درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
جعفر قنبری شوهانی
امتیاز: 143221
رتبه:8
198
186
253
2936
جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان حدود 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم ، به طور کلی در زمینه های سیسکو ، شبکه های مایکروسافتی ، VoIP ، مانیتورینگ و NOC ، محصولات امنیتی فورتی نت ، طراحی و پیاده سازی مرکز داده ، مجازی سازی ، وایرلس و ... تخصص دارم. کانال اختصاصی من در تلگرام https://telegram.me/ghanbarinetwork پروفایل کاربر

مفهوم Defense in Depth چیست؟

تاریخ 35 ماه قبل
نظرات 0
بازدیدها 505
داشتن تنها یک نقطه برای کنترل امنیتی کل شبکه ، کار عاقلانه نیست اگر این نقطه دارای تنظیم اشتباه باشد یا نتواند سیاست ها را اجرا کند شبکه شما بر روی تمام تاثیرات منفی که فایروال باید جلوی آن را بگیرد باز خواهد بود. یه راه حل که در واقع یک ایده است تا راه حل ، استفاده از defense-in-depth یا امنیت لایه به لایه است.
یه مثال برای defense-in-depth برای سازمانی است که دارای یک وب سرور است که به صورت عمومی در دسترسی است. ما به عنوان یک کاربر نهایی از طریق شبکه اینترنت با باز کردن مرورگر خود و وارد کردن آدرس سایت این سازمان به آن دسترسی پیدا می کنیم. در پشت صحنه ، یک درخواست DNS از دستگاه ما برای پیدا کردن IP آدرس وب سرور آن سازمان ارسال می شود. زمانی که IP آدرس سرور سازمان را پیدا کردیم ما یک ارتباط (Transfer Control Protocol (TCP را با سرور برقرار می کنیم.
بسته های ما از طریق اینترنت به سمت آن سازمان ارسال می شوند. روتر سازمان که این بسته ها را دریافت ی کند به عنوان اولین خط دفاعی محسوب می شود و این روتر باید IP آدرس مبدا بسته ها را چک کند تا از جعل نشدن IP مطمئن شود (مانند IP آدرس های استفاده شده در شبکه داخلی سازمان). همچنین در این روتر با استفاده از ACL می توان محدودیت هایی را اعمال کرد. سپس در صورت سالم بودن بسته ها آنها را به سمت شبکه داخلی و فایروال ارسال می کند که به عنوان خط دوم دفاعی محسوب می شود.
فایروال می تواند کارهای زیادی را قبل از ارسال بسته ها به سمت سرور انجام دهد. فایروال می تواند خودش را به عنوان سرور به ما معرفی کند و three-way handshake را با ما انجام دهد تا مطمئن شود که ما قصد حمله SYN flood را نداریم. فایروال می تواند قبل از ارسال ترافیک ما به سمت سرور از ما بخواهد که احراز هویت را انجام دهیم و بسیاری کارهای دیگر که می توان با استفاده از فایروال انجام داد. بعد از اینکه تمام قوانین و شرایط فایروال توسط بسته های ما رعایت شد بسته های ما به سمت سرور ارسال خواهند شد.
ارتباط بین فایروال و سرور از طریق یک سوئیچ انجام می شود و در اینجا می توانیم از ویژگی های امنیتی لایه دو سوئیچ به عنوان یک خط دفاعی بهره ببریم. بسته ها در نهایت به دست سرور می رسند و فایروال های نرم افزاری به عنوان اخرین خط دفاعی ما محسوب می شود.
براساس این مثال درک این موضوع که چگونه می توانیم از defense-in-depth یا امنیت لایه ای برای محافظت از شبکه استفاده کنیم بسیار مهم است. این نکته را در نظر داشته باشید یک دستگاه به تنهایی نمی تواند از کل شبکه شما محافظت کند و به یک کار تیمی توسط دستگاه ها نیاز است.
دلیل دیگر برای استفاده از defense-in-depth این است که تمام حملات و ترافیک های مخرب از طریق شبکه خارجی صورت نمی گیرد و بسیاری از آنها از طریق دستگاه های شبکه داخلی انجام می شود مانند دستگاه های کاربران نهایی
هدف فایروال کاهش ریسک است. فایروال به عنوان بخشی از استراتژی امنیتی برای محافظت از شبکه است تا شبکه قابل اطمینان و در دسترس باشد. فایروال نمی تواند جایگزین سایر سیستم ها مانند برنامه backup گیری و ... شود و هر کدام از این بخش ها برای عملکرد شبکه مورد نیاز است.
مفهوم Defense in Depth چیست؟


نویسنده : جعفر قنبری شوهانی
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید