دليل تصميم جهاز أمان الويب

المقدمة

يوضح هذا المستند كيفية تصميم جهاز أمان الويب (WSA) من Cisco والمكونات المقترنة به لتحقيق الأداء الأمثل.

معلومات أساسية

عندما تقوم بتصميم حل ل WSA، فإنه يتطلب دراسة متأنية، ليس فقط فيما يتعلق بتكوين الجهاز نفسه، ولكن أيضا أجهزة الشبكة المرتبطة ومميزاتها. تعد كل شبكة بمثابة تعاون بين أجهزة متعددة، وإذا لم يشارك أحدها بشكل صحيح في الشبكة، فقد تنخفض خبرات المستخدم.

هناك مكونان رئيسيان يجب أخذهما في الاعتبار عند تكوين WSA: الأجهزة والبرامج. تأتي الأجهزة في نوعين مختلفين. النوع الأول هو النوع المادي للأجهزة، مثل الطرز من السلسلة S170 و S380 و S680، بالإضافة إلى نماذج نهاية العمر الأخرى (EoL)، مثل الطرز S160 و S360 و S660 و S370 و S670. نوع الأجهزة الآخر افتراضي، مثل الطرز S000v و S100v و S300v Series. يسمى نظام التشغيل (OS) الذي يتم تشغيله على هذا الجهاز AsyncOS ل Web، والذي يعتمد على FreeBSD في صميمه.

يوفر WSA خدمة الوكيل كما يقوم بفحص حركة مرور البيانات بالكامل (HTTP و HTTPS وبروتوكول نقل الملفات (FTP) وفحصها وتصنيفها. تعمل جميع هذه البروتوكولات فوق بروتوكول TCP وتعتمد بشكل كبير على نظام اسم المجال (DNS) للتشغيل السليم. ولهذه الأسباب، تعد سلامة الشبكة أمرا حيويا للتشغيل السليم للجهاز واتصاله بأجزاء مختلفة من الشبكة، داخل وخارج التحكم في المؤسسة على حد سواء.

تصميم

أستخدم المعلومات الموضحة في هذا القسم لتصميم WSA والمكونات ذات الصلة لتحقيق الأداء الأمثل.

الشبكة

خطأ حر، شبكة سريع حيوي ل السليم تشغيل ال WSA. إذا كانت الشبكة غير مستقرة، فقد تنخفض تجربة المستخدم. يتم عادة اكتشاف مشاكل الشبكة عندما تستغرق صفحات ويب وقتا أطول للوصول إليها أو يتعذر الوصول إليها. الإتجاه المبدئي هو لوم الجهاز، لكن عادة ما تكون الشبكة هي التي تسئ التصرف. وبالتالي، يجب إجراء دراسة ومراجعة دقيقة لضمان أن الشبكة توفر أفضل خدمة لبروتوكولات التطبيقات عالية المستوى مثل HTTP و HTTPS و FTP و DNS.

اعتبارات عامه

فيما يلي بعض الاعتبارات العامة التي يمكنك تنفيذها لضمان أفضل سلوك للشبكة:

• تأكد من أن شبكة الطبقة 2 (L2) مستقرة، وأن عملية الشجرة المتفرعة صحيحة، وأنه لا يوجد الكثير من عمليات حساب الشجرة المتفرعة والتغييرات في المخطط.
  
  
• يجب أن يوفر بروتوكول التوجيه المستخدم أيضا تقارب واستقرار بشكل سريع. تعد وحدات التوقيت السريعة لفتح أقصر مسار أولا (OSPF) أو بروتوكول توجيه العبارة الداخلي المحسن (EIGRP) إختيارات جيدة لمثل هذه الشبكة.
  
  
• أستخدم دائما واجهتي بيانات على الأقل على WSA: واحدة تواجه أجهزة الكمبيوتر الخاصة بالمستخدم النهائي، وأخرى للتشغيل الصادر (متصلة بوكيل الخادم أو الإنترنت). ويتم القيام بذلك لإزالة قيود الموارد المحتملة، مثل عندما يتم استنفاد عدد منافذ TCP أو عندما تصبح مخازن الشبكة المؤقتة ممتلئة (باستخدام واجهة واحدة للداخل والخارج على حد سواء بشكل خاص).
  
  
• قم بتخصيص واجهة الإدارة لحركة مرور البيانات الخاصة بالإدارة فقط من أجل زيادة الأمان. لتحقيق ذلك عبر واجهة المستخدم الرسومية، انتقل إلى شبكة > واجهات وحدد التوجيه المنفصل (منفذ M1 المقيد لخدمات إدارة الجهاز فقط) خانة الاختيار.
  
  
• أستخدم خوادم DNS السريعة. تتطلب أي حركة عبر WSA بحث DNS واحد على الأقل (إذا لم يكن في ذاكرة التخزين المؤقت). يؤثر خادم DNS البطيء أو الخاطئ على أي معاملة ويتم ملاحظته كاتصال إنترنت مؤجل أو بطيء.
  
  
• عند إستخدام جداول توجيه منفصلة، يتم تطبيق القواعد التالية:
  
  
  • يتم تضمين جميع الواجهات في جدول توجيه الإدارة الافتراضي (M1، P1، P2).
    
    
  • يتم تضمين واجهات البيانات فقط في جدول توجيه البيانات.

ملاحظة: لا يتم فصل جداول التوجيه لكل واجهة، بل لكل خدمة. على سبيل المثال، تطيع حركة المرور بين وحدة التحكم بالمجال WSA و Microsoft Active Directory (AD) دائما الموجهات المحددة في جدول توجيه الإدارة، ومن الممكن تكوين الموجهات التي تشير إلى خارج واجهة P1/P2 في هذا الجدول. لا يمكن تضمين المسارات في جدول توجيه البيانات الذي يستخدم واجهات الإدارة.

موازنة التحميل

فيما يلي بعض اعتبارات موازنة التحميل التي يمكنك تنفيذها لضمان أفضل سلوك للشبكة:

• تدوير DNS - هذا هو المصطلح المستخدم عند إستخدام اسم مضيف واحد كوكيل، ولكن لديه سجلات متعددة A على خادم DNS. ويقوم كل عميل بحلها إلى عنوان IP مختلف ويستخدم وكلاء مختلفين. أحد القيود هو أن تغييرات سجلات DNS تنعكس على العملاء عند إعادة التشغيل (ذاكرة التخزين المؤقت ل DNS المحلي)، لذلك فإنها توفر مستوى متدني من القوة إذا كان يجب إجراء تغيير. ومع ذلك، فهذا الأمر شفاف للمستخدمين النهائيين.
  
  
• ملفات Proxy Address Control (PAC) - هذه ملفات برمجة نصية تلقائية لوكيل تحدد كيفية معالجة كل عنوان URL على متصفح استنادا إلى الوظائف المكتوبة بداخله. له السمة أن يرسل ال نفسه URL دائما مباشرة أو إلى ال نفسه وكيل.
  
  
• اكتشاف تلقائي - يصف هذا إستخدام طرق DNS/DHCP للحصول على ملفات PAC (الموضحة في الاعتبار السابق). عادة، هذه الإعتبارات الثلاثة الأولى يتم جمعها في حل واحد. على أي حال، هذا يمكن أن يكون معقدا والعديد من وكلاء المستخدم، مثل Microsoft Office، Adobe Downloader، JavaScripts، و Flash، لا يمكنهم قراءة ملفات PAC على الإطلاق.
  
  
• بروتوكول التحكم في ذاكرة التخزين المؤقت للويب (WCCP) - يوفر هذا البروتوكول (خاصة WCCP الإصدار 2) طريقة قوية وفعالة للغاية لإنشاء موازنة الأحمال بين العديد من وحدات التحكم في الشبكة المحلية اللاسلكية (WSA) وكذلك دمج ميزة التوفر الفائق.
  
  
• جهاز (أجهزة) موازنة الأحمال المنفصلة - توصي Cisco باستخدام وحدات موازنة الأحمال كأجهزة مخصصة.

جدران الحماية

فيما يلي بعض اعتبارات جدار الحماية التي يمكنك تنفيذها لضمان أفضل سلوك للشبكة:

• تأكد من السماح ببروتوكول رسائل التحكم في الإنترنت (ICMP) عبر الشبكة من كل مصدر. وهذا أمر حيوي، لأن WSA يعتمد على آلية اكتشاف وحدة الانتقال القصوى للمسار (MTU)، كما هو موضح في RFC 1191، والتي تعتمد على طلبات صدى ICMP (النوع 😎 وردود صدى (النوع 0)، وتقتضي تجزئة ICMP الذي يتعذر الوصول إليه (النوع 3، الرمز 4). إذا قمت بتعطيل اكتشاف وحدة الحد الأقصى للنقل (MTU) للمسار على WSA باستخدام أمر واجهة سطر الأوامر (CLI) pathToDiscovery، فعندئذ يستخدم WSA وحدة الحد الأقصى للنقل (MTU) الافتراضية بمقدار 576 بايت، وفقا RFC 879. يؤثر هذا على الأداء بسبب زيادة التكاليف وإعادة تجميع الحزم.
  
  
• تأكد من عدم وجود توجيه غير متماثل داخل الشبكة. بينما هذا ليس مشكلة على WSA، فإن أي جدار حماية تتم مواجهته على المسار يسقط الحزم لأنه لم يستلم كلا جانبي الاتصال.
  
  
• مع جدران الحماية، من المهم للغاية إستبعاد عناوين IP الخاصة بمؤشر WSA من التهديدات مثل محطات الكمبيوتر الطرفية العادية. قد يقوم جدار الحماية بحظر
• عناوين IP ل WSA بسبب الاتصالات الكثيرة جدا (وفقا للمعرفة العامة لجدار الحماية).
  
  
• إذا كانت ترجمة عنوان الشبكة (NAT) مستخدمة لأي عنوان WSA IP على جهاز موقع العميل، فتأكد من أن كل WSA يستخدم عنوانا عالميا منفصلا خارج النطاق في NAT. إن يستعمل أنت NAT ل يتعدد WSAs أن يتلقى عنوان خارجي شامل وحيد، أنت أمكن واجهت هذا إصدار:
  
  
  • كل الاتصالات من كل WSAs إلى العالم الخارجي يستعمل عنوان خارجي واحد عالمي، وجدار الحماية بسرعة ينفذ من الموارد.
    
    
  • وفي حالة حدوث زيادة في حركة المرور نحو تلك الوجهة الواحدة، قد يقوم الخادم الوجهة بحظرها ومنع المؤسسة بالكامل من الوصول إلى هذا المورد. قد يكون هذا موردا قيما مثل وحدات التخزين عبر السحابة في الشركة أو إتصالات Office Cloud أو تحديثات برامج مكافحة الفيروسات لكل كمبيوتر.

الهويات

تذكر أن المنطق والمبدأ يسري في كل مكونات الهوية. على سبيل المثال، إذا قمت بتكوين كل من وكيل المستخدم وعنوان IP، فهذا يعني وكيل المستخدم من عنوان IP هذا. لا يعني ذلك وكيل المستخدم أو عنوان IP هذا.

أستخدم هوية واحدة للمصادقة من نفس النوع البديل (أو بدون بديل) و/أو وكيل المستخدم.

من المهم التأكد من أن كل هوية تتطلب المصادقة تتضمن سلاسل وكيل المستخدم للمستعرضات/عملاء المستخدم المعروفين التي تدعم مصادقة الوكيل، مثل Internet Explorer و Mozilla Firefox و Google Chrome. هناك بعض التطبيقات التي تتطلب الوصول إلى الإنترنت ولكنها لا تدعم مصادقة الوكيل/WWW.

تتطابق الهويات من أعلى إلى أسفل مع البحث عن التطابقات التي تنتهي في أول مدخل مطابق. ولهذا السبب، إذا كان لديك Identity 1 وIdentity 2 مكون، وكانت إحدى المعاملات تطابق Identity 1، فإنه لا يتم فحصها مقابل Identity 2.

سياسات الوصول/فك التشفير/التوجيه/البرامج الضارة الصادرة

يتم تطبيق هذه النهج على أنواع مختلفة من حركة المرور:

• يتم تطبيق سياسات الوصول مقابل إتصالات HTTP أو FTP العادية. وهم يحددون ما إذا كان ينبغي قبول الحركة أو إسقاطها.
  
  
• تحدد سياسات فك التشفير ما إذا كان يجب فك تشفير حركات HTTPS أو إسقاطها أو تمريرها. إذا تم فك تشفير الحركة، فيمكن حينئذ إعتبار الجزء التالي لها كطلب HTTP عادي ومطابقته بنهج الوصول. إذا كان يجب عليك إسقاط طلب HTTPS، قم بإسقاطه في سياسات فك التشفير، وليس في نهج الوصول. وإلا، فإنه يستهلك المزيد من وحدة المعالجة المركزية (CPU) والذاكرة لحركة مسقطة أولا ليتم فك تشفيرها ثم يتم إسقاطها.
  
  
• تحدد سياسات التوجيه إتجاه الخادم للمعاملة بمجرد السماح بها من خلال WSA. ينطبق هذا إذا كان هناك وكلاء للتدفق أو إذا كان WSA في وضع الموصل ويرسل حركة مرور البيانات إلى برج أمان الويب السحابي.
  
  
• يتم تطبيق سياسات البرامج الضارة الصادرة مقابل تحميلات HTTP أو FTP من المستخدمين النهائيين نحو خوادم الويب. عادة ما يرى هذا هو طلب HTTP Post.

ومن المهم، بالنسبة لكل نوع من أنواع السياسات، أن نتذكر أن المبدأ المنطقي أو المبدأ ينطبق. إذا كان لديك هويات متعددة مشار إليها، فيجب أن تتطابق الحركة مع أي من الهويات المكونة.

لمزيد من التحكم الدقيق، أستخدم هذه السياسات. الهويات التي تم تكوينها بشكل غير صحيح لكل سياسة يمكن أن تخلق مشاكل، حيث يكون من المفيد إستخدام هويات متعددة مشار إليها في السياسة. تذكر أن الهويات لا تؤثر على حركة المرور، فإنها فقط تعرف أنواع حركة المرور للمطابقات اللاحقة في سياسة.

في كثير من الأحيان، تستخدم سياسات فك التشفير الهويات مع المصادقة. وعلى الرغم من أن هذا الأمر غير صحيح ويتطلب في بعض الأحيان، فإن إستخدام هوية مع مصادقة مشار إليها في سياسة فك التشفير يعني فك تشفير جميع الحركات التي تطابق سياسة فك التشفير من أجل تنفيذ المصادقة. قد يتم إسقاط إجراء فك التشفير أو تمريره، ولكن نظرا لوجود هوية مع المصادقة، يحدث فك التشفير للإفلات لاحقا أو المرور عبر حركة المرور. وهذا باهظ الثمن وينبغي تجنبه.

وقد لوحظت بعض التكوينات التي تحتوي على 30 هويات أو أكثر و 30 سياسة أو أكثر من سياسات الوصول، حيث تتضمن جميع سياسات الوصول جميع الهويات. في هذه الحالة، لا حاجة لاستخدام هذه الهويات الكثيرة إذا كانت متطابقة في كل سياسات الوصول. على الرغم من أن ذلك لا يضر بعملية الجهاز، إلا أنه يحدث إرباكا مع محاولات أستكشاف الأخطاء وإصلاحها وهو مكلف فيما يتعلق بالأداء.

فئات عنوان URL المخصصة

إن إستخدام فئات عنوان URL المخصصة هو أداة قوية على WSA والتي عادة ما يساء فهمها واستخدامها. على سبيل المثال، هناك تكوينات تحتوي على جميع مواقع الفيديو للتطابقات في الهوية. يحتوي WSA على أداة مضمنة يتم تحديثها تلقائيا عندما تغير مواقع الفيديو URLs، والذي يحدث بشكل متكرر. وبالتالي، فمن المنطقي السماح ل WSA بإدارة فئات URL تلقائيا، واستخدام فئات URL المخصصة للمواقع الخاصة غير المصنفة بعد.

كن حذرا جدا مع التعابير القانونية. إذا تم إستخدام تطابقات خاصة من الحروف مثل dot (.) و star(*)، فإنها قد تثبت أن تكون وحدة معالجة مركزية كبيرة وذاكرة واسعة. يوسع WSA أي تعبير عادي لمطابقته مقابل كل حركة. على سبيل المثال، هنا تعبير عادي:

example.*

سيطابق هذا التعبير أي عنوان URL يحتوي على مثال الكلمة، وليس فقط مجال example.com. تجنب إستخدام النقطة والنجمة في التعبيرات المنتظمة واستخدامهما فقط كحل أخير.

هنا مثال آخر من تعبير عادي أن قد يخلق مشكلة:

www.example.com

إذا كنت تستخدم هذا المثال في ملف التعبيرات العادية، فإنه لن يطابق www.example.com فقط، لكن أيضا www.www3example2com.com، بما أن النقطة هنا تعني أي حرف. إذا كنت ترغب في مطابقة www.example.com فقط، فاهرب من النقطة:

www\.example\.com

في هذه الحالة، لا يوجد سبب لاستخدام ميزة التعبيرات العادية عندما يمكنك تضمين هذا داخل مجال فئة عنوان URL المخصص بهذا التنسيق:

www.example.com

مكافحة البرامج الضارة والسمعة

في حالة تمكين أكثر من محرك مسح ضوئي واحد، ضع في الاعتبار الخيار لتمكين المسح الضوئي التكييفي أيضا. الفحص المتكيف هو محرك قوي ولكنه صغير على WSA يقوم بفحص مسبق لكل طلب ويحدد المحرك الشامل الذي يجب إستخدامه لمسح الطلبات. وهذا يزيد قليلا من الأداء على WSA.