
معرفی و طراحی سرویس CISCO ASA WITH FIREPOWER
آشنایی با فایرپاور در فایروال سیسکو
در این فصل ضمن معرفی راهکارهای امنیتی سرویس های مختلف Cisco ASA With FirePOWER، به ارائه دستورالعمل های لازم جهت دستیابی به حداکثر کارایی این سرویسها پرداخته میشود. در این فصل عناوین ذیل مورد بررسی قرار خواهند گرفت:
-
- معرفی سرویسهای Cisco ASA With FirePOWER
- حالتهای Inline و Promiscuous
- اختیارات مدیریتی Cisco ASA With FirePOWER
- کالیبره کردن Cisco ASA With FirePOWER
- اندازههاي سرويس
- لایسنسهای سرویس Cisco ASA FirePOWER
- لایسنس حفاظت
- لایسنس کنترل
- لایسنس فیلترینگ URL
- لایسنس بدافزار
- لایسنسهای نصب شده ماژول Cisco ASA FirePOWER
- افزودن لایسنس به ماژول Cisco ASA FirePOWER
- سازگاری Cisco ASA FirePOWER با سایر قابلیتهای سیسکو ASA
- ترتیب پردازش بستهها در Cisco ASA FirePOWER
- Cisco ASA FirePOWER Services and Failover
- سرویسهای سیسکو ASA FirePOWER و خوشهبندی آنها
- توسعه سرویس های Cisco ASA FirePOWER در Internet Edge
- توسعه ماژول سیسکو ASA FirePOWER در سناریو های VPN
- استقرار سرویس CISCO ASA FIREPOWER در دیتاسنترها
- FTD
معرفی سرویسهای Cisco ASA With FirePOWER
راهکارهای امنیتی این شرکت منحصرا بر روی شناسایی حمله متمرکز نیست، بلکه توانایی به حداقل رساندن آثار یک حمله را نیز دارند. شرکت ها میبایست در طول حمله امکان مشاهده و کنترل مداوم سراسر شبکه را داشته باشند؛ ضروری است این مشاهدات قبل از حمله، در طول حمله فعال، و پس از اینکه مهاجم تخریب یا سرقت اطلاعات انجام داد، تداوم داشته باشد.
سرویس های Cisco ASA With FirePOWER و AMP شرکت سیسکو، راهکارهای امنیتی جهت شناسایی تهدیدها و اجرای سیاستگذاریهای امنیتی سختگیرانه قبل از حمله ها، ارایه میدهند. در فصل اول با اعضای مختلف ابزارهای Cisco ASA، شکلها، اندازهها و کاربردهای آنها در بنگاه های اقتصادی کوچک، متوسط و بزرگ آشنا شدیم. شرکت سیسکو سرویس Cisco ASA With FirePOWER را به عنوان بخش یکپارچهای از تکنولوژی SourceFire ارائه کرده است، که قابلیتهای ذیل را فراهم می آورد:
- کنترل دسترسی: قابلیت های مبتنی بر سیاستگذاری های امنیتی امکان شناسایی، بررسی و گزارش گیری از ترافیک عبوری از فایروال را برای مدیر امنیتی شبکه فراهم می آورد. سیاست های کنترل دسترسی اجاره عبور یا عدم عبور ترافیک شبکه را تعیین می کنند؛ به عنوان مثال میتوان دستورالعملی جهت بررسی یا بلوکه کردن و یا اجازه عبور بدون بازبینی برای ترافیک شبکه تعریف کرد. بدون در نظر گرفتن قوانین امنیتی ساده یا پیچیده تعريف شده توسط كاربر برای شبکه، امکان کنترل ترافیک شبکه براساس نواحی امنیتی، مکانهای جغرافیایی شبکه، پورتها، برنامه ها، درخواستهای URL به ازای هر کاربر وجود دارد.
- پیشگیری و تشخیص نفوذ: این قابلیت به مدیران امنیتی شبکه ها کمک شایانی در شناسایی مهاجمان با مقاصد دسترسی غیرمجاز، ایجاد اختلال و یا سرقت اطلاعات شبکه، خواهد کرد. قوانین تشخیص و پیشگیری از نفوذ بر اساس سیاستگذاریهای کنترل دسترسی تعریف میشوند، که امکان تعریف و تنظیم سیاستگذاریهای امنیتی را تا جزئیترین بخش ترافیک شبکه فراهم می آورند.
- کنترل فایلها و AMP: قابلیت کنترل فایل امکان شناسایی، رهگیری، توقیف و بلوکه نمودن فایلهای ارسالی شبکه که حاوی فایلهای بدافزار و یا فایلهای آرشیو هستند، را فراهم می آورد؛ همچنین امکان شناسایی و مسدود کردن کاربرانی را که قصد ارسال و دریافت فایل هایی با فرمتهای مشخص از طریق رنجها مختلفی از پروتکل های کاربردی شبکه را دارند، ارایه میدهد. کنترل فایلها را میتوان به عنوان بخشی از سیاستگذاریهای کنترل دسترسی و Application Inspection تعریف کرد.
- APIs : سرویسهای Cisco ASA With FirePOWER به چند روش با سیستم هایی که قابلیت پشتیبانی از API را دارند، تعامل دارند:
ماژول Cisco ASA With FirePOWER میتواند به عنوان یک ماژول سخت افزاری در ASA 5585-X و یا به عنوان یک ماژول نرم افزاری در یک هارد SSD در تمام سریهای ASA 5500-X استفاده شود.
- نکته
ماژول Cisco ASA With FirePOWER در سری ۵۵۰۵ پشتیبانی نم یشود. برای سری ASA 5512-X تا ASA 5555-X ملزم به استفاده از یک هارد SSD هستید؛ استفاده از SSD در سریهای ۵۵۰۶-X، ۵۵۰۸-X و ۵۵۱۶-X مرسوم است.
حالتهای Inline و Promiscuous در فایروال سیسکو
ماژول Cisco ASA With FirePOWER را به دو شکل زیر میتوان پیکربندی کرد:
الف) حالت Inline
ب) حالت Promiscuous monitor-only (passive) mode
حالت Inline
زمانیکه Cisco ASA With FirePOWER در وضعیت Inline پیکربندی میشود ترافیک عبوری از شبکه قبل از ارسال به ماژول Cisco ASA With FirePOWER از تدابیر امنیتی فایروال عبور خواهد کرد.
شکل زیر نحوه عملکرد ماژول Cisco ASA With FirePOWER زمانیکه در وضعیت Inline کار میکند را نشان میدهد.
نحوه عملکرد ماژول Cisco ASA FirePOWER در وضعیت Inline
- ترافیک شبکه در واسط مشخص شده در Cisco ASA دریافت میشود.
- چنانچه IPsec و یا SSL VPN تنظیم شده باشند، ترافیک رمزگذاری شده ورودی، رمزگشایی خواهد شد.
- تدابیر امنیتی فایروال به ترافیک اعمال میشود.
- چنانچه ترافیک مورد نظر اجازه عبور از فایروال را دریافت نمايد به ماژول Cisco ASA With FirePOWER وارد خواهد شد.
- ماژول Cisco ASA With FirePOWER ترافیک را شناسایی و تدابیر و رویکرد مناسب امنیتی در قبال آن انجام میدهد، اگر ترافیک با سیاستگذاری های امنیتی شبکه مغایرتی داشته باشد به عنوان بدافزار شناخته خواهد شد، نتیجه به ماژول Cisco ASA With FirePOWER ارائه شده و ASA علاوه بر بلوکه کردن ترافیک مورد بحث هشدار امنیتی به مدیر شبکه ارسال خواهد کرد. ترافیکهای مجاز نیز اجازه عبور از ASA را خواهند داشت.
- IPsec و یا SSL VPN ترافیک خروجی را رمزگذاری میکنند.
- ترافیک به داخل شبکه ارسال میشود.
آشنایی با حالت monitor-only mode (passive) Promiscuous در فایروال سیسکو فایرپاور
زمانیکه ماژول Cisco ASA FirePOWER در وضعیت Promiscuous monitor-only پیکربندی میشود هر بسته از ترافیک شبکه تعریف شده در رویکردهای امنیتی، به ماژول ارسال میشود.
شکل زیر نحوه عملکرد ماژول Cisco ASA With FirePOWER زمانیکه در وضعیت (Promiscuous monitor-only (passive کار میکند، را نشان میدهد.
حالت (Promiscuous Monitor-Only (Passiveپ
- ترافیک شبکه در واسط مشخص شده در Cisco ASA دریافت میشود.
- چنانچه IPsec و یا SSL VPN تنظیم شده باشند ترافیک رمزگذاری شده ورودی، رمزگشایی خواهد شد.
- تدابیر امنیتی فایروال به ترافیک اعمال میشود.
- چنانچه ترافیک مورد نظر اجاره عبور از فایروال را دریافت کرد به ماژول Cisco ASA With FirePOWER وارد خواهد شد. اگر ترافیک با سیاست گذاریهای امنیتی شبکه مغایرتی داشته باشد به عنوان بدافزار شناخته شده، نتیجه به ماژول Cisco ASA With FirePOWER ارائه میگردد و ASA تنها یک هشدار امنیتی به مدیر شبکه ارسال خواهد کرد و ترافیک را بلوکه نمی کند.
- IPsec و یا SSL VPN ترافیک خروجی را رمزگذاری میکنند.
- ترافیک به داخل شبکه ارسال میشود.
همانگونه که مشاهده میکنید موثرترین و مطمئن ترین روش پیکربندی ماژول Cisco ASA With FirePOWER عملکرد آن در وضعیت Inline است. به منظور ارزیابی و تخمین ظرفیت شبکه برای استقرار ابزارهای امنیتی جدید از پیکربندی ماژول Cisco ASA With FirePOWER در وضعیت( Promiscuous monitor-only (passiveاستفاده میشود.
حالتهای کاری ماژول Cisco ASA With FirePOWER تفاوت اندکی نسبت به سایر ابزارهای امنیتی این سری با قابلیت
های ذیل را دارند:
- IPS مستقل در حالتهای فعال و standby
- خوشه بندی
- SFRP
- Bypass and non-bypass modules
ابزارهای NGIPS سری Cisco ASA With FirePOWER در وضعیت های passive، inline، routed و switched قابل توسعه هستند.