نماد اعتماد
نماد اعتماد
مخفف عبارت Demilitarized Zone است وعموما به بخش هایی از شبکه اشاره می کند که کاملا قابل اطمینان نیست و دسترسی بیرونی به ان از طریق اینترنت باز است. DMZ امکانی روی شبکه فراهم می کند تا سیستم هایی و سرور ها وسرویس های شما که توسط عموم مردم و از طریق اینترنت قابل دسترسی است.
سرور های که برای دسسترسی عمومی پیاده سازی شده اند بسیار در دسترس هستند و با ید از سرور هایی که فقط توسط پرسنل سازمان قابل استفاده است تفکیک شود. DMZدر مواردیکه با شرکای تجاری و دیگر نهادهای خارجی ارتباط وجود دارد هم قابل استفاده است.
با ایجاد ناحیه ای شبه حفاظت شده روی شبکه DMZ ایجاد می شود. در حالت عادی این ناحیه با کنترل دسترسی به شبکه توسط فایروال یا روترهای با امکان فیلتر کردن بالا طراحی و ایجاد می شود این کنترل، سیاست را بگونه ای تنظیم می کند که تعیین می کند کدام ترافیک اجازه ورود به DMZ دارد و کدام ترافیک می تواند از DMZ خارج شود.
عموما هر سیستمی که بتوان بوسیله کاربر خارجی مستقیما به آن وصل شد باید در DMZ قرار بگیرد. سیستمی که توسط یک سیستم یا کاربر خارجی و بطور مستقیم قابل دسترسی باسد اولین سیستمی است که در معرض حمله و خطر قرار دارد. نمی توان به این سیستم بطور دسترسی این سیستم ها را به سیستم های کاملا حساس شبکه داخلی، محدود نماییم.
قانون عمومی دسترسی DMZ آن است که کاربران خارجی به سرویس های موجود روی سیستم DMZ اجازه دسترسی دارند. لازم است دسترسی DMZ به سیستم های و سرور های داخلی محدود شود. در صورت امکان این سیستم داخلی است که با DMZ ارتباط برقرار می کند. سیستم داخلی می تواند به DMZ یا اینترنت دسترسی داشته باشند و از ان استفاده بکنند ؛ اما کاربران خارجی نمی توانند به سیستم داخلی دسترسی پیدا کنند. اما اکنون یک سیاست کلی برای DMZ و لیستی از سرویس هایی را که روی اینترنت ارائه می شود در اختیار داریم. واقعا کدام سرویس ها و سرور هایی باید در DMZ قرار گیرد؟ اجازه دهید به هر سرویس سرور های بخصوص نگاهی بیندازیم:
پیاده سازی DMZبر روی شبکه ی داخلی شما امنیت را تجربه کنید.
سرور داخلی میل و سرویس میل که بر روی کانفیگ خاص سرورHPبرای دریافت میل های داخلی و نیز برای ارسال میل های خارجی استفاده می شود. میل های جدید توسط سرور خارجی میل دریافت می شود و به سمت سرور داخلی میل گسیل می شود و میل های خارجی را به سرور خارجی ارسال می کند. بطور ایده آل همه کاری که توسط سرور داخلی میل انجام می شود تقاضای میل از سرور خارجی میل است. برخی فایروال ها کار سرور میل را هم انجام می دهند.
شکل 1 شمای سیستم DMZ و شبکه داخلی
چنانچه از سرور میل فایروال استفاده شود، این سرور به جای سرور خارجی میل عمل می کند.در این صورت سرور میل خارجی اضافی خواهد بود و قابل حذف است. توجه: چنانچه عملکرد سرور میل کاملا حیاتی باشد، باید سرورمیل یدکی، هم در شبکه داخلی و هم در DMZ قرار داده شود. عموما سروروب قابل وصول، داخل DMZ قرار داده می شود.
بسیاری از وب سایت ها فعالیت خود را بر پایه اطلاعاتی که کاربر وارد می کند ارائه می دهند. ورودی کاربر پردازش می شود و اطلاعات مربوطه از بانک اطلاعاتی احضار می شود.
بانک اطلاعات شامل اطلاعات حساس هم می باشد. خود سروروب می تواند با سروربانک اطلاعات ارتباط برقرار نماید اما از آنجا که سروروب از خارج قابل دستیابی است لذا کاملا قابل اطمینان نیست. در این حالت بهتر است از سیستم سومی استفاده شود تا کاربردهایی که واقعا با بانک اطلاعات رابطه برقرار مینماید در آن داده شود.
سیستم سوم، سرورکاربردی است. سروروب ورودی کاربران را دریافت می کند و انرا برای پردازش به سرورکاربردی ارائه می کند. سرورکاربردی بانک اطلاعات را احضار می کند و اطلاعات مناسب را درخواست می نماید. اگرچه این معماری پیچیده به نظر می رسد در عوض برای سرور بانک اطلاعات حفاظت ایجاد میکند و پردازش های مربوط به درخواست را از سرور وب دور می کند.
سیستم های قابل وصول از خارج
سرور و سرویس های داخل DMZ دسترسی محدودی دارند.و سیایت های امنیتی بالایی بر انها حکمفرماست و سرویس های که از طریف اینترنت به ناها دسترسی هست در این محیط DMZقرار میگیرند./
سیستم های کنترلی
سرور DNS خارجی باید در DMZ قرار داه شود. اگر سازمان بخواهد خودش میزبان DMZ باشد، لازم است سرور DNS در برابر درخواست هایی که از خارج می آید قابل دسترسی باشد. علاوه براین DNS بخش حیاتی پیکره بندی سازمان می باشد. به همین دلیل شاید بخواهید DNS یدکی استفاده کنید یا ISP خود را وادار نمایید به عنوان DNS دیگری عمل کند.
اگر روش دوم را انتخاب کنید ISP DNS نیاز خواهد داشت از DNS شما Zone transfer را اجرا کند. برای اجرای این انتقال به سیستم دیگری نیاز نیست. اگر استفاده از NTP را انتخاب کرده اید لازم است سرور اصلی NTP محلی در DMZ قرار داشته باشد. سیستم های داخلی درخواست خود را برای به روز کردن تاریخ و ساعت به سرور اصلی NTP محلی می فرستند. فایروال هم می تواند به عنوان سرور اصلی NTP محلی عمل کند.
معماری های زیادی برای DMZ وجود دارد و با توجه به نگاهی که ما به بحث امنیت داریم هر یک از این معماری های دارای مزایا و معایب مخصوص بخود می باشند که با توجه به آنها تعیین می کنیم کدام معماری برای کدام سازمان مناسب است. در سه بخشی که در ادامه آمده است به جزئیات مربوط به سه تا از عمومی ترین معماری ها خواهیم پرداخت.
در شکل 2 معماری ساده متشکل از روتر و فایروال دیده می شود. روتر از یک طرف به ISP وصل شده است و از طرف دیگر به شبکه خارجی سازمان اتصال یافته است.
در اینجا فایروال دسترسی به شبکه داخلی را کنترل می کند. DMZ در اینجا همان شبکه خارجی خواهد بود و سیستم هایی که از طریق اینترنت قابل دستیابی هستند در این مکان قرار دارند. از آنجا که این سیستم ها در شبکه خارجی قرار داده شده اند، بنابراین از طرف اینترنت در معرض حمله قرار دارند. می توان با قرار دادن فیلترهایی در روتر تا حدی این خطر را کاهش داد. قرار دادن فیلتر در روتر باعث می شود فقط ترافیکی که اجازه ورود به DMZ دارد بتواند از سرویس ارائه شده توسط DMZ استفاده کند.
شکل 2 معماری DMZ با روتر و فایروال
روش دیگر برای کاهش خطرپذیری سیستم آن است که سیستم بگونه ای قفل شود که فقط سرویس های ارائه شده توسط DMZ روی آن قابل اجرا باشد. معنی این جمله آن است که سرور وب فقط وظایف سرور وب را اجرا کند و سرویس های دیگر نظیر FTP، Telnet و غیره تعطیل شود.
علاوه بر این باید سیستم به بالاترین نسخه نرم افزاری ارتقا داده شود و به دقت نظارت شود. در بسیاری موارد روتر به ISP تعلق دارد و توسط او مدیریت می شود. در این حالت برای ایجاد تغییر در فیلترها و برای تنظیم درست آنها با مشکل مواجه می شوید.
اما اگر روتر متعلق به سازمان باشد این مشکل را نخواهید داشت. البته برای تنظیم اکثر روترها نیاز است از خط فرمان استفاده کنید، بنابراین برای تنظیم درست فیلترها و کارکرد صحیح روتر، دقت زیادی لازم است.
استفاده از یک فایروال
با استفاده از یک فایروال می توان DMZ ایجاد کرد. زمانیکه از فایروال استفاده می شود بین DMZ و شبکه خارجی تفاوت قائل شده ایم. شبکه خارجی از روتر ISP و فایروال تشکیل شده است. DMZ واسطه سومی روی فایروال ایجاد می کند فایروال به تنهایی دسترسی به DMZ را کنترل می کند.
با استفاده از معماری تک فایروال، کل ترافیک از یک فایروال عبور می کند. در این حالت فایروال باید طوری تنظیم شود که اجازه عبور ترافیک فقط به سرویس های مناسب روی هر سیستم DMZ داده شود. علاوه بر این فایروال از ترافیک هایی که اجازه عبور به آنها داده نشده است گزارش تهیه می کند.
در اینجا فایروال به تک نقطه ای برای بروز خرابی تبدیل شده است و می تواند برای عبور ترافیک تنگنا ایجاد کند. اگر فراهمی مسئله ای کلیدی در معماری باشد فایروال باید بگونه ای تنظیم شود که توان مقابله ای با خرابی را داشته باشد، فایروال باید توان پردازش تمام ترافیک ورودی را داشته باشد.
مدیریت این معماری ساده است و برای صدور اجازه عبور ترافیک یا عدم عبور آن فقط فایروال باید تنظیم شود. روتر نیازی به فیلتر ندارد، اما انجام برخی اعمال فیلتری موجب کاراتر شدن فایروال می شود. علاوه بر این سیستم هایی که در DMZ قرار گرفته است توسط فایروال محافظت می شوند، بنابراین احتیاج کمتری به ایمن سازی کامل دارند.
معماری سومی برای DMZ در شکل 4 نشان داده شده است. این معماری از دو فایروال برای تفکیک شبکه داخلی و خارجی استفاده می کند. در اینجا هم شبکه خارجی از روتر ISP و یک فایروال تشکیل شده است. اکنون DMZ بین فایروال1 و فایروال2 قرار دارد. فایروال1 بگونه ای تنظیم می شود که به تمام ترافیک DMZ اجازه عبور دهد، همانند تمام ترافیک داخلی، فایروال2 دارای محدودیت های بیشتری در تنظیم و پیکره بندی می باشد، بگونه ای که فقط اجازه عبور اطلاعات خروجی برای اینترنت را صادر می کند. در طراحی معماری با فایروال لازم است فایروال1 قادر به تحمل بار زیاد باشد چون ممکن است سیستم های DMZ ترافیک زیادی داشته باشند.
شکل 4 معماری DMZ با دو فایروال
البته فایروال2 می تواند از قدرت کمتری برخوردار باشد، چون فقط با ترافیک داخلی سروکار دارد. بهتر است فایروال ها از دو نوع متفاوت باشد. این پیکربندی نسبت به معماری که فقط از یک فایروال استفاده می کند؛ امنیت بیشتری فراهم می کند چرا که مهاجم مجبور است از هر دو فایروال عبور کند. همانند معماری با یک فایروال، در اینجا سیستم های DMZ توسط فایروال1 در برابر اینترنت محافظت می شوند. استفاده از دو فایروال هزینه معماری را افزایش می دهد و نیاز به مدیریت و پیکره بندی بیشتری دارد.
فایروال ابزاری برای کنترل دسترسی به شبکه است و بدین منظور طراحی شده است که به جزء ترافیک مجاز، از عبور هر ترافیک دیگری جلوگیری کند. این تعریف با تعریف روتر مغایرت دارد چرا که روتر، ابزاری شبکه ای است که برای مسیریابی ترافیک با حداکثر سرعت ممکن بکار می رود. برخی می گویند روتر می تواند فایروال هم باشد. البته روتر می تواند برخی اعمال فایروال را انجام دهد اما یک تفاوت کلیدی وجود دارد: روتر تلاش می کند هر ترافیکی را با حداکثر سرعت ممکن مسیریابی کند، نه اینکه از عبور ان جلوگیری کند.
شاید روش بهتر برای بیان تفاوت بین روتر و فایروال این باشد که فایروال ابزاری امنیتی است که می تواند جریان یافتن ترافیک مناسب را اجازه دهد حال آنکه روتر ابزاری شبکه ای است می توان برای جلوگیری از عبور ترافیک خاص آنرا پیکره بندی نمود.
اغلب فایروال ها سطح کمتری از پیکره بندی در اختیار کاربر قرار می دهند. فایروال را می توان به گونه ای پیکره بندی کرد که اجازه عبور ترافیک را براساس نوع سرویس، آدرس IP مبدا و مقصد، یا ID کاربری که سرویس را درخواست داده، صادر کند. علاوه بر این فایروال دارای قابلیت گزارش گیری و ثبت وقایع مربوط به کل ترافیک می باشد.
فایروال می تواند وظایف مدیریت امنیتی را بصورت مرکزی انجام دهد. مدیر امنیتی قادر است ترافیک مجازی که از خارج به سیستم های داخلی سازمان ارسال می شود را پیکره بندی تعیین کند. اگرچه این مطلب نمی تواند نیاز به پیکره بندی سیستم را کاهش دهد، اما بعضی از خطراتی که در یک سیستم بدون پیکره بندی وجود دارد را از بین می برد.
ما در ماهان شبکه ایرانیان یک بستر مناسب ایجاد کرده ایم تا بتوانید تمام قطعات سرور اچ پی را در سایت بصورت اینترنتی خریداری بکنید و از لذت خرید قطعات سرور های اچ پی ای بهتره مند گردیدو. کافیت ماهان شبکه ایرانیان را سرچ کنید و وارد سایت فروشگاهی ما بشوید. خرید سرور hp در ماهان شبکه ایرانیان.
خرید سرور HP و قطعات سرور
