رای بدهید

پایه و اساس دیتاسنترها

این بخش اولین بلوک ساخت دیتاسنتر در فایروال سیسکو است که همه سرویس‌ها بر آن استوار خواهند بود، صرف نظر از اندازه دیتاسنتر پایه می بایست مقیاس پذیر، مرتجع و انعطاف پذیر باشد تا امکان حفاظت مطمعن و کارآمد از سرویس های دیتاسنتر را داشته باشد؛ پایه دیتاسنتر محاسبات مورد نیاز جهت پشتیبانی از نرم افزارهای پردازش کننده اطلاعات و ترابری یکپارچه میان سرور، storage و کاربران استفاده کننده از نرم افزارها را فراهم می‌آورد.‌
دیتاسنترها دنیای پیچیده ای دارند که نه تنها مجموعه غنی از سرویس ها و معماری ها را فراهم می‌آورند، بلکه میزبان مهمترین دارایی شرکت‌ها نیز هستند؛ به همین علت بررسی مداوم رخدادهای دیتاسنترها اهمیت فراوانی دارد. عبارت های “north-to-north” و “east-to-west” معمولا برای شرح انواع ارتباطات به خارج از دیتاسنترها استفاده می شود:

-north-to-north ارتباطات میان کاربران انتهایی و نهادهای خارج از دیتاسنترها توصیف می کند.

-east-to-west ارتباطات میان نهادهای نهادهای داخل دیتاسنترها را توصیف می کند.

Data Center North-to-South and East-to-West Communication

مفهوم ارتباطات north-to-north و east-to-west

دیتاسنترها الزامات متفاوتی چون عملکرد بالا، تاخیر پایین و دسترس پذیری بالا را دارند، علاوه بر این اعمال خودکار مقررات ، کنترل هماهنگی، مانیتورینگ و ابزارهای مدیریتی بسیار مهم است.

آشنایی با سرویس های دیتاسنتر:

این سرویس ها شامل عناصر زیرساخت برای ارتقا امنیت نرم افزارها و دسترسی به اطلاعات حیاتی هستند، همچنین سرویس های سوئیچیگ مجازی جهت توسعه یکپارچه از پایه شبکه تا سیستم های Hypervisor سرورها جهت بهبود کنترل و کاهش هزینه‌های عملیاتی، در نظر گرفته شده است.

سرویس های کاربر:

این سرویس ها شامل ایمیل، پردازش درخواست ها، به اشتراک گذاری فایل‌ها و یا هر نرم افزار دیگری در دیتاسنتر که سرویس‌های دیتاسنتر وابسته و متکی به آن است؛ مانند نرم افزارهای دیتابیس، شبیه سازی و پردازش تراکنش‌ها است.

شکل زیر به شرح عناصر یک دیتابیس و معماری آن می‌پردازد.

معماری سرویس‌های یک دیتاسنتر

نمونه هایی از عناصر الحاقی سرویس‌های دیتاسنتر به شرح ذیل است:

ماژول‌های فایروال سیسکو فایرپاور در دیتا سنتر

فایروال سیسکو(در مثال شرح داده شده در شکل زیر ماژول سیسکو ASA FirePOWER استفاده شده است.)

IPS
Application delivery
توزیع بار در سرورها
ابزارهای تحلیل شبکه ( مانند NetFlow )
استقرار و توزیع سرویس های مجازی سازی به همراه ماشین های مجازی
هدایت ترافیک شبکه از طریق vPath و Nexus1000v
Application Centric Infrastructure ACI چارچوب اتوماتیک برای الحاق سرویس ها

در محیط های مجازی می توان از سیسکو ASAV جهت حفظ ارتباط میان ماشین های مجازی استفاده کرد؛ ماژول سیسکو ASA FirePOWER در چنین محیط‌هایی کاربرد نخواهد داشت به همین علت در چنین سناریوهایی از ماشین مجازی سیسکو FirePOWER به همراه AMP استفاده می شود.

نکته مهم در خصوص سیسکو ASAv

سیسکو ASAv در هر دو حالت دیتاسنترهای قدیمی و محیط های سیسکو ACI قابل استفاده است، همچنین می توان از آن در محیط ابر نیز بهره برد (مانند Amazon Web Services AWS)

ماژول سیسکو ASA FirePOWER در بخش هایی که از لحاظ جغرافیایی پراکنده هستند نیز قابل استقرار است.

شکل زیر مثالی از نحوه استفاده از ماژول در دو موقعیت مجزا را نشان می‌دهد ( siteA و siteB )

در راه اندازی فایروال سیسکو ماژول سیسکو ASA FirePOWER در دو دیتاسنتر از دید جغرافیایی پراکنده

همانطور که در شکل بالا مشاهده می‌شود خوشه ای متشکل از چهار سیسکو ASA در میان دو دیتاسنتر قرار گرفته است، که از cluster control links CCL که در لایه 2 با تاخیر کمتر از 10 میلی ثانیه کار میکند، استفاده می‌کند. یک spanned EtherChannel در سمت خوشه برای داده‌های گذرا، یک Data Lik محلی به همراه EtherChannel در سوئیچ های هر سمت پیکربندی شده‌اند.

نکته

Data VLAN بین سوئیچ برای جلوگیری از ایجاد loop در شبکه، تعمیم نیافته است.

نرم افزار FTD در یکپارچه سازی فایروال سیسکو

نرم افزار FTD نرم افزار یکپارچه ای است که سرویس های نسل جدید فایروال ها شامل موارد زیر را فراهم می آورند:

قابلیت های فایروال های حالتمند
روتینگ استاتیک و پویا
NGIPS
AVC
فیلترینگ URL
AMP

در سیسکو ASA ، FTD را می توان در حالت‌های Single context، Routed و یا Trasnsparent استفاده کرد. مدل‌های سیسکو ASA زیر نرم افزار FTD را پشتیبانی و بازخوانی می کنند.

برای بازخوانی مدل های مختلف سیسکو ASA ملزم به تهیه پیش نیازهای زیر هستید:

حساب کاربری سیسکو، که در Cisco Software Central به آدرس https://software.cisco.com ایجاد می شود.
به صورت دوره ای نسخه های جدید نرم افزار FTD را که مشخصه های جدید به آن اضافه شده بررسی کنید.
یک لایسنس پایه به حساب کاربری خود اضافه کنید.
باید به صورت فیزیکی یا مجازی به FMC دسترسی داشته باشید.
دسترسی مستقیم و یا از طریق ترمینال سرور به پورت کنسول ابزارهای سیسکو 5500-X که FTD در آن نصب می شود.
پشتیبان گیری از پیکربندی های موجود.
توجه به این مساله که با نصب FTD جدید تمام نسخه های قدیمی و پیکربندی آن ها از بین خواهد رفت.
حداقل فضای مورد نیاز وجود داشته باشد ( 3GB و فضای مورد نیاز برای نرم افزار BOOT باید در Flash(disk0) موجود باشد).
باید یک SSD در سیسکو ASA موجود باشد.
دسترسی به TFTP جهت نگهداری از FTD image مورد نیاز است.

خلاصه

در راه اندازی فایروال سیسکو ماژول Cisco ASA FirePOWER قابلیت مشاهده شبکه، پیاده سازی سیاست‌ها وحفاظت پیشرفته در مقابل تهدیدها را فراهم می‌کند. در این فصل به معرفی ماژول سیسکو ASA FirePOWER پرداخته و حالت های مختلف کاری آن Inline و Promiscuous پرداخته شد؛ در این فصل راهکارهای مختلف مدیریت ماژول با توجه به نیاز و وسعت شبکه و همچنین مسائل موجود در ارتباط با سازگاری و لایسنس های مشخصه‌های متفاوت بیان گردید.