند چه؟ با توجه به این معماری آی پی دهی، باید کل شبکه را از ابتدا تغییر داد تا با سناریو جدید هم خوانی پیدا کند.
2. لینک بین روتر ها و سوییچ ها لینک های Point-to-Point برقرار شده است پس تنها به 2 آدرس آی پی نیاز داریم. زمانی که برای چنین لینکی یک سابنت /24 را استفاده می کنیم، عملا 252 آی پی را هدر می دهیم. هم چنین برای شعبه ای که می دانیم 2 کامپیوتر دارد و در شلوغ ترین حالت ممکن است 50 تجهیز در آن شعبه قرار بگیرد، استفاده از سابنت /24 در اینجا نیز اشتباه است و سبب به هدر رفتن منابع آی پی می شود و یا حتی اگر جایی که می دانیم ممکن است تعداد تجهیزات به بیش از 254 آی پی ارتقاء پیدا کند، استفاده از این سابنت نیز کار اشتباهی است. البته این نوع آدرس دهی در سابنت های Private مشکلی برای ما ایجاد نمی کند اما زمانیکه این روش آی پی دهی با استفاده از آی پی های Public پیاده سازی شود، مشکل های زیادی بوجود خواهد آمد. از هزینه بالای آن تا محدودیت شدید تعداد آی پی های Valid می تواند مشکل های ما باشد.

حال می توان برای رفع مشکل محدودیت آی پی ها از کلاس B یا A مانند 172.16.0.0/24 الی 172.31.255.0/24 که یک نتورک در سابنت B است استفاده کرد اما باز هم استفاده از سابنت /24 کار اشتباهی است. چرا که همچنان تعداد آی پی زیادی را هدر می دهیم.برای درک عمیق مفاهیم آموزش سیسکو مراجعه کنید.

زمانیکه در مورد سابنتینگ صحبت می کنیم، می بایست به دو چیز توجه کنیم:

• طراحی: همانند مثال بالا، شما باید به تعداد سابنت هایی که نیاز دارید فکر کنید. برای مثال اگر در توپولوژی فوق یک روتر دیگر اضافه کنیم چه سابنت هایی را باید استفاده کنیم؟ اگه تعدادی Sub-Interface روی روتر مرکزی ایجاد کنیم چطور؟ چه سابنت هایی برای این Sub-Interface ها استفاده خواهید کرد؟ شما باید ابتدا به این موارد فکر کنید و سپس اقدام به طراحی معماری آی پی دهی سازمان خود نمایید.
• محاسبات: در مثال بالا ما از یک سابنت /24 برای تمامی لینک ها استفاده کردیم که روش ساده اما غیر معقولی است. برای لینک های P2P استفاده از تنها 2 آی پی کافی است. این محاسبات را می توانید با استفاده از ابزار های آنلاین مانند این سایت انجام دهید.

حال برای اینکه درک بهتری از نحوه طراحی معماری یک شبکه داشته باشیم، بیایید با هم دیگر توپولوژی فوق را از ابتدا طراحی کنیم.پیشنهاد ما برای درک بیشتر مفاهیم مطالعه مقاله آموزش مسیریابی یا IP Routing می باشد.

طراحی سابنت

به توپولوژی زیر نگاه کنید:

برای طراحی معماری آی پی دهی توپولوژی فوق باید چند سوال از خودمان بپرسیم:

• چه تعداد سابنت برای اتصال روتر ها و سوییچ هایمان نیاز داریم؟
• چه تعدا VLAN برای هر سوییچ نیاز داریم؟
• چه تعداد Host به هر سوییچ متصل خواهند شد؟
• چه میزان رشدی را برای شبکه مان پیش بینی می کنیم؟

برای مثال فرض کنیم که جواب سوال هایمان به این شرح می باشد:

• برای اتصال روتر به سوییچ ها تعداد 3 سابنت نیاز خواهیم داشت.
• سوییچ 1 به دو VLAN نیاز دارد که هر VLAN به 100 کاربر سرویس خواهد داد
• سوییچ 2 به چهار VLAN نیاز دارد که هر VLAN به 30 کاربر سرویس خواهد داد
• سوییچ 3 به سه VLAN نیاز دارد که هر VLAN به 20 کاربر سرویس خواهد داد

انتظار ما از رشد این شبکه به این صورت است که امکان می دهیم که تعداد VLAN ها و کاربرانمان در آینده دو برابر افزایش خواهند داشت و همچنین 2 شعبه دیگر به این شبکه افزوده خواهد شد. حال چه کنیم؟

1. سابنت تک سایز

بزرگترین VLAN ای که داریم تعداد 100 کاربر را پشتیبانی خواهد نمود که انتظار داریم این تعداد در آینده دو برابر بشود که بنابراین به یک سابنت با 200 آی پی نیاز داریم. اما نزدیک ترین سابنت قانونی که به 200 آی پی وجود دارد سابنت /24 می باشد. طراحی شبکه ما باید چیزی شبیه به توپولوژی ذیل باشد:

در تصویر فوق ما برای VLAN هر شعبه یک سابنت /24 استفاده کردیم. اما چرا؟

اگر شبکه فوق را یک شبکه Enterprise در نظر بگیریم، به احتمال قریب به یقین از آی پی های Private در LAN این شبکه استفاده خواهد شد. بعضی از VLAN های مورد نیاز ما با احتساب گسترش آن به 40 عدد آی پی آدرس نیاز دارد که ما می توانستیم از سابنت های کوچکتر مانند /26 استفاده کنیم اما به دلایل ذیل این کار را انجام ندادیم.

ابتدا باید عنوان کرد که استفاده از سابنت /24 به مراتب راحت تر از خرد کردن این سابنت می باشد و استفاده از یک سابنت ثابت در همه جا شبکه را ساده تر می کند. افراد با سابنت /24 آشنایی بیشتری نسبت به سایر سابنت ها دارند. اولین آی پی این رنج .1 می باشد و آخرین آی پی این رنج .254 که یکی از این دو می تواند بعنوان دیفالت گیتوی (Default Gateway) استفاده شود.

بیشتر بخوانید: جامع ترین آموزش پروتکل BGP در تجهیزات Cisco, Mikrotik و Juniper

کلاسی که استفاده کردیم امکان استفاده از تعداد زیادی آی پی را به ما خواهد داد پس نگران کمبود آی پی در این شبکه نیستیم. ما همچنین در اینجا مقدار زیادی سابنت را بین هر شعبه خالی گذاشته ایم. برای مثال سوییچ 1 می تواند از سه VLAN موجود خود فراتر رفته و از سابنت های 172.16.0.0 – 172.16.9.255 استفاده نماید.

تنها مورد استثنا در اینجا لینک های بین روتر و سوییچ ها است که با توجه به اینکه به تنها 2 آی پی آدرس نیاز داریم، تصمیم گرفتیم که از سابنت /30 و همچنین رنج 172.16.100.0 استفاده کنیم.

2. سابنت چند سایز

حالا اگه فرض کنیم همون شبکه مربوط به یک شرکت ساده نبوده و این شرکت یک سرویس پروایدر اینترنت بوده که می بایست آی پی های Valid خودش رو مدیریت کند و بین مشترکینش به اشتراک بگذارد؟ اگر اینجا با مشکل کمبود آی پی آدرس مواجه باشیم دیگر مانند معماری "سابنت تک سایز" نمی توانیم دست و دل باز باشیم و باید با مدیریت صحیح، آی پی ها را بین مشترکین تقسیم کنیم. در این جا سناریو خود را بر این طرح میگذاریم که روتر R1 نقطه مرکزی شرکت ما می باشد و همچنین سوییچ های SW1, SW2, SW3 همگی سایت های شرکت ما در نقاط مختلف شهر می باشد.

بگذارید مجددا به سوال هایی که در قسمت قبل پرسیده شد پاسخ دهیم و معماری خود را بر آن اساس طراحی کنیم:

• روتر R1 به چهار Sub-Interface که هر Sub-Interface از 100 سرور پشتیبانی می کند نیاز دارد.
• سوییچ SW1 به دو VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 10 سرور دارد.
• سوییچ SW2 به سه VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 30 سرور دارد.
• سوییچ SW3 به دو VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 20 سرور دارد.

در نظر بگیریم که تعداد سایت ها، VLAN ها و همچنین سرور ها در آینده رشد 2 برابری خواهند داشت. پس می بایست برنامه ریزی و محاسبات خود را برای سابنتینگ توپولوژی ای به این شرح انجام دهیم:

• روتر R1 به هشت Sub-Interface که هر Sub-Interface از 200 سرور پشتیبانی می کند نیاز دارد.
• سوییچ SW1 به چهار VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 20 سرور دارد.
• سوییچ SW2 به شش VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 60 سرور دارد.
• سوییچ SW3 به چهار VLAN که هر VLAN مربوط به یک مشتری است و هر مشتری 40 سرور دارد.
• سابنت های احتمالی برای سایت هایی که در آینده به شرکت ما اضافه خواهند شد.

پس از بررسی ها و محاسبات برای سابنتینگ Subnetting این شبکه، توپولوژی ما به این صورت خواهد بود:

بگذارید شرح دلایلی که این نوع سابنت گذاری را در توپولوژی فوق انتخاب کردیم ذکر کنم:

• Sub-Interface های روتر R1 هر یک 200 سرور خواهند داشت که کوچک ترین سابنتی که این تعداد آی پی را در خود جا می دهد، سابنت /24 می باشد و 254 عدد آی پی قابل استفاده دارد.
• VLAN های سوییچ SW2 به 60 سرور متصل خواهند شد که کوچکترین سابنت در بر گیرنده این تعداد آی پی سابنت /26 خواهد بود که تعداد 62 آی پی قابل استفاده خواهد داشت.
• VLAN های سوییچ SW1 به 20 سرور سرویس دهی خواهند کرد که کوچکترین سابنت در بر گیرنده این تعداد آی پی، سابنت /27 خواهد بود که 30 آی پی قابل استفاده خواهد داشت.
• VLAN های سوییچ SW3 نیز به 40 سرور سرور متصل خواهند شد که کوچکترین سابنت در بر گیرنده این تعداد آی پی سابنت /26 خواهد بود که تعداد 62 آی پی قابل استفاده خواهد داشت.
• برای لینک های Point-to-Point بین سوییچ و روتر ها به دو عدد آی پی نیاز داریم که سابنت /30 می تواند این نیاز را بر آورده کند. اما این رنج را از 92.61.30.0 شروع کردیم چرا که آی پی های سایت ها از رنج 92.61.0.0 – 92.61.11.255 استفاده کرده بودند که با احتساب دو برابر شدن تعداد سایت ها ما به سابنت های 92.61.0.0 – 92.61.22.255 نیاز خواهیم داشت و فقط برای باز ماندن دستمان در شرایط اضطراری، فاصله بین رنج 92.61.23.0 تا 92.61.29.255 را خالی گذاشتیم.

در نظر داشته باشید این تنها یک مثال می باشد اما یک ایده ای از مواردی که نیاز دارید تا در طراحی سابنتینگ به آن توجه داشته باشید به شما می دهد.

پی اف سنس (PfSense) چیست؟ معرفی فایروال Pfsense به زبان ساده

فایروال PfSense چیست؟ وقتی صحبت از فایروال شبکه می شود ، اکثرا اسامی مثل فورتیگیت ( Fortigate ) ، جونیپر ( Juniper ) ، سیسکو ( Cisco ASA ) ، سایبروم یا سوفوس ( Cyberoam or Sophos ) و ... به ذهن مخاطبین می رسد. این در حالی است که اکثر فایروال هایی که نام بردیم بسیار گرانقیمت هستند و از طرفی به دلیل حضور در ایران با مشکلات بسیار زیادی استفاده کردن از آنها همراه است که ساده ترین آنها به روز رسانی نشدن و نبود پشتیبانی در ایران است.

pfSense یک فایروال و روتر متن‌باز مبتنی بر FreeBSD است که به کاربران امکان کنترل دقیق ترافیک شبکه را می‌دهد.این نرم‌افزار با رابط کاربری گرافیکی ساده، تنظیمات پیشرفته‌ای مانند VPN، NAT و فیلترینگ محتوا را ارائه می‌دهد.با استفاده از pfSense، می‌توانید امنیت شبکه خود را بهبود داده و به مدیریت بهینه ترافیک دست یابید.در آموزش فایروال به زبان ساده، pfSense به عنوان ابزاری قدرتمند برای محافظت از شبکه معرفی می‌شود.

در کنار همه این اسامی یک فایروال به نام پی اف سنس ( PfSense ) وجود دارد که تقریبا این روزها همه افرادی که در حوزه امنیت شبکه فعالیت می کنند با اسم آن آشنایی دارند. فایروال PfSense یک فایروال یا بهتر بگوییم یک سیستم مدیریت تهدیدات یکپارچه شبکه یا UTM است که بصورت اوپن سورس ( Open Source ) یا متن باز ارائه می شود و تقریبا اکثر امکانات و ویژگی های امنیتی قابل استفاده از آن رایگان هستند.

رایگان بودن ، در دسترس بودن ، متن باز یا اوپن سورس بودن ، نصب شدن بر روی سیستم عامل FreeBSD که به خودی خود یک سیستم عامل رایگان است ، پشتیبانی بسیار عالی در Community ها و امکانات و ویژگی هایی که هر روز به این فایروال اضافه می شود از فایروال PfSense یک محصول قابل اعتماد و اتکا ساخته است که این روزها تقریبا هر جایی که نمی خواهد هزینه های سنگین برای تجهیزات امنیتی خود داشته باشد ، از فایروال PfSense برای بهتر کردن وضعیت امنیت شبکه خود استفاده می کند.

فایروال PFsense در ابتدا بسیار ساده و برای برطرف کردن نیازهای اولیه امنیت شبکه در سال 2004 و توسط دو متخصص و برنامه نویس حوزه امنیت شبکه به نامهای کریس بیچلر و اسکات اولریک بصورت تخصصی بر روی سیستم عامل FreeBSD طراحی و به دنیای اوپن سورس معرفی شد.

با توجه به اینکه ماهیت سیستم عامل FreeBSD بیشتر در حوزه امنیت است و این سیستم عامل در حوزه امنیت شبکه بسیار قابل اعتماد است ، فایروال PfSense توانست به مرور در بین جامعه متخصصین امنیت شبکه جا باز کند. این روزها فایروال PfSense یکی از رقیبان اصلی فایروال ها UTM های بزرگ دنیا مثل جونیپر و سیسکو به حساب می آید و در لیست مدعیان حوزه امنیت شبکه نیز قرار دارد.

ماهیت اوپن سورس این فایروال باعث شد که از سال 2004 تا به حال ، گروه های مختلفی بر روی توسعه این فایروال زمان و انرژی بگذارند و این روزها آنقدر امکانات و ویژگی های امنیتی به این فایروال اضافه شده است که می توان از آن به عنوان یکی از قدرتمندترین فایروال های یکپارچه ( UTM ) نام برد.

برای مثال در ابتدا مدیریت پهنای باند اینترنت ( Bandwidth Management ) و سیستم شناسایی و تشخیص نفوذ ( IDS IPS ) و همچنین مکانیزم Cache Server در PfSense وجود نداشت اما این روزها که در توسینسو بحث PfSense داغ است ، شاید همین الان که در حال خواندن این مقاله هستید ، قابلیت جدید امنیتی به Pfsense اضافه شده باشد.

مهمترین امکانات PfSense چیست؟

این روزها PfSense هم محیط گرافیکی یا GUI تحت وب برای مدیریت دارد و هم اینکه از طریق Shell و از راه دور قابل پیکربندی است. هم قابلیت گزارش دهی دارد و هم تنظیمات آن به مراتب بسیار ساده تر شده است و در عین حال با ابزارهای اوپن سورس لینوکسی هم براحتی یکپارچه می شود ، بد نیست بدانید که این روزها قابلیت یکپارچه سازی با سرویس های مانیتورینگ لینوکسی هم به آن اضافه شده است. اما اگر بخواهیم بصورت خلاصه مروری بر امکانات مهم PfSense داشته باشیم ، موارد زیر را می توانیم عنوان کنیم :

1. PfSense بسیار قابل اعتماد است و درجه Reliability بالایی دارد
2. PfSense هم رایگان است و هم اینکه اگر ماژول پولی داشته باشد بسیار به نسبت ارزان است
3. PfSense بر روی امن ترین سیستم عامل دنیا یعنی FreeBSD طراحی و توسعه داده شده است
4. PfSense دارای قدرت یکپارچگی و سازگاری بسیار خوبی با سرویس های دیگر شبکه دارد
5. PfSense یک رابط کاربری تحت وب بسیار قوی و ساده دارد که کار کردن با آن را ساده می کند
6. PfSense قابلیت گزارشگیری و مدیریت کردن را به مدیران شبکه می دهد و تنظیمات آن ساده است
7. PfSense را می توان به عنوان یک مسیریاب یا روتر نیز در شبکه استفاده کرد
8. PfSense امکان استفاده شدن در قالب Virtual Appliance یا ماشین مجازی را نیز دارد
9. PfSense قابلیت نصب بر روی سخت افزارهای تخصصی شبکه و تبدیل شدن به یک فایروال مستقل را دارد
10. PfSense امکان سفارشی سازی Rule های فایروال بر اساس اندازه و گستردگی شبکه شما را دارد
11. PfSense امکان مدیریت ترافیک بر روی چند لینک ارتباطاتی را با استفاده از Failover و Load Balancing را دارد
12. PfSense در این لحظه ایران را تحریم نکرده است و شما می توانید براحتی آن را به روز رسانی کنید
13. PfSense از اکثر پروتکل های Tunneling از جمله IPsec ، PPTP ، L2TP و OpenVPN پشتیبانی می کند
14. PfSense دارای ابزارهای متنوع مانیتورینگ سرویس می باشد
15. PfSense امکان استفاده همزمان در چند شبکه و ارتباط WAN to LAN و ... را دارد
16. PfSense امکان تبدیل شدن به یک کش سرور ( Cache Server ) اینترنتی با Squid را دارد
17. PfSense امکان تبدیل شدن به یک پروکسی سرور ( Proxy Server ) قوی را دارد
18. PfSense امکان تبدیل شدن به یک هات اسپات ( Hotspot ) اینترنتی را دارد
19. PfSense امکانات بسیار خوبی برای فیلترینگ محتوا ( Content Filtering ) را ارائه می کند
20. Pfsense امکان فعالیت به عنوان یک Reverse Proxy یا Port Forwarding را دارد
21. PfSense امکان مدیریت ترافیک و پهنای باند ( Traffic Management ) اینترنت را دارد ( Captive Portal )
22. PfSense امکان تبدیل شدن به یک DHCP Server حرفه ای را دارد
23. PfSense امکان تبدیل شدن به یک NTP Server حرفه ای را دارد
24. PfSense قابلیت استفاده از Wake On LAN و SNMP را دارد
25. PfSense قابلیت DNS Forwarding و Dynamic DNS را دارد
26. PfSense قابلیت فیلترینگ لایه دو و سه شبکه را دارد
27. و ....

PfSense صد درصد نیازهای امنیتی شما را برطرف می کند و این روزها در ایران بسیاری از فایروال های بومی که تحت عنوان ایرانی معرفی می شوند ، با تغییر دادن شمایل و شکل ظاهری PfSense به عنوان بومی استفاده می شوند. شما می توانید با یادگیری PfSense عملا بر خیلی از فایروال های بومی که وجود دارند نیز تسلط پیدا کنید چون هسته اصلی اکثر آنها بر مبنای PfSense هستند.

Security Level چیست؟ بررسی مفهوم سطح امنیت در فایروال ASA سیسکو

کاربرد Security Level در فایرول ASA سیسکو چیست؟ Security Level مقداری است که به هر Interface اختصاص داده می شود و درجه اهمیت آنرا مشخص می کند. این مقدار میتواند عددی بین 0 تا 100 باشد . ترافیک TCP و UDP از اینترفیس با Security Level بالاتر می تواند وارد اینترفیس با Security Level پایین تر شود و با توجه به ویژگی Statefull ترافیک درخواستی از Security Level بالاتر از Security Level پایین تر امکان و اجازه پاسخگویی و ورود به Security Level بالاتر را پیدا می کند به عبارتی تنها به ترافیکی از سطح پایین تر اجازه ورود داده می شود که از داخل ان اینترفیس درخواست شده باشد.

غیر از Security Level برای هر اینترفیس یک نام (name if) در نظر می گیریم اگر برای اینترفیس نام inside در نظر گرفته شود به صورت خودکار مقدار Security Level برابر 100 و اگر outside را به عنوان نام اینترفیس انتخاب کنیم مقدار Security Level برابر صفر خواهد شد. به اینترفیس ها می توان یک Security Level یکسان اختصاص داد. به طور پیش فرض ترافیک بین اینترفیس هایی که دارای مقدار Security Level یکسان هستند عبور داده نمی شود

Security Level در فایروال ASA سیسکو عددی بین ۰ تا ۱۰۰ است که میزان اعتماد یک رابط شبکه (Interface) را تعیین می‌کند. سطح ۱۰۰ بالاترین امنیت (معمولاً برای شبکه داخلی) و سطح ۰ کمترین امنیت (معمولاً برای اینترنت) را دارد. ترافیک از سطح بالاتر به پایین‌تر مجاز است، اما برای مسیر برعکس نیاز به دستورات دسترسی (ACL) دارد. در آموزش فایروال، درک این مفهوم برای مدیریت امنیت و کنترل ترافیک شبکه ضروری است.

Transparent Firewall چیست؟ بررسی مفهوم فایروال لایه دو در سیسکو

فایروال Transparent چیست؟ فایروال یک سیستم امنیتی برای شبکه است که به دو صورت سخت افزاری و نرم افزاری موجود است و وظیفه آن کنترل ترافیک ورودی و خروجی براساس سیاست ها و نقش هایی که برای آن تعریف می شود است. فایروال شرکت تحت نام Adaptive Security Applince یا ASA تولید می شود البته ASA علاوه بر فایروال امکانات مانند AntiVirus ، IPS ، VPN و ... را برای ما فراهم می کند. ASA در دو Mode یا حالت Transparent و Routed کار می کند.در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Transparent Mode را بررسی کنیم اما در ابتدا به صورت مختصر Routed Mode را بررسی می کنیم.

Transparent Firewall در سیسکو نوعی فایروال لایه ۲ است که مانند یک Bridge (پل) بین دو شبکه عمل می‌کند و بدون نیاز به تغییر در آدرس‌های IP، ترافیک را فیلتر می‌کند. این فایروال در مسیر داده‌ها قرار می‌گیرد و با استفاده از ACLs، Security Policies و Inspection امنیت شبکه را افزایش می‌دهد. در آموزش فایروال، یادگیری Transparent Firewall برای مدیریت امنیت در شبکه‌های بدون تغییر در توپولوژی حیاتی است. این روش در محیط‌هایی که نیاز به کنترل دقیق ترافیک بدون ایجاد تغییر در زیرساخت IP دارند، کاربرد زیادی دارد. تنظیم آن معمولاً با Cisco ASA و Firepower انجام می‌شود.

Routed Mode چیست؟

به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.0/24 ، اینترفیس 1 به نام inside به شبکه 192.168.200.0/24 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.

Transparent Mode چیست؟

حالت دیگری که ASA می تواند در آن عمل کند Transparent است. در این حالت ASA همانند یک دستگاه لایه دو فعالیت می کند و مانند یک روتر یا Gateway در شبکه دیده نمی شود این حالت استفاده فایروال را قایروال لایه دو یا فایروال مخفی نیز می نامند. چون در این حالت اینترفیس های فایروال IP نمی گیرند در نتیجه قابل شناسایی نیستند و تنها از یک IP آدرس برای ترافیک Management مروبط به خود دستگاه استفاده می شود.نصب و راه اندازی فایروال در حالت Transparent در شبکه به سادگی انجام می پذیرد و شبکه ما را به دو قسمت inside و outside تقسیم می کند بودن اینکه نیاز به تغییر در سیستم آدرس دهی شبکه وجود داشته باشد در شکل زیر نحوی استقرار فایروال در حالت Transparent را نشان می دهد.

در حالت Transparent هر دو اینترفیس inside و outside به یک subnet متصل می شود. به این حالت bump in the wire گفته می شود چون در این حالت ASA شبکه را جدا نمی کند و بخشی از شبکه می شود و ترافیک شبکه مورد بازرسی قرار می دهد و نسبت به سیاست های و نقش های در نظر گرفته شده برای فایروال ، در مورد ترافیک های عبوری تصمیم می گیرد. به این همین دلیل نصب و راه اندازی Transparent mode ساده و آسان است.با اینکه حالت Transparent در لایه دو عمل می کند ترافیک لایه سه تا زمانی که شما به آن اجازه عبور ندهید (با یک ACL) این ترافیک نمی تواند عبور کند. و تنها ترافیکی که بدون ACL اجازه عبور دارد ترافیک مربوط به ARP است. ترافیک ARP را با ARP Inspection می توان کنترل کرد.

• نکته : در حالت Transparent ترافیک CDP اجازه عبور ندارد.

به طور مثال شما می توانید با استفاده از یک ACL ترافیک Routing Protocol هایی مانند OSPF ، EIGRP و ... را از Transparent Firewall عبور دهید ASA در حالت transparent را می توان همانند یک سوئیچ در نظر گرفت که فریم ها را از یک اینترفیس به اینترفیس دیگر منتقل می کند اینکار براساس MAC آدرس فریم انجام می شود. ASA آدرس MAC مبدا و پورتی که روی آن این فریم را دریافت کرده را نگه داری می کند و از این طریق متوجه می شود که برای رسیدن به این MAC آدرس از چه اینترفیس می تواند استفاده کند. با استفاده از این اطلاعات ASA یک جدول تشکیل می دهد و این اطلاعات را در آن نگه داری می کند و با استفاده از این جدول اقدام به ارسال فریم های می کند.

زمانی که یک فریم که MAC مقصد را در جدول خود ندارد چه واکنشی نشان می دهد؟

سوئیچ زمانی که MAC مقصد فریم را در جدول Cam خود پیدا نکند این فریم را روی تمام اینترفیس هایش غیر از اینترفیسی که این فریم را روی آن دریافت کرده ارسال می کند به این امید که مقصد به یکی از پورت هایش متصل باشد.اما ASA همانند سوئیچ اینکار را به سادگی انجام نمی دهد چون به دلیل سیاست های امنیتی امکان ارسال بسته ها محدود شده است. در عوض ASA به منظور پیدا کردن مقصد به یکی از روش های زیر وارد عمل می شود:

• ARP request : زمانی که آدرس IP مقصد در شبکه Local (همان subnet) قرار دارد در نتیجه به ASA از طریق یک شبکه متصل است و ASA اقدام به ارسال یک ARP request می کند و در صورتی که مقصد به آن پاسخ دهد از روی این پاسخ محل استقرار مقصد را متوجه می شود.
• Ping request : زمانی که آدرس IP مقصد در یک شبکه دیگر قرار دارد ASA اقدام به ارسال echo request به مقصد مورد نظر می کند. زمانی که پاسخ توسط روتر یا مقصد پاسخ داده شد. ASA از روی پاسخ دریافتی می فهمد MAC بعدی (next-hop) که از طریق آن به مقصد می رسد چیست و چگونه می تواند به آن برسد.

ASA که نسخه 8.4(1) یا بالاتر را اجرا کند این امکان را دارد که اینترفیس های خود را عضو یک یا چند گروه (bridge group) منطقی کند. هر bridge group به عنوان یک Transparent firewall کاملا مستقل عمل کند. ترافیکی که از یک bridge group عبور می کند نمی تواند وارد bridge group دیگر شود در صورت نیاز به ایجاد ارتباط بین این گروه ها باید از یک روتر خارجی استفاده شود. در فایروال های ASA تا هشت bridge group می توان ایجاد کرد که به هر گروه می توان 2 تا 4 اینترفیس داشته باشد. حداقل هر گروه باید دو اینترفیس داشته باشد که معمولا به نام های inside و outside شناخته می شوند. تصویر زیر نشان دهنده دو bridge group است که به صورت کاملا مجزا از یکدیگر عمل می کنند.

با استفاده از این قابلیت این امکان فراهم می شود که چندین فایروال مستقل داشته باشیم.نسخه های قبل 8.4(1) تنها از یک bridge group پشتیبانی می کنند و از دو اینترفیس برای آنها می توان استفاده کرد که می توان نام های inside و outside را برای آنها در نظر گرفت و اجازه استفاده از اینترفیس سوم را نخواهیم داشت مگر به عنوان پورت Management از آن استفاده کنیم که تنها ترافیک مربوط به خود دستگاه از آن عبور داده شود.

زمانی که ASA چند Security Context دارد برای هر Context می تواند یک یا چند bridge group داشته باشیم. به هر Context می توان اینترفیسی را اختصاص داد که مربوط به Contextهای دیگر نباشد به عبارت دیگر اینترفیس ها نمی توانند بین Context ها مشترک باشند.اینترفیس های فایروال در حالت Transparent باید همه به یک شبکه (subnet) متصل باشند هر چند که بسته های IP بودن محدودیت های لایه دو همچنان بازرسی می شوند. از یک Extended ACL برای بررسی و ارزیابی Policiesهای ، ترافیک استفاده می شود و موتور بازرسی و بررسی ASA می تواند فعالیت های ترافیک را در هر لایه ای مورد بررسی قرار دهد.

• نکته : از نسخه (2)8.0 می توان از NAT در transparent firewall استفاده کرد.

• نکته : قایروال در حالت Routed عمل بازرسی و انتقال ترافیک را فقط براساس بسته های IP انجام می دهد اما در حالت transparent این محدود وجود ندارد چون در لایه دوم عمل می کند و می تواند ترافیک های غیر IP را نیز مدیریت کند. ترافیک های غیر IP را می توان به وسیله یک ACL کنترل کرد.

انتخاب Firewall Mode

قبل از اینکه یکی از دو حالت Routed یا Transparent را برای شبکه خود انتخاب کنیم باید از نقاط ضعف و قوت این دو حالت آگاهی داشته باشیم. در اینجا به صورت خلاصه این ویژگی ها را نام می بریم:

Transparent Firewall Mode :

• زمانی استفاده می شود که بخواهیم ترافیک غیر IP را از آن عبور دهیم.
• نیاز به تغییرات در سیستم آدرس دهی در شبکه ندارد.
• به ازای هر bridge group می توان از 2 تا 4 اینترفیس استفاده کرد.
• از همه ویژگی ها و امکانات ASA نمی توان استفاده کرد مانند Dynamic Routing ، QoS و ...

Routed Firewall Mode :

• زمانی استفاده می شود که فقط بسته های IP را بخواهیم بازرسی کنیم.
• تغییرات در سیستم آدرس دهی شبکه مورد نیاز است.
• همه اینترفیس ها قابل استفاده هستند.
• از تمام امکانات ASA می توان استفاده کرد.

مواردی که در هنگام پیاده سازی حالت Transparent باید در نظر گرفته شود:

• در نظر گرفتن یک IP برای مدیریت فایروال (در صورتی که از چند Context استفاده می شود برای هر Context یک IP در نظر گرفته شود(. بر خلاف حالت Routed که برای هر اینترفیس آن یک IP در نظر گرفته می شود در حالت Transparent فقط یک IP برای خود دستگاه در نظر گرفته می شود و از آن برای ارسال و دریافت ترافیک که مربوط به خود دستگاه است استفاده می شود مانند ترافیک های AAA یا Syslog و ... از این قبیل می باشد. IP در نظر گرفته شده باید در همان Subnet باشد که فایروال به آن متصل است.
• در حالت Transparent تنها از دو اینترفیس آن استفاده می شود که تحت نام inside و outside در نظر گرفته می شود. همچنین امکان استفاده از اینترفیس management وجود دارد ولی باقی اینترفیس ها را نمی توان استفاده کرد.
• IP Management دستگاه را به عنوان Default Gateway دستگاه های شبکه در نظر نگیرید. روش صحیح این است که ِDefault Gateway در سمت دیگر فایروال قرار گیرد تا ترافیک دستگاه های شبکه از آن رد شود.
• در صورت داشتن چند Context برای هر Context باید اینترفیس های مجزا در نظر گرفت و نمی توان یک اینترفیس را برای چند Context استفاده کرد.

Allowed MAC Addresses

MAC آدرس زیر به عنوان مقصد اجازه عبور از Transparent Firewall را دارند. هر MAC آدرسی که در جدول زیر وجود نداشته باشد توسط فایروال Drop می شود:

• MAC مورد استفاده Broadcast که برابر FFFF.FFFF.FFFF
• MAC های Multicast مربوط به IPv4 که از 0100.5E00.0000 تا 0100.5EFE.FFFF می باشد
• MAC های Multicast مربوط به IPv6 که از 3333.0000.0000 تا 3333.FFFF.FFFF می باشد
• Multicast های مربوط به BPDU که برابر 0100.0CCC.CCCD می باشد.
• MAC های Multicast مربوط به AppleTalk که از 0900.0700.0000 تا 0900.07FF.FFFF می باشد

قابلیت ها و ویژگی هایی که در Transparent Firewall نمی توان استفاده کرد:

• NAT / PAT : از این قابلیت نمی توان استفاده کرد

نکته : از نسخه (ASA/PIX 8.0(2 می توان از این قابلیت نیز استفاده کرد.

• پروتکل های مسیریابی دینامیک مانند RIP ، EIGRP ، OSPF : امکان استفاده از Static Route برای ترافیک هایی که توسط فایروال ایجاد می شود وجود دارد اما نمیتوان از پروتکل های مسیریابی دینامیک استفاده کرد و تنها می توان به وسیله ACL ترافیک مربوط به این پروتکل ها را از آن عبور داد.
• IPv6
• DHCP relay : Transparent Firewall می تواند به عنوان DHCP Server عمل کند اما امکان استفاده از آن به عنوان DHCP relay وجود ندارد چون نیاز به استفاده از DHCP relay وجود ندارد و می توان ترافیک DHCP را با استفاده از یک ACL عبور داد.
• (Quality of Service (QoS
• Multicast : جهت عبور ترافیک Multicast از یک Security zone بالاتر به پایین تر و بلعکس باید از ACL استفاده شود.
• VPN termination for through traffic

transparent firewall یا فایروال لایه دو چیست؟

Transparent Firewall یا فایروال لایه ۲، یک نوع فایروال است که بدون تغییر در آدرس‌های IP، بین شبکه قرار می‌گیرد و ترافیک را فیلتر می‌کند. این فایروال مانند یک Bridge عمل می‌کند و بسته‌های داده را بر اساس قوانین امنیتی بررسی کرده و تصمیم به اجازه یا مسدودسازی آن‌ها می‌گیرد. یکی از مزایای آن، این است که کاربران نیازی به تغییر در تنظیمات شبکه ندارند و فایروال به‌صورت نامحسوس کار می‌کند. در آموزش فایروال، استفاده از فایروال لایه ۲ برای افزایش امنیت در شبکه‌هایی که نیاز به تغییر توپولوژی ندارند، توصیه می‌شود. این نوع فایروال معمولاً در محیط‌هایی که نیاز به کنترل ترافیک بدون تغییر در ساختار شبکه دارند، مانند دیتاسنترها، استفاده می‌شود. همچنین، می‌توان آن را برای جلوگیری از حملات و فیلتر کردن ترافیک مخرب به کار برد.

transparent firewall بیشتر در رابطه با نحوی قرار دادن فایروال در شبکه است تا بحث تکنولوژی های که برای فیلترینگ استفاده می شود. یک transparent firewall می تواند از قابلیت های packet-based filtering ، stateful filtering و application inspection که قبلا مورد بحث قرار گرفت می تواند استفاده کند اما تفاوت بزرگ این است که در لایه دو مورد استفاده قرار می گیرد.بیشتر فایروال ها همانند یک روتر در لایه سوم استفاده می شوند به این معنا که بسته ها در این دستگاه باید تا لایه سوم بروند تا مورد پردازش قرار گیرند.

در فایروال های لایه سوم (Routed Firewall) هر اینترفیس دارای یک IP آدرس در یک شبکه متفاوت است و ترافیک از یک شبکه به شبکه دیگر از طریق فایروال عبور می کند و سیاست های فایروال روی این ترافیک اعمال می شود.در transparent firewall به اینترفیس ها IP اختصاص داده نمی شود و این اینترفیس ها شبیه یک bridge یا یک سوئیچ دو پورت عمل می کند. در این حالت ترافیک از یک بخش شبکه بخواهد به بخش دیگر شبکه برود باید از طریق این فایروال بگذرد.

به transparent firewall تنها management IP تعلق میگیرد و از طریق آن می توان به دستگاه متصل شد. کاربرانی که از منابع شبکه استفاده می کنند و ترافیک آنها از طریق فایروال می گذرد از وجود فایروال بی خبرند و متوجه حضور فایروال نمی شوند. یکی از مزایای بزرگ استفاده از transparent firewall این است که نیاز به آدرس دهی مجدد شبکه نیست و نیاز به تغییرات در شبکه نیست.حتی با وجود اینکه دستگاه در لایه دو پیاده سازی می شود بازهم می تواند تمام بسته هایی که بین اینترفیس های آن عبور می کند را ببیند و می تواند قابلیت هایی مانند stateful و application inspection را اجرا کند.

برای درک بهتر مفاهیم در دوره آموزش ASA سیسکو شما در قالب انجام سناریوهای مختلف بر روی فایروال سیسکو ، تنظیمات اولیه ASA ، راه اندازی HA ، تنظیمات امنیتی و ... را در این فایروال به خوبی آموزش می بینید. این دوره ویژه افرادی است که دوره های سیسکو بصورت مقدماتی را پشت سر گذاشته اند و می خواهند در زمینه فایروال های تخصصی سیسکو هم کسب تجربه کنند. در این ویدیو با نحوی اضافه کردن فایروال سیسکو یعنی ASA به GNS3 آشنا می شوید و همچنین نحوی فعال کردن ASDM در ASA را خواهید دید و نحوی اتصال به ASA از طریق ASDM نمایش داده شده است.