DC1 DC2 192/168/0/0 /20

‫جدا سازی سرورها با‬

DNS DNS
Pvlan
SQL1 SQL2 WWW
DHCP DHCP Micro segmentation
‫روتر اینترنت‬
Loopback0 8.8.8.8
192.168.17.0 /32 ISP
hotspot
interne
R- 1/1/1t /0 /24
GOOGLE
SW-SERVER- L2
MICROTIK ‫روتر اینترنت‬
in
Loopback0 IP SLA
ISP
192.168.17.2 /32
‫میتونه روتر باشه‬
SW CORE-L3 SW-EDGE
OSPF 2/2/2/0 /24
SVI ‫روتر اینترانت‬

SHATEL
R-CISCO
SW1-L2 SW2-L2
10/10/10/0 /24 IRIB

Loopback0 Stm1 10.20.20.20

192.168.17.1 /32
interanet
FTD PC1 PC2 10.5.5.0 /24

Routed
mode

Vlan18 Vlan19
Admin vlan18=192.168.18.0 /24 Admin user
User vlan19=192.168.19.0 /24
Manage vlan16=192.168.16.0 /24
 ‫روتر ‪ 1‬اگر روتر ‪ 2‬در سرویس نبود کار روتر ‪ 2‬را هم انجام دهد‬ ‫‪‬‬
‫روتر ‪ 2‬اگر روتر ‪ 1‬در سرویس نبود کار روتر ‪ 1‬را هم انجام دهد‬ ‫‪‬‬
‫فایروال و کجا باید بیاریم تو سرویس که خواسته های ما رو برآورده کند و شبکه امنیت الزم رو داشته‬ ‫‪‬‬
‫باشه؟؟؟؟؟‬
‫برای اینکه کاربر ها تو اکتیو دایرکوری احراز هویت بشسوند چه پورتهایی باید باز شود و کدام قسمت‪-‬از چه‬ ‫‪‬‬
‫زونی به چه زونی‪-‬آیا برعکس هم باید باز باشد‪.‬‬
‫فایروال چند تا زون باید داشته باشد تا ناحیه های ما از هم جدا و امن شوند‪(.‬مثال زون ‪db-ouside-service‬‬ ‫‪‬‬
‫‪)directory‬‬
‫کاربر ‪ dns query‬بگیرد از شبکه داخل به بیرون –کاربر بخواهد از بیرون به سرور فارم دسترسی پیدا کند باید‬ ‫‪‬‬
‫چه پورتهایی باز باشد‪ -‬از چه زونی به چه زونی (مثال ‪ dc‬به ‪-)out‬آیا برعکس هم باید باز باشد؟؟‬
‫‪ Dhcp‬کاربر ها برای اینکه از سوییچ کور رد شوند بروند سمت سرور باید سوییچ کور را بصورت ‪dhcp relay agent‬‬ ‫‪‬‬
‫کانفیگ کنیم‪-ip helper-‬چه پورتهایی برای ‪ dhcp‬سرور باز کنیم؟؟؟‬
‫‪ Source por udp68 , destination port udp67‬کافیه یا بازم پورت دیگه الزمه‪-‬برعکسش باید باز شود یا فایروال اتوماتیک‬ ‫‪‬‬
‫باز می کند؟؟‬
‫کاربر ادمین به کل سرورها ریموت بزند کاربر های دیگر نتوانند‬ ‫‪‬‬
‫کاربر ادمین به اینترنت وصل شود بدون محدودیت ولی کاربر معمولی باید فقط بتواند فایرفاکس را باز کند‬ ‫‪‬‬
‫یوزر هم باید احراز هویت شده باشد( ‪passive mode‬یا‪-) active mode‬چه کارهایی باید انجام داد‪-‬چه سرویس اضافی نصب‬
‫کنیم کاربر بتواند بدون اینکه صفحه ای ببیند برود اینترنت واتوماتیک وصل شود –فقط هم از فایرفاکس‬
‫استفاده کند‬
‫‪Ip‬های ‪botnet‬و ‪ proxy‬اتوماتیک بالک شوند‪.‬‬ ‫‪‬‬
‫‪Ftd‬تمام آدرس های ‪ talos‬را بصورت ‪ manual‬بالک کند‬ ‫‪‬‬
‫این دامین اتوماتیک بالک شود ‪ ip - www.concise-courses.com‬نمیخواهد دامین از چه راهی استفاده می کنید‪.‬‬ ‫‪‬‬
‫کاربری که می خواهد ‪ ftp‬اینترانت استفاده کنند پهنای باند ‪1‬مگ بیشتر نتوانند استفاده کنند توسط ‪ FTD‬انجام‬ ‫‪‬‬
‫شود‪ ping-‬هم جزو این محدودیت نباشد‪.‬‬
‫بتوانیم از اینترنت ‪ www‬را ببینیم با دو ‪ )1.1.1.20-2.2.2.20( ips‬این دو ‪ ip‬را کجا ست کنیم روی فایروال یا روی‬ ‫‪‬‬
‫روتر ؟ کدام درست هست؟‬
‫از لینا باید استفاده کنیم از ‪ snort‬باید استفاده کرد برای تعریف ‪ acl‬برای سرور فارم به غیر از ‪ -www‬کسایی‬ ‫‪‬‬
‫که از داخل وصل می شوند از لینا استغاده شود ولی آنهایی که از اینترنت می بینند باید از ‪ snort‬استفاده‬
‫کنند‪.‬‬
‫سرویس ها‪ -‬زون ها –چرا از ‪/24‬و ‪ /30‬استفاده میکنیم‪-‬فایروال را کجا بزاریم‪ -‬چرا –چجوری زون بندی کنیم‪.‬‬ ‫‪‬‬