Join Telegram Study Group ▷
SPOTO هي الشركة الرائدة في تزويد المرشحين للحصول على شهادة تكنولوجيا المعلومات بنماذج امتحانات Cisco حقيقية ومحدثة بنسبة 100%. يتم مراجعة وتحديث جميع أسئلة وأجوبة Cisco CCIE المكتوبة من SPOTO باستمرار للتأكد من ملاءمتها ودقتها من قبل محترفين حقيقيين معتمدين من Cisco.
إن إنشاء قائمة التحكم في الوصول (ACL) على جهاز توجيه Cisco هو وسيلة شائعة لتصفية البيانات وحماية أمان الشبكة للمسؤولين، ولكن قيود قائمة التحكم في الوصول (ACL) واضحة جدًا لأنها لا تستطيع اكتشاف معلومات البيانات إلا على طبقة الشبكة وطبقة النقل. وهي عاجزة عن اكتشاف المعلومات الضارة المضمنة في حزم IP. لذلك، فإن قائمة التحكم في الوصول (ACL) ليست موثوقة وتتطلب تعاون CBAC (التحكم في الوصول القائم على السياق)، وبالتالي سيتم تحسين أمان الشبكة بشكل كبير. ستناقش هذه المقالة معك التفاصيل الفنية لنشر CBAC على أجهزة توجيه Cisco والتقنيات ذات الصلة.
1. موجز CBAC
CBAC (التحكم في الوصول القائم على السياق) هو نظام تحكم في الوصول قائم على السياق. لا يُستخدم لقوائم التحكم في الوصول (ACLs) ولا يمكن استخدامه لتصفية كل بروتوكول TCP/IP، ولكنه يُستخدم لتشغيل تطبيقات TCP أو UDP أو بعض تطبيقات الوسائط المتعددة. تعد الشبكات مثل NetShow أو Real Audio من Microsoft حلاً أمنيًا أفضل. بالإضافة إلى ذلك، يتفوق CBAC في تصفية حركة المرور وتفتيش حركة المرور والتحذير والتدقيق واكتشاف التطفل. في معظم الحالات، نحتاج فقط إلى تكوين CBAC في اتجاه واحد لواجهة واحدة للسماح فقط بتدفق البيانات التي تنتمي إلى جلسة موجودة للدخول إلى الشبكة الداخلية. يمكن القول إن ACL وCBAC متكاملان، ويمكن لدمجهما تعظيم أمان الشبكة.
ثانياً، التخصيص المعقول لـ CBAC
2. التقييم قبل تكوين CBAC
قبل إجراء تكوين CBAC، تحتاج إلى تقييم معايير الأمان ومتطلبات التطبيق للشبكة ثم تكوينها وفقًا لذلك. عادةً، يمكن للمستخدمين تكوين CBAC في اتجاهين على واجهة واحدة أو أكثر. إذا كانت الشبكات الموجودة في كلا طرفي جدار الحماية بحاجة إلى الحماية، كما هو الحال في تكوين شبكة خارجية أو شبكة داخلية، فيمكنك تكوين CBAC في اتجاهين. إذا تم وضع جدار الحماية في منتصف شبكتين لشركتين شريكتين، فقد يكون من المرغوب فيه الحد من تدفق البيانات في اتجاه واحد لبعض التطبيقات وتقييد تدفق البيانات في الاتجاه المعاكس لتطبيقات أخرى.
من المهم ملاحظة أنه لا يمكن استخدام CBAC إلا لتدفقات بيانات IP. لا يمكن التحقق إلا من حزم TCP وUDP، وتدفقات IP الأخرى.
لا يمكن التحقق من بروتوكولات الوصول (مثل ICMP) بواسطة CBAC ولا يمكن تصفيتها إلا باستخدام قائمة التحكم في الوصول الأساسية. يمكن لـ CBA تصفية جميع جلسات TCP وUDP، مثل قوائم التحكم في الوصول الانعكاسية، دون مراجعة بروتوكول طبقة التطبيق. ولكن يمكن أيضًا تكوين CBAC للتعامل بكفاءة مع بروتوكولات طبقة التطبيق متعددة القنوات (متعددة المنافذ): CU-SeeMe (إصدار whitePine فقط)، FTP، H.323 (مثل NetMeeting وProShare)، HTTP (Java Block)، Java، MicrosftNetshow، أوامر سلسلة UNIX r (مثل rlogin وrexec وrsh)؛ RealAudio، RPC (sunrpc، non-DCERPC) Microsoft RPC، SMTP، SQL.Net، StreamWorks، TFTP، VDOLive.
3. حدد واجهة التكوين
من أجل تكوين CBA بشكل صحيح، يجب عليك أولاً تحديد الواجهة التي سيتم تكوين CBAC عليها. يتم وصف الاختلافات بين الواجهتين الداخلية والخارجية أدناه.
الخطوة الأولى في تكوين تصفية تدفق البيانات هي تحديد ما إذا كان سيتم تكوين CBAC على واجهة داخلية أو خارجية لجدار الحماية. في هذا السياق، يشير مصطلح "داخلي" إلى الجانب الذي يجب أن تبدأه الجلسة بنشاط للسماح بمرور تدفق البيانات عبر جدار الحماية؛ يشير "خارجي" إلى الجانب الذي لا يمكن للجلسة أن تبدأه بنشاط (يُحظر بدء الجلسة من الخارج). إذا كنت تريد تكوين CBA في اتجاهين، فيجب عليك أولاً تكوين CBAC في اتجاه واحد باستخدام الواجهتين "الداخلية" و"الخارجية" المناسبتين. عند تكوين CBAC في الاتجاه الآخر، قم بتغيير إشارة الواجهة إلى أخرى.
غالبًا ما يتم استخدام CBAC في أحد طوبولوجيات الشبكة الأساسية. إن تحديد الطوبولوجيا التي تتطابق بشكل أفضل مع الطوبولوجيا الخاصة بالمستخدم يمكن أن يساعد المستخدم في تحديد ما إذا كان يجب تكوين CBAC على واجهة داخلية أم واجهة خارجية.
يوضح الشكل 1 أول طوبولوجيا للشبكة. في هذه الطوبولوجيا البسيطة، يتم تكوين CBAC على الواجهة الخارجية S0. وهذا يمنع حركة مرور بروتوكول معين من الدخول إلى جهاز التوجيه بجدار الحماية والشبكة الداخلية ما لم تكن البيانات جزءًا من جلسة بدأتها الشبكة الداخلية.
