پایه و اساس دیتاسنترها
این بخش اولین بلوک ساخت دیتاسنتر در فایروال سیسکو است که همه سرویسها بر آن استوار خواهند بود، صرف نظر از اندازه دیتاسنتر پایه می بایست مقیاس پذیر، مرتجع و انعطاف پذیر باشد تا امکان حفاظت مطمعن و کارآمد از سرویس های دیتاسنتر را داشته باشد؛ پایه دیتاسنتر محاسبات مورد نیاز جهت پشتیبانی از نرم افزارهای پردازش کننده اطلاعات و ترابری یکپارچه میان سرور، storage و کاربران استفاده کننده از نرم افزارها را فراهم میآورد.
دیتاسنترها دنیای پیچیده ای دارند که نه تنها مجموعه غنی از سرویس ها و معماری ها را فراهم میآورند، بلکه میزبان مهمترین دارایی شرکتها نیز هستند؛ به همین علت بررسی مداوم رخدادهای دیتاسنترها اهمیت فراوانی دارد. عبارت های “north-to-north” و “east-to-west” معمولا برای شرح انواع ارتباطات به خارج از دیتاسنترها استفاده می شود:
-north-to-north ارتباطات میان کاربران انتهایی و نهادهای خارج از دیتاسنترها توصیف می کند.
-east-to-west ارتباطات میان نهادهای نهادهای داخل دیتاسنترها را توصیف می کند.
Data Center North-to-South and East-to-West Communication
دیتاسنترها الزامات متفاوتی چون عملکرد بالا، تاخیر پایین و دسترس پذیری بالا را دارند، علاوه بر این اعمال خودکار مقررات ، کنترل هماهنگی، مانیتورینگ و ابزارهای مدیریتی بسیار مهم است.
آشنایی با سرویس های دیتاسنتر:
این سرویس ها شامل عناصر زیرساخت برای ارتقا امنیت نرم افزارها و دسترسی به اطلاعات حیاتی هستند، همچنین سرویس های سوئیچیگ مجازی جهت توسعه یکپارچه از پایه شبکه تا سیستم های Hypervisor سرورها جهت بهبود کنترل و کاهش هزینههای عملیاتی، در نظر گرفته شده است.
سرویس های کاربر:
این سرویس ها شامل ایمیل، پردازش درخواست ها، به اشتراک گذاری فایلها و یا هر نرم افزار دیگری در دیتاسنتر که سرویسهای دیتاسنتر وابسته و متکی به آن است؛ مانند نرم افزارهای دیتابیس، شبیه سازی و پردازش تراکنشها است.
شکل زیر به شرح عناصر یک دیتابیس و معماری آن میپردازد.
نمونه هایی از عناصر الحاقی سرویسهای دیتاسنتر به شرح ذیل است:
ماژولهای فایروال سیسکو فایرپاور در دیتا سنتر
فایروال سیسکو(در مثال شرح داده شده در شکل زیر ماژول سیسکو ASA FirePOWER استفاده شده است.)
- IPS
- Application delivery
- توزیع بار در سرورها
- ابزارهای تحلیل شبکه ( مانند NetFlow )
- استقرار و توزیع سرویس های مجازی سازی به همراه ماشین های مجازی
- هدایت ترافیک شبکه از طریق vPath و Nexus1000v
- Application Centric Infrastructure ACI چارچوب اتوماتیک برای الحاق سرویس ها
در محیط های مجازی می توان از سیسکو ASAV جهت حفظ ارتباط میان ماشین های مجازی استفاده کرد؛ ماژول سیسکو ASA FirePOWER در چنین محیطهایی کاربرد نخواهد داشت به همین علت در چنین سناریوهایی از ماشین مجازی سیسکو FirePOWER به همراه AMP استفاده می شود.
نکته مهم در خصوص سیسکو ASAv
سیسکو ASAv در هر دو حالت دیتاسنترهای قدیمی و محیط های سیسکو ACI قابل استفاده است، همچنین می توان از آن در محیط ابر نیز بهره برد (مانند Amazon Web Services AWS)
ماژول سیسکو ASA FirePOWER در بخش هایی که از لحاظ جغرافیایی پراکنده هستند نیز قابل استقرار است.
شکل زیر مثالی از نحوه استفاده از ماژول در دو موقعیت مجزا را نشان میدهد ( siteA و siteB )
همانطور که در شکل بالا مشاهده میشود خوشه ای متشکل از چهار سیسکو ASA در میان دو دیتاسنتر قرار گرفته است، که از cluster control links CCL که در لایه 2 با تاخیر کمتر از 10 میلی ثانیه کار میکند، استفاده میکند. یک spanned EtherChannel در سمت خوشه برای دادههای گذرا، یک Data Lik محلی به همراه EtherChannel در سوئیچ های هر سمت پیکربندی شدهاند.
- نکته
Data VLAN بین سوئیچ برای جلوگیری از ایجاد loop در شبکه، تعمیم نیافته است.
نرم افزار FTD در یکپارچه سازی فایروال سیسکو
نرم افزار FTD نرم افزار یکپارچه ای است که سرویس های نسل جدید فایروال ها شامل موارد زیر را فراهم می آورند:
- قابلیت های فایروال های حالتمند
- روتینگ استاتیک و پویا
- NGIPS
- AVC
- فیلترینگ URL
- AMP
در سیسکو ASA ، FTD را می توان در حالتهای Single context، Routed و یا Trasnsparent استفاده کرد. مدلهای سیسکو ASA زیر نرم افزار FTD را پشتیبانی و بازخوانی می کنند.
برای بازخوانی مدل های مختلف سیسکو ASA ملزم به تهیه پیش نیازهای زیر هستید:
- حساب کاربری سیسکو، که در Cisco Software Central به آدرس https://software.cisco.com ایجاد می شود.
- به صورت دوره ای نسخه های جدید نرم افزار FTD را که مشخصه های جدید به آن اضافه شده بررسی کنید.
- یک لایسنس پایه به حساب کاربری خود اضافه کنید.
- باید به صورت فیزیکی یا مجازی به FMC دسترسی داشته باشید.
- دسترسی مستقیم و یا از طریق ترمینال سرور به پورت کنسول ابزارهای سیسکو 5500-X که FTD در آن نصب می شود.
- پشتیبان گیری از پیکربندی های موجود.
- توجه به این مساله که با نصب FTD جدید تمام نسخه های قدیمی و پیکربندی آن ها از بین خواهد رفت.
- حداقل فضای مورد نیاز وجود داشته باشد ( 3GB و فضای مورد نیاز برای نرم افزار BOOT باید در Flash(disk0) موجود باشد).
- باید یک SSD در سیسکو ASA موجود باشد.
- دسترسی به TFTP جهت نگهداری از FTD image مورد نیاز است.
خلاصه
در راه اندازی فایروال سیسکو ماژول Cisco ASA FirePOWER قابلیت مشاهده شبکه، پیاده سازی سیاستها وحفاظت پیشرفته در مقابل تهدیدها را فراهم میکند. در این فصل به معرفی ماژول سیسکو ASA FirePOWER پرداخته و حالت های مختلف کاری آن Inline و Promiscuous پرداخته شد؛ در این فصل راهکارهای مختلف مدیریت ماژول با توجه به نیاز و وسعت شبکه و همچنین مسائل موجود در ارتباط با سازگاری و لایسنس های مشخصههای متفاوت بیان گردید.