آشنایی با خانواده فایروال‌های شرکت سیسکو

آنچه در این مطلب می‌خوانید:

سیسکو نخستین فایروال خود را در سال 1994 به ­نام PIX (Private Internet Exchange) تولید کرد. این دستگاه قادر بود تا امنیت شبکه یک سازمان را با استفاده از مخفی کردن آدرس‌های داخلی در مقابل شبکه خارجی تامین کند. در واقع PIX در ابتدا فقط عملیات NAT را انجام می‌داد و سیسکو بعدها قابلیت‌هایی مانند Stateful بودن و VPN را نیز به آن اضافه کرد.  

فایروال‌های PIX در مدل­‌های 501، 506، 515، 520، 525 و 535 به بازار عرضه گردید. فایروال‌­های مدل 501 و 506 جز سری‌های Low-End سیسکو بوده که برای شبکه‌های کوچک مناسب بودند. سری 515 مناسب شبکه‌های متوسط و سری 535 جز مدل High-End محسوب می‌شد که مناسب شبکه­‌های بزرگتر بود. سیستم­‌عامل این فایروال‌ها، PIX OS نام داشت که شبیه به IOS بود. برای پیکربندی PIX، از PIX Device Manager (PDM) که نرم‌افزاری مبتنی بر Java بود، استفاده می‌­شد.این فایروال‌ها دارای اینترفیس‌هایی با سرعت 10Mbps ،100Mbps و حتی در سری 535 دارای اینترفیس 1000Mbps نیز بوده‌اند.

آشنایی با خانواده فایروال‌های شرکت سیسکو 1

مقدمه‌ای بر Cisco ASA

در سال 2005 با رشد سریع تکنولوژی، افزایش جرایم سایبری و نیاز به قابلیت­‌های IPS، سیسکو را بر این داشت تا محصول جدید خود که قابلیت‌های PIX، دستگاه VPN Concentrator و IPS را با هم داشت معرفی کند. این محصول با نام Adaptive Security Appliance یا ASA معرفی شد که به عنوان نسل بعدی فایروال سیسکو شناخته می‌شد. ASA ابتدا از سیستم‌عامل PIX OS استفاده می‌­کرد که در تغییر نسخه از 7.X به 8.X، پلتفرم آن بر مبنای سیستم‌عامل لینوکس نوشته شده است. این دستگاه با استفاده از اقدامات پیش­گیرانه در مقابل تهدیدها، از گسترش حملات داخل شبکه قبل از شیوع آن جلوگیری می­‌کند. با توجه به انعطاف پذیری ASA می­‌توان از آن در پیاده‌سازی راه ­حل‌های امنیتی برای شبکه‌­های کوچک و بزرگ استفاده کرد. این سری از فایروال‌ها این قابلیت را دارند تا سرویس‌های Firewall ،Intrusion Prevention System (IPS)، VPN و Antivirus را ارائه دهند. در واقع محصول ASA سیسکو را می‌توان ترکیبی از سه محصول PIX، VPN 3000 و IPS 4000 دانست.

فایروال ASA با سری 5500 شناخته می‌شود که شامل مدل‌های 5505، 5510، 5520، 5540، 5550 و 5580 می‌­باشد. فایروال‌های مدل 5505 و 5510 دارای پورت‌هایی با سرعت 100Mbps و 1Gbps مناسب شبکه­‌های کوچک بودند. فایروال‌های مدل 5520 و 5540 می‌توانستند تا ظرفیت پردازشی 650Mbps را پشتیبانی کنند و پورت‌هایی با سرعت 1Gbps در اختیار مشتریان قرار دهند که مناسب شبکه­‌های متوسط بوده اند. فایروال مدل 5550 دارای ظرفیت پردازشی 1.2Gbps، پورت‌های SFP و مناسب شبکه­‌های بزرگ و Service Provider بودند. در نهایت قدرتمندترین فایروال خانواده ASA 5500 مدل 5580 می‌­باشد که شامل دو مدل 20-5580 و 40-5580 است. سقف توان پردازشی در سری 40-5580 معادل 10Gbps می‌باشد. فایروال 5580 دارای پورت‌های SFP+(10Gbps) بوده که برای شبکه­‌های بزرگ، Service Provider و دیتاسنتر مناسب هستند.

یکی از قابلیت‌­های مهم این سری از فایروال‌­ها ماژولار بودن آن است که می‌­توان یکی از ماژول‌های AIP-SSM که در واقع کار IPS/IDS را انجام می‌دهد و یا ماژول (Content Security and Control Security Service Module) CSC-SSM که در ASA وظیفه Anti-X یا محافظت Multi-Threat را به عهده دارد به آن اضافه کرد. ASA علاوه­ بر فایروال بودن می­‌تواند قابلیت‌های Antivirus، Antispam، IDS/IPS Engine،VPN Device، SSL Device و Content Inspection را نیز پوشش دهد. همچنین این امکان وجود دارد که بتوانیم ماژولی برای افزایش پورت نیز به فایروال اضافه کنیم.

سیسکو در 23 آگوست سال 2011 پایان عمر خانواده ASA 5500 را اعلام کرد. زمان پایان فروش آن در فوریه سال 2012 بود و زمان پایان پشتیبانی سیسکو از این محصولات تا 28 فوریه سال 2017 اعلام گردیده بود.

معرفی دوره آموزش امنیت شبکه کندو

ورود سیسکو به بازار NGFW

سیسکو نخستین فایروال از نسل جدید فایروال‌های خود را با نام ASA 5500-X و با مدل بسیار قدرتمند ASA 5585-X در 6 سپتامبر سال 2010 وارد بازار کرد. این خانواده از فایروال دارای مدل‌های 5545-X,5525-X,5516-X,5515-X,5512-X,5508-X,5506-X و 5555-X  نیز می­‌باشد که سیسکو تمامی این فایروال‌ها به غیر از مدل‌های 5508-X,5506-X و 5516-X را در 28 فوریه سال 2012 معرفی کرده است و سه مدل دیگر را در سال 2015 روانه بازار کرده است.

این نسل را می‌­توان شروع یک انقلاب در فایروال‌های سیسکو دانست زیرا سیسکو ویژگی‌های بسیار کلیدی و مهمی را به فایروال‌های خود در این نسل اضافه کرده است. این خانواده دارای ویژگی Application Visibility and Control (AVC) می‌باشد که می­‌تواند رفتار اپلیکیشن‌های مختلف را کنترل کند. در این سری فایروال‌ها قابلیت IPS به صورت داخلی تعبیه شده است و نیازی به خریدن ماژول جداگانه نمی‌­باشد. قابلیت بررسی ترافیک‌های وب توسط ویژگی Web Security Essential (WSE) را فراهم می­‌کند و سایر ویژگی‌ها نظیر Stateful Inspection و فیلترینگ بر اساس اطلاعات لایه 3 و 4 بسته که در نسل­‌های قبل نیز موجود بوده است را پشتیبانی می‌کردند.

این سری از فایروال­‌های سیسکو دارای پورت‌هایی با ظرفیت گیگ می ­باشند و همچنین قابلیت اضافه کردن ماژول برای افزایش پورت را دارند، که البته این قابلیت در سری‌های 5508-X,5506-X و 5516-X امکان‌پذیر نمی‌­باشد. فایروال‌های سری 5506-X، 5508-X، 5512-X، 5515-X و 5516-X برای شبکه‌های کوچک تا متوسط مناسب بودند که می­‌توانند تا سقف 1.2Gbps ظرفیت فایروال را پشتیبانی کنند. دستگاه‌های مدل 5545-X,5525-X و 5555-X با قابلیت فایروال تا سقف 4Gbps برای شبکه‌های متوسط، بزرگ و سرویس‌دهنده‌ها مناسب بوده‌اند. فایروال 5585-X که جز سری High-End این خانواده هستند، این توانایی را دارند که تا سقف 40Gbps عملیات فایروالینگ را انجام دهند. این مدل همچنین از پورت‌های 10Gbps(SFP+) نیز بهره می‌برد و مناسب شبکه‌های دیتاسنتر و سرویس دهنده‌ها بودند.

آشنایی با خانواده فایروال‌های شرکت سیسکو 3

شروع یک تحول بنیادی در فایروال‌های سیسکو

سیسکو با سری ASA 5500-X خود توانست وارد بازار فایروال‌های نسل بعدی یا اصطلاحا Next-Generation Firewall (NGFW) شود. اما نقطه عطف کار سیسکو در این صنعت را می‌توان از سال 2013 و با یکی از موفق‌ترین خریدهای سیسکو دانست که در ادامه به این موضوع خواهیم پرداخت.

در جولای سال 2013 سیسکو خبر خرید Sourcefire، که یکی از شرکت‌های پیشرو در زمینه Cyber Security بود را اعلام کرد. طبق این توافق‌نامه که بین شرکت سیسکو و شرکت Sourcefire صورت پذیرفت، سیسکو با مبلغ 2.7 بیلیون دلار Sourcefire را خریداری کرده است. و در اکتبر همان سال، سیسکو به صورت کامل مالکیت شرکت Sourcefire را برعهده گرفته است.

با خرید Sourcefire، سیسکو با اضافه کردن محصولات امنیتی این شرکت، کامل‌ترین و پیشرفته‌ترین محصولات امنیتی را فراهم کرده است. در جدول زیر لیست محصولات Sourcefire را مشاهده می‌کنید که سیسکو بعد از خرید این شرکت به لیست محصولات خود اضافه نمود.

بعد از اضافه شدن محصولات Sourcefire به لیست محصولات سیسکو، در ابتدا سیسکو برای آن دسته از مشتریانی که فایروال ASA 5500-X را خریداری کرده بودند این امکان را فراهم ساخت تا بتوانند با خرید و نصب یک هارد از نوع SSD سرویس Firepower را به صورت مجازی بر روی فایروال بالا بیاورند و از مزایای سرویس Firepower بهره‌مند شوند. در این حالت هم باید سیستم عامل فایروال که همان ASA می‌باشد را مدیریت کنیم و هم سرویس Firepower، که روی فایروال نصب گردیده است.

در سال 2014 سیسکو محصولات ASA 5500-X خود را که به سرویس Firepower مجهز بود، معرفی کرد تا مشتریان بتوانند فایروالی خریداری کنند که به صورت پیش‌فرض سرویس Firepower، روی آن نصب می­‌باشد. اما یکی از مهم ترین چالش‌هایی که در آن زمان مطرح بود، بحث مدیریت فایروال بوده است. اگر شما یک فایروال سری ASA 5500-X خریداری می‌کردید می‌­بایست هم زمان سیستم‌عامل ASA و Firepower را مدیریت می‌کردید. وجود دو سرویس مجزا در فایروال و مدیریت آن‌ها به هیچ عنوان کار ساده‌ای نبوده و موجب افزایش پیچیدگی نیز می­‌گردد، که این اتفاق تیم امنیتی سیسکو را به این فکر انداخت تا با ادغام کردن ویژگی­‌های سیستم عامل ASA به قابلیت‌های Firepower، سیستم‌عامل یکپارچه‌ای را به نام Firepower Threat Defense یا به اختصار FTD ایجاد کنند.

فایروال‌های FTD سیسکو

سیسکو نخستین سخت‌افزار FTD را در 22 ژوئن سال 2015 و با شاسی 9300 معرفی کرد. شاسی 9300 که جز قدرتمند‌ترین فایروال‌های سیسکو می ‌باشد، دارای سایز 3RU است. این فایروال یک ماژول Supervisor دارد که وظیفه مدیریت ارتباط بین اجزای مختلف شاسی را بر عهده دارد. به صورت پیش‌فرض 8 پورت 10Gbps روی Supervisor قرار دارد و می­‌توانیم دو ماژول دیگر نیز برای افزایش پورت به آن اضافه کنیم. ماژول‌هایی که اضافه می ‌شوند قابلیت ارایه پورت‌ها با سرعت 40Gbps و حتی 100Gbps را نیز دارند.

فایروال Meraki MX  سیسکو

سیسکو در سال 2012 شرکت Meraki که در زمینه ارایه خدمات تحت بستر Cloud فعال بوده را به مبلغ 1.2 بیلیون دلار خریداری کرده است. محصول Meraki MX سیسکو مناسب شبکه‌ها و سازمان‌هایی است که به دنبال Unified Threat Management (UTM) برای مدیریت سایت‌ها، شبکه Campus و دیتاسنترشان می‌باشند. از قابلیت‌های فایروالی این محصول می‌توان به موارد زیر اشاره کرد:

  • توانایی تشخیص Application های مختلف و کنترل ترافیک بر اساس آن‌ها
  • برخورداری از IPS Snort سیسکو
  • برخورداری از قابلیت Advanced Malware Protection (AMP) برای جلوگیری از ورود فایل‌های مخرب
  • اعمال سیاست‌ها بر اساس کاربران مختلف

اگر علاقه مند به یادگیری مباحث سیسکو از پایه تا مقدماتی رو دارید، حتما از دوره های آموزش سیسکو کندو بازدید کنید.

اشتراک گذاری

مدیرعامل آموزشگاه کندو – مدرس شبکه‌های مبتنی بر مایکروسافت و Microsoft Dynamics CRM & 365
5 1 رای
امتیازدهی به این محتوا
اشتراک در
اطلاع از
guest
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
0
افکار شما را دوست داریم، لطفا نظر دهید.x