جداسازی اینترنت از اینترانت از طریق vlan

///جداسازی اینترنت از اینترانت از طریق vlan

جداسازی اینترنت از اینترانت از طریق vlan

۱۳۹۷-۱۲-۲۲ ۱۴:۱۹:۱۹ +۰۳:۳۰بدون ديدگاه

ضرورت جداسازی اینترنت از شبکه داخلی:

یکی از اصولی ترین مبانی امنیت اطلاعات محافظت از محیط سرویس دهی در فضای سایبر می باشد. از همین رو یکی از مهم ترین دغدغه های سازمان ها، شرکتها و مراکز دولتی در حال حاضر جداسازی اینترنت از شبکه LAN سازمانی می باشد. مسلما به واسطه این جداسازی به میزان قابل توجهی، از تهدیدات امنیتی کاسته شده و از وقوع مشکلات بسیاری جلوگیری به عمل خواهد آمد.
از سوی دیگر استفاده ازاینترنت به عنوان یک منبع اطلاعاتی وارتباطی بسیار ضروری بوده وغیرقابل چشم پوشی است.بنابراین حفظ و پایداری شبکه های داخلی و امنیت آن از اهمیت بسیار بالایی برخوردار است .

راهکارهای جداسازی اینترنت از اینترانت

بهره وری و سازگار بودن شبکه و کاربر از اهداف رشد کسب و کار می باشد. یکی از روش های بهبود و ارتقاء در شبکه انجام VLAN بندی در شبکه است. استفاده از این تکنولوژی باعث افزایش امنیت و کارآیی شبکه بدون استفاده از تجهیزات گرانقیمت شده است. به منظور استفاده و اجرای VLAN در شبکه خود ، شما نیاز به یک سوئیچ لایه ۲ خواهید داشت که قابلیت مدیریت را داشته باشد یعنی Manageable باشد.

باید توجه داشت که هر VLAN که بر روی سوئیچ ایجاد می شود ، به منزله یک شبکه جداگانه خواهد بود و این شبکه ها هیچگونه ارتباطی با یکدیگر نخواهند داشت. یکی از مهمترین ویژگی هایی که باعث استفاده از VLAN بندی در شبکه شده است ، Broadcast نشدن پیام ها در سراسر شبکه می باشد. VLAN ها در شبکه و بر روی سوئیچ این اجازه را می دهند که شبکه هایی با آدرس های IP متعدد و زیر شبکه های متعدد وجود داشته ، بدون اینکه با یکدگیر در ارتباط باشند. از مزایای اصلی VLAN بندی در شبکه می توان موارد زیر را ذکر نمود :

امنیت

کاهش هزینه

افزایش بازدهی و کارآیی

کاهش و جلوگیری از Broadcast

سادگی اجرا و مدیریت آسان

در این پروژه ۴ vlan داریم

۱۰۱

۱۰۲

۱۰۳

۱۰۴

که هرکدام برای قسمت خاصی میباشد

قسمت های این شرکت شامل   it ,sales , support, server room میباشد

که همه قسمت ها بجز قسمت sales دارای اینترنت هستند

در قسمت sales  دونفر که مدیر و معاون فروش هستند دارای اینترنت میباشند

برای دستررسی دادن به ip ها در روتر مربوطه که از سمت دیگری به اینترنت وصل است باید acl بنویسیم

طرح اجرایی شرکت اجرای vlan  بر روی سوییچ های سیسکو است .

اجرای این طرح بسیار کم هزینه بوده و مورد پسند مشتری قرار گرفته .

که پس از بازدید و بررسی های اولیه و تعیین دسترسی ها

اینکه هر کاربر دسترسی به اینترنت داشته باشد یا نه . و اینکه توی کدام vlan  باشد کار شروع میشود .

روی هر vlan  لیست دسترسی یا همان acl  مربوطه نوشته میشود

Cisco Access List

در ترجمه لغوی به معنای لیست دسترسی سیسکو می باشد که زیاد هم از معنای واقعی خود دور نیست.

همانطور که از اسم آن بر می آید به وسیله این ابزار میتوانیم بر روی سخت افزارهای سیسکو فایروال ایجاد کنیم.

از آنجا که بحث فایروال بسیار گسترده است و تنها به یک   access list  منتهی نمیشود به این نوع فایروال packet filter گفته میشود.

حتما خوانندگان عزیز سیسکو را شناخته و از کارایی آن خبر دارند.

از آنجا که ورودی اینترنت ۸۰ درصد شبکه هایی که ما با آنها کار می کنیم Cisco هست میتوانیم با بکار گیری Access list در آنها امنیت زیادی را برای خود به ارمغان بیاوریم. نا گفته نماند که مهمترین گزینه در Packet filter ها کانفیگ خوب آنهاست نه Brand یا مدل دستگاه. شما اگر با اصول Packet Filtering آشنایی داشته باشید بر روی هر سیستم عامل یا سخت افزاری تنها با آموختن Syntax آن میتوانید یک فایروال ایجاد کنید.

من در اینجا به توضیح قوائد آن در سیسکو میپردازم.

برای ایجاد access list شما نیاز به IOS های بالاتر از ورژن ۸٫۳ دارید.

دو مرحله برای ایجاد یک access list داریم. اول میبایست ACL مربوطه را نوشته و دوم آن را به یک اینترفیس اعمال کنیم.

بدیهیست در صورت عدم اعمال ACL به یک اینترفیس ACL مذکور بلا استفاده می ماند.

پر کاربردترین ACL ها IP Access list است. زیرا اکثر ترافیکها بر روی پروتکل IP انتقال می یابد.

خود IP access list دو نوع است: Standard و Extended

Standard تنها بر اساس SOURCE IP address می تواند کنترل کند.

Extended بر حسب SOURCE and DESTINATION IP address و SOURCE and DESTINATION Port می تواند محدودیت ایجاد کند.

معمولا برای نام گذاری access list ها از اعداد استفاده میشود. که از شماره ۱ تا ۹۹ برای Standard و ۱۰۰ تا ۱۹۹   برای Extended استفاده میشود. البته اعداد ۱۳۰۰  تا ۱۹۹۹ برای Standard و ۲۰۰۰ تا ۲۶۹۹ برای Extended  رزرو شده اند.

port 0/1 access-list

Router(config)#access-list 1 permit 192.168.1.2

Router(config-if)#ip access-group 1 out

SW1(config)#vlan access-map NOT-TO-SERVER 10

SW1(config-access-map)#match ip address 100

SW1(config-access-map)#action drop

SW1(config-access-map)#vlan access-map NOT-TO-SERVER 20

SW1(config-access-map)#action forward

فروشگاه رها

زیروکلاینت            تین کلاینت           استر (Aster)

ثبت ديدگاه

چهار × چهار =

تماس با رها

0
محصولی برای مقایسه وجود ندارد

مقایسه محصولات

لطفا شکیبا باشید ...
X