مقدمهای بر Advanced Firewall Manager
BIG-IP Advanced Firewall Manager (AFM) یک ماژول امنیتی شبکه با عملکرد بالا، حالتمند و تمام پروکسی است که برای محافظت از مراکز داده شما در برابر تهدیدات وارد شده به شبکه با استفاده از محبوبترین پروتکلها طراحی شده است. BIG-IP AFM بر روی سیستم عامل F5 Traffic Management (TMOS) ساخته شده است و شامل چهار ویژگی اصلی برای محافظت از مراکز داده در برابر تهدیدات شبکه خارجی و کمک به شما در تعیین انواع تهدیداتی است که مراکز داده شما در معرض آنها قرار دارند. امکانات کلی این ابزار شامل موارد زیر است:
- فایروال شبکه: دسترسی به منابع برنامه را با استفاده از قوانین مبتنی بر فایروال استاندارد صنعتی کنترل میکند.
- حفاظت از DoS/DDoS: حملات انکار سرویس و انکار سرویس توزیع شده(DoS/DDoS) را کنترل و کاهش میدهد.
- اطلاعات IP: دسترسی به مرکز داده را بر اساس فهرست آدرسهای IP منبع (فهرستهای خوراک) محدود یا مجاز میکند.
- گزارش نویسی: گزارشهای گرافیکی دقیقی در مورد رویدادهای حمله شبکه ارائه میدهد.
BIG-IP AFM از این ویژگیهای اصلی برای محافظت از منابع در مراکز داده شما و ارائه اطلاعات دقیق در مورد رویدادهای مختلف حمله شبکه استفاده میکند. در ادامه به بررسی جزئیات هرکدام از این ویژگیها میپردازیم.
فایروال شبکه AFM
نمای کلی: پردازش ترافیک پیش فرض
BIG-IP AFM یک ماژول الحاقی است که با BIG-IP Local Traffic Manager (LTM) ادغام میشود. هنگامی که ماژولهای AFM و LTM استفاده میشوند، مهم است که بدانیم چگونه خط پایه یا پیکربندی پیشفرض بر پردازش ترافیک تأثیر میگذارد. LTM به صورت پیشفرض بر روی حالت رد کردن قرار دارد. این بدان معنی است که وقتی هیچ شیء پردازش ترافیک پیکربندی نشده باشد (به عنوان مثال یک سرور مجازی و یک مخزن)، سیستم BIG-IP هیچ ترافیک شبکهای را پردازش نمیکند. برای شروع پردازش ترافیک، باید حداقل یک شی پردازش ترافیک را در سیستم BIG-IP پیکربندی کنید.
فایروال شبکه AFM به عنوان مجوز پیش فرض در نظر گرفته میشود که به عنوان حالت کنترل کننده تحویل برنامه (ADC) نیز شناخته میشود. این حالت امکان دسترسی به تمام اشیاء پردازش ترافیک را فراهم میکند و برای مسدود کردن دسترسی، به یک یا چند قانون فایروال نیاز دارد. AFM را میتوان برای اجرا در یکی از دو حالت پیکربندی کرد:
حالت فایروال | توضیحات |
ADC (پذیرش) | تمام ترافیک مجاز است. قوانین فایروال باید برای محدود کردن دسترسی اعمال شود. |
Firewall (رد/ قطع کردن) | هیچ ترافیکی اجازه عبور ندارد. قوانین فایروال باید برای اجازه دسترسی اعمال شوند. |
شما باید تفاوتهای بین اقدامات پذیرش، رد و قطع کردن را بدانید:
کار فایروال | توضیحات |
پذیرش | اجازه دادن به بستههایی که با قوانین محدود کننده فایروال مطابقت ندارند. این حالت پیش فرض است. |
رد کردن | رد بستههایی که با قوانین پذیرش فایروال مطابقت ندارند. این حالت یک بسته غیرقابل دسترس مقصد ICMP را به مشتری راه دور ارسال میکند. |
قطع کردن | ترافیک بستههایی را که با قوانین پذیرش فایروال مطابقت ندارند، قطع میکند. این باعث میشود که مشتری راه دور تلاش خود را برای اتصال تا پایان دوره تلاش مجدد ادامه دهد. |
بررسی اجمالی: سیاستها و قوانین فایروال شبکه AFM
خطمشیهای فایروال شبکه AFM BIG-IP شامل فهرستهای مرتب شده از قوانین فایروال استاندارد صنعتی است. خطمشیهای فایروال شبکه با استفاده از معیارهایی مانند آدرس IP، پورت سرویس، زمان و روز هفته، دسترسی شبکه به مرکز داده شما را کنترل میکنند. همچنین میتوانید iRules را برای گسترش منطق قانون فایروال اعمال کنید و برای ثبت رویدادهای فایروال، لاگ را فعال کنید. از آنجایی که خطمشیهای فایروال شبکه AFM را میتوان در زمینههای مختلف اعمال کرد و ممکن است گاهی اوقات همپوشانی داشته باشند، درک ترتیب پردازش برای هر زمینه مهم است.
ترتیب پردازش دستور | زمینه فایروال | توضیحات |
اول | جهانی | بر تمام ترافیک عبوری اعمال میشود |
دوم | دامنه مسیر | بر مسیر دامنه خاص اعمال میشود. |
سوم | سرور مجازی / خود IP | بر سرور مجازی یا خود IP اعمال میشود. |
مستقل | پورت مدیریت | برای پورت مدیریت سیستم BIG-IP اعمال میشود. |
فایروال شبکه AFM، خطمشیها را به ترتیب پردازش میکند، از دامنه جهانی به دامنه مسیر و سپس به زمینه سرور مجازی/خود IP پیشرفت میکند. قوانین پورت مدیریت به طور جداگانه پردازش میشوند. شما میتوانید یک خط مشی فایروال را در هر زمینهای به جز پورت مدیریتی که قوانین فایروال به طور مستقیم اعمال میشود، اعمال کنید.
ایجاد یک خط مشی فایروال شبکه AFM
با فایروال شبکه BIG-IP AFM، میتوانید خطمشیهای فایروال مرحلهای را با استفاده از قوانین فایروال استاندارد صنعتی ایجاد کنید. به عنوان مثال، مشتریان از زیرشبکههای آدرس IP منبع خاص میتوانند به آدرسهای IP مقصد و پورتهای سرویس در ساعات و روزهای مشخص هفته دسترسی داشته باشند.
AFM DoS/DDoS Protection
نمای کلی: حفاظت از DoS/DDoS
BIG-IP AFM DoS Protection با شناسایی و کاهش طیف گستردهای از الگوهای ترافیک مخرب و انواع بستهها از مرکز داده شما در برابر حملات انکار سرویس (DoS) یا حملات انکار سرویس توزیع شده (DDoS) محافظت میکند. به این الگوها و بستههای ترافیکی مخرب، بردارهای حمله یا امضاهای حمله نیز گفته میشود. با BIG-IP AFM، میتوانید تشخیص و کاهش DoS/DDoS را به صورت دستی یا خودکار پیکربندی کنید. یک راهکار موثر مقابله با DoS، ترافیک حمله را مسدود کرده و در عین حال اجازه ترافیک قانونی را میدهد.
پیکربندی DoS دستی
یک راه حل موثر حفاظتی DoS/DDoS به تجزیه و تحلیل ترافیک عمیق برای تعیین الگوها و آستانههای ترافیک پایه و همچنین الگوهای حمله و آستانه نیاز دارد. هنگامی که تجزیه و تحلیل ترافیک کامل شد، میتوانید بردارهای حمله DoS/DDoS مناسب را تعیین کنید و به صورت دستی آستانههای تشخیص و کاهش را برای هر کدام پیکربندی کنید.
پیکربندی خودکار DoS
میتوانید BIG-IP AFM را برای شناسایی و کاهش خودکار حملات DoS/DDoS با استفاده از طیف گستردهای از بردارهای حمله سفارشی و پیشفرض پیکربندی کنید. همچنین میتوانید ویژگی BIG-IP AFM Dynamic Signature را برای ایجاد و کاهش حملات بر اساس الگوهای ترافیکی که در طول زمان تغییر میکنند، فعال کنید.
دستههای بردار حمله DoS/DDoS
BIG-IP AFM دارای تعداد زیادی بردار حمله است که در سه دسته قرار میگیرند. این جدول دستهها و نمونه ای از بردارهای DoS موجود از هر دسته را فهرست میکند.
شبکه | DNS | SIP |
· سیل ARP · سیل ICMP · سیل IP Fragment · حمله LAND · سیل TCP SYN | · کوئری DNS AAAA · DNS تغییر شکل یافته · کوئری DNS NXDOMAIN · NS بیش از اندازه · سیل پاسخ DNS | · روش SIP ACK · روش SIP OPTIONS · SIP تغییر شکل یافته · روش SIP REGISTER · حد SIP URL |
استفاده از حفاظت AFM DoS/DDoS
شما میتوانید حفاظت DoS/DDoS را برای کل سیستم BIG-IP یا سرورهای مجازی مجزا، که به عنوان اشیاء محافظت شده نیز شناخته میشوند، اعمال کنید.
AFM IP Intelligence
نمای کلی: IP Intelligence
همه ترافیک شبکه دارای یک آدرس IP منبع هستند و ویژگی BIG-IP AFM IP Intelligence از لیست آدرسهای IP که به عنوان لیستهای خوراک (Feed) شناخته میشوند، برای رد (فهرست سیاه) یا پذیرش (لیست سفید) ترافیک شبکه ورودی بر اساس آدرس IP منبع استفاده میکند. AFM IP Intelligence میتواند از دو نوع لیست خوراک استفاده کند:
- Webroot BrightCloud: یک سرویس مبتنی بر اشتراک که به مجوز اضافی F5 نیاز دارد.
- لیست فید سفارشی: لیستی از آدرسهای IP منبع نگهداری شده در یک سرور راه دور.
درباره لیستهای فید و فایلهای فید
اگر قصد استفاده از سرویس مبتنی بر اشتراک BrightCloud را ندارید، میتوانید فهرستهای فید سفارشی را پیکربندی کنید تا مشتریان راه دور را بر اساس آدرس IP منبع آنها مجاز دانسته یا رد کنید. فهرستهای فید فایلهای فید را از سیستمهای راه دور بیرون میکشند و سپس توسط یک خطمشی IP Intelligence به عنوان مرجع شناخته میشوند. شما باید با نحوه کار لیستهای فید و فایلهای فید آشنا شوید.
فایلهای خوراک
فایلهای فید فایلهای متنی سادهای هستند که روی سرور HTTP/S یا FTP راه دور ایجاد و بهروزرسانی میشوند. فایلهای فید حاوی چهار دستور العمل جدا شده با کاما هستند و تنها یکی، آدرس IP، مورد نیاز است. این جدول چهار دستور العمل جدا شده با ویرگول را شرح میدهد.
مکان | ۱ | ۲ | ۳ | ۴ |
ورودی | آدرس IP | ماسک شبکه | لیست سفید یا سیاه | دستهبندی |
لیستهای خوراک
فهرستهای خوراک، اشیاء پیکربندی در سیستم BIG-IP AFM هستند که برای دریافت فایلهای فید از سیستمهای راه دور با استفاده از HTTP یا FTP استفاده میشوند. هنگام ایجاد یک شی فهرست فید جدید، سرور راه دور و URL حاوی فایل فید را تعریف میکنید. همچنین میتوانید یک بازه بازخورد تعیین کنید که تعیین میکند سیستم AFM هر چند وقت یکبار یک فایل فید بهروز دریافت میکند. بعدا هنگام ایجاد یا اصلاح خطمشیهای IP Intelligence، میتوان از یک یا چند فهرست فید استفاده کرد.
سیاستهای اطلاعات IP AFM
خطمشیهای BIG-IP AFM IP Intelligence اشیاء پیکربندی هستند که به یک یا چند فهرست فید ارجاع میدهند و یک عمل را تعریف میکنند، مانند قطع کردن یا قبول کردن، در صورت وقوع یک تطابق.
گزارش AFM
مشاهده گزارشهای AFM
گزارشهای BIG-IP AFM نمایش گرافیکی فایروال شبکه، حفاظت از DoS و رویدادهای IP Intelligence هستند که توسط سیستم AFM در یک بازه زمانی مشخص شناسایی شدهاند. برای به دست آوردن اطلاعات بسیار دقیق در مورد رویداد، میتوانید یک رویداد مجزا را در یک نمودار انتخاب کنید.
مشاهده گزارشهای AFM معمولا با پیمایش به صفحه گزارش مناسب، فیلتر کردن بر اساس یک دوره زمانی خاص و سپس انتخاب یک رویداد خاص برای مشاهده جزئیات رویداد، آغاز میشود. میتوانید از گزارشها در قالبهای PDF یا CSV خروجی بگیرید. این کارها به شما کمک میکنند تا با ویژگی گزارش AFM آشنا شوید.
فهرست وظیفه یا لیست کار
- مشاهده گزارشهای فایروال شبکه AFM
- مشاهده گزارشهای AFM DoS
- مشاهده گزارشهای AFM IP Intelligence
مشاهده گزارشهای فایروال شبکه AFM
برای مشاهده یک رویداد فایروال شبکه AFM، باید یک یا چند خط مشی فایروال شبکه به یک زمینه اختصاص داده شده باشد و یک یا چند بسته مطابقت داشته باشد. با گزارشدهی فایروال شبکه AFM، میتوانید سه دسته از رویدادهای قانون فایروال را مشاهده کنید: درگاه اجرایی، مرحلهای و مدیریتی. صفحه گزارش فایروال شبکه به دو بخش تقسیم میشود: یک ناحیه نمودار و یک منطقه جزئیات.
مشاهده گزارشهای AFM DoS
برای مشاهده یک رویداد DoS، باید یک نمایه حفاظتی DoS به یک شی محافظت شده اختصاص داده شده باشد، یا محافظت از دستگاه را فعال کرده باشید، و یک حمله DoS باید رخ داده باشد. با گزارش AFM DoS، میتوانید حملات DoS را بر اساس نوع و مدت زمان مشاهده کنید. صفحه گزارش DoS به سه بخش تقسیم میشود: انتخابگر زمان، ناحیه نمودارها و ناحیه ابعاد. این سه ناحیه همه رویدادهای DoS را در یک دوره زمانی انتخاب شده نشان میدهند. هنگامی که یک رویداد DoS خاص را در یک منطقه انتخاب میکنید، هر سه ناحیه آن رویداد خاص را برجسته میکنند.
مشاهده گزارشهای AFM IP Intelligence
برای مشاهده یک رویداد IP Intelligence، باید یک یا چند خطمشی فایروال شبکه AFM به یک زمینه اختصاص داده شده باشد و یک یا چند بسته مطابقت داشته باشد. با گزارش AFM IP Intelligence، میتوانید لیست سیاه IP Intelligence و رویدادهای مطابق با لیست سفید را بر اساس نام دسته مشاهده کنید. صفحه گزارش IP Intelligence به دو بخش تقسیم میشود: یک ناحیه نمودار و یک منطقه جزئیات. این کار نحوه مشاهده اطلاعات گزارش دقیق درباره رویدادهای قانون فایروال شبکه را نشان میدهد.
