در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

دفاع در عمق چیست؟ بررسی مفهوم Defense in Depth به زبان ساده

داشتن تنها یک نقطه برای کنترل امنیتی کل شبکه ، کار عاقلانه نیست اگر این نقطه دارای تنظیم اشتباه باشد یا نتواند سیاست ها را اجرا کند شبکه شما بر روی تمام تاثیرات منفی که فایروال باید جلوی آن را بگیرد باز خواهد بود. یه راه حل که در واقع یک ایده است تا راه حل ، استفاده از defense-in-depth یا امنیت لایه به لایه است.

یه مثال برای defense-in-depth برای سازمانی است که دارای یک وب سرور است که به صورت عمومی در دسترسی است. ما به عنوان یک کاربر نهایی از طریق شبکه اینترنت با باز کردن مرورگر خود و وارد کردن آدرس سایت این سازمان به آن دسترسی پیدا می کنیم. در پشت صحنه ، یک درخواست DNS از دستگاه ما برای پیدا کردن IP آدرس وب سرور آن سازمان ارسال می شود. زمانی که IP آدرس سرور سازمان را پیدا کردیم ما یک ارتباط (Transfer Control Protocol (TCP را با سرور برقرار می کنیم.

بسته های ما از طریق اینترنت به سمت آن سازمان ارسال می شوند. روتر سازمان که این بسته ها را دریافت ی کند به عنوان اولین خط دفاعی محسوب می شود و این روتر باید IP آدرس مبدا بسته ها را چک کند تا از جعل نشدن IP مطمئن شود (مانند IP آدرس های استفاده شده در شبکه داخلی سازمان). همچنین در این روتر با استفاده از ACL می توان محدودیت هایی را اعمال کرد. سپس در صورت سالم بودن بسته ها آنها را به سمت شبکه داخلی و فایروال ارسال می کند که به عنوان خط دوم دفاعی محسوب می شود.

فایروال می تواند کارهای زیادی را قبل از ارسال بسته ها به سمت سرور انجام دهد. فایروال می تواند خودش را به عنوان سرور به ما معرفی کند و three-way handshake را با ما انجام دهد تا مطمئن شود که ما قصد حمله SYN flood را نداریم. فایروال می تواند قبل از ارسال ترافیک ما به سمت سرور از ما بخواهد که احراز هویت را انجام دهیم و بسیاری کارهای دیگر که می توان با استفاده از فایروال انجام داد. بعد از اینکه تمام قوانین و شرایط فایروال توسط بسته های ما رعایت شد بسته های ما به سمت سرور ارسال خواهند شد.

ارتباط بین فایروال و سرور از طریق یک سوئیچ انجام می شود و در اینجا می توانیم از ویژگی های امنیتی لایه دو سوئیچ به عنوان یک خط دفاعی بهره ببریم. بسته ها در نهایت به دست سرور می رسند و فایروال های نرم افزاری به عنوان اخرین خط دفاعی ما محسوب می شود.

براساس این مثال درک این موضوع که چگونه می توانیم از defense-in-depth یا امنیت لایه ای برای محافظت از شبکه استفاده کنیم بسیار مهم است. این نکته را در نظر داشته باشید یک دستگاه به تنهایی نمی تواند از کل شبکه شما محافظت کند و به یک کار تیمی توسط دستگاه ها نیاز است.

دلیل دیگر برای استفاده از defense-in-depth این است که تمام حملات و ترافیک های مخرب از طریق شبکه خارجی صورت نمی گیرد و بسیاری از آنها از طریق دستگاه های شبکه داخلی انجام می شود مانند دستگاه های کاربران نهایی

هدف فایروال کاهش ریسک است. فایروال به عنوان بخشی از استراتژی امنیتی برای محافظت از شبکه است تا شبکه قابل اطمینان و در دسترس باشد. فایروال نمی تواند جایگزین سایر سیستم ها مانند برنامه backup گیری و ... شود و هر کدام از این بخش ها برای عملکرد شبکه مورد نیاز است.

مفهوم Defense in Depth چیست؟

نویسنده : جعفر قنبری شوهانی

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....