آموزش کار با CLI فایروال سیسکو ASA و دستورات حیاتی مدیریت

اگر با Cisco ASA کار کرده باشید، احتمالاً میدانید که هرچند ASDM ابزار مناسبی برای مشاهده و پیکربندی است، اما در شرایط واقعی پروژه، Incident یا عیبیابی جدی، این CLI است که کار را جلو میبرد. بسیاری از مهندسان شبکه در سطح گرافیکی کار میکنند، اما زمانی که یک Tunnel بالا نمیآید، NAT درست عمل […]
راهاندازی Identity Policy در Cisco Firepower برای اعمال Rule مبتنی بر کاربر

در بسیاری از سازمانها هنوز هم Policyهای فایروال بر اساس IP نوشته میشوند. این مدل تا زمانی که ساختار شبکه ساده و ایستا باشد قابل مدیریت است، اما در محیطهای امروزی که کاربران از طریق VPN، وایرلس، VDI و حتی BYOD به شبکه متصل میشوند، IP دیگر شاخص قابل اعتمادی برای شناسایی هویت نیست. اگر […]
طراحی سناریوی Multi-ISP و Failover اینترنت با فایروال Cisco ASA

در بسیاری از سازمانهای امروزی، اینترنت دیگر یک مسیر خروجی ساده برای وبگردی کاربران نیست. بستر اصلی سرویسدهی، ارتباط با سامانههای ابری، VPN کاربران راهدور، ارتباط با شعب، سرویسهای مالی و حتی سیستمهای مانیتورینگ بر پایه اینترنت کار میکنند. در چنین شرایطی، قطع شدن اینترنت حتی برای چند دقیقه میتواند منجر به توقف عملیات یا […]
اتصال فایروال سیسکو به SIEM و Syslog Server برای تحلیل متمرکز لاگها

در معماریهای مدرن امنیت شبکه، فایروال دیگر صرفاً یک تجهیز کنترلی در مرز شبکه نیست، بلکه یک سنسور تولید داده با حجم بسیار بالا است. هر Session، هر Attempt ناموفق، هر تطابق Signature و هر تغییر وضعیت فایل میتواند یک Event تولید کند. این حجم داده اگر بهدرستی جمعآوری و تحلیل نشود، نهتنها کمکی به […]
مانیتورینگ و گزارشگیری پیشرفته در Cisco Firepower Management Center

در بسیاری از سازمانها، تمرکز اصلی هنگام پیادهسازی تجهیزات امنیتی روی طراحی Access Control Policy، فعالسازی IPS و تنظیم NAT است. اما در عمل آنچه تعیین میکند شبکه واقعاً امن است یا صرفاً تصور امنیت وجود دارد، کیفیت مانیتورینگ و تحلیل دادههای تولیدشده توسط فایروال است. در معماری مبتنی بر Cisco Firepower Management Center، شما […]
نحوه Upgrade و Migration از ASA کلاسیک به Cisco Firepower Threat Defense

مهاجرت از Cisco Adaptive Security Appliance کلاسیک به Cisco Firepower Threat Defense صرفاً یک Upgrade نرمافزاری نیست. این تغییر، انتقال از یک مدل Policy مبتنی بر ACL و ماژولهای جداگانه به یک معماری یکپارچه NGFW است که Application Control، IPS و URL Filtering را بهصورت متمرکز ارائه میدهد. در بسیاری از سازمانها، ASA سالها بدون […]
طراحی معماری DMZ با استفاده از فایروال سیسکو برای انتشار سرویسهای اینترنتی

انتشار سرویسهای اینترنتی بدون طراحی صحیح DMZ یکی از رایجترین دلایل نفوذ به شبکههای سازمانی است. بسیاری از سازمانها یک وبسرور را مستقیماً در شبکه داخلی قرار میدهند و فقط با یک Static NAT آن را Publish میکنند. این رویکرد در ظاهر ساده است، اما از نظر امنیتی پرریسک محسوب میشود. در این مقاله، طراحی […]
چکلیست امنیتی برای Hardening فایروالهای سیسکو ASA و Firepower

Hardening فایروال فقط به معنی بستن چند پورت یا تغییر پسورد نیست. در محیطهای Enterprise، فایروال مرز اعتماد شبکه است و اگر خود آن بهدرستی ایمن نشده باشد، تمام لایههای امنیتی پشت آن بیاثر میشوند. در این مقاله یک چکلیست عملی و مهندسی برای Hardening در Cisco Adaptive Security Appliance و Cisco Firepower Threat Defense […]
بهترین تنظیمات SSL Inspection در Cisco Secure Firewall برای محیطهای حساس

در شبکههای امروزی، بخش عمدهای از ترافیک رمزنگاریشده است. اگر SSL Inspection فعال نباشد، عملاً بخش بزرگی از ترافیک از دید IPS، Application Control و URL Filtering خارج میشود. اما فعالسازی نادرست SSL Decryption میتواند باعث افزایش Latency، فشار پردازشی بالا و حتی نقض سیاستهای حریم خصوصی شود. در این مقاله، بهترین تنظیمات SSL Inspection […]
آموزش کانفیگ NAT در فایروال سیسکو ASA و FTD (Static, Dynamic, PAT)

NAT یکی از پایهایترین اما در عین حال حساسترین بخشهای طراحی فایروال است. اشتباه در NAT میتواند باعث قطع کامل دسترسی اینترنت، اختلال در VPN یا حتی باز شدن ناخواسته سرویسها به بیرون شود. در این مقاله، کانفیگ و منطق NAT در Cisco Adaptive Security Appliance و Cisco Firepower Threat Defense را بهصورت مهندسی بررسی […]
مقایسه فایروال سیسکو با پالو آلتو در سناریوهای Enterprise و دیتاسنتری

در پروژههای Enterprise و دیتاسنتری، انتخاب فایروال فقط بر اساس قیمت یا برند انجام نمیشود. این تصمیم مستقیماً روی امنیت، Performance، توسعهپذیری و حتی مدل عملیاتی تیم فنی اثر میگذارد. در این مقاله، پلتفرم Cisco Firepower Threat Defense را با فایروالهای Palo Alto Networks که بر پایه PAN-OS اجرا میشوند مقایسه میکنیم. هدف این مقایسه […]
مقایسه Cisco Firepower با Fortinet FortiGate از نظر فیچر و Performance

انتخاب فایروال در سازمان فقط به برند یا قیمت خلاصه نمیشود. تصمیم درست باید بر اساس معماری، فیچرهای امنیتی، Performance واقعی در سناریوهای عملیاتی و مدل مدیریتی انجام شود. در این مقاله، Cisco Firepower Threat Defense را با Fortinet FortiGate از نظر قابلیتها، معماری، توان پردازشی و تجربه عملی مقایسه میکنیم. هدف این مقایسه، بررسی […]
طراحی Zone-Based Architecture با استفاده از Cisco Firepower در شبکه سازمانی

در بسیاری از شبکههای سازمانی، سیاستهای امنیتی بهمرور زمان و بدون معماری مشخص ایجاد شدهاند. نتیجه معمولاً مجموعهای از Ruleهای پراکنده و پیچیده است که نگهداری و عیبیابی آنها دشوار میشود. طراحی Zone-Based Architecture یکی از روشهای استاندارد برای سادهسازی، ساختاردهی و افزایش امنیت شبکه است. در Cisco Firepower Threat Defense، این معماری از طریق […]
آموزش عیبیابی VPN در فایروال سیسکو با استفاده از ابزارهای Debug و Log

یکی از چالشهای رایج در پروژههای شبکه، عیبیابی VPN است. کاربر میگوید «وصل نمیشود» یا «وصل میشود اما دسترسی ندارم»، اما ریشه مشکل میتواند در Phase 1، Phase 2، NAT، Routing، ACL یا حتی DNS باشد. در فایروالهای Cisco، چه در Cisco Adaptive Security Appliance و چه در Cisco Firepower Threat Defense، ابزارهای قدرتمندی برای […]
طراحی Policy های امنیتی مبتنی بر Application در Cisco Firepower

در شبکههای امروزی، تصمیمگیری امنیتی فقط بر اساس IP و Port دیگر کافی نیست. بسیاری از اپلیکیشنها از پورتهای مشترک مانند 443 استفاده میکنند و تشخیص آنها فقط با Layer 4 امکانپذیر نیست. اینجاست که کنترل مبتنی بر Application در Cisco Firepower Threat Defense اهمیت پیدا میکند. در این رویکرد، فایروال ترافیک را در لایه […]
پیادهسازی High Availability در فایروالهای سیسکو ASA و Firepower

در شبکههای سازمانی، فایروال نقطه گلوگاه ترافیک است. اگر این نقطه از دسترس خارج شود، عملاً کل سازمان دچار قطعی ارتباط میشود. به همین دلیل پیادهسازی High Availability یا HA در فایروال نه یک قابلیت لوکس، بلکه یک الزام معماری است. در اکوسیستم Cisco، هم در Cisco Adaptive Security Appliance و هم در Cisco Firepower […]
نحوه اتصال فایروال سیسکو به Active Directory برای احراز هویت کاربران

در بسیاری از سازمانها، تصمیمگیری امنیتی فقط بر اساس IP آدرس کافی نیست. وقتی چند کاربر از یک شبکه مشترک استفاده میکنند یا DHCP فعال است، شناسایی دقیق هویت کاربر اهمیت پیدا میکند. اتصال فایروال سیسکو به Active Directory این امکان را فراهم میکند که Policyها بر اساس Username یا گروه کاربری تعریف شوند، نه […]
آموزش راهاندازی URL Filtering و Web Control در Cisco Secure Firewall

کنترل دسترسی کاربران به اینترنت فقط با باز و بسته کردن پورتها معنا ندارد. امروز بخش زیادی از ریسک امنیتی از طریق وب اتفاق میافتد؛ از بدافزارهایی که در قالب دانلود نرمافزار منتشر میشوند تا حملات فیشینگ و ارتباط با سرورهای Command & Control. در Cisco Secure Firewall که بر پایه Cisco Firepower Threat Defense […]
پیادهسازی NGIPS روی Cisco Firepower برای تشخیص و جلوگیری از حملات شبکهای

در بسیاری از سازمانها فایروال فقط برای کنترل دسترسی استفاده میشود، در حالی که بخش اصلی تهدیدات امروزی در لایه Application و داخل ترافیک مجاز رخ میدهد. کاربر از پورت 443 استفاده میکند، اما داخل همان ترافیک HTTPS ممکن است Exploit، Malware یا Command & Control جریان داشته باشد. اینجاست که NGIPS وارد بازی میشود. […]
معرفی انواع لایسنس فایروال Cisco Firepower و نقش هر کدام در فیچرها

وقتی صحبت از پیادهسازی Cisco Firepower میشود، انتخاب مدل سختافزار تنها بخشی از تصمیمگیری است. بخش مهمتر، انتخاب درست لایسنسهاست. در بسیاری از پروژهها دیده میشود که دستگاه خریداری شده اما Feature مورد انتظار فعال نیست، فقط به این دلیل که لایسنس مربوطه تهیه نشده یا به درستی تخصیص داده نشده است. در این مقاله، […]
یکپارچهسازی Firepower Management Center (FMC) با فایروالهای Cisco Firepower

یکپارچهسازی Firepower Management Center با فایروالهای Cisco Firepower فقط اضافه کردن یک دستگاه در پنل مدیریتی نیست. این کار در واقع طراحی ستون فقرات مدیریت امنیت سازمان است. اگر این مرحله بهدرستی انجام شود، شما یک کنترل متمرکز، قابل توسعه و قابل تحلیل روی تمام فایروالهای سازمان خواهید داشت. اما اگر بدون درک معماری انجام […]
آموزش راهاندازی Remote Access VPN با AnyConnect روی فایروال سیسکو

راهاندازی Remote Access VPN یکی از رایجترین سناریوهای عملی در فایروالهای سیسکو است. وقتی کاربران خارج از سازمان نیاز دارند به منابع داخلی مثل فایلسرور، نرمافزارهای مالی یا سرورهای مدیریتی دسترسی داشته باشند، امنترین و پایدارترین روش استفاده از AnyConnect SSL VPN است. در این مقاله، پیادهسازی Remote Access VPN با استفاده از AnyConnect روی […]
آموزش نصب و راهاندازی اولیه Cisco Firepower Threat Defense (FTD)

اگر قرار است Cisco Firepower Threat Defense را در یک شبکه سازمانی راهاندازی کنید، باید بدانید با یک فایروال ساده طرف نیستید. FTD ترکیبی از قابلیتهای Stateful Firewall، IPS، URL Filtering، Malware Protection و کنترل اپلیکیشن است که در قالب یک سیستم یکپارچه ارائه میشود. همین یکپارچگی باعث میشود فرآیند نصب و راهاندازی اولیه آن […]
آموزش کانفیگ Basic Access Policy در Cisco ASA به صورت قدمبهقدم

وقتی یک Cisco ASA را وارد شبکه سازمانی میکنید، اولین لایهای که باید با دقت و نگاه مهندسی طراحی شود، Access Policy است. خیلی از مشکلات عملیاتی، اختلالهای مقطعی سرویسها و حتی رخنههای امنیتی، ریشه در سیاست دسترسیای دارند که یا بیش از حد باز نوشته شده یا بدون درک دقیق رفتار ASA پیادهسازی شده […]
پیادهسازی Site to Site VPN روی فایروال سیسکو ASA بین دو شعبه سازمان

در دنیای امروز، بسیاری از سازمانها نیاز دارند که شعبات مختلف خود را از طریق یک ارتباط امن و خصوصی به یکدیگر متصل کنند. یکی از بهترین روشها برای برقراری چنین ارتباطی، استفاده از Site-to-Site VPN (شبکه خصوصی مجازی سایت به سایت) است. در این مقاله، به بررسی مراحل پیادهسازی Site-to-Site VPN بر روی فایروال […]
بهترین تمرینها برای مدیریت تغییر (Change Management) روی فایروالهای پالو آلتو

در اغلب تجهیزات شبکه، یک تغییر اشتباه ممکن است باعث اختلال محدود یا محلی شود. اما در فایروالها، بهویژه فایروالهای Enterprise، یک تغییر کوچک میتواند مستقیماً روی دسترسی کاربران، سرویسهای حیاتی و حتی امنیت کل سازمان اثر بگذارد. اضافه کردن یک Rule ساده، تغییر یک NAT یا جابهجایی ترتیب Policy ممکن است بهظاهر بیخطر باشد، […]
راهنمای آمادهسازی گزارشهای مدیریتی از فایروال پالو آلتو برای تیم مدیریت ارشد

یکی از اشتباهات رایج تیمهای فنی این است که تصور میکنند گزارش خوب، یعنی گزارش پرجزئیات. در حالیکه برای تیم مدیریت ارشد، گزارش خوب یعنی گزارشی که تصمیمسازی کند، نه گزارشی که نیاز به تفسیر فنی عمیق داشته باشد. مدیران ارشد معمولاً به دنبال پاسخ به چند سؤال مشخص هستند: آیا امنیت تحت کنترل است؟ […]
چطور Ruleهای غیرضروری را در فایروال پالو آلتو شناسایی و پاکسازی کنیم؟

در فایروالهای سازمانی، خطر همیشه از Ruleهای اشتباه یا بیشازحد باز نمیآید. بسیاری از Incidentها و مشکلات Performance دقیقاً از Ruleهایی ناشی میشوند که «دیگر به آنها فکر نمیکنیم». Ruleهایی که زمانی برای یک پروژه موقت، تست، مهاجرت یا سرویس قدیمی ایجاد شدهاند و بعد از آن هرگز بررسی یا حذف نشدهاند. در فایروالهای Palo […]
طراحی معماری DMZ با استفاده از فایروال پالو آلتو برای انتشار سرویسهای اینترنتی

با وجود گسترش Cloud و معماریهای Zero Trust، DMZ همچنان یکی از مهمترین لایههای دفاعی برای انتشار سرویسهای اینترنتی محسوب میشود. هر سرویسی که از اینترنت در دسترس قرار میگیرد، بهصورت بالقوه یک نقطه ورود برای مهاجم است و اگر معماری DMZ بهدرستی طراحی نشده باشد، نفوذ به یک سرویس میتواند بهسرعت به نفوذ در […]
استانداردهای توصیهشده برای Backup و Restore کانفیگ فایروالهای پالو آلتو

در فایروالهای Enterprise، مشکل معمولاً «اگر» رخ دهد نیست، بلکه «چه زمانی» رخ میدهد. خطای انسانی، آپدیت ناموفق، خرابی سختافزار، Bug نرمافزاری یا حتی یک تغییر کوچک اشتباه میتواند کل دسترسی شبکه را مختل کند. در چنین شرایطی، تفاوت بین چند دقیقه اختلال و چند ساعت یا چند روز بحران، به کیفیت فرآیند Backup و […]
معرفی Panorama و مزایای مدیریت متمرکز فایروالهای پالو آلتو در سازمان

با رشد شبکهها و افزایش تعداد فایروالها، مدیریت جداگانه هر دستگاه خیلی زود به یک گلوگاه عملیاتی تبدیل میشود. تفاوت نسخهها، Policyهای ناسازگار، تغییرات دستی و نبود دید متمرکز باعث میشود ریسک خطای انسانی بالا برود و زمان واکنش به رخدادها افزایش پیدا کند. در چنین شرایطی، داشتن یک ابزار متمرکز نه یک انتخاب لوکس، […]
چطور Session ها و ترافیک زنده را در فایروال پالو آلتو تحلیل و بررسی کنیم؟

در فایروالهای نسل جدید، عبور یا عدم عبور ترافیک صرفاً نتیجه یک Rule ساده نیست. در فایروالهای Palo Alto Networks، همهچیز حول Session میچرخد. هر تصمیم امنیتی، از NAT و Routing گرفته تا App-ID و Security Profile، در بستر Session گرفته میشود. به همین دلیل، اگر Session را درک نکنید، عملاً در حال حدس زدن […]
استفاده از CLI در فایروال پالو آلتو؛ دستورات مهم برای مدیریت و عیبیابی

با وجود رابط گرافیکی قدرتمند در فایروالهای Palo Alto Networks، استفاده از CLI همچنان یکی از مهمترین مهارتها برای کارشناسان فنی محسوب میشود. در بسیاری از سناریوهای واقعی، بهویژه هنگام Troubleshooting، GUI یا اطلاعات کافی در اختیار شما قرار نمیدهد یا دسترسی به آن ممکن نیست. اینجاست که CLI بهعنوان سریعترین و دقیقترین راه برای […]
اصول طراحی Security Profile ها در فایروال پالو آلتو برای جلوگیری از تهدیدات Zero-Day

تهدیدات Zero-Day دقیقاً جایی متولد میشوند که امضا وجود ندارد، رفتار هنوز شناخته نشده و تیمهای امنیتی هنوز واکنشی نشان ندادهاند. در چنین شرایطی، اتکا به فایروال بهعنوان یک ابزار صرفاً کنترلی یا مبتنی بر Rule، عملاً بیاثر است. آنچه در این نقطه تفاوت ایجاد میکند، نحوه طراحی و استفاده از Security Profileهاست. در فایروالهای […]
راهاندازی Palo Alto VM-Series در محیط Cloud و دیتاسنتر مجازی

با حرکت سازمانها به سمت Cloud و دیتاسنترهای کاملاً مجازی، مدل سنتی امنیت مبتنی بر فایروال فیزیکی دیگر پاسخگو نیست. ترافیک دیگر الزاماً از یک نقطه مشخص عبور نمیکند، Workloadها پویا هستند و IPها دائماً تغییر میکنند. در چنین فضایی، اگر فایروال نتواند همپای زیرساخت Scale شود، امنیت عملاً عقب میماند. فایروال Palo Alto Networks […]
نحوه یکپارچهسازی فایروال پالو آلتو با محیطهای مجازی VMware و Hyper-V

با گسترش Virtualization در دیتاسنترها، مرز سنتی بین شبکه و سرور عملاً از بین رفته است. ترافیکی که قبلاً از فایروال فیزیکی عبور میکرد، امروز ممکن است کاملاً داخل یک Host مجازی جریان داشته باشد. اگر فایروال نتواند این ترافیک را ببیند یا کنترل کند، بخش بزرگی از امنیت شبکه عملاً از دست میرود. فایروالهای […]
آموزش عیبیابی VPN در فایروال پالو آلتو با ابزارهای Monitoring و Log

VPN یکی از حساسترین سرویسها در فایروال است. کوچکترین اختلال در آن میتواند دسترسی کاربران راه دور، ارتباط شعب، سرویسهای حیاتی و حتی فرآیندهای تجاری را مختل کند. در فایروالهای Palo Alto Networks، VPN فقط یک تونل رمزنگاریشده نیست، بلکه مجموعهای از Sessionها، Policyها، Routeها، NAT و مکانیزمهای امنیتی است که همگی باید بهدرستی با […]
سناریوهای پیادهسازی چند ISP و Load Balancing در فایروال پالو آلتو

در شبکههای Enterprise امروزی، استفاده از یک لینک اینترنت دیگر پاسخگوی نیازهای عملیاتی، پایداری و SLA نیست. قطعیهای ناگهانی، افت کیفیت لینک، نیاز به تفکیک ترافیک و وابستگی سرویسهای حیاتی به اینترنت، سازمانها را مجبور میکند از چند ISP بهصورت همزمان استفاده کنند. اما داشتن چند لینک بهتنهایی مسئله را حل نمیکند. چالش اصلی، مدیریت […]
آموزش کانفیگ Policy مبتنی بر User و Group با استفاده از User-ID در پالو آلتو

در بسیاری از شبکهها هنوز Policyهای امنیتی بر اساس IP نوشته میشوند. این رویکرد شاید در شبکههای کوچک جواب بدهد، اما در محیطهای Enterprise که کاربران جابهجا میشوند، VPN میزنند، از Wi-Fi استفاده میکنند یا روی VDI کار میکنند، عملاً کارایی خود را از دست میدهد. اینجاست که مفهوم User-Based Policy به یکی از مهمترین […]
پیکربندی NAT پیشرفته در فایروال پالو آلتو (Static, Dynamic, PAT, U-Turn)

اگر تجربه کار عملی با فایروالهای نسل جدید را داشته باشید، خیلی زود متوجه میشوید که NAT در Palo Alto چیزی فراتر از ترجمه ساده آدرس مبدأ و مقصد است. در معماری فایروالهای شرکت Palo Alto Networks، NAT مستقیماً با Session، Zone، Routing، App-ID و حتی Security Policy درگیر است. همین موضوع باعث میشود پیادهسازی […]