آشنایی با ماژول Cisco ASA FirePOWER
Cisco ASA FirePOWER ماژولی است که میتواند در دستگاههای Cisco ASA5506-X به کار گرفته شود. این ماژول به گونهای طراحی شده که به شما کمک میکند ترافیک شبکه را مطابق با خط مشی امنیتی سازمان و دستورالعملهای شما برای محافظت از شبکه مطابقت دهید. خط مشی امنیتی همچنین میتواند شامل یک سیاست استفاده قابل قبول (AUP) باشد که به کارکنان دستورالعملهایی در مورد نحوه استفاده آنها از سیستمهای سازمان ارائه دهد.
آشنایی با ماژول ASA FirePOWER
ماژول ASA FirePOWER بر روی دستگاه ASA نصب شده ترافیک بخشهای مختلف شبکه را برای تجزیه و تحلیل رصد میکند. سیستم میتواند بر جریان ترافیک با استفاده از کنترل دسترسی تاثیر بگذارد و به شما امکان میدهد نحوه برخورد با ترافیک ورودی، خروجی و روش پیمایش شبکه را به طور دقیق مشخص کنید. دادههایی که درباره ترافیک شبکه جمعآوری میشود و همه اطلاعاتی به دست آمده از آن، میتواند بر اساس موارد زیر برای فیلتر کردن و کنترل این ترافیک استفاده شود:
- ویژگیهای لایه حمل و نقل و شبکه: منبع و مقصد، پورت، پروتکل و غیره
- آخرین اطلاعات زمینهای در مورد ترافیک، از جمله ویژگیهایی مانند میزان ریسک، ارتباط تجاری، برنامه مورد استفاده یا URL بازدید شده
- کاربران Microsoft Active Directory LDAP در سازمان
هر نوع بازرسی و کنترل ترافیک در جایی اتفاق میافتد که بیشترین انعطافپذیری و عملکرد را داشته باشد؛ به عنوان مثال، قابلیت ایجاد لیست سیاه، از دادههای مبدا و مقصد استفاده میکند و میتواند ترافیک ممنوع را در ابتدای کار مسدود کند. تشخیص و جلوگیری از نفوذها و سوءاستفادهها آخرین مرحله و در واقع خط دفاعی است.
اجزای ماژول ASA FirePOWER
کنترل دسترسی
کنترل دسترسی، یک ویژگی مبتنی بر خط مشی است که به شما امکان میدهد ترافیک ورودی و خروجی شبکه را بازرسی و ثبت کنید. سیاست کنترل دسترسی، نحوه مدیریت ترافیک سیستم در شبکه را تعیین میکند. سادهترین سیاست کنترل دسترسی با استفاده از عملکرد پیشفرض، تمام ترافیک را کنترل میکند. میتوانید این عملکرد پیشفرض را طوری تنظیم کنید که بدون بازرسی بیشتر، همه ترافیک را مسدود کند، قابل اعتماد در نظر بگیرد یا ترافیک را برای نفوذ بازرسی کند. یک سیاست کنترل دسترسی پیچیدهتر میتواند ترافیک را بر اساس دادههای امنیت اطلاعات لیست سیاه بررسی کرده و همچنین از قوانین کنترل دسترسی برای اعمال کنترل دقیق بر ورود و مدیریت ترافیک شبکه استفاده کند. این قوانین میتوانند ساده یا پیچیده باشند و ترافیک را با معیارهای متعدد مطابقت داده و بازرسی کنند.
شما میتوانید ترافیک را بر اساس منطقه امنیتی، نوع شبکه یا موقعیت جغرافیایی، پورت، برنامه و URL فیلتر کنید. گزینههای پیشرفتهتر کنترل دسترسی شامل پیشپردازش و عملکرد است. هر قانون کنترل دسترسی همچنین دارای یک عمل است که تعیین میکند روی ترافیک نظارت کند، آن را مسدود کند یا مجاز در نظر بگیرد. وقتی به ترافیک مجوز میدهید، میتوانید مشخص کنید که سیستم ابتدا آن را با خط مشیهای تعریفشده بازرسی کند تا هر گونه سوءاستفاده، بدافزار یا پروندههای ممنوعه را قبل از وارد شدن یا خروج از شبکه مسدود کند.
مقاله پیشنهادی“Cisco ACI چیست؟ | آشنایی با اجزای ACI و نحوه کارکرد آن”
تشخیص نفوذ و پیشگیری
تشخیص و جلوگیری از نفوذ آخرین خط دفاعی سیستم قبل از رسیدن ترافیک به مقصد است. خط مشیهای نفوذ مجموعهای از پیکربندیهای تشخیص و پیشگیری از نفوذ است که توسط خط مشی کنترل دسترسی شما فراخوانی شدهاند. با استفاده از قوانین نفوذ و سایر تنظیمات، این خط مشیها ترافیک را از نظر هرگونه نقض امنیت بررسی میکنند و میتوانند ترافیک مخرب را مسدود کنند یا تغییراتی روی آن اعمال کنند.
اگر خط مشیهای ارائه شده توسط سیستم به طور کامل نیازهای امنیتی سازمان شما را برطرف نمیکند، خط مشیهای سفارشی میتواند عملکرد سیستم را مطابق با نیازهای شما بهبود بخشد و نمای متمرکز از ترافیک مخرب و نقض خط مشی رخ داده در شبکه را ارائه کند. با ایجاد و تنظیم خط مشیهای سفارشی، میتوانید پیکربندی کنید که سیستم چگونه ترافیک شبکه شما را برای جلوگیری از نفوذ، پردازش و بررسی میکند.
حفاظت پیشرفته از بدافزارها و کنترل فایل
برای شناسایی و کاهش اثرات مخرب بدافزارها، بخش کنترل فایل از ماژول ASA FirePOWER و اجزای پیشرفته حفاظت از بدافزارها میتوانند روی انتقال فایلها نظارت داشته باشد. این نظارت شامل شناسایی، ردیابی، تجزیه و تحلیل و مسدود کردن بدافزار میشود.
کنترل فایل
کنترل فایل به دستگاهها اجازه میدهد تا کاربران شما را در صورت ارسال یا دریافت انواع خاصی از فایلها بر اساس پروتکلهای تعریف شده، شناسایی کرده و آنها را مسدود کند. کنترل فایل به عنوان بخشی از پیکربندی کلی کنترل دسترسی پیکربندی میشود.
حفاظت از بدافزار پیشرفته مبتنی بر شبکه (AMP)
محافظت از بدافزارهای پیشرفته مبتنی بر شبکه (AMP) به سیستم اجازه میدهد تا ترافیک شبکه را برای وجود انواع بدافزارها در انواع مختلف فایلها بررسی کند. حفاظت از بدافزار به عنوان بخشی از پیکربندی کلی کنترل دسترسی پیکربندی میشود و خط مشیهای فایل مربوط به قوانین کنترل دسترسی ترافیک شبکه را بازرسی میکند.
قراردادهای مجوز
بیانیه مجوز در ابتدای هر بخش نشاندهنده مجوز مورد نیاز برای استفاده از ویژگی توصیفشده در همان بخش است، به شرح زیر:
حفاظت
مجوز حفاظت به دستگاهها اجازه میدهد تا هرگونه نفوذ را تشخیص دهند و از آن جلوگیری کنند، کنترل پرونده و فیلتر کردن اطلاعات امنیتی را انجام دهند. این مجوز مربوط به اشتراک Protection (TA) است که به طور خودکار در ماژول ASA FirePOWER گنجانده شده است.
کنترل
مجوز کنترل به دستگاهها اجازه میدهد تا کنترل کاربر و برنامه را انجام دهند و مجوز حفاظت پیشنیاز آن است. مجوز کنترل در ماژول ASA FirePOWER به طور پیشفرض گنجانده شده است.
فیلتر URL
مجوز فیلتر کردن URL به دستگاهها اجازه میدهد تا از دادههای محلی و ابری که بهطور مرتب بهروز شدهاند استفاده کنند تا بر اساس URLهای درخواست شده توسط میزبان تحت نظارت، تعیین کنند که کدام ترافیک میتواند از شبکه شما عبور کند. مجوز فیلتر کردن URL نیاز به مجوز حفاظت دارد. میتوانید این مجوز را به عنوان اشتراک سرویس همراه با حفاظت (TAC یا TAMC) یا به عنوان اشتراک اضافی (URL) برای ماژول ASA FirePOWER که خریداری کنید.
بدافزار
مجوز بدافزار به دستگاهها اجازه میدهد از بدافزارهای پیشرفته مبتنی بر شبکه (AMP) استفاده کنند؛ یعنی بدافزارهای احتمالی در پروندههای منتقل شده روی شبکه شناسایی، ثبت و مسدود کنند. مجوز بدافزار نیاز به مجوز حفاظت دارد. میتوانید این مجوز را به عنوان اشتراک سرویس همراه با حفاظت (TAM یا TAMC) یا به عنوان اشتراک اضافی (AMP) برای ماژول ASA FirePOWER خریداری کنید.
قراردادهای آدرس IP
شما میتوانید از IPv4 Classless Inter-Domain Routing (CIDR) و نماد طول پیشوند IPv6 مشابه، برای تعریف بلوکهای آدرس در بسیاری از نقاط ماژول ASA FirePOWER استفاده کنید. نماد CIDR از آدرس IP شبکه همراه با bit mask برای تعریف آدرسهای IP در بلوک آدرسهای مشخص شده استفاده میکند. به عنوان مثال، جدول زیر فضاهای آدرس IPv4 خصوصی در نماد CIDR را فهرست میکند.
| بلوک CIDR | آدرس IP در بلوک CIDR | Subnet Mask | تعداد آدرسهای IP |
| ۱۰٫۰٫۰٫۰/۸ | ۱۰٫۰٫۰٫۰ – ۱۰٫۲۵۵٫۲۵۵٫۲۵۵ | ۲۵۵٫۰٫۰٫۰ | ۱۶۷۷۷۲۱۶ |
| ۱۷۲٫۱۶٫۰٫۰/۱۲ | ۱۷۲٫۱۶٫۰٫۰ – ۱۷۵٫۳۱٫۲۵۵٫۲۵۵ | ۲۵۵٫۲۴۰٫۰٫۰ | ۱۰۴۸۵۷۶ |
| ۱۹۲٫۱۶۸٫۰٫۰/۱۶ | ۱۹۲٫۱۶۸٫۰٫۰ – ۱۹۲٫۱۶۸٫۲۵۵٫۲۵۵ | ۲۵۵٫۲۵۵٫۰٫۰ | ۶۵۵۳۶ |
به طور مشابه، IPv6 از آدرس IP شبکه همراه با طول پیشوند برای تعریف آدرسهای IP در یک بلوک مشخص استفاده میکند. به عنوان مثال، ۲۰۰۱:db8::/32 آدرس IPv6 را در شبکه ۲۰۰۱:db8:: با طول پیشوند ۳۲ بیت، یعنی از ۲۰۰۱:db8:: تا ۲۰۰۱:db8:ffff:ffff:ffff:ffff:ffff را مشخص میکند.
هنگامی که از CIDR یا نماد طول پیشوند برای تعیین بلوک آدرسهای IP استفاده میکنید، ماژول ASA FirePOWER فقط از قسمتی از آدرس IP شبکه استفاده میکند که توسط ماسک یا طول پیشوند مشخص شده است. به عنوان مثال، اگر ۱۰٫۱٫۲٫۳/۸ را تایپ کنید، ماژول ASA FirePOWER از ۱۰٫۰٫۰٫۰/۸ استفاده میکند. به عبارت دیگر، اگرچه سیسکو هنگام استفاده از CIDR یا علامت طول پیشوند روش استاندارد استفاده از آدرس IP شبکه در مرز بیت را توصیه میکند، اما ماژول ASA FirePOWER به آن نیاز ندارد.
جمعبندی
ماژول Cisco ASA FirePOWER به منظور نظارت بر ترافیک شبکههای سازمانی و مطابق کردن ترافیک با خط مشیهای امنیتی سازمان طراحی شده است. با اینکه در حالت پیشفرض کل ترافیک شبکه بررسی میشود، اما بنا بر نیازهای سازمانی میتوان دستورالعملهای لازم را برای ماژول تعریف کرد. کنترل دسترسی، تشخیص نفوذ و پیشگیری از آن، حفاظت شبکه در مقابل بدافزارها و کنترل فایل خدمات اصلی این ماژول هستند. برای بررسی ترافیک ورودی و خروجی و انجام تجزیه و تحلیل روی آنها، یکی از بهترین راهها استفاده از ماژول Cisco ASA FirePOWER است.
