• معرفی فایروال شبکه
• سرورdhcp یا پیکربندی پویای میزبان
• پروتکل ترجمه آدرس شبکه
• معرفی اکسس پوینت – access point
• مرکز DNA سیسکو (Cisco DNA Center)
• دامنه تصادم (Collision Domain) چیست؟
• دامنه پخشی (Broadcast Domains) چیست؟

معرفی فایروال شبکه

آموزش : فایروال‌ها مسئولیت کنترل ترافیک ورودی و خروجی را دارند و تعیین می‌کنند که چه ترافیکی مجاز به ورود به یک شبکه یا سیستم است و کدام ترافیک باید مسدود شود. سرپرستان شبکه می‌توانند هنگام پیکربندی فایروال، قواعدی را برای تایید یا رد ترافیک بر مبنای پروتکل، شماره پورت و نوع دستگاه تعیین کنند.

به‌طور کلی، آموزش فایروال‌ها به سه نوع اصلی زیر تقسیم می‌شوند:

• فایروال فیلترینگ بسته (Packet filtering): یک فایروال مسدودسازی مبتنی بر بسته می‌تواند ترافیک را بر اساس آدرس‌های IP مبدا و مقصد، شماره پورت مبدا، مقصد و پروتکل مورد استفاده فیلتر کند.

بزرگ‌ترین عیبی که دیوارهای آتش مذکور دارند، انجام فیلترینگ بسته‌ها بر مبنای قواعد ساده است، بنابراین ماهیت بسته‌ها را به درستی درک نمی‌کنند و یک هکر می‌تواند به راحتی بسته‌ای را برای گذر از این دیوارهای آتش ایجاد کند.

• فایروال بازرسی بسته حالت دار (Stateful packet inspection):

عملکردی شبیه فایروال فیلترینگ بسته دارد، با این تفاوت که ترافیک را بر مبنای آدرس‌های آی ‌پی مبدا و مقصد، شماره پورت مبدأ و مقصد و پروتکل در حال استفاده فیلتر می‌کند. با این‌حال، قابلیت درک محتوای یک بسته را داشته و به همین دلیل اگر بایت مشکوکی در سرایند بسته‌ها پیدا کند اجازه وارد شدن بسته به شبکه را نمی‌دهد.

بسته‌های اطلاعاتی تنها زمانی قادر به عبور از این دیوارآتش هستند که منطبق با خط‌ مشی‌های تعیین شده باشند یا سرپرست شبکه استثنایی برای بسته‌ها تعیین کرده باشد.

مثلا:

اگر یک هکر بسته‌ای را به شبکه شما ارسال کند و سعی کند این‌گونه نشان دهد که بسته واکنشی از وب‌سایتی است که یکی از کارمندان شرکت از آن بازدید کرده، فایروال‌های این گروه متوجه می‌شوند که هیچ‌گونه بازدیدی از درون شرکت انجام نشده و اجازه تبادل این ترافیک را نمی‌دهند.

• فایروال نسل بعدی (NGFW):

یک دیوار آتش لایه ۷ است که می‌تواند داده‌های برنامه‌های کاربردی را بازرسی کرده و بسته‌های مخرب را شناسایی کند. یک فایروال معمولی ترافیک را بر اساس ترافیک HTTP یا FTP (با استفاده از شماره پورت) فیلتر می‌کند،

اما:

نمی‌تواند تعیین کند که آیا داده‌های مخرب در بسته HTTP یا FTP وجود دارد یا خیر. یک دیوار آتش NGFW لایه کاربرد می‌تواند داده‌های برنامه‌ها را به دقت بررسی کرده و تعیین کند که آیا محتوای مشکوکی داخل بسته‌ها وجود دارد یا خیر.

سیستم پیشگیری از نفوذ (Intrusion Prevention System)

یک سیستم پیشگیری از نفوذ (IPS) یک دستگاه امنیتی است که نظارت دقیقی روی فعالیت‌ها اعمال می‌کند، هر‌گونه فعالیت مشکوک را ثبت می‌کند و اقدامی متناسب با نوع فعالیت مشکوک انجام می‌دهد. به عنوان مثال، اگر شخصی در حال اسکن پورت در شبکه باشد، IPS این فعالیت مشکوک را کشف کرده، فعالیت را ثبت می‌کند و سپس سیستمی که اسکنِ پورت را انجام داده از شبکه جدا می‌کند.

سرورdhcp  پیکربندی پویای میزبان

DHCP مسئول تخصیص خودکار آدرس آی‌پی به سیستم‌های موجود در شبکه است. مدیر شبکه می‌تواند سرور DHCP را به گونه‌ای پیکربندی کند که تنها محدوده‌ای از آدرس‌ها را به تجهیزات تخصیص دهد. این سرویس می‌تواند به‌طور کامل فرایند پیکربندی مربوط به تنظیمات TCP/IP که شامل زیر شبکه، گیت وی پیش‌فرض (Gateway) و آدرس سرور DNS می‌شود را مدیریت کند.

هنگامی که یک کلاینت به شبکه اضافه می‌شود، یک پیام پخشی ارسال می‌کند و سرور DHCP اعلام می‌کند که نیازمند یک آدرس آی پی است. سرور DHCP با یک پیشنهاد پاسخ می‌دهد و کلاینت آدرس ارائه شده را دریافت می‌کند.

در نهایت، سرویس DHCP تصدیق می‌کند که کلاینت آدرس را برای یک دوره زمانی (معروف به مدت اجاره) در اختیار دارد. زمان اجاره به بازه‌ای اشاره دارد که روتر روشن است و آدرس‌ها را مدیریت می‌کند. هنگامی که روتر خاموش و روشن شود، آدرس‌های جدیدی را به کلاینت‌ها اختصاص می‌دهد.

پروتکل ترجمه آدرس شبکه

پروتکل NAT مخفف network address translation و یکی از مهم‌ترین و کاربردی‌ترین سرویس‌های دنیای شبکه است که اصلی‌ترین کاربرد آن غلبه بر محدودیت آدرس‌های اینترنتی IPv4 است. NAT ما را قادر می‌سازد که ساختار شبکه داخلی خود را از دنیای خارج پنهان کنیم. البته کاربردهای NAT فراتر از پنهان‌سازی شبکه داخلی است. NAT در آدرس‌دهی‌های خصوصی (Private) کاربرد دارد.

به بیان دقیق‌تر، NAT راه حلی کوتاه مدت برای مشکل آی پی است و این راه حل را در اختیار سازمان‌ها قرار می‌دهد تا با ساخت آدرس‌های خصوصی IPv4 درشبکه‌های LAN بتوانند از محدودیت آدرس‌دهی گذر کنند و دستگاه‌های تحت شبکه با شبکه‌های

دیگر مثل اینترنت در تعامل باشند. Network Address Translation بر مبنای رویکرد استفاده مجدد از نشانی‌های آی‌پی به بهبود امنیت شبکه نیز کمک می‌کند. به‌طوری که مسیریاب NAT ترافیک ورودی و خروجی از شبکه خصوصی را ترجمه می‌کند.

. در نتیجه، هرکسی که تصمیم به حمله به منبع بسته‌ها بگیرد، در عوض به NAT حمله می‌کند که معمولاً یک محصول فایروال نیز خواهد بود. ما در مقالات آتی اطلاعات بیشتری در ارتباط با NAT به‌دست خواهیم آورد.

معرفی اکسس پوینت – access point

اکسس پوینت ها (Access Points) دستگاه‌هایی هستند که به شبکه اضافه می‌شوند و به کلاینت‌های بی‌سیم اجازه می‌دهند به شبکه متصل شوند. سازمان‌هایی که به دنبال انعطاف‌پذیری در ارایه خدمات و دسترسی به شبکه هستند بر مبنای یک برنامه راهبردی اکسس پوینت هایی در ساختمان نصب می‌کنند تا کلاینت‌ها بتوانند از هر نقطه‌ای به اکسس‌پوینت‌ها دسترسی داشته باشند.

پیکربندی هر اکسس پوینت در یک شبکه می‌تواند کاری زمان‌بر و مستعد خطا باشد. اما شما به‌عنوان مدیر شبکه می‌توانید به جای آن‌که تک‌تک دستگاه‌های تحت شبکه را مورد بررسی و ارزیابی قرار دهید از یک رویکرد مدیریتی متمرکز استفاده کنید. مدیران شبکه می‌توانند از یک کنترل‌کننده LAN بی‌سیم (WLC) یا به اختصار کنترل‌کننده بی‌سیم (Wireless Controller)

برای مدیریت نقاط دسترسی به‌شکل مرکزی و با استفاده از پروتکل Lightweight Access Point (LWAPP) استفاده کنند. این کار به میزان قابل توجهی فعالیت‌های مدیریتی را ساده‌تر کرده و اجازه می‌دهد همه اکسس‌پوینت‌ها را از یک نقطه واحد مدیریت کنید. CCNA R&S تاکید خاصی روی شبکه‌های بی‌سیم دارد، بنابراین در شماره‌های آتی اطلاعات کامل‌تری در ارتباط با تنظیمات بی‌سیم به‌دست می‌آوریم.

مرکز DNA سیسکو (Cisco DNA Center)

Cisco DNA Center راهکاری حق‌اشتراکی است که به شما امکان می‌دهد تغییرات دستگاه‌های شبکه را به‌طور مرکزی و همزمان مدیریت کنید. مزیت DNA Center این است که می‌توانید از مولفه‌های نرم‌افزاری مثل اسکریپت‌ها برای خودکارسازی تغییرات در همه دستگاه‌ها در یک زمان واحد استفاده کنید.

نقاط پایانی و سرورها

همه شبکه‌های سازمانی شامل نقاط پایانی هستند. یک شبکه سازمانی می‌تواند متشکل از دستگاه‌های زیر باشد:

•  ‌کلاینت (Client): یک سیستم کلاینت، یک دستگاه ویندوزی یا لینوکسی است که برای دسترسی به منابعی مانند فایل‌ها، چاپگرها یا اینترنت به شبکه متصل می‌شود.

•   ‌سرور (Server): ‌به‌طور کلی سرورها با هدف ارایه مجموعه‌ای غنی از منابع سیستمی در شبکه‌ها مستقر می‌شوند. سرورها می‌توانند ماهیت فیزیکی یا نرم‌افزاری داشته باشند. سرور فایل، سرور اکتیو دایرکتوری، سرور پایگاه داده و سرور وب چند نمونه از سرورهایی هستند که در سازمان‌ها مشاهده می‌کنید.

•   چاپگر (Printer): یک چاپگر متصل به شبکه به کلاینت‌ها اجازه می‌دهد به شکل مشترک از چاپگر استفاده کنند. مزیتی که یک چاپگر شبکه دارد کاهش هزینه‌های سازمانی است. با این‌حال، چاپگر باید مجهز به پورت‌های LAN یا تراشه‌های بی‌سیم باشد.

•   دستگاه تلفن همراه (Mobile Device): به دستگاهایی مثل لپ‌تاپ، تبلت، یا تلفن هوشمند اشاره دارد که برای دسترسی به منابع به شبکه متصل می‌شود.

دامنه تصادم (Collision Domain) چیست؟

معمولا افرادی که گواهی‌نامه CCT و CCNA را دریافت می‌کنند باید اطلاعات کاملی در ارتباط با دامنه برخورد یا تصادم و دامنه پخشی داشته باشند. ما در مقاله‌های اول این دوره آموزشی به این مفاهیم اشاره کردیم، با این‌حال، اجازه دهید به دلیل ماهیتی که دارند یکبار دیگر به آن‌ها اشاره کنیم:

در یک دامنه برخورد، ممکن است شاهد برخورد داده‌هایی باشیم که دستگاه‌ها ارسال می‌کنند. به‌طور مثال، فرض کنید از یک هاب برای اتصال پنج سیستم به یک شبکه استفاده می‌کنید. از آن‌جایی که ترافیک به تمام پورت‌ها در هاب ارسال می‌شود، در صورت ارسال همزمان داده‌ها، این امکان وجود دارد که داده‌ها در شبکه با هم برخورد کنند. به همین دلیل، حال اگر یک هاب به شیوه آبشاری به هاب دیگری متصل شود، همه هاب‌ها بخشی از یک دامنه برخورد می‌شوند.

اگر از یک سوئیچ برای اتصال پنج سیستم به یکدیگر استفاده کنید، هر پورت روی سوئیچ، بخش مخصوص به خود را در شبکه ایجاد می‌کند مانند پل که شبکه را به بخش‌های مختلف تقسیم می‌کند. اگر سیستم ارسال کننده داده، در نتیجه، هر پورت روی سوئیچ، یک دامنه برخورد جداگانه ایجاد می‌کند.

دامنه پخشی (Broadcast Domains) چیست؟

دامنه پخش به گروهی از سیستم‌ها اشاره دارد که می‌توانند پیام‌های پخشی یکدیگر را دریافت کنند. هنگام استفاده از یک هاب برای اتصال پنج سیستم در یک شبکه، اگر یک سیستم یک پیام پخشی ارسال کند، پیام توسط سایر سیستم‌های متصل به هاب دریافت می‌شود. به همین دلیل همه پورت‌ها در هاب یک دامنه پخشی واحد ایجاد می‌کنند. بنابراین، اگر هر پنج سیستم به یک سوئیچ متصل می‌شدند و یکی از سیستم‌ها پیام پخشی می‌فرستاد، پیام پخشی توسط سایر سیستم‌های شبکه دریافت می‌شد. به همین خاطر هنگام استفاده از سوئیچ، همه پورت‌ها بخشی از همان حوزه پخش هستند.

اگر می‌خواهید سیستم‌هایی که پیام‌های پخشی را دریافت می‌کنند، کنترل کنید، باید از روتری استفاده کنید که پیام‌ها را به شبکه‌های دیگر ارسال نمی‌کند. همچنین می‌توانید از شبکه‌های محلی مجازی (VLAN) روی یک سوئیچ استفاده کنید که هر VLAN دامنه پخشی متفاوتی دارد.

نکته: برای آزمون CCNA R&S مطمئن شوید که تفاوت بین دامنه پخشی و دامنه برخورد را به خوبی درک کرده‌اید. همچنین، به یاد داشته باشید که روتر دستگاهی است که برای ایجاد دامنه‌های پخشی چندگانه استفاده می‌شود.

تمرین: اکنون که تا حدودی اطلاعاتی در ارتباط با مولفه‌های شبکه به‌دست آوردید به سوالات زیر نگاه کرده و پاسخ درست را از ستون مقابل پیدا کنید.

به‌طور کلی، فایروال‌ها به سه نوع اصلی زیر تقسیم می‌شوند:

بزرگ‌ترین عیبی که دیوارهای آتش مذکور دارند، انجام فیلترینگ بسته‌ها بر مبنای قواعد ساده است، بنابراین ماهیت بسته‌ها را به درستی درک نمی‌کنند و یک هکر می‌تواند به راحتی بسته‌ای را برای گذر از این دیوارهای آتش ایجاد کند.

• فایروال نسل بعدی (NGFW): یک دیوار آتش لایه ۷ است که می‌تواند داده‌های برنامه‌های کاربردی را بازرسی کرده و بسته‌های مخرب را شناسایی کند. یک  یک دیوار آتش NGFW لایه کاربرد می‌تواند داده‌های برنامه‌ها را به دقت بررسی کرده و تعیین کند که آیا محتوای مشکوکی داخل بسته‌ها وجود دارد یا خیر.

سیستم پیشگیری از نفوذ (Intrusion Prevention System)

آموزش یک سیستم پیشگیری از نفوذ (IPS) یک دستگاه امنیتی است که نظارت دقیقی روی فعالیت‌ها اعمال می‌کند، هر‌گونه فعالیت مشکوک را ثبت می‌کند و اقدامی متناسب با نوع فعالیت مشکوک انجام می‌دهد.

مشاوره و خرید تجهیزات شبکه ، سرور، اکتیو، پسیو

شرکت توسعه شبکه آداک با بیش از 20 سال تجربه و سابقه فعالیت در زمینه فروش تجهیزات شبکه (اکتیو و پسیو)، سرورهای HPE و ملزومات ماشینهای اداری آماده مشاوره ، طراحی و خدمات مربوط به دیتاسنترها ، عرضه رک های دیجیتالی هوشمند مخصوص اتاق سرور، و خدمات کابل کشی طبق استاندارد BICSI و ، TIAتوسط تکنسین ها و مهندسین مجرب و با پشتوانه فنی بیش از ده ها قرارداد پشتیبانی نرم افزاری و سخت افزاری سازمانها، شرکت ها و کارخانجات صنعتی ایران، شما را تا مقصد پروژه همراهی خواهیم کرد. قبل از خرید با کارشناسان آداک در تماس باشید. شماره تماس 021-91303098 ده خط .

منبع