الدرس الأول من دروس pix firewall

[Abdelazimf]

الدرس الأول من دروس الجدار النارى pixfirewall cisco
من أهم الشهادات التى تحصل عليها فى سيسكو هى شهادة تختص بالتأمين وهنا لابد لك من معرفة الجدار النارى لسيسكو .
ماهو الجدار النارى :
الجدر النارية نوعان :
برامج software
أجهزة hardware
وماأعنيه فى الشرح هنا هو الهاردوير حيث يوجد كورس فى شركة سيسكو إسمه pixfirewall v 3.1
بداية يوجد سؤال :
ما هوالجدار النارى : هو نظام أو مجموعة من الأنظمة تدير الإتصال بين سبكتين.
ما هى التقنيات التى يعمل بها الجدار النارى ؟
هناك ثلاث تقنيات يعمل بها الجدار النارى :
Packet Filtring:
فى هذه التقنية تنظر الجدر النارية على شكل الحزمة وهل هى صالحة للمرور أم لا ومن أمثلتها access list أو ما يسمى بقوائم الوصول ، وإذا كان هناك موجه router عليه قوائم وصول فى هذه الحالة نستطيع أن نطلق على هذا الموجه أنه حائط نارى .
عيب هذه التقنية :
أنه ينظر إلى الشكل الظاهرى للحزمة فقط دون محتوياتها وبالتالى يسهل اختراقه.
النوع الثانى :Proxy Server
هو برنامج سوفت وير يقوم بإخراج الداتا المراد إخراجها فقط ويعمل كأنه Pat ( هى طريقة لأخراج شبكتك بـ IP واحد ) وسيسكو لها برنامج خاص بها إسمه ISA Proxy Server
عيوب هذه الطريقة :
حجم الداتا الخارج من خلال هذه التقنية بطيئة .
النوع الثالث : ٍStateful Packet Filtring ( حالة تريح الرزم ).

إطلالة على الجدار النارى لسيسكو
يستخدم طريقة مختلطة لتأمين الإتصال بين اليوزر والشبكة وهى تشتمل على تكنولوجيا النظر على الشكل الظاهرى للحزمة وكذلك تكنولوجيا البروكسى سيرفر أى الطريقتان السابقتان 1،2.
مميزات الجدار النارى لسيسكو :
أمن secure نظرا لأنه لا يعمل مع أنظمة التشغيل ويندوز ولينكس نظرا لأن سيسكو لها نظام تشغيل خاص بها إسمه pix os ورغم أن هذا عيب إلا أنه ميزة مهمة فى نفس الوقت نظرا لأن هذا النظام غير معروف وبالتالى فإن الهجوم عليه قليل .
يعمل بتقنية ASA حيث ينظر على مضمون الحزمة وليس الشكل فقط.
أو الحزمة التى تمر من خلاله يطلب لها كلمة سر وإسم دخول لمدة معينة ثم لا يطلب هذه الطلبات مرة أخرى.
ما هى تقنية ASA :-
الجدار النارى لسيسكو به عدد 2 انترفيس رئيسيتين حيث يقوم بتقسيم هذين الإنترفيس إلى درجتين من الأهمية ، واحدة عالية الأهمية ويعطى لها الرقم 100 وهى هنا الشبكة الداخلية الخاصة بك أو ما يطلق عليه inside والإنترفيس الأخرى يعطى لها الرقم صفر وتسمى outside.
فلو فرضنا أن الشبكة الداخلية الخاصة بك والواصلة على الواجهة الداخلية والتى رقمها 100 أراد أحد الأشخاص سواء مهاجم أو غيره الدخول بالعبور على هذه الواجهة أى بصورة مبسطة ( الدخول من المنطقة ذات التأمين الأقل إلى المنطقة ذات التأمين الأعلى ) هنا يتصدر الجدار النارى لهذه الحزمة وينظر هل مسموح لها بالدخول أم لا وذلك عن طريق خادم خاص متصل به يوضع بداخله قاعدة البيانات للأشخاص الذين يحق لهم الدخول واذا دخلوا فما هى الصلاحيات الممنوحة هم وفى أى مكان سوف يدخلون وإذا دخلوا ماذا فعلوا فى فترة دخولهم .
هذا السيرفر اسمه Authentication Authorisation And Accounting ويختصر ب AAA.
إذا أى حزمة جاية من الأعلى إلى الأقل ( من داخل شبكتمك إلى الإنترنت ) تخرج مبائرة دون النظر إلى محتوياتها وهذه الباكت تسمى مسموح لها بالمرور Outbound ، والعكس صحيح أى من الأدنى إى الأعلى تسمى Inbound ويكون الطريق أمامها مقفول.( لابد من التركيز على هذه المصطلحات )
كما يمكن للجدار النارى أن يكون له أكثر من إنترفيس وهى التى يوضع بها سيرفر الويب أو سيرفر قواعد البيانات أو Active directory وهذه الانترفيسس تسمى المنطقة المنرزعة السلاح DMZ وهذه المنطقة تأخذ الأرقام من 1 إلى 99.

موديلات الحائط النارى لسيسكو :
له عدد من الموديلات تختلف على حس المكان الذى سوف يعمل فيه ، وتختلف من حيث :-
* عدد البورتس : أى أقدر أحط كام سيرفر على هذا الجدار النارى لحمايته.
* السرعة : يقدر يسلم كام حزمة فى الثانية الواحدة.
* معظم البروسيسور بنتيوم.
* عدد الإتصالات المتاحة فى نفس الوقت لعدد معين من اليوزر:كيف ؟
إذا كان عدد الإتصالات المتاة فى نفس الوقت 3500 اتصال ، وإذا كان كل يوزر فتح إصتال سواء ببرنامج أو انترنت بمتوسط 50 اتصال يومي .
فإذا قسمنا 3500/50 نستطيع معرفة عدد امستخدمين ( لاد من التفكير فيها أثناء تصميم الشبكة.
أنواعه :
1- Pix firewall 501
مصمم للمكاتب الصغيرة ، 3500 اتصال ، السرعة 10 mbps ، السرعة 133 mhz، الرام 16 ، عدد البروتس 5 دارخى وخارجى و3منطقة منزوعة السلاح يمكن وضع ثلالث خوادم عليها
وسوف نكلم عن الأنواع الخرى فى المواضيع القادمة إن شاء الله
ولكم التحية