شبکه

بهترین روش برای تقسیم بندی شبکه

بهترین روش برای تقسیم بندی شبکه

تقسیم بندی شبکه در ابتدایی ترین سطح خود ، فرآیند تفکیک بخش خاصی از ترافیک شبکه است که می توانید به دلایل عملکردی ، امنیت و غیره باشد. برای جدا کردن دستگاه های شبکه ، می توان از پل ، سوییچ یا روتر استفاده کرد. تقسیم بندی شبکه برای محدود کردن خطرات در هنگام نفوذ به شبکه بسیار حیاتی می باشد.

برای مثال با استفاده از برنامه فیشینگ ، نفوذگر میتواند به داده های بسیار حیاتی و مهم دست پیدا کند. هدف ما این است که نفوذگر را در یک شبکه بی ضرر زندانی کنیم و در این امر تقسیم بندی شبکه ایمن می تواند کمک کند.

یک نمونه از تقسیم بندی شبکه منطقی پیشنهاد شده:

بهترین روش برای تقسیم بندی شبکه
تقسیم بندی شبکه

:نمونه ای از پروتکل های مهم در تقسیم بندی یک شبکه ایمن را میتوان به صورت زیر دسته بندی کرد

Internet DMZ HTTP, HTTPS, SMTP, SSH, DNS
DMZ Internet DNS, SMTP
DMZ Application Server HTTP, HTTPS, SMTP
Application Server DB SQL
Security Gateway Application Server SSH, HTTP, HTTPS, SQL,SMTP
Inside HTTP Proxy HTTP, HTTPS
Inside Security Gateway SSH, HTTP, HTTPS, SQL
Inside Management Kerberos, Ldap, HTTPS, Radius
Inside Intranet HTTP, HTTPS, SMTP
Intranet DB SQL

DMZ Segment Network

در شبکه های کامپیوتری محلی را به نام (DMZ (Zone Demilitarized تعریف می کنیم که به معنی منطقه غیرنظامی است. در زمنیه دیواره آتش به قسمتی از شبکه گفته می‌شود که نه قسمتی از شبکه داخلی و نه قسمتی از اینترنت است. در حقیقت یک زیرشبکه منطقی یا فیزیکی است که خدمات خارجی یک سازمان را برای یک شبکه نامطمئن و بزرگتر خارجی، معمولا اینترنت، به نمایش می‌گذارد.

هدف DMZ افزودن یک لایه امنیتی اضافی به یک LAN است. یک مهاجم خارجی تنها به تجهیزات موجود در DMZ دسترسی دارد و نمی‌تواند به کل شبکه دسترسی داشته باشد. در واقع DMZ ناحیه ای بین شبکه داخلی شما (trusted) و شبکه عمومی (untrusted) است.

سرور هایی را که باید از اینترنت قابل دسترسی باشند (مانند Web Server، Mail server، Server FTP و DNS Server) را در DMZ قرار می دهیم. این سیاست مطابق الگوی دفاع لایه به لایه است. به این ترتیب می توانیم راه برقراری ارتباط از اینترنت به داخل شبکه را به طور کامل مسدود کنیم. برای ایجاد لایه های بیشتر می توان بیش از یک DMZ در شبکه ایجاد کرد.

تعداد Device های امنیت شبکه به تعداد dmz ها و موارد دیگری بستگی دارد و با توجه به ساختار شبکه هر سازمان، میزان حساسیت و برخی پارامتر های دیگر تعیین می شود.

WebApp Segment Network

در این بخش پیشنهاد میشود که تمام برنامه کاربردی وب میزبانی شده توسط سرورهای برنامه را قرار دهید. و فقط پورت های خدمات داخل DMZ باید باز باشند.

Proxy Network

پراکسی یا پراکسی سرور برنامه واسطه ای بین کاربر داخلی شبکه و اینترنت است که قابلیت‌های فراوانی در راستای حفظ امنیت، نظارت مدیریتی، کنترل کاربران و سرویس‌های ذخیره‌سازی دارد. پراکسی سرور امکان ایجاد فیلترهایی خاص را برای امنیت بیشتر در شبکه فراهم می‌کند، قابلیت ذخیره‌سازی، سرعت دستیابی به اطلاعات را بالا می‌برد و با سیستم‌های تصدیق هویت و تغییر هویت، ضامن امنیت در شبکه داخلی سازمان است و نیز امکان ثبت گزارش کامل کارکردش را دارد.

همچنین قابلیت مسدود کردن محتویات آسیب‌رسان و بررسی تبعیت از قوانین برقرار شده در شبکه را دارا می‌باشد. پراکسی سرور امکان استفاده از اکثر پروتکل‌های محلی را فراهم می‌آورد و امکان رمز کردن داده‌ها را نیز دارد. پراکسی‌ها انواع مختلفی دارند که هر یک کار خاصی را انجام می‌دهد، که از آن جمله می‌توان FTP، HTTP، SMTP و DNS را نام برد.

نتیجه گیری

تقسیم بندی شبکه باعث میشود تا انتشار بدافزار ها در شبکه به سختی صورت گیرد. برای مثال در صورت نبودن یک تقسیم بندی مناسب در یک شبکه، هر کسی در یک شبکه ضعف می توانید با کلیک بر روی یک فایل ضمیمه ایمیل و یا کلیک بر روی یک لینک آلوده، بدافزارها را در شبکه گسترش دهد. تقسیم شبکه خوب به ما کمک می کند تا مقابله با این حملات را افزایش دهیم.

یوسف وفایی

فارغ التحصیل کارشناسی IT، علاقه مند به برنامه نویسی و علم امنیت، عاشق یادگیری حرفه های جدید، کنجکاو برای همه چیز، همچنین همیشه تلاش میکنم تا به هدفم برسم...

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا