امنیت‌‌ شبکه ‌لایه‌بندی ‌‌شده

سطح1: امنیت پیرامون‌

  منظور از پیرامون، نخستین خط دفاعی نسبت به بیرون و به‌عبارتی، شبکه غیرقابل اعتماد است. "پیرامون" اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت‌کننده شبکه است. این ناحیه‌ای است که شبکه به‌پایان می‌سد و اینترنت آغاز می‌شود. پیرامون شامل یک یا چند فایروال و مجموعه‌ای از سرورهای بسیار کنترل شده است که در بخشی از پیرامون جای دارند که به‌عنوان DMZ (demilitarized Zone) شناخته می‌شودDMZ . بیشتر وب سرورها، مدخل ایمیل‌ها، ضدویروس شبکه و سرورهای DNS را دربر می‌گیرد که باید در جریان اینترنت قرار گیرند. فایروال قوانین سفت و سختی در مورد این‌که چه چیزی می‌تواند وارد شبکه شود و چگونه سرورها در DMZ می‌توانند با اینترنت و شبکه داخلی تعامل داشته باشند؟ دارد.

  پیرامون شبکه، در حقیقت، دروازه ورود شما به دنیای بیرون و برعکس، مدخل دنیای بیرون به شبکه شما است.
  فناوری‌های زیر امنیت را در پیرامون شبکه ایجاد می‌کنند:

فایروال‌

یک فایروال به‌طور معمول روی سروری نصب می‌گردد که به بیرون و درون پیرامون شبکه متصل است. فایروال سه کار اصلی انجام می‌دهد:

1 -‌ کنترل ترافیک‌

2 - تبدیل نشانی

3 - نقطه پایانیVPN 

فایروال کنترل ترافیک را با سنجیدن فرستنده و گیرنده تمام ترافیک واردشونده و خارج‌شونده انجام می‌دهد و تضمین می‌کند که تنها تقاضاهای مجاز اجازه عبور دارند. افزون بر این، فایروال‌ها به شبکه امن در تبدیل نشانی‌های آی‌پی داخلی به نشانی‌های قابل رویت در اینترنت کمک می‌کنند. این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری می‌کند. یک فایروال همچنین می‌تواند به‌عنوان نقطه پایانی تونل‌های VPN عمل کند. این سه قابلیت فایروال را تبدیل به بخشی ضروری برای امنیت شبکه می‌کند.

آنتی ویروس شبکه‌

این نرم افزار در DMZ نصب می‌شود و محتوای ایمیل‌های واردشونده و خارج‌شونده را با پایگاه داده‌ای از مشخصات ویروس‌های شناخته شده مقایسه می‌کند. این ضدویروس‌ها راه رفت‌وآمد ایمیل‌های آلوده را می‌بندند و آنها را قرنطینه می‌کنند و سپس به دریافت‌کنندگان و مدیران شبکه اطلاع می‌دهند. این عمل از ورود و انتشار یک ایمیل آلوده به ویروس در شبکه جلوگیری می‌کند و جلوی گسترش ویروس توسط شبکه شما را می‌گیرد. ضدویروس شبکه، مکملی برای حفاظت ضدویروسی است که در سرور ایمیل شما و کامپیوترهای مجزا صورت می‌گیرد. به‌منظور کارکرد موثر، دیتابیس ویروس‌های شناخته‌شده باید به‌روز نگه داشته شود.

شبکه اختصاصی مجازی(VPN)

یک شبکه اختصاصی مجازی (Virtual Private Network  از رمزنگاری سطح بالا برای ایجاد ارتباط امن میان ابزار دور از یکدیگر، مانند لپ‌تاپ‌ها و شبکه مقصد استفاده می‌کندVPN . در اصل یک تونل رمزشده تقریبا باامنیت و محرمانگی یک شبکه اختصاصی را از میان اینترنت ایجاد می‌کند. این تونلVPN  می‌تواند در یک مسیریاب برپایهVPN ، فایروال یا یک سرور در ناحیه DMZ  پایان پذیرد. برقراری ارتباطاتVPN  برای تمام بخش‌های دور و بی‌سیم شبکه یک عمل مهم است که به‌نسبت آسان و ارزان پیاده‌سازی می‌شود.

مزایا

  فناوری‌های ایجاد شده سطح پیرامون سال‌ها است که در دسترس هستند، و بیشتر خبرگان فناوری اطلاعات با توانایی‌ها و نیازهای عملیاتی آنها به‌خوبی آشنایی دارند. بنابراین، از نظر پیاده‌سازی آسان و همراه با توجیه اقتصادی هستند. برخی‌ از فروشندگان راه‌حل‌های سفت و سختی برای این فناوری‌ها ارایه می‌دهند و بیشتر آنها به این دلیل پرهزینه هستند.

معایب‌

  از آنجا که بیشتر این سیستم‌ها پایه‌ای هستند و مدتهاست که در دسترس بوده‌اند، بیشتر هکرهای پیشرفته روش‌هایی برای دور زدن آنها نشان داده‌اند. برای مثال، یک ابزار ضدویروس نمی‌تواند ویروسی را شناسایی کند مگر این‌که از پیش نشانه شناسایی ویروس را در پایگاه اطلاعات خود داشته باشد و این ویروس درون یک فایل رمزشده قرار نداشته باشد. اگرچهVPN  رمزنگاری موثری ارایه می‌کند، اما کار اجرایی بیشتری را بر کارمندان فناوری اطلاعات تحمیل می‌کنند، چرا که کلیدهای رمزنگاری و گروه‌های کاربری باید به‌طور مداوم مدیریت شود.

ملاحظات‌

  پیچیدگی معماری یک شبکه می‌تواند تاثیری چشمگیر بر اندازه اثر این فناوری‌ها داشته باشد. برای مثال، ارتباطات چندتایی به خارج ممکن است به چند فایروال و ضد ویروس نیاز داشته باشد. معماری شبکه  به‌گونه‌ای که سراسر این ارتباطات به ناحیه‌ای مشترک ختم شود  به هر کدام از فناوری‌های یاد شده اجازه می‌دهد که به تنهایی پوششی کارآمد برای شبکه ایجاد کنند.

  انواع ابزارهایی که در DMZ  قرار می‌گیرد نیز یک فاکتور مهم است. این ابزارها چه اندازه برای کسب و کار شما اهمیت دارند؟ هرچه اهمیت بیشتر باشد، معیارها و سیاست‌های امنیتی سفت و سخت‌تری باید این ابزارها را مدیریت کند.

بهروز کمالیان‌