بخشی از مقاله
اینترنت
اينترنت قابليت فوق العاده اي در تجارتهاي جديد ، كاهش دادن قيمتها و بهبودبخشيدن به سرويس مشتري را دارد. همچنين توانايي عالي در افزايش به خطرانداختن سيستمها و اطلاعات يك سازمان را دارد .
با امنيت كامل معماري،اينترنت مي تواند كاملا نسبت به يك خطر امنيتي توانمند شود .
سرويسهاي ارائه شده
اولين سؤالي كه بايد با توجه به معماري اينترنت جواب داده شود اين است كه : سازمان چه سرويسهايي را از طريق اينترنت دراختيار خواهد گذاشت ؟ سرويسهايي كه ارائه خواهند شد و افرادي كه وارد آنها خواهند شد تأثير زيادي روي معماري و حتي انتخاب مكاني كه سرويسها اجرا مي شوند دارند .
Mail
اگر سرويس ايميل وجود داشته باشد ، معمولا در اختياركارمندان قرار داده شده تا پيامها را بفرستندودريافت كنند . اين سرويس براي دريافت كردن حداقل به يك سروركه inbound mail قرارگرفته نياز دارد .
اگربه دسترسي بهتري نياز باشد ، حداقل دو سرور ايميل مورد نياز است .outbound mail مي تواند در سراسر اين سرور حركت كند يا سازمان مي تواند سيستمها را مجاز كندكه ايميل را مستقيما به سيستم مقصد بفرستند.
نكته : مجاز كردن سيستمها به اينكه پيامها را مستقيما به سيستمهاي مقصد بفرستند راه حل پيشنهاد شده اي نيست.هرچند،اگرسيستمهاي ايميل شما روي اينترنت اجرا شده باشند ، هر desktop مي تواند بوسيله سيستم اجرا شده ي شما ايميل بفرستد و دريافت كند . دراين مورد،سازمان مي تواند اتصالات ايميل خارجي بين desktopها را تنها به سرور اجرا شده محدود كند .
همچنين يك سازمان ممكن كه تصميم بگيرد دستگاههاي رله ي ايميل مردمي را براي هر چيزي شبيه به گروههاي مذاكره ايميل مستقركند . چنين سيستمهايي در حالت عادي به ليست سرورها اشاره دارند . اين سيتمها به افراد خارجي اجازه مي دهند كه پيام را به سيستم بفرستند و دوباره سيستم پيام را به اعضاي ليست مي فرستد . ليست سرورها مي تواند روي همان سرورها يا سيستمهاي اصلي ايميل قرار بگيرد اما درخواست انتقال بيشتر بايد در معماري ارتباط اينترنتي درنظرگرفته شود .
وب
اگر يك سازمان تصميم به پخش اطلاعات بين مشتريها يا شركاء از طريق دنياي گسترده وب بگيرد به استقرار سرور وب و قرار دادن برخي موضوعات در آنجا براي نمايش مردمي نياز دارد . اين سرور وب ممكن از محل ديگري يا از داخل اجرا شود . سرورهاي وب به سادگي مي توانند حجم ثابتي را در اختيار قرار دهند يا آنها مي توانند به سيستمهاي e-commerce ( فصل11 را نگاه كنيد ) كه حجم متغيري را در اختيار قرار مي دهند وصل شوند و اجازه بردن سفارشات را بدهند .
دسترسي به سايت وب مي توانند به صورت عمومي باشد يا توسط بعضي نظامهاي تصديق شده ( معمولا يكId و رمز كاربر ) محدود شده باشند . اگر برخي محتويات روي سايت محدود يا حساس باشند شما بايد از HTTPSها استفاده كنيد . HTTPSها روي درگاه 443 به جاي درگاه 80 قرار مي گيرند كه براي انتقال مناسب هستند .
HTTPS شكل رمزگذاري شده ي HTTP است كه براي انتقال استاندارد وب استفاده شده و به طور معمول براي صفحات وبي كه داراي اطلاعات حساس مي باشند يا نياز به تصديقهايي دارند استفاده شده است.چگونگي انتخاب وب سايت ساخته شده روي مقدار انتقال مورد انتظار و وضعيت خود سرور وب تاثيرزيادي دارد.ممكن سازمان تصميم بگيردكه يك سرور مقدماتي انتقال فايل( FTP )به عنوان قسمتي از سرور وب قرار دهد.يك سرور FTPبه افراد خارجي اجازه ي دريافت و ارسال فايل را مي دهد.اين سرور مي تواند از طريق يك Web Browserيا مشتري وب دستيابي شود . همچنين ميتواند پنهان باشد يا به ID و رمز نياز داشته باشد . همچنين مي توانند پنهان باشند يا به ID و رمز نياز داشته باشند .
دستيابي به اينترنت از داخل
كارمنداني كه به اينترنت دسترسي دارند چگونه توسط سازمان كنترل مي شوند ؟ ( به فصل 5 نگاه كنيد) برخيسازمانها به كار مندان اجازه مي دهند كه وارد اينترنت شوند و از هر سرويسي كه مي خواهند شامل پيامهاي فوري ، Chat ، امواج صوتي و تصويري استفاده كنند . بعضيها فقط اجازه مي دهند كه كارمندان وارد اينترنت شوندو از Browser كه وارد سايتهاي خاصي مي شود استفاده كنند . اين انتخاب بر ميزان انتقال موردنظرتاثير خواد گذاشت وهمچنين نقصهايي هم از طرف كارمندان مشاهده مي شود.
يك مجموعه از سرويسهاي رايجي كه كارمندان به استفاده از آنها مجازند شامل :
سرويس توضيح
HTTP ( درگاه 80 ) و HTTPS ( درگاه 443 ) به كارمندان اجازه مي دهندوارد وب شوند
FTP( درگاههاي 21 و 22) به كارمندان اجازه مي دهدكه فايلها را انتقال دهند
Telnet( درگاه 23 ) وSSH ( درگاه 22) به كارمندان اجازه مي دهندكه جلسات محاوره اي با سيستمهاي دور داشته باشند
POP-3 ( درگاه 110) وIMAP ( درگاه 143 ) به كارمندان اجازه مي دهندكه به ايميل حسابهاي بانكي دور دسترسي پيداكنند
NNTP ( درگاه 119) به كارمندان اجازه مي دهندكه به سرورهاي اخبار شبكه دور دسترسي پيداكنند
نكته : حتي اگر سازمان تعيين كندكه هيچ موج تصويري وصوتي مجاز نيست ، اكنون سايتهاي زيادي اين سرويسها را روي HTTP عرضه مي كنند . بنابراين ، اين انتقال به نظرمي رسد كه از انتقال معمولي وب متمايز نيست . همچنين چندين سرويس نظير به نظيرروي اينترنت وجود دارند كه مي توانند با استفاده ازدرگاه 80 با هم تركيب شوند . اين نوع از سرويسها ايجاد خطر مي كنند چرا كه افراد زيادي اجازه واردشدن به سيستمهاي داخلي را دارند .
دستيابي به سيستمهاي داخلي از خارج
دستيابي به سيستمهاي داخلي حساس از خارج هميشه موضوع حساسي براي امنيت و مسئولان شبكه است.دراين مورد سيستمهاي داخلي آن سيستمهايي هستند كه عمدتا براي پردازش داخلي استفاده مي شوند.اينها سيستمهايي نيستند كه فقط براي دستيابي از خارج قرارداده شده باشند مانندسرورهاي ايميل يا وب.دستيابي از خارج مي تواند به دو صورت باشد:ورود كارمند ( معمولا از مكاني خارج از محل كارشان ) يا ورود غير كارمند.
كارمندي كه از مكانهاي بيرون وارد سيستمهاي داخلي مي شود معمولا چگونگي استفاده از يك شبكه كاملا محرمانه ( VPN ) روي اينترنت ( فصل 10 را نگاه كنيد ) ، خطهاي اتصال به هر نوع سرور دستيابي بيروني ، يا يك خط اجاره اي را ميدانند شيوه ي انتخابي روي معماري اينترنت سازمان تاثير خواهد گذاشت .
تاثير بزرگتر زماني رخ مي دهد كه سازمانهاي خارجي به دست يافتن به سيستمهاي داخلي نياز داشته باشند .
حتي در ورود هر كدام از شركاي تجاري قابل اعتماد بايد احتمال بوجود آمدن هر خطري را در نظر گرفت .
دستيابي از خارج كه ممكن به دليل استفاده از VPNها ، خطهاي Dial-up ، يا خطهاي اجاره اي يا نظارت كردن ، ورود به اينترنت بدون درخواست رمز ( مانند Telnet ) باشد به هدف برقراري ارتباط بستگي دارد .
اخطار : ورود بدون رمز به اينترنت عمل پيشنهاد شده اي نيست ، هرچند ، برخي موافقت نامههاي تجاري به اين ورودي نياز دارند . اگر موضوع اين باشد ، هر تلاشي انجام مي گيريد تا سيستمها را طوري تغيير دهند كه شبكه ي داخلي و بعضي از شبكههاي محدود شده از بيرون قابل دسترسي باشند ( قسمت بعدي “ بخش غير نظامي ” در اين فصل را ببينيد ) .
سرويسهاي كنترل
برخي سرويسها براي آساني عملكرد شبكه و ارتباط اينترنتي شما مورد نياز خواهند بود.
DNS
حوزه ي نام سرويس ( DNS ) براي برطرف كردن مشكل آدرسهاي IP در سيستم استفاده مي شود .بدون انجام اين كار ، كاربران داخلي نمي توانند آدرس وب سايتها پيدا كنند و بدين ترتيب جستجو در اينترنت غير قابل استفاده مي شد . معمولا سيستمهاي داخلي به يك DNS داخلي براي حل مشكل تمام آدرسها نياز دارند . DNS داخلي يك DNS در ISP است كه مشكل آدرسهاي خارجي را برطرف مي كند .
بقيه ي سيستم هاي داخلي نياز به سيستمهاي DNS خارجي ندارند. همچنين DNS بايد كاربران خارجي كه مي خواهند وارد وب سايت شما شوند را در نظر بگيرد . با انجام اين كار، سازمان شما مي تواند DNS را اجرا كند ياISP شما مي تواند آن را اجرا كند . اين انتخاب بر معماري اينترنت تاثير مي گذارد . اگر شما انتخاب كنيد كه DNS تان اجرا شود ، اين سيستم بايد از DNS داخلي جدا باشد. سيستمهاي داخلي نبايد در DNS خارجي قرار بگيرند.
ICMP
سرويس كنترل ديگري كه عملكرد شبكه كمك مي كند پروتكل كنترل پيامهاست ( ICMP) . ICMP هر سرويسي مثل ping ( اگر يك سيستم روشن باشد براي جستجو استفاده مي شود ) را در بر مي گيرد.علاوه بر ping ، ICMP شامل پيامهايي مانند“ شبكه و اجرا بدون امكان دخالت ” و “ اعتبار كارت تمام شده است ” ميشود.
اين پيامها به عملكرد بهتر شبكه كمك مي كنند. آنها مي يواند غير فعال باشند اما ممكن است كه به عملكرد شبكه ضربه وارد شود.
NTP
پروتكل زمان بندي شبكه ( NTP ) مورد استفاده قرار مي گيرد تا زمان را بين سيستمهاي مختلف هماهنگ كند.سايتهايي روي اينترنت وجود دارند كه مي توانند به عنوان منابع اصلي زمان استفاده شوند. اگر شما اين سرويس را انتخاب كنيد ، يك سيستم روي سايت شما بايد منبع محلي اصلي زمان باشد و فقط سيستمي كه NTP دارد مي توا ندبااينترنت ارتباط برقراركند.تمام سيستمهايي داخلي ديگر بايد از منبع محلي اصلي زمان وقت بگيرند
سرويسهاي ارائه نشده
معماري اينترنت بايد طوري طراحي شود كه سرويسهاي مورد نياز را تامين كند . سرويسهايي كه مورد نياز نيستند نبايد ارائه شوند . با طراحي معماري اينترنت به اين روش ، يك تعداد از سرويسهايي كه خطر بزرگي ايجاد مي كنند ارائه داده نخواهند شد .
سرويسهاي مشخصي كه به علت خطر امنيتي نبايد ارائه شوند شامل :
سرويس توضيح
سرويس Net Bios ( درگاههاي 135و137و138و139 ) توسط ويندوزهاي سيستمهابراي به اشتراك گذاري فايلها فرمانهاي دور استفاده مي شود
Unix RPC ( درگاه 111 ) توسط سيستمهاي Unix براي فراخواني روال دور استفاده مي شود
NFS ( درگاه 2049 ) براي فايل سرويسهاي شبكه ( NFS ) استفاده مي شود
X (درگاه 6000 تا 6100) براي مجموعه ي ويندوزهاي X دور استفاده مي شود
سرويسهاي “ r ” (rlogin درگاه 513 ) و( rsh درگاه 514 وrenec درگاه 512 ) اجازه مي دهد كه با يك سيستم بدون استفاده از رمز ارتباط دور برقرار كنيم
Telnet ( درگاه 23 ) توصيه نمي شود زيرارمز وId كاربر تماما آشكارا ديده مي شود بدين ترتيب مي تواند تصرف شود. اگر فعاليت محاوره اي بايد در inbound مجاز باشد،SSH روي Telnet پيشنهاد مي شود.
Netmeeting عامل خطرسازي است زيرا نياز دارد كه روي
درگاههاي بسيار خوبي قرار بگيرد تا درست كار كند. به جاي استقراراين درگاهها بايد يك نماينده H.323 استفاده شود
پروتكلهاي كنترل از راه دور شامل برنامههايي ماند هر جاي PC وVNC اگر اين پروتكلها نياز داشته باشند كه به كاربران راه دور اجازه ي كنترل كردن سيستمهاي داخلي را بدهند، بايد روي يك VPN استفاده شوند.
SNMP ( پروتكل ساده مديريت شبكه ) ( درگاه 169 ) ممكن است براي مديريت شبكه ازطرف شبكه ي داخلي سازمان شما استفاده شده باشد ولي آن نبايد از يك سايت خارج از سيستمهاي داخلي شما استفاده
TFTP ( پروتكل انتقال دهنده فايلهاي كم اهميت )
( درگاه 69 ) شبيه به FTP است ولي براي ورود به فايلها به رمزها و Idهاي كاربر نياز دارد
FTP ( درگاه 21 و 22 ) توصيه نمي شود به همان دليلي كه در Telnet گفته شد. اگر اين قابليت مورد نياز باشد، فايلها مي توانند روي SSH فرستاده شوند
معماري ارتباطات
هنگام گسترش معماري ارتباطات براي يك ارتباط اينترنتي سازمان ، موارد اصلي موجودي ونيازهاي Throughput هستند. Throughput هر چيزي است كه بايد توسط توليد كننده ي سرويس اينترنتي سازمان (ISP ) مورد بحث قرار بگيرد. ISP بايد توانايي معرفي خطهاي ارتباطي مناسب براي سرويسهاي ارائه شده را داشته باشد.
نيازهاي موجود ارتباط بايد توسط سازمان تعيين شده باشد . براي مثال ، اگر ارتباط اينترنتي فقط براي كارهاي غير تجاري حساس توسط كارمندان استفاده شود، درخواست موجود كم هستند و يك outage بعيد است كه روي سازمان تاثير نامطلوبي بگذارد.اگر سازمان برنامه ريزي كند كه يك سايت تجاري در اختيار قرار دهد و خودش بيشترين پيشرفت تجاري را داشته باشد موجودي يك كليد موفقيت سازمان است . در اين مورد ، طرح ارتباط اينترنتي بايدشامل fail-over و كشف تواناييها باشد.
ورودي تك خطي
ورودي تك خطي معماري اينترنتي بسيار رايجي است . ISP يك خط ارتباطي تكي از باند وسيع مناسبي از سازمان را در اختيارقرار مي دهد، مانند چيزي كه در شكل 1-9 نشان داده شده است . معمولا ، ISP مسيردهنده ايرا در اختيار قرارمي دهد و واحد سرويس( CSU ) را براي اتصال هدايت مي كند . گره محلي سيم اصلي يا fiber است كه وسيله ي سازمان را به تلفن اداره ي مركزي شركت ( CO) وصل مي كند.
ISP يك نشانه از وجود هر چيز نزديكي ( POP ) را دارد. اتصال به ISP درواقع در نزديكترين POP خاتمه مي يابد.هرچند POP آخرين CO نيست ، اتصال گره ي محلي نياز دارد كه از آخرين CO عبور كند . از POP ، ارتباط از شبكه ي ISP مي گذرد تا به اينترنت برسد. اگر ما ارتباط نشان داده شده در نمودار 1-9 را تجزيه و تحليل كنيم مي بينيم كه يك تعداد از نقاط وجود دارند كه تجهيزاتشان خراب است و بدين ترتيب باعث خارج شدن از سرويس خواند شد.
براي مثال :
مسير دهنده ممكن ضعيف شده باشد .
CSU ممكن ضعيف شده باشد.
گره محلي ممكن قطع شده باشد .
CO ممكن خسارت ديده باشد .
POP متعلق به ISPممكن ضعيف شده باشد .
ما بايد اين خرابيها را بشناسيم تا زماني كه اتفاق مي افتند بتوانيم به موقع محل خرابي را شناسايي كنيم . يك مسيردهنده كه قسمتي از آن خراب شده خطر بيشتري دارد نسبت به مثلا يك CO كه خسارت ديده است .
اگرچه ، كابلها گاهي اوقات دچار آسيب مي شوند و اين ممكن يك outage مهمي ايجاد كند .همچنين اين فهرست شامل خرابيهايي كه ممكن بيرون از خود ISP اتفاق بيافتد نمي شود .هر خرابي كه از زماني به زمان ديگر رخ مي دهد در نتيجه ي ساييده شدن ، پارگي كابلها ، يا حمله ي سرويس غير مجاز مي باشد .
با توجه به برنامههاي توانايي خرابي ، اين معماري فقط براي ارتباطات اينترنتي كه تجاري و حساس نيستند توصيه مي شود .
دستيابي چند خطي به يك ISP تكي
يك روش برطرف كردن نقطه تكي از موردهاي خراب توسط معماري ISP تكي كه در شكل 1-9 نشان داده شده است اين است كه از همان ISP خطهاي چندتايي عبور دهيم . ISP مختلف در اين مورد سرويسهاي متفاوتي را ارائه مي دهند. با فراخواني آن يك اتصال فعال مي شود و بقيه آنها بيفايده مي مانند. در هر حال ، منظور اين است كه با ايجاد يك خط ارتباطي دوم بايد يك خرابي اتفاق مي افتد.
ورودي POP يك طرفه
يك ISP ميتواند با نصب يك مدار اضافي رويPOP ، ورودي fail-over ايجاد كند ( شكل 2-9 را نگاه كنيد ) .
مدار اضافي ممكن شامل يك مسيردهنده ي اضافي و CSU باشد يا ممكن از يك مسيردهنده ي تكي است استفاده شده باشد. دو مداري كه با هم تركيب شده اند بدين ترتيب كار مي كنند كه اگر مدار اصلي خراب شد مدار دوم بقيه كار انتقال را انجام مي دهد. اين معماري ممكن دچار نقصهايي درآدرسهاي مسيردهنده ،
CSU، مدار تلفن شركت با CO، و تجهيزات ISPدر پايان ارتباط شود. اين خرابيها بيشترين نوع رايج outage هستند. با وجود اينكه،آدرس تكراري نيست ، اما حداقل خرابي سرور كه ممكن بوجود بيايد مانند قطع شدن گره ي محلي ، خرابي خود CO، يا وجود يك خرابي در POP متعلق به ISP است. همچنين ، اگر ISP دچار outage بزرگي شود ، سرويس هم دچار اختلال مي شود . يك مزيت اين معماري اين است كه هزينه ي مدارات اضافي را كاهش مي دهد. بيشتر ISPها مدار اضافي كه قيمت آن از يك مدار دوم كامل كمتر است را در اختيار مي گذازند.
ورودي با چند POP
براي افزايش قابليت اعتماد و ميزان دسترسي مي توان با ايجاد ارتباط دومي توسط POPن كار را ميسرسازيم
(شكل 3-9 را ببينيد) . در اين مورد ، ارتباط دوم مي تواند يك مدار اضافي باشد يا مي تواند بي وقفه حركت كند .
براي اين نوع معماري با كار دقيق ، ISP بايد روي پروتكل ورودي مجاور (BGP)حركت كند . BGP يك پروتكل مسيرياب است كه توسط انواعي از اتصالات مضاعف مسيرهاي بين ماهيتها را تعيين مي كند . بايد مواظب باشيد كه BGP دقيقا مسيريابي خط مشها را انجام دهد .
BGP بايد شناخته شده باشد به اين دليل كه اين تركيب بندي ميتواند دو نقطه تكي را دچار نقص كند: گره ي محلي و CO.اين نقاط خراب نمي توانند برطرف شوند مگراينكه سازمان امكان داشتن دو تا ارتباط گره ي محلي در اختيار قرار دهد. اگر اين طوري باشد ، معماري مي تواند تغيير كند ، مانند شكل 4-9 كه نشان داده شده است . اين نوع از معماري نقاط ناتوان را تا فقط يكي كاهش مي دهد: خود ISP .اگر ISP يك outage مهم داشته باشد، سازمان ممكن است اسيب ديدن سرويس را كاهش دهد يا كلا به اتصال ضربه وارد كند.
ورودي چند خطي به چند ISP
با استفاده از يك ISP تكي ، نقاط خرابي بالقوه اي در نظر گرفته مي شود ، چرا بيش از يكي استفاده نمي شود ؟
در ظاهر اين يك طرح خوب به نظر مي رسد ( وبراي هر سازمان نيز همين طور است ) اما تصور نمي شود كه اين برداشت از مسائل و خطرات با توجه به معماري اينترنت باشد . استفاده از چند ISP مي تواند، اگر به درستي برنامه ريزي شده باشد خطر ضربه خوردن به سرويس را به طور چشمگيري كاهش دهد( به شكل 5-9 نگاه كنيد ). هر چند، يك تعداد از موارد ديگر ISP را انتخاب مي كنند ودر تركيب آدرس دهي براي سازمان از آن استفاده مي كنند.
انتخاب ISPها
خطرات ايجاد يك معماري كه از دو تا ISP مختلف استفاده مي كند كمتر است و نياز به دانش و تجربه ي زياد در مورد ISPهايي كه استفاده شده اند دارد. يك قسمت از دانش كه خيلي هم مهم است آگاهي از BGP است . BGPاستفاده مي شود تا عبور و مرور سازمان را مسيردهي كند و بايد به دقت داخل و بين ISPها قرار بگيرد.
مورد ديگري كه ممكن است در انتخاب ISPها تاثير بگذارد آگاهي داشتن از مسير فيزيكي ارتباطات است .
اگر وسيله ي سازمان ، چند اتصال گره ي محلي نداشته باشدگره محلي ممكن است تا رسيدن به يك نقطه تكي از خرابي ادامه پيدا كند. استفاده از ارتباط بي سيم موارد دسترسي را در اختيار قرار نمي دهد مانند ارتباط بي سيمي كه ممكن است با توجه به وضعيت جوي يا پرندگان از بين رفته باشد يا ضعيف شده باشد.
نكته : انتخاب يك ISP بي سيم بايد با توجه به نيازهاي يك ISP سنتي كنترل شود. هر ISP بايد توانايي ايجاد يك توافقنامه ي سطح سرويس و نسخه ي پشتيباني از شيوه ي كار درست مديران را داشته باشد.
آدرس دهي
زمان كار با چند ISP مسئله ي ديگري كه بايد حل شود مسئله ي آدرس دهي است . معمولا زمان كار با يك ISP تكي يك آدرس به سازمان اختصاص مي دهد . ISP مسيرياب را طوري برنامه ريزي مي كند كه انتقال به سازمان مقصد مسير خود را در راه سيستمهاي سازمان پيدا كند. همچنين ISP برنامه ي مسير اين آدرسها را طوري تنظيم مي كند كه همه روي اينترنت مي توانند به سيستمهاي سازمان دسترسي پيدا كنند .
زماني كه در معماري چند ISP وجود دارد شما بايد آدرسهايي كه استفاده خواهند شد مشخص كنيد . آدرسها ممكن است از طزيق يك ISP يا بقيه ي آنها قابل دسترسي شوند . در اين مورد، به طور معمولي مسيرياب از يك ISP شروع به كار مي كند و ISP ديگر بايد مسير آدرسي كه به اولين ISP تعلق دارد را پخش كند. اين تركيب بندي به فهم درستي از كاركرد روش BGP نياز دارد تا عبورومرور از مسير درستي انجام گيرد. گزينش ديگري كه براي سازمان وجود دارد اين است كه خود سازمان يك گروه از آدرسها را خريداري كند .با اينكه اين روش بعضي از مسائل را حل مي كند ولي بايد به وجود امدن مسائل ديگري هم مي شود . حالا دو ISPبايد آماده شوند تا مسيرها را به آدرسهايي كه مال خود سازمان نيست نشان دهند .
نكته : اهداف آدرس دهي و مسيردهي بايد قبل از امضاي قراردادها مورد بحث قرار گيرد. اين مسئله اي نيست ككه بدون مشاركت كامل دوتا ISP به راحتي حل شود . انتخاب آخر استفاده ي آدرسها از دوتا ISP است . دراين مورد، بعضي سيستمها آدرسها را از يك ISP درنظر مي گيرند و سيستمهاي ديگر آدرسها را از ISP ديگر مي گيريند . اين معماري واقعا مسائل موجود را حل نمي كند و اگر نمي تواند اين كار را انجام دهد نبايد استفاده شود.
غيرنظامي كردن بخش
DMZ به معني غيرنظامي كردن بخش است . معمولا DMZ براي اشاره كردن به يك قسمت از شبكه كه قابل اعتماد نيست استفاده مي شود . DMZ يك بخش در شبكه را به قسمت فعال سيستمها كه توسط مردم روي اينترنت دستيابي مي شوند اختصاص مي دهد تا ازآنهايي كه فقط در دسترس كارمندان قرار مي گيريدمتمايز شود
.
همچنين DMZها هنگام معامله ا شركاي تجاري و ديگر افراد خارجي استفاده مي شود.
تعريف DMZ
DMZ از توليد يك بخش نيمه پشتيبان شبكه ساخته شده است . معمولا بخش با كنترلهاي ورودي شبكه ترسيم مي شود. مانند ديوارهاي آتش يا خيلي از مسيردهندههاي فيلتر كننده . كنترلهاي ورودي شبكه نيز خط مشي را تنظيم مي كنند كه تعيين مي كند چه عبورومروري در داخل DMZ مجاز است و چه عبورومروري در خارج از DMZ مجاز است ( شكل 7-9 را مشاهده كنيد ) .
به طور كلي هر سيستمي كه مي تواند به طور مستقيم با يك كاربر خارجي ارتباط برقرار كند بايد در DMZ قرار بگيرد . سيستمهايي كه به مستقيم توسط كاربران يا سيستمهاي خارجي مورد دسترسي قرار مي گيرند ، اولين سيستمهايي هستند كه مورد حمله قرار مي گيرند و ايجاد خطر مي كنند . اين سيستمها عملا نمي توانند مورد اعتماد باشند چرا كه آنها در هر زماني مي توانند ايجاد خطر كنند .
بنابراين ما سعي مي كنيم كه ورود به اين سيستمها را كه با سيستمهاي حساسي كه در شبكه ي داخلي قرار دارند ارتباط دارند محدود كنيم. قواعدي براي ورود عموم در DMZ وجود دارد تا كاربران خارجي را مجاز كنند وارد سيستمهاي مناسبي در DMZ شوند . سيستمهاي DMZ بايد نسبت به دسترسي به سيستمهاي داخلي شديدا محدود شوند. اگ اين امكان وجود داشته باشد ، سييستمهاي داخلي بايد ارتباط با سيستم DMZ را شروع كنند.
سيستمهاي داخليبا خط مشي كه برايشان تعيين شده مي توانند وارد DMZ يا اينترنت شوند . اما هيچ كدام از كاربران خارجي امكان ورود به سيستمهاي داخلي را ندارند.
مكان سيستمها در DMZ
بنابراين حالا ما يك خط مش عمومي براي DMZ و يك فهرست از سرويسهايي كه در اينترنت ارائه شده اند داريم . چه سيستمهايي بايد در DMZ قرار بگيرند؟ اجازه بدهيد كه نگاه اجمالي به چند سرويس خاص داشته باشيم.
ايميل
شكل 8-9 سرويسهايي كه ممكن در يك DMZ ارائه شوند را نشان مي دهد . مشاهده مي كنيد كه يك سرور ايميل داخلي و يك سرور ايميل خارجي وجود دارد . سرور ايميل خارجي براي دريافت ايميل داخل باند و ارسال ايميل خارجي استفاده شده است . ايميل جديد وسط سرور خارجي دريافت مي شود وبه سرور ايميل داخلي فرستاده مي شود. سرور ايميل داخلي ايميل خارج از باند را به سرور خارجي مي فرستد . در شرايط مطلوب ، تمام كاري كه انجام مي شود اين است كه سرور ايميل داخلي از سرور ايميل خارجي درخواست ايميل مي كند .
برخي از ديوارهاي آتش يك سرور ايميل ارائه مي دهند . اگر سرور ايميل ديوار آتش استفاده شود ، او مانند يك سرور ايميل خارجي عمل مي كند . دراين مورد ، سرور ايميل خارجي مازاد بر احتياج مي شود و مي توان آن را برداشت .
نكته : اگر سرورهاي ايميل عمليات حساسيرا انجام مي دهند ، سرورهاي ايميل اضافي بايد دو تا در داخل و در DMZ قرار بگيرند .
وب
سرورهاي وب كه در DMZ قرار گرفته اند قابل دسترسي براي عموم هستند . همچنين در شكل 8-9 شما مي توانيد يك سرور تقاضا در DMZ را مشاهده كنيد . وب سايتهاي زيادي فهرست مطالب فعالي را ارائه مي دهند كه در داده ي كاربر قرار مي گيرند . اين داده ي كاربر پردازش شده است و اطلاعاتشاز يك داده ي اصلي گرفته شده است . داده ي اصلي شامل اطلاعات حساسي مي باشد و بنابراين براي DMZ انتخاب مناسبي نيست .سرور وب خودش مي تواند با سرور داده ي اصلي ارتباط برقرار كند اما سرور وب قابل دسترسي از خارج مي باشد و در نتيجه كاملا قابل اعتماد نيست . در اين مورد ، سرور وب بهترين بازدهي را دارد چرا كه با استقراريك سيستم سوم در خانه مي تواند با داده ي اصلي ارتباط برقراركند . سرور وب داده ي كاربر را دريافت مي كند وآن را براي پردازش در اختيار سرور كاربردي قرار مي گيرد
. سرور كاربردي درواقع داده ي اصلي با درخواست اطلاعات مناسب است كه ااطلاعات را براي تحويل به كاربر در اختيار سرور وب قرار مي دهد . دراين هنگام ممكن است كه اين كارپيچيده به نظر برسد ، اين معماري از سرور داده ي اصلي حمايت مي كند و Offloadها نيز عمل پردازش در سرور وب را بررسي مي كنند .
سيستمهاي قابل دسترسي از بيرون
تمام سيستمهايي كه از بيرون قابل دسترسي هستند بايد در DMZ قرار بگيرند . به خوبي به ياد داريد كه اگر سيستمي توسط گروههاي محاوره اي ( مانند Telnet و SSH ) قابل دسترسي باشد ، كاربران توانايي حمله كردن به سيستمهاي ديگر در DMZ را دارند. شما ممكن است كه ترجيح بدهيد كه يك DMZ دوم براي هر كدام از سيستمها بسازيد تا DMZ سيستمهاي ديگر را در مقابل حمله پشتيباني كند .