فایروال ها دیواره هایی هستند که برای ایمن نگاه داشتن شبکه در برابر هکرها، بدافزارها و دیگر مهاجمان استفاده می شوند. فایروال ها هم به فرم سخت افزار و هم نرم افزار وجود دارند و همه آنها امنیت را بین شبکه و تهدیدهای بیرونی برقرار می سازند. مدیران شبکه، به گونه ای فایروال ها را برای نیازمندی های سیستم مورد نظر خود تنظیم می کنند که عدم وجود داده های آسیب پذیر را تضمین کند. شرکت های کوچک و کامپیوترهای شخصی به ندرت به فایروال های سخت افزاری نیاز خواهند داشت اما شرکت ها و واحدهای تجاری بزرگ از فایروال های سخت افزاری درون سیستم های خود استفاده می کنند تا دسترسی های بیرون از شرکت و مابین دپارتمان ها را محدود کنند. مشتری ها با توجه به نیازمندی های شبکه خود و ویژگی های ارائه شده در فایروال ها، آنها را از میان شرکت های سازنده مختلفی می توانند برگزینند. یکی از برجسته ترین سازندگان فایروال های NGFW کمپانی سیسکو است که در جدول زیر به مقایسه فایروال های NGFW خود با فایروال های NGFW از شرکت های Palo alto، Fortinet و Check Point می پردازد.
برای دیدن جداول مربوط و ادامه مقاله به سایت زیر مراجعه کنید.
معرفی پردازنده های EPYC که بر روی سرور های HPE DL385 G10 استفاده می شود.
این پردازنده ها نسبت به پردازنده های قدیمی تر 122 برابر پهنای باند بیشتری را برای Memory پوشش می دهند و 60 برابر I/O بیشتری را Support می کنند و تا 45 برابر هسته های بیشتری نسبت به محصولات مشابه رقبای خود دارند. این پردازنده های طراحی شده و بهینه شده برای مجازی سازی و Cloud می باشند. این پردازنده ها می توانند تا 32 هسته داشته باشند، تا 2 ترابایت RAM را در 8 کانال مجزا پوشش می دهند و برای اسلات های PCIe هم 128 لاین دارند. همچنین از مزیت های دیگر آنها این است که دارای یک سیستم امنیتی یکپارچه هستند که باعث محافظت از پردازش ها خواهد شد.
این پردازنده های دارای مدل های زیر می باشند:
7601
7551
7501
7451
7401
7351
7301
7281
7251
که پایین ترین مدل آن یعنی 7251 دارای 8 هسته می باشد و مدل 7601 دارای 32 هسته می باشد .تمامی این پردازنده ها 2 ترابایت Memory را پوشش می دهند و توان مصرفی آنها نیز بسته به مدل بین 120 تا 180 وات می باشد. همچنین Cache آنها نیز بین 32 تا 64 مگا بایت می باشد. از مهمترین مزیت های این پردازنده این این است که فاقد Chipset هستند و در واقع تمامی موارد درون Chipset بصورت یکپارچه درآمده است که همان معنی SOC را می دهد. روی سرور DL385 G10 می توان 2 پردازنده قرار داد. این پردازنده ها همانطور که در بالا ذکر شد بسیار مناسب برای مجازی سازی سرور می باشد و باعث می شود50 درصد کاهش هزینه به ازای هر ماشین مجازی داشته باشیم.
تعریف Hyper-Converged:
با توجه به افزایش سرعت IT امروزه بسیاری از سازمان ها نیاز به راه اندازی مجازی سازی و منابع پردازشی در زمان کمی دارند. منظور از Hyper-Converged استفاده از راه حلی می باشد که بتوان به سرعت منابع پردازشی، ذخیره سازی، شبکه ، مجازی سازی سرور ، مجازی سازی دسکتاپ ، مجازی سازی شبکه را در یک سازمان راه اندازی کرد. در واقع Hyper-converged تمامی موارد فوق را در یک دستگاه جمع آوری نموده است و بصورت Appliance در اختیار ما قرار می دهد و در مدت کمتر از 15 دقیقه می توانیم زیر ساخت های IT را در سازمان راه اندازی کنیم. شرکت HPE امروزه دستگاه 250 و 380 را برای hyper-converged می سازد و به بازار عرضه کرده است.
I had a great time meeting with a variety of customers at Cisco Live in Orlando back in June. We covered a lot of different topics around data center security. One specific item that came up more than once was the use of Layer 2 versus Layer 3 firewalls in the data center. In fact, this topic comes up fairly often, so as a follow-up I thought it would be great to write a post that discussed this topic.
In my first post, I discussed the importance of establishing security as part of the data center fabric. Deploying firewalls and other security tools are vital to mitigating threats among server and application zones. However, not everyone outside of the security team is always gung-ho on deploying these services in internal data centers. They see the addition of these security devices as intrusive and limiting the flexibility and elasticity of the data center. These objections can be addresses with data center security designs that demonstrate added security while supporting business enablement.
Being able to deploy firewalls in the data center in a model that requires minimal changes or disruption to the existing infrastructure are security-added benefits. Deploying firewalls in Layer 2 transparent (bridge mode) is one way to accomplish this. Let me explain.
First, I do not believe there is only one model everyone should follow. There are dependencies on architecture, design, restrictions, and business objectives of the organization.
Flexibility of deployment allows one to pick and choose and sometimes used a mixed-mode” of Layer 2 and Layer 3 in their approach. Firewalls deployed in Layer 2 mode provide the most transparent method for integrating with existing routing and IP designs as well as existing services - load balancers, etc. In the case of Layer 2 firewalls, the preservation of existing server gateways, IP subnets, and addressing is preserved. This, of course, does not mean there are not use cases for Layer 3 firewalls – there are plenty: multi-tenant, Layer 3 to the access, private cloud. From an ease of deployment and integration perspective, Layer 2 has some advantages in the data center. Let’s go through some of these.
Figure 1. Logical view of Layer 2 and Layer 3 firewall modes
Lets take a look at the typical Layer 3 default gateway for a server. In the figure below the server has an IP address of 192.168.100.50 residing in VLAN 100. This could be a standalone physical server or in this case a virtual machine. The Layer 3 default gateway resides on the Aggregation switch with an IP address of 192.168.100.1. For Layer 3 high availability you can rely on technologies like HSRP, VRRP, GLBP, etc.
Figure 2. Layer 3 default gateway for server
If we insert a firewall between the server and the Layer 3 gateway on the aggregation switch we can deploy that firewall in either Layer 2 or Layer 3 mode. If the firewall is deployed in Layer 2 transparent mode we can reserve the current IP scheme and require no IP address changes on either the gateway or the server or application. This is shown in figure 3 below.
Figure 3. Inserting a Layer 2 firewall between the server and Layer 3 gateway
In this model the firewall is inserted between the server and aggregation switch. Because the firewall is simply acting as a Layer 2 bridge all that needs to be added is an inside VLAN. The firewall will then bridge the two VLANs which both reside in the same IP subnet space. In this case the server continues to use the same IP address and Layer 3 gateway it had before the firewall deployment.
On the ASA you also need a BVI address (Bridged Virtual Interface) for each Layer 2 context you create. This BVI is used for management access to the layer 2 transparent context and must be on the same subnet as the host.
Figure 4. Layer 2 BVI and VLAN information on ASA
There are almost always additional security and application services deployed in the data center. This transparent deployment also allows for an easy integration with these existing services. Most load balancers, for example, are also capable of operating in both Layer 2 and Layer 3 modes. By combining multiple Layer 2 services you are able to create a flow between services simply by bridging VLANs.
Figure 5. Multiple Layer 2 services
Of course you could accomplish this with firewall and other services all configured in Layer 3 mode. It just means you need to use more subnets and possibly re-IP addressing more servers and devices. In a multi-tenant or cloud environment where you have dedicated services per tenant it may make sense to run everything in Layer 3 routed modes.
This linkage of services in the data center and cloud has been advanced through a function known as service chaining. In service chaining virtualized services (firewalls, loadbalancers) are decoupled from the network topology allowing the data path to be programmed and each service to be inserted and removed dynamically. Cisco accomplishes service chaining through the use of vPath tied directly to the Hypervisor via the Nexus 1000v virtual switch.
Because service chaining decouples services from network topology where the services physically reside is less important. Services can be carved up and assigned per zone, tenant, or department. The services can be either Layer 2 adjacent or one or more Layer 3 hops away. This is extremely useful in virtualized and cloud environments because it provides even more flexibility in deployment.
Figure 6. Service Chaining for virtualized services
The relevance for service chaining can also be linked to Software Defined Networking (SDN) where virtualized services are abstracted and applied to network flows via decoupled control and data planes. Service chaining allows new services to be applied dynamically in a quicker manner to reflect immediate business needs via a much lower cost model.
I’ll be exploring more advanced concepts of data center security service chaining and security for software defined networking in future posts.
Until next time…
هنگامی که با هیئت رئیسه و مدیران فناوری اطلاعات در سازمانها پیرامون امنیت سایبری گفتگو میشود، همگی آنها در رابطه با این مسئله نگران هستند و میخواهند بدانند که چگونه از سازمان، کارمندان و مشتریان خود محافظت کنند. در این میان به نظر میرسد، سه نگرانی عمده همیشه در بالای این لیست قرار میگیرد: فایروال NGFW سیسکو
اغلب مواقع، سازمانها به دنبال ابزارهای امنیتی جدید و پر زرق و برق هستند تا این مسائل را برطرف نماید. اما به جای افزودن ابزارهای بیشتر، آیا تا به حال پرسیدهاید که فایروال شما چگونه میتواند در این فرآیند شما را یاری دهد؟
در این نوشته، نگرانیهای بالا را بررسی میکنیم و نشان میدهیم که چگونه یک فایروال NGFW سیسکو ، به عنوان مولفه اصلی در سیستم دفاعی امنیت، یک راهکار را میتواند ارائه دهد. شما باید از فایروال خود خواستههای بیشتری داشته باشید. باید از خود بپرسید "آیا فایروال من میتواند چنین راهکاری را ارائه دهد؟".
در این قسمت به اولین نگرانی، یعنی جلوگیری از نفوذ، میپردازیم. امروزه سازمانها در رویارویی با حملات و نفوذهای امنیتی مستمر، در رابطه با نفوذهای بزرگ بعدی در امنیت سایبری دلواپس هستند. یک نفوذ در سازمان می تواند به دادههای حساس لطمه زند، اطمینان موجود نسبت به برندِ آن سازمان را از بین ببرد، شبکه را به هم بریزد و منجر به از دست رفتن بهرهوری و میلیونها دلار شود. چگونه یک فایروال سیسکو از نفوذها جلوگیری میکند و پویایی مجموعه شما را حفظ میکند؟
همه اینها با حضور بهترین threat intelligence آغاز میشود. فایروال به عنوان یک فیلتر و دروازه برای ترافیک شبکه عمل میکند، باید ترافیک شبکه و فایلها را با استفاده از بزرگترین، قدرتمندترین و بهروزترین threat intelligence موجود به دقت بررسی نماید. Cisco Talos برای فایروال NGFW سیسکو، threat intelligence را فراهم میکند. Cisco Talos بزرگترین تیم تجاری threat intelligence در جهان است که از بیش از 250 محقق، تحلیلگر و مهندس در سطح جهانی تشکیل میشود. این تیم از طریق سیستمهای پیچیده و سنجش از راه دور بینظیر پشتیبانی میشود تا یک threat intelligence کاربردی، سریع و با دقت را ایجاد نماید که به طور پیوسته و بدون هزینه به محصولات سیسکو (از جمله فایروال) فرستاده میشود. وسعت و عمق تحلیلها و هوشمندی Talos سرسامآور است. برای نمونه:
Talos از این دادهها برای ایجاد حفاظتهای امنیتی استفاده میکند تا از مشتریان سیسکو در برابر تهدیدهای نوظهور و شناخته شده دفاع نماید، پرده از نقاط آسیبپذیر جدید در نرمافزارهای رایج بردارد و پیش از آنکه تهدیدها بتوانند آسیبی را در سطح وسیعی از اینترنت گسترش دهند، آنها را باز میدارد.
فایروال NGFW سیسکو همچنین قابلیتهای NGIPS تعبیه شدهای را در خود پشتیبانی میکند. حال آنکه NGIPS وظایفی بیشتر از یک سیستم پیشگیری از نفوذ را انجام میدهد، NGIPS به عنوان ردیف اول سیستم دفاعی دربرابر حملات است. به دنبال نشان ویژهی حملات شناخته شده میگردد و آنها را مسدود میکند، همچنین از یک لیست گسترده از پروتکلهای شبکه استفاده میکند تا محدودهی وسیعتری از حملات را شناسایی کند و آنها را به خوبی مسدود نماید. برای جلوگیری از نقاط آسیبپذیر، فایروال میتواند فایلهای مشکوک را نشاندار کند، به منظور برملا کردن تهدیدهای تعریف شده آنها را تحلیل نماید و نقاط آسیبپذیرِ با اولویت بالاتر را اصلاح کند. هم اکنون شما نیازی به استقرار مجزای یک IPS ندارید، تمامی اینها بخشی از یک راهکار فایروال سیسکو با کنسول مدیریت واحد است.
ترکیب threat intelligence و عملیات IPS درون فایروال سیسکو نتایج بسیاری را معنا میدهد. برخی از بزرگترین نفوذهای چند سال اخیر از جمله WannaCry، Nyetya و VPNFilter را در نظر بگیرید. Cisco Talos تمامی اینها و همچنین نفوذهای دیگر را شناسایی کرد و از مشتریانِ فایروال سیسکو به طور اتوماتیک در برابر آنها حفاظت شد، بدون اینکه خودشان مجبور به انجام کاری شوند.
یه طور مثال شناسایی WannaCry را در نظر بگیرید. دو ماه پیش از اینکه این نفوذ در سطح وسیعی خسارت وارد نماید، Cisco Talos حفاظتی امنیتی در شکل یک قاعده Snort ایجاد کرد تا از محصولات در برابر WannaCry محافظت نماید. WannaCry در تاریخ 12 ماه می 2017 در صدر اخبار جهانی قرار گرفت. مشتریان فایروال NGFW سیسکو از مدتها پیش در تاریخ 14 ماه مارس در برابر آن حفاظت میشدند. به این خاطر که WannaCry چندین نقطه ضعف شناخته شده از پیش را برای آسیب رساندن به سیستمها به کار میبست. به واسطهی قوانین IPS نوشته شده توسط Talos، که به منظور حمایت در برابر حملاتی است که در تلاشند تا از این نقاط آسیبپذیر بهرهبرداری کنند، مشتریان فایروال NGFW سیسکو به طور خودکار حمایتهایی را دریافت کردند. Talos از آن زمان تا کنون چندین نفوذ بسیار مهم دیگر را نیز بررسی و متوقف کرده است، تمامی این اطلاعات در گزارش هفتگی با نام Threat roundup” در وبلاگ آنها فهرستبندی میشود.
درباره این سایت