|
سير تكاملي امنيت شبکه
حملههاي ماهرانه و روبه افزيش کامپيوتري،
نيازمنديهاي تجاري و
اقتصادي و حتي ملاحظات قانوني موجب تغيير دستگاه هاي
امنيت شبکه و همچنين ترتيب منطقي و فيزيکي آنها مي شود. بري اطمينان از
سودمندي، کاريي و انعطاف پذيري، سير ترقي راه حل ها بايد
به سمت دروني، روبه بالا و بيروني باشند...
مقدمه
با وجود سرمايه گذاري هاي
قابل توجه در امنيت اطلاعات، سازمانها همچنان از حوادث کامپيوتري رنج
مي برند. همچنين، مديران اجريي خواستار کسب نتايج
بهتري با استفاده از تعداد کمتري از منابع ميباشند.
به عبارت ديگر، زماني که توسعه کاريي و انعطاف پذيري به يک هدف مهم
تبديل شود، بهبود و تقويت سود آوري امنيت شبكه، اگر حتي حالت دستوري
نداشته باشد، بعنوان امري ضروري همچنان مطرح ميباشد...
اين مقاله به چگونگي استخراج راه حل هاي امنيت
شبکه بري رفع اين نيازها ميپردازد. به طور خاص،
اين مقاله تغييرات مورد نياز براي دسترسي به طرح هاي
داراي سطح بالاي امنيت شبکه (يعني پياده سازي
يا طبقه بندي) و اجزي جداگانه (دستگاه ها و محصولات) آنها را مورد
بررسي قرار مي دهد. موضوعات مربوطه عبارتند از: ارائه نواحي غير نظامي
اينترنت (DMZها)، به کار گيري DMZهاي
داخلي، معني واقعي "بازرسي عميق پاكت"، نقش دروازههاي
امنيتي يگانه و انطباق و تسلط نهايي لايه
سوکتهاي امن شبکه هاي
مجازي خصوصي (SSL VPNs)...
ارزيابي طرح هاي امنيت کامپيوتر
ما اين نكته را در نظر ميگيريم که رسيدن به سودمندي مربوطه، کاريي و
انعطاف پذيري، به هيچ وجه تنها با بكارگيري محدودهاي کوچک از طرح هاي
مناسب و جامع، که به طور ذاتي بري ين اهداف تنظيم شده اند، مسير نميباشد...
روزهايی
که از تنها يک نقطه گلوگاه برای کنترل دسترسی
کاربر و بازرسی ترافيک شبکه استفاده ميشد،
مربوط به مدتها قبل ميباشد. واقعيت های تجاری
خواستار حمايت از کاربران موبايل،
شريکان تجاری، ميهمانان
و کاربران ناپايدار(يعنی
کارمندانی که بصورت دورهاي از اين حوزه و از داخل اداره کار می کنند)
ميباشند. هزاران اتصال به محيط محاسبه گروهی
توسط اين کاربران باعث ايجاد پيچيدگي آن
ميشود، البته اگر طرح های امنيتی متمرکز بر محيط
قديمی را کاملا در هم نشکنند...
DMZ و مرکز داده ها
به دليل آنکه بسياری از
سازمانها، مهارت ها و منابع امنيتی توزيع
شده کافی را در دسترس ندارند، يک راه معمول آن
است که منابع و برنامه های کاربردی متمرکز را به سادگی از جمعيت
کاربران عمومی جدا کنيم. ضرورتا، اين
امر موجب ايجاد يک "DMZ
مرکز دادهها" میشود که مانند قبل مجموعه ای از ديوار
های آتش و ديگر کنترل های مرتبط را به کار می گيرد...
کنترل و آگاهی لايه
برنامه کاربردی
از نظر تاريخی، محصول عمده امنيت
شبکه، ديوار آتش بوده که دسترسی به تصميمات
کنترلي مبنی بر اطلاعات لايه شبکه را ممکن
ميسازد. بطور مثال، ترافيک بر پورت 25 (يعنی
e-mail تحت SMTP ) بين
مبدأ (با آدرس IP "A") و مقصد (با آدرس IP "B") مجاز است، اما ترافيك
پورت 80 (يعنی وب تحت HTTP) از B به A مجاز نيست...
محافظت پيشرفته
در برابر حمله
آگاهی از برنامه های کاربردی
توانايی اصلی يک ديوار
آتش را افزايش ميدهد تا کنترل دسترسی به مبنای
مجوز های پييشين را تقويت
کند...
دروازه های امنيتی
با سرويس چندگانه
مانند ترکيب ديوار آتش
و محافظت در برابر مزاحمت يا حمله، هدف دروازه امنيت
چند سرويسی (MSG)
افزايش کارايی با تجمع
سرويس های امنيتی بيشتر
در يک دستگاه فيزيکی
تنها ميباشد. توجه داشته باشيد که اين
ايده توان زيادی برای
بهبود کارايی در خود را داشته و بر اين اساس
ممکن است نياز كمتري به محصولات بزرگ مستقل و زير
ساخت های پيشتيبان آنها
وجود داشته باشد (به طور مثال، پورت های سويچ،
پايگاه داده ها، سرورهای مديريت)...
انقلاب SSL VPN
در گذشته، مکانيزم اصلی برای دسترسی امن از راه
دور، تکنولوژی ساخت شبکه خصوصی مجازی
IPSec بوده است. اما
به خاطر اجبار در گسترش، مديريت
و نگهداری يک جزء نرم افزاری بر هر گره، از نياز
به برقراری ارتباط با IPSec پرهيز شده است...
در عوض، SSL VPNs از
مرورگرهای در دسترس و ماژول های دانلود شده به صورت پويا،
برای رسيدن مشتری به پايان
يک جلسه کد گذاری شده بهره ميبرند...
نتيجه گيری
حملههای کامپيوتری
مصنوعی در حال افزايش، نيازهای
اقتصادی و تجاری و حتی ملاحظات قانوني، موجب تغييرات
دستگاه های امنيتی شبکه و ترتيب
منطقی و فيزيکی آنها
ميشوند. برای تضمين سودآوری، کارآيی
و انعطاف پذيری، راه حل ها بايد
به صورت درونی، بيرونی و رو به بالا بوجود آيند...
|
