( برای دیدن عکس ها در سایز واقعی روی آنها کلیک کنید )
دستگاههای juniper Netscreen در سه حالت پیکربندی می شوند :
1- NAT
2 – Route
3- transparent
توضیحات این سه حالت را در پست قبلی به تفصیل دادم . ولی چون در این پست به طریقه پیکربندی این فایروال در حالت transparent می پردازم نحوه کار فایروال در این حالت و همچنین مزیت های این حالت را براتون توضیح میدم.
در حالت شفاف کارت شبکه های فایروال آدرس دهی آی پی نمی شوند و در نتیجه قابل شناسائی نبوده و عملیاتی نظیر پویش پورت نمی تواند علیه آنهاصورت پذیرد. در این حالت دستگاه مانند یک رابط بین اینترنت و شبکه قرار گرفته و ترافیک عبوری را با توجه به سیاست های تعریف شده permit یا Deny می کند . شاید بزرگترین مزیت پیکربندی فایروال در این حالت عدم نیاز به آدرس دهی آی پی و در نتیجه عدم نیاز به تغییر توپولوژی شبکه باشد . البته باید توجه داشت که در این حالت به علت تبدیل شدن دستگاه به یک دستگاه لایه 2 از قابلیت های آن در لایه 3 مانند مسیریابی یا NAT نمی توان بهره برد.
ZONE :
قبل از ادامه مطلب باید با مفهوم zone دردستگاه های Juniper آشنا شوید .اگر تا به حال DNS را برای یک شبکه چندین قسمتی پیکربندی کرده باشید خوب با این مفهوم آشنایی دارید . zone را یک منطقه مدیریتی تعریف می کنند که در اینجا کارت های شبکه فایروال روی آنها سوار می شوند . به عنوان مثال در فایروال های juniper با zone از قبل تعریف شده ای به نام Trust برخورد می کنید . که به طور پیش فرض کارت شبکه شماره 1 روی آن سوار شده . این zone ها هنگام تعریف policy ها یا جلوگیری از حملات کاربرد دارند . ممکنه است شما با توجه به نیاز شبکه بخواهید تعداد بیشتری کارت شبکه را روی یک zone سوار کنید . مثلا شبکه داخلی شما از دو سگمنت اداری و فروش تشکیل شده که در vlan های جدا هستند ولی تعریف سیاست های دسترسی ار بیرون شیکه به آنها یا بلعکس مثل هم باشد . در اینصورت می توانید 2 تا کارت شبکه را در trust zone قرار بدهید و سیاست های را به trust zone اعمال کنید .
Juniper NS50 سه zone پیش فرض در لایه دوم به نام های V1-Trust ، V1-Untrust و V1-DMZ دارد. و در لایه سوم نیز سه zone پیشفرض Trust ، Untrust و DMZ وجود دارد .
:Vlan Zone در NS50 یک zone دیگر به نام vlan zone نیز داریم که یک واسط مجازی به نام vlan1 را میزبانی میکند. این واسط مجازی در پیکربندی تونل های vpn و همچنین مدیریت فایروال کاربرد دارد. همانطور که گفتم در حالت شفاف کارت های شبکه ( واسط های فیزیکی ( آدرس دهی آی پی نمی شوند و در لایه 2 عمل می کنند . در این حالت برای مدیریت و پیکربندی فایروال باید از واسط مجازی Vlan1 استفاده کردکه قابلیت آدرس دهی آی پی را دارد .
روش های BroadCast :
وقتی که فایروال های netscreen در حالت شفاف در لایه دوم کار می کنند چگونه ترافیک را عبور می دهند ؟ قبل ازپاسخ به این سوال باید در نظر داشت که فایروال های Juniper در حالت پیش فرض با سیاست deny any any پیکربندی شده اند . یعنی بدون تعریف سیاست های مناسب اجازه ی عبور هیچ ترافیکی را نمی دهند . و اما جواب سوال :
.در حالت شفاف دستگاه از جدول Arp برای مسیر یابی استفاده می کند .
وقتی که سیاست های مناسب اعمال گشتند ( نحوه تعریف سیاست های مورد نیازرا در ادامه توضیح خواهم داد . ) امکان عبور ترافیک شبکه از جمله درخواست های ARP فراهم می گردد.و هنگامی که آدرس MAC معادل یک ip در جدول arp دستگاه موجود نباشد فایروال از دو طریق زیر اقدام به ساختن جدول arp می کند :
1- Flood Method :
در این حالت اگر فایروال یک فریم اترنت دریافت کند که در جدول MAC موجود نیست پکت ها را برروی تمامی پورت ها ارسال می کند . و در صورت گرفتن جواب آنرا به جدول MAC اضافه می کند .
2- ARP/Traceroute :
در این حالت اگر فایروال آدرسی را دریافت کند که در جدول MAC آن موجود نباشد مراحل زیر را انجام می دهد :
الف – آدرس MAC موجود در پکت را ذخیره کرده و پکت را Drop می کند .
ب- فایروال ، دو پکت را تولید می کند یکی برای query ARP و دیگری traceroute
ARP query ) بجای آدرس MAC موجود در پکت دریافتی از آدرس MAC واسط مجازیVlan1 استفاده می کند .
پکت traceroute یک ICMP Echo است که مقدار ttl آن یک می باشد.)
ج – در مرحله سوم دو نوع پکت تولید شده به تمامی واسط های شبکه فایروال بجز واسطی که پکت از آن دریافت شده ارسال می شوند.
د – اگر جواب ARP query در سابنت یکسان با واسط مجازی موجود باشد .در جدول ARP فایروال ذخیره شده و پکت به مقصد هدایت می شود.
ه – اگر آدرس آی پی پکت در سابنت دیگری باشد پکت traceroute با آدرس آی پی و MAC روتر که پکت باید با آن هدایت شود بر می گردد.سپس فایروال MAC روتر را ثبت کرده و پکت را به سوی آن هدایت می کند .
روش ARP/Traceroute امن ترین روش شناسائی مسیر ها است زیرا برای شناسائی آدرس های MAC ، پکت ها را به تمامی واسط ها ارسال ) شاید بهتر باشد بگویم Flood ( نمی کند .نکته دیگر اینکه انتخاب قابلیت Traceroute اختیاری است . اگر تمامی آدرس ها در یک سابنت هستند نیازی به این قابلیت نیست . اگر چه در Juniper NS ها به صورت پیش فرض فعال است .
پیکربندیNS50 در حالت شفاف :
خوب رسیدیم به کار عملی – همانطور که گفتم تمامی دستگاه های Juniper Netscreen یک واسط مجازی به نام Vlan1 دارند .برای دیدن لیستی از تمامی واسط های فیزیکی یا مجازی دستگاه خود می توانید از دستور get int استفاده کنید .
set int vlan1 ip 192.168.100.100/24
و اگر از محیط تحت وب استفاده می کنید در مسیر Network | Interfaces | Vlan1 تنظیمات را انجام دهید .
برخی گزینه های خاص که مربوط به واسط مجازی vlan1 است در زیر آمده است :
Broadcast : همان طور که توضیح دادم با توجه به نیاز های شبکه می توانید ARP/Traceroute یا Flood را انتخاب کنید . اگر پیکربندی را با telnet انجام می دهید از دستورات زیر استفاده کنید :
set int vlan1 broadcast arp
unset int vlan1 broadcast arp traceroute
set int vlan1 broadcast flood
save
Bypass Non-IP packets : که شامل سه انتخاب زیر است :
1- All : که اجازه عبور هر نوع ترافیک از جمله IPX را می دهد .
2 – Broadcast/Multicast: فقط اجازه عبور ترافیک IP را می دهد .
3 –off : این قابلیت ها را غیر فعال می کند .
در حالت پیش فرض Broadcast/Multicast انتخاب شده است .
برای تنظیم این پارامترها در حالت متنی از دستورات زیر استفاده کنید :
set int vlan1 bypass-non-ip
set int vlan1 bypass-none-ip-all
save
Bypass IPSec Packet For Others : با انتخاب این گزینه ترافیک IPSec می تواند از فایروال عبور کند .در این حالت می توان در صورت نیاز از یک vpn server برای terminate کردن کانکشن ها استفاده کرد .
set int vlan1 bypass-others-ipsec
بعد از پیکربندی واسط vlan1 برای وارد کردن فایروال به حالت شفاف باید تمامی واسط ها را از zone های لایه سوم به zone های لایه دوم منتقل کنید .
قبل از تبدیل zone واسط ها از لایه سوم به لایه دوم باید آدرس های آی پی واسط ها را به 0.0.0.0/0 تغییر دهید .
در محیط پیکربندی تحت وب به منوی : Network | Interfaces | ethernet1 بروید و در قسمت انتخاب zone ،v1trust را انتخاب کنید .در قسمت آدرس آی پی و ماسک شبکه 0.0.0.0/0 را وارد کنید . و قسمت manage ip را خالی رها کنید .
برای انجام مراحل بالا در محیط متنی از دستورات زیر استفاده کنید .
unset int eth1ip
set int eth1 zone v1-trust
save
اکنون ارتباط شما با دستگاه که قبلا از طریق واسط فیزیکی شماره 1 بود قطع می شود . برای ارتباط مجدد جهت ادامه پیکربندی دستگاه باید ازآی پی واسط مجازی vlan1 استفاده کنید .
و به همین ترتیب باید واسط های شماره 2 و 3 را به لایه 2 تبدیل کنید .
unset int eth2ip
set int eth2 zone v2-dmz
unset int eth3ip
set int eth3 zone v3-untrust
save
بعد از تبدیل واسط ها به واسط های لایه دوم با استفاده از دستور get sys فایروال را به حالت شفاف وارد
کنید .
همان طور که در شکل مشاهده می کنید دستگاه به حالت شفاف وارد شد . ولی هنوز کار تمام نشده است . همانطور که قبلا گفتم دستگاه های juniper Netscreen با سیاست پیش فرض deny any any یعنی عدم دسترسی هیچ آدرس آی پی به هیچ سرویسی یا قطع ارتباط کامل است . پس گام بعدی تعریف سیاست ها ) policy ) است . به منوی wizard بروید و policy wizard را انتخاب کنید . شکل های زیر گویای نحوه تعریف policy ها هستند .
در این مرحله می توان سیاست را برای اعمال بر روی ای پی یا رنج آی پی مشخص محدود کنید .
نوع سرویس را مشخص کرده و با انتخاب Access یا Deny اجازه دسترسی یا عدم دسترسی به آن را مشخص کنید .
در این مرحله می توانید یک رنج آی پی را که از آن برای NAT استفاده می شود .مشخص کنید . ( برای مخفی ماندن آی پی ها ) فعال کردن این ویژگی فقط در حالات خاص ممکن است .
در این مرجله می توان عمل log کردن و هشدار دادن را با توجه به میزان عبور پکت ها فعال کرد .
در این مرحله می توان هویت کاربر را از طریق روش های مختلف مورد ارزیابی قرار داده و در صورت تایید سیاست مورد نظر در مورد او اعمال گردد .
اعمال سیاستی خاص را می توان به زمان مشخصی محدود کرد .
در این مرحله سیاست ایجاد شده برای تایید نهایی و همچنین دستور معادل آن نیز برای اجرا از طریق telnet نمایش داده می شود .
با کلیک کردن Next و سپس Finish سیاست مورد نظر اعمال می گردد . برای مثال لیستی از سیاست های تعریف شده برای یک شبکه با سرویس های مختلف در زیر آمده است :
برای مثال لیستی از سیاست های تعریف شده برای یک شبکه با سرویس های مختلف در زیر آمده است :
