توپولوژی های فايروال
برای پياده سازی و پيکربندی فايروال ها در يک شبکه از توپولوژی های متفاوتی استفاده می گردد . توپولوژی انتخابی به ويژگی های شبکه و خواسته های موجود بستگی خواهد داشت . در اين رابطه گزينه های متفاوتی وجود دارد که در ادامه به بررسی برخی از نمونه های متداول در اين زمينه خواهيم پرداخت.
(برای آشنائی با فايروال ها و برخی از ويژگی های ارائه شده توسط آنان مطالعه مطلب فايروال ها : يک ضرورت اجتناب ناپذير در دنيای امنيت اطلاعات ، پيشنهاد می گردد ) .
سناريوی اول : يک فايروال Dual-Homed
در اين توپولوژی که يکی از ساده ترين و در عين حال متداولترين روش استفاده از يک فايروال است ، يک فايروال مستقيما" و از طريق يک خط Dial-up ، خطوط ISDN و يا مودم های کابلی به اينترنت متصل می گردد. در توپولوژی فوق امکان استفاده از DMZ وجود نخواهد داشت .
برخی از ويژگی های اين توپولوژی عبارت از :
فايروال مسئوليت بررسی بسته های اطلاعاتی ارسالی با توجه به قوانين فيلترينگ تعريف شده بين شبکه داحلی و اينترنت و برعکس را برعهده دارد.
فايروال از آدرس IP خود برای ارسال بسته های اطلاعاتی بر روی اينترنت استفاده می نمايد .
دارای يک پيکربندی ساده بوده و در مواردی که صرفا" دارای يک آدرس IP معتبر ( Valid ) می باشيم ، کارساز خواهند بود .
برای اتصال فايروال به اينترنت می توان از يک خط Dial-up معمولی ، يک اتصال ISDN و مودم های کابلی استفاده نمود .
سناريوی دوم : يک شبکه Two-Legged به همراه قابليت استفاده از يک ناحيه DMZ
در اين توپولوژی که نسبت به مدل قبلی دارای ويژگی های پيشرفته تری است ، روتر متصل شده به اينترنت به هاب و يا سوئيچ موجود در شبکه داخلی متصل می گردد .
برخی از ويژگی های اين توپولوژی عبارت از :
ماشين هائی که می بايست امکان دستيابی مستقيم به اينترنت را داشته باشند ( توسط فايروال فيلتر نخواهند شد ) ، به هاب و يا سوئيچ خارجی متصل می گردند .
فايروال دارای دو کارت شبکه است که يکی به هاب و يا سوئيچ خارجی و ديگری به هاب و يا سوئيچ داخلی متصل می گردد. ( تسهيل در امر پيکربندی فايروال )
ماشين هائی که می بايست توسط فايروال حفاظت گردند به هاب و يا سوئيچ داخلی متصل می گردند .
به منظور افزايش کارآئی و امنيت شبکه ، می توان از سوئيچ در مقابل هاب استفاده نمود .
در توپولوژی فوق امکان استفاده از سرويس دهندگانی نظير وب و يا پست الکترونيکی که می بايست قابليت دستيابی همگانی و عمومی به آنان وجود داشته باشد از طريق ناحيه DMZ فراهم می گردد .
در صورتی که امکان کنترل و مديريت روتر وجود داشته باشد ، می توان مجموعه ای ديگر از قابليت های فيلترينگ بسته های اطلاعاتی را نيز به خدمت گرفت . با استفاده از پتانسيل های فوق می توان يک سطح حفاظتی محدود ديگر متمايز از امکانات ارائه شده توسط فايروال ها را نيز پياده سازی نمود .
در صورتی که امکان کنترل و مديريت روتر وجود نداشته باشد ، ناحيه DMZ بطور کامل در معرض استفاده عموم کاربران اينترنت قرار خواهد داشت . در چنين مواردی لازم است با استفاده از ويژگی ها و پتانسيل های ارائه شده توسط سيستم عامل نصب شده بر روی هر يک از کامپيوترهای موجود در ناحيه DMZ ، يک سطح مناسب امنيتی را برای هر يک از آنان تعريف نمود .
پيکربندی مناسب ناحيه DMZ به دو عامل متفاوت بستگی خواهد داشت : وجود يک روتر خارجی و داشتن چندين آدرس IP
در صورتی که امکان ارتباط با اينترنت از طريق يک اتصال PPP ( مودم Dial-up ) فراهم شده است و يا امکان کنترل روتر وجود ندارد و يا صرفا" دارای يک آدرس IP می باشيم ، می بايست از يک راهکار ديگر در اين رابطه استفاده نمود . در اين رابطه می توان از دو راه حل متفاوت با توجه به شرايط موجود استفاده نمود :
راه حل اول ، ايجاد و پيکربندی يک فايروال ديگر در شبکه است . راه حل فوق در مواردی که از طريق PPP به شبکه متصل می باشيم ، مفيد خواهد بود . در توپولوژی فوق ، يکی از ماشين ها به عنوان يک فايروال خارجی ايفای وظيفه می نمايد ( فايروال شماره يک ) . ماشين فوق مسئوليت ايجاد اتصال PPP و کنترل دستيابی به ناحيه DMZ را بر عهده خواهد داشت و فايروال شماره دو ، مسئوليت حفاظت از شبکه داخلی را برعهده دارد . فايروال شماره يک از فايروال شماره دو نيز حفاظت می نمايد.
راه حل دوم، ايجاد يک فايروال Three Legged است که در ادامه به آن اشاره خواهيم کرد .
سناريوی سوم : فايروال Three-Legged
در اين توپولوژی که نسبت به مدل های قبلی دارای ويژگی های پيشرفته تری است ، از يک کارت شبکه ديگر بر روی فايروال و برای ناحيه DMZ استفاده می گردد . پيکربندی فايروال بگونه ای خواهد بود که روتينگ بسته های اطلاعاتی بين اينترنت و ناحيه DMZ با روشی متمايز و متفاوت از اينترنت و شبکه داخلی ، انجام خواهد شد .
برخی از ويژگی های اين توپولوژی عبارت از :
امکان داشتن يک ناحيه DMZ وجود خواهد داشت .
برای سرويس دهندگان موجود در ناحيه DMZ می توان از آدرس های IP غيرمعتبر استفاده نمود .
کاربرانی که از اتصالات ايستای PPP استفاده می نمايند نيز می توانند به ناحيه DMZ دستيابی داشته و از خدمات سرويس دهندگان متفاوت موجود در اين ناحيه استفاده نمايند .
يک راه حل مقرون به صرفه برای سازمان ها و ادارات کوچک است .
برای دستيابی به ناحيه DMZ و شبکه داخلی می بايست مجموعه قوانين خاصی تعريف گردد و همين موضوع ، پياده سازی و پيکربندی مناسب اين توپولوژی را اندازه ای پيجيده تر می نمايد .
در صورتی که امکان کنترل روتر متصل به اينترنت وجود نداشته باشد ، می توان کنترل ترافيک ناحيه DMZ را با استفاده از امکانات ارائه شده توسط فايروال شماره يک انجام داد .
در صورت امکان سعی گردد که دستيابی به ناحيه DMZ محدود شود . لبلابلایسبنلاسینکبلاسکینبلیبل
آشنائی با کارت شبکه
کارت شبکه ، يکی از مهمترين عناصر سخت افزاری در زمان پياده سازی يک شبکه کامپيوتری است . هر کامپيوتر موجود در شبکه ( سرويس گيرندگان و سرويس دهندگان ) ، نيازمند استفاده از يک کارت شبکه است . کارت شبکه ، ارتباط بين کامپيوتر و محيط انتقال ( نظير کابل ها ی مسی و يا فيبر نوری ) را فراهم می نمايد .
اکثر مادربردهای جديدی که از آنان در کامپيوترهای شخصی استفاده می گردد ، دارای يک اينترفيس شبکه ای onboard می باشند . کامپيوترهای قديمی و يا کامپيوترهای جديدی که دارای اينترفيس شبکه ای onboard نمی باشند ، در زمان اتصال به شبکه ، می بايست بر روی آنان يک کارت شبکه نصب گردد.
شکل زير يک نمونه کارت شبکه را که دارای يک پورت RJ-45 است را نشان می دهد .
وظايف کارت شبکه
برقراری ارتباط لازم بين کامپيوتر و محيط انتقال
تبديل داده : داده ها بر روی گذرگاه ( bus ) کامپيوتر به صورت موازی حرکت می نمايند . نحوه حرکت داده ها بر روی محيط انتقال شبکه به صورت سريال است . ترانسيور کارت شبکه ( يک ارسال کننده و يا دريافت کننده ) ، داده ها را از حالت موازی به سريال و بالعکس تبديل می نمايد .
ارائه يک آدرس منحصربفرد سخت افزاری : آدرس سخت افزاری (MAC ) درون تراشه ROM موجود بر روی کارت شبکه نوشته می گردد . آدرس MAC در واقع يک زير لايه از لايه Data Link مدل مرجع OSI می باشد . آدرس سخت افراری موجود بر روی کارت شبکه ، يک آدرس منحصربفرد را برای هر يک از کامپيوترهای موجود در شبکه ، مشخص می نمايد . پروتکل هائی نظير TCP/IP از يک سيستم آدرس دهی منطقی ( آدرس IP ) ، استفاده می نمايند . در چنين مواردی قبل از دريافت داده توسط کامپيوتر ، می بايست آدرس منطقی به آدرس سخت افزاری ترجمه گردد .
انتخاب کارت شبکه
برای انتخاب يک کارت شبکه ، می بايست پارامترهای متعددی را بررسی نمود :
سازگاری با معماری استفاده شده در شبکه : کارت های شبکه دارای مدل های متفاوتی با توجه به معماری استفاده شده در شبکه ( اترنت ، Token ring )می باشند . اترنت ، متداولترين معماری شبکه در حال حاضر است که در شبکه هائی با ابعاد بزرگ و کوچک ، استفاده می گردد .
سازگاری با throughput شبکه : در صورتی که يک شبکه اترنت سريع (سرعت 100Mbps ) پياده سازی شده است ، انتخاب يک کارت اترنت با سرعت 10Mbps تصميم مناسبی در اين رابطه نخواهد بود . اکثر کارت های شبکه جديد قادر به سوئيچينگ اتوماتيک بين سرعت های 10 و 100Mbps می باشند ( اترنت معمولی و اترنت سريع )
سازگاری با نوع اسلات های خالی مادربرد : کارت های شبکه دارای مدل های متفاوتی با توجه به نوع اسلات مادربرد می باشند. کارت های شبکه PCI درون يک اسلات خالی PCI و کارت هائی از نوع ISA در اسلات های ISA نصب می گردند . کارت شبکه می بايست متناسب با يکی از اسلات های خالی موجود بر روی مادربرد، انتخاب گردد. اسلات آزاد به نوع مادربرد بستگی داشته و در اين رابطه گزينه های متعددی نظير ISA,PCI و EISA می تواند وجود داشته باشد . شکل زير يک نمونه مادربرد را که دارای اسلات های ISA و PCI است ، نشان می دهد :
گذرگاه ISA که از کلمات Industry Standard Architecture اقتباس شده است، استاندارد استفاده شده در کامپيوترهای IBM XT است . استاندارد فوق در ابتدا به صورت هشت بيتی مطرح و در سال 1984 نوع شانزده بيتی آن نيز عرضه گرديد. تعداد زيادی از تجهيزات سخت افزاری نظير مودم ، کارت صدا و کارت های شبکه بر اساس استاندارد فوق توليد و عرضه شده اند . برخی از مادربردهای جديد دارای اسلات های PCI بوده و از کارت های ISA حمايت نمی نمايند . ( کارت های PCI دارای سرعت بيشتری نسبت به ISA می باشند ) .
PCI در سال 1993 معرفی و يک گذرگاه سی و دو بيتی است . PCI 2.1 شصت و چهار بيت را حمايـت می نمايد .کارت های شبکه PCI با توجه به پتاسيل های موجود دارای استعداد لازم به منظور ارائه سرعت و کارآئی بيشتری نسبت به کارت های ISA می باشند :
بافرينگ : حافظه تراشه ها ( RAM ) بر روی کارت شبکه قرار داشته و از آن به عنوان بافر استفاده می گردد .از حافظه فوق به منظور نگهداری اطلاعاتی که در انتظار پردازش می باشند و يا اطلاعاتی که می بايست بر روی شبکه منتشر شوند ، استفاده می گردد .
DMA و يا Direct Memory Access ، کامپيوترهائی که از DMA حمايـت می نمايند، امکان ارسال و يا دريافت داده از حافظه را مستقيما" و بدون درگيرکردن پردازنده فراهم می نمايند .
Bus Mastering . کارت های شبکه می توانند بگونه ای طراحی شوند که مستقيما" بدون استفاده از پردازنده کامپيوتر و يا واسطه ای ديگر به حافظه RAM کامپيوتر دستيابی داشته باشند . ويژگی فوق به کارت های شبکه اجازه می دهد که bus را کنترل نموده و داده ئی را به حافظه RAM کاميپوتر ارسال و يا دريافت نمايند .
نصب کارت شبکه
برای نصب کارت شبکه می توان مراحل زير را دنبال نمود :
باز نمودن کيس کامپيوتر و نصب کارت شبکه در يکی از اسلات های آزاد
بستن کيس و متصل نمودن کابل به پورت کارت شبکه
راه انداری کامپيوتر . در صورتی که يک کارت Plug&Play تهيه شده است و از سيستم عاملی استفاده می شود که تکنولوژی Plug & Play را حمايت می نمايد ، تنها کاری که احتمالا" می بايست انجام داد ، قرار دادن ديسکت و يا CD درايور کارت شبکه در درايو مربوطه است .در صورتی که از سيستم عاملی استفاده می گردد که قادر به تشخيص سخت افزارهای جديد نمی باشد ، می بايست عمليات نصب کارت شبکه به صورت دستی انجام شود .
با توجه به اين که کامپيوترهای جديد و سيستم های عاملی که بر روی آنان نصب می گردد، عموما" از فن آوری Plug&Play حمايت می نمايند ، نصب يک کارت شبکه کار چندان مشکلی نخواهد بود . کافی است کارت شبکه را درون يکی از اسلات های خالی مادربرد قرار داده و کامپيوتر را راه اندازی نمود . کارت های شبکه Plug&Play توسط سيستم عامل تشخيص داده شده و درايور آنان نصب می گردد .
در حال حاضر سيستم های عامل اندکی وجود دارد که از تکنولوژی Plug &Play حمايت نمی نمايند ، در زمان نصب کارت شبکه بر روی اين نوع سيستم ها ، می بايست دارای اطلاعات لازم در رابطه با IRQ نيز باشيم ( IRQ از کلمات Interrupt Request اقتباس شده است) . به هر دستگاه موجود در کامپيوتر نظير موس ، صفحه کليد و کارت شبکه ، يک خط IRQ نسبت داده می شود. دستگاه های فوق با استفاده از IRQ نسبت داده شده ، درخواست خود را با پردازنده مطرح می نمايند ( پردازش داده ها ) . هر دستگاه می بايست دارای يک IRQ منحصربفرد باشد در غير اينصورت با يک IRQ Conflict مواجه خواهيم شد.
جدول زير تنظيمات IRQ در کامپيوترهای شخصی را نشان می دهد .
IRQ
کاربرد
0 System timer
1 Keyboard
2 Cascade to secondary IRQ controller
3 COM port 2 and 4 (serial port)
4 COM port 1 and 3 (serial port)
5 LPT2 (printer port)
6 Floppy disk controller
7 LPT1 (printer port)
8 Real-time clock
9 Free
10 Primary SCSI adapter (or free)
11 Secondary SCSI adapter (or free)
12 PS/2 mouse
13 Floating-point math coprocessor
14 Primary hard disk controller
15 Secondary hard disk controller (or free)