اینترنت
اينترنت قابليت فوق العاده اي در تجارتهاي جديد ، كاهش دادن قيمتها و بهبودبخشيدن به سرويس مشتري را دارد. همچنين توانايي عالي در افزايش به خطرانداختن سيستم‌ها و اطلاعات يك سازمان را دارد .
با امنيت كامل معماري،اينترنت مي تواند كاملا نسبت به يك خطر امنيتي توانمند شود .
سرويس‌هاي ارائه شده

اولين سؤالي كه بايد با توجه به معماري اينترنت جواب داده شود اين است كه : سازمان چه سرويس‌هايي را از طريق اينترنت دراختيار خواهد گذاشت ؟ سرويس‌هايي كه ارائه خواهند شد و افرادي كه وارد آنها خواهند شد تأثير زيادي روي معماري و حتي انتخاب مكاني كه ‍سرويس‌ها اجرا مي شوند دارند .

Mail
اگر سرويس ايميل وجود داشته باشد ، معمولا در اختياركارمندان قرار داده شده تا پيامها را بفرستندودريافت كنند . اين سرويس براي دريافت كردن حداقل به يك سروركه inbound mail قرارگرفته نياز دارد .

اگربه دسترسي بهتري نياز باشد ، حداقل دو سرور ايميل مورد نياز است .outbound mail مي تواند در سراسر اين سرور حركت كند يا سازمان مي تواند سيستم‌ها را مجاز كندكه ايميل را مستقيما به سيستم مقصد بفرستند.

نكته : مجاز كردن سيستم‌ها به اينكه پيامها را مستقيما به سيستم‌هاي مقصد بفرستند راه حل پيشنهاد شده اي نيست.هرچند،اگرسيستم‌هاي ايميل شما روي اينترنت اجرا شده باشند ، هر desktop مي تواند بوسيله سيستم اجرا شده ي شما ايميل بفرستد و دريافت كند . دراين مورد،سازمان مي تواند اتصالات ايميل خارجي بين desktop‌ها را تنها به سرور اجرا شده محدود كند .
همچنين يك سازمان ممكن كه تصميم بگيرد دستگاههاي رله ي ايميل مردمي را براي هر چيزي شبيه به گروههاي مذاكره ايميل مستقركند . چنين سيستم‌هايي در حالت عادي به ليست سرورها اشاره دارند . اين سيتم‌ها به افراد خارجي اجازه مي دهند كه پيام را به سيستم بفرستند و دوباره سيستم پيام را به اعضاي ليست مي فرستد . ليست سرورها مي تواند روي همان سرورها يا سيستم‌هاي اصلي ايميل قرار بگيرد اما درخواست انتقال بيشتر بايد در معماري ارتباط اينترنتي درنظرگرفته شود .

 

وب
اگر يك سازمان تصميم به پخش اطلاعات بين مشتري‌ها يا شركاء از طريق دنياي گسترده وب بگيرد به استقرار سرور وب و قرار دادن برخي موضوعات در آنجا براي نمايش مردمي نياز دارد . اين سرور وب ممكن از محل ديگري يا از داخل اجرا شود . سرورهاي وب به سادگي مي توانند حجم ثابتي را در اختيار قرار دهند يا آنها مي توانند به سيستم‌هاي e-commerce ( فصل۱۱ را نگاه كنيد ) كه حجم متغيري را در اختيار قرار مي دهند وصل شوند و اجازه بردن سفارشات را بدهند .

دسترسي به سايت وب مي توانند به صورت عمومي باشد يا توسط بعضي نظامهاي تصديق شده ( معمولا يكId و رمز كاربر ) محدود شده باشند . اگر برخي محتويات روي سايت محدود يا حساس باشند شما بايد از HTTPS‌ها استفاده كنيد . HTTPS‌ها روي درگاه ۴۴۳ به جاي درگاه ۸۰ قرار مي گيرند كه براي انتقال مناسب هستند .

HTTPS شكل رمزگذاري شده ي HTTP است كه براي انتقال استاندارد وب استفاده شده و به طور معمول براي صفحات وبي كه داراي اطلاعات حساس مي باشند يا نياز به تصديق‌هايي دارند استفاده شده است.چگونگي انتخاب وب سايت ساخته شده روي مقدار انتقال مورد انتظار و وضعيت خود سرور وب تاثيرزيادي دارد.ممكن سازمان تصميم بگيردكه يك سرور مقدماتي انتقال فايل( FTP )به عنوان قسمتي از سرور وب قرار دهد.يك سرور FTPبه افراد خارجي اجازه ي دريافت و ارسال فايل را مي دهد.اين سرور مي تواند از طريق يك Web Browserيا مشتري وب دستيابي شود . همچنين ميتواند پنهان باشد يا به ID و رمز نياز داشته باشد . همچنين مي توانند پنهان باشند يا به ID و رمز نياز داشته باشند .

دستيابي به اينترنت از داخل
كارمنداني كه به اينترنت دسترسي دارند چگونه توسط سازمان كنترل مي شوند ؟ ( به فصل ۵ نگاه كنيد) برخيسازمانها به كار مندان اجازه مي دهند كه وارد اينترنت شوند و از هر سرويسي كه مي خواهند شامل پيام‌هاي فوري ، Chat ، امواج صوتي و تصويري استفاده كنند . بعضي‌ها فقط اجازه مي دهند كه كارمندان وارد اينترنت شوندو از Browser كه وارد سايت‌هاي خاصي مي شود استفاده كنند . اين انتخاب بر ميزان انتقال موردنظرتاثير خواد گذاشت وهمچنين نقص‌هايي هم از طرف كارمندان مشاهده مي شود.

يك مجموعه از سرويس‌هاي رايجي كه كارمندان به استفاده از آنها مجازند شامل :

سرويس توضيح
HTTP ( درگاه ۸۰ ) و HTTPS ( درگاه ۴۴۳ ) به كارمندان اجازه مي دهندوارد وب شوند
FTP( درگاههاي ۲۱ و ۲۲) به كارمندان اجازه مي دهدكه فايلها را انتقال دهند
Telnet( درگاه ۲۳ ) وSSH ( درگاه ۲۲) به كارمندان اجازه مي دهندكه جلسات محاوره اي با سيستم‌هاي دور داشته باشند
POP-3 ( درگاه ۱۱۰) وIMAP ( درگاه ۱۴۳ ) به كارمندان اجازه مي دهندكه به ايميل حساب‌هاي بانكي دور دسترسي پيداكنند

NNTP ( درگاه ۱۱۹) به كارمندان اجازه مي دهندكه به سرورهاي اخبار شبكه دور دسترسي پيداكنند

نكته : حتي اگر سازمان تعيين كندكه هيچ موج تصويري وصوتي مجاز نيست ، اكنون سايتهاي زيادي اين سرويس‌ها را روي HTTP عرضه مي كنند . بنابراين ، اين انتقال به نظرمي رسد كه از انتقال معمولي وب متمايز نيست . همچنين چندين سرويس نظير به نظيرروي اينترنت وجود دارند كه مي توانند با استفاده ازدرگاه ۸۰ با هم تركيب شوند . اين نوع از سرويس‌ها ايجاد خطر مي كنند چرا كه افراد زيادي اجازه واردشدن به سيستم‌هاي داخلي را دارند .

دستيابي به سيستم‌هاي داخلي از خارج
دستيابي به سيستم‌هاي داخلي حساس از خارج هميشه موضوع حساسي براي امنيت و مسئولان شبكه است.دراين مورد سيستم‌هاي داخلي آن سيستم‌هايي هستند كه عمدتا براي پردازش داخلي استفاده مي شوند.اينها سيستم‌هايي نيستند كه فقط براي دستيابي از خارج قرارداده شده باشند مانندسرورهاي ايميل يا وب.دستيابي از خارج مي تواند به دو صورت باشد:ورود كارمند ( معمولا از مكاني خارج از محل كارشان ) يا ورود غير كارمند.

كارمندي كه از مكانهاي بيرون وارد سيستم‌هاي داخلي مي شود معمولا چگونگي استفاده از يك شبكه كاملا محرمانه ( VPN ) روي اينترنت ( فصل ۱۰ را نگاه كنيد ) ، خطهاي اتصال به هر نوع سرور دستيابي بيروني ، يا يك خط اجاره اي را ميدانند شيوه ي انتخابي روي معماري اينترنت سازمان تاثير خواهد گذاشت .
تاثير بزرگتر زماني رخ مي دهد كه سازمان‌هاي خارجي به دست يافتن به سيستم‌هاي داخلي نياز داشته باشند .
حتي در ورود هر كدام از شركاي تجاري قابل اعتماد بايد احتمال بوجود آمدن هر خطري را در نظر گرفت .
دستيابي از خارج كه ممكن به دليل استفاده از VPN‌ها ، خطهاي Dial-up ، يا خطهاي اجاره اي يا نظارت كردن ، ورود به اينترنت بدون درخواست رمز ( مانند Telnet ) باشد به هدف برقراري ارتباط بستگي دارد .

اخطار : ورود بدون رمز به اينترنت عمل پيشنهاد شده اي نيست ، هرچند ، برخي موافقت نامه‌هاي تجاري به اين ورودي نياز دارند . اگر موضوع اين باشد ، هر تلاشي انجام مي گيريد تا سيستم‌ها را طوري تغيير دهند كه شبكه ي داخلي و بعضي از شبكه‌هاي محدود شده از بيرون قابل دسترسي باشند ( قسمت بعدي “ بخش غير نظامي ” در اين فصل را ببينيد ) .

سرويس‌هاي كنترل
برخي سرويس‌ها براي آساني عملكرد شبكه و ارتباط اينترنتي شما مورد نياز خواهند بود.

DNS
حوزه ي نام سرويس ( DNS ) براي برطرف كردن مشكل آدرس‌هاي IP در سيستم استفاده مي شود .بدون انجام اين كار ، كاربران داخلي نمي توانند آدرس وب سايت‌ها پيدا كنند و بدين ترتيب جستجو در اينترنت غير قابل استفاده مي شد . معمولا سيستم‌هاي داخلي به يك DNS داخلي براي حل مشكل تمام آدرس‌ها نياز دارند . DNS داخلي يك DNS در ISP است كه مشكل آدرس‌هاي خارجي را برطرف مي كند .

بقيه ي سيستم ‌هاي داخلي نياز به سيستم‌هاي DNS خارجي ندارند. همچنين DNS بايد كاربران خارجي كه مي خواهند وارد وب سايت شما شوند را در نظر بگيرد . با انجام اين كار، سازمان شما مي تواند DNS را اجرا كند ياISP شما مي تواند آن را اجرا كند . اين انتخاب بر معماري اينترنت تاثير مي گذارد . اگر شما انتخاب كنيد كه DNS تان اجرا شود ، اين سيستم بايد از DNS داخلي جدا باشد. سيستم‌هاي داخلي نبايد در DNS خارجي قرار بگيرند.

ICMP
سرويس كنترل ديگري كه عملكرد شبكه كمك مي كند پروتكل كنترل پيام‌هاست ( ICMP) . ICMP هر سرويسي مثل ping ( اگر يك سيستم روشن باشد براي جستجو استفاده مي شود ) را در بر مي گيرد.علاوه بر ping ، ICMP شامل پيام‌هايي مانند“ شبكه و اجرا بدون امكان دخالت ” و “ اعتبار كارت تمام شده است ” ميشود.
اين پيام‌ها به عملكرد بهتر شبكه كمك مي كنند. آنها مي يواند غير فعال باشند اما ممكن است كه به عملكرد شبكه ضربه وارد شود.
NTP
پروتكل زمان بندي شبكه ( NTP ) مورد استفاده قرار مي گيرد تا زمان را بين سيستم‌هاي مختلف هماهنگ كند.سايت‌هايي روي اينترنت وجود دارند كه مي توانند به عنوان منابع اصلي زمان استفاده شوند. اگر شما اين سرويس را انتخاب كنيد ، يك سيستم روي سايت شما بايد منبع محلي اصلي زمان باشد و فقط سيستمي كه NTP دارد مي توا ندبااينترنت ارتباط برقراركند.تمام سيستم‌هايي داخلي ديگر بايد از منبع محلي اصلي زمان وقت بگيرند

سرويس‌هاي ارائه نشده
معماري اينترنت بايد طوري طراحي شود كه سرويس‌هاي مورد نياز را تامين كند . سرويس‌هايي كه مورد نياز نيستند نبايد ارائه شوند . با طراحي معماري اينترنت به اين روش ، يك تعداد از سرويس‌هايي كه خطر بزرگي ايجاد مي كنند ارائه داده نخواهند شد .
سرويس‌هاي مشخصي كه به علت خطر امنيتي نبايد ارائه شوند شامل :

سرويس توضيح
سرويس Net Bios ( درگاههاي ۱۳۵و۱۳۷و۱۳۸و۱۳۹ ) توسط ويندوزهاي سيستم‌هابراي به اشتراك گذاري فايل‌ها فرمان‌هاي دور استفاده مي شود
Unix RPC ( درگاه ۱۱۱ ) توسط سيستم‌هاي Unix براي فراخواني روال دور استفاده مي شود
NFS ( درگاه ۲۰۴۹ ) براي فايل سرويس‌هاي شبكه ( NFS ) استفاده مي شود

X (درگاه ۶۰۰۰ تا ۶۱۰۰) براي مجموعه ي ويندوزهاي X دور استفاده مي شود
سرويس‌هاي “ r ” (rlogin درگاه ۵۱۳ ) و( rsh درگاه ۵۱۴ وrenec درگاه ۵۱۲ ) اجازه مي دهد كه با يك سيستم بدون استفاده از رمز ارتباط دور برقرار كنيم
Telnet ( درگاه ۲۳ ) توصيه نمي شود زيرارمز وId كاربر تماما آشكارا ديده مي شود بدين ترتيب مي تواند تصرف شود. اگر فعاليت محاوره اي بايد در inbound مجاز باشد،SSH روي Telnet پيشنهاد مي شود.
Netmeeting عامل خطرسازي است زيرا نياز دارد كه روي
درگاههاي بسيار خوبي قرار بگيرد تا درست كار كند. به جاي استقراراين درگاهها بايد يك نماينده H.323 استفاده شود

پروتكل‌هاي كنترل از راه دور شامل برنامه‌هايي ماند هر جاي PC وVNC اگر اين پروتكل‌ها نياز داشته باشند كه به كاربران راه دور اجازه ي كنترل كردن سيستم‌هاي داخلي را بدهند، بايد روي يك VPN استفاده شوند.
SNMP ( پروتكل ساده مديريت شبكه ) ( درگاه ۱۶۹ ) ممكن است براي مديريت شبكه ازطرف شبكه ي داخلي سازمان شما استفاده شده باشد ولي آن نبايد از يك سايت خارج از سيستم‌هاي داخلي شما استفاده
TFTP ( پروتكل انتقال دهنده فايل‌هاي كم اهميت )

( درگاه ۶۹ ) شبيه به FTP است ولي براي ورود به فايل‌ها به رمزها و Idهاي كاربر نياز دارد
FTP ( درگاه ۲۱ و ۲۲ ) توصيه نمي شود به همان دليلي كه در Telnet گفته شد. اگر اين قابليت مورد نياز باشد، فايل‌ها مي توانند روي SSH فرستاده شوند

معماري ارتباطات
هنگام گسترش معماري ارتباطات براي يك ارتباط اينترنتي سازمان ، موارد اصلي موجودي ونيازهاي Throughput هستند. Throughput هر چيزي است كه بايد توسط توليد كننده ي سرويس اينترنتي سازمان (ISP ) مورد بحث قرار بگيرد. ISP بايد توانايي معرفي خطهاي ارتباطي مناسب براي سرويس‌هاي ارائه شده را داشته باشد.

نيازهاي موجود ارتباط بايد توسط سازمان تعيين شده باشد . براي مثال ، اگر ارتباط اينترنتي فقط براي كارهاي غير تجاري حساس توسط كارمندان استفاده شود، درخواست موجود كم هستند و يك outage بعيد است كه روي سازمان تاثير نامطلوبي بگذارد.اگر سازمان برنامه ريزي كند كه يك سايت تجاري در اختيار قرار دهد و خودش بيشترين پيشرفت تجاري را داشته باشد موجودي يك كليد موفقيت سازمان است . در اين مورد ، طرح ارتباط اينترنتي بايدشامل fail-over و كشف توانايي‌ها باشد.

ورودي تك خطي
ورودي تك خطي معماري اينترنتي بسيار رايجي است . ISP يك خط ارتباطي تكي از باند وسيع مناسبي از سازمان را در اختيارقرار مي دهد، مانند چيزي كه در شكل ۱-۹ نشان داده شده است . معمولا ، ISP مسيردهنده ايرا در اختيار قرارمي دهد و واحد سرويس( CSU ) را براي اتصال هدايت مي كند . گره محلي سيم اصلي يا fiber است كه وسيله ي سازمان را به تلفن اداره ي مركزي شركت ( CO) وصل مي كند.

ISP يك نشانه از وجود هر چيز نزديكي ( POP ) را دارد. اتصال به ISP درواقع در نزديكترين POP خاتمه مي يابد.هرچند POP آخرين CO نيست ، اتصال گره ي محلي نياز دارد كه از آخرين CO عبور كند . از POP ، ارتباط از شبكه ي ISP مي گذرد تا به اينترنت برسد. اگر ما ارتباط نشان داده شده در نمودار ۱-۹ را تجزيه و تحليل كنيم مي بينيم كه يك تعداد از نقاط وجود دارند كه تجهيزاتشان خراب است و بدين ترتيب باعث خارج شدن از سرويس خواند شد.

براي مثال :
مسير دهنده ممكن ضعيف شده باشد .
CSU ممكن ضعيف شده باشد.
گره محلي ممكن قطع شده باشد .
CO ممكن خسارت ديده باشد .
POP متعلق به ISPممكن ضعيف شده باشد .
ما بايد اين خرابي‌ها را بشناسيم تا زماني كه اتفاق مي افتند بتوانيم به موقع محل خرابي را شناسايي كنيم . يك مسيردهنده كه قسمتي از آن خراب شده خطر بيشتري دارد نسبت به مثلا يك CO كه خسارت ديده است .
اگرچه ، كابل‌ها گاهي اوقات دچار آسيب مي شوند و اين ممكن يك outage مهمي ايجاد كند .همچنين اين فهرست شامل خرابي‌هايي كه ممكن بيرون از خود ISP اتفاق بيافتد نمي شود .هر خرابي كه از زماني به زمان ديگر رخ مي دهد در نتيجه ي ساييده شدن ، پارگي كابل‌ها ، يا حمله ي سرويس غير مجاز مي باشد .
با توجه به برنامه‌هاي توانايي خرابي ، اين معماري فقط براي ارتباطات اينترنتي كه تجاري و حساس نيستند توصيه مي شود .

دستيابي چند خطي به يك ISP تكي
يك روش برطرف كردن نقطه تكي از موردهاي خراب توسط معماري ISP تكي كه در شكل ۱-۹ نشان داده شده است اين است كه از همان ISP خطهاي چندتايي عبور دهيم . ISP مختلف در اين مورد سرويس‌هاي متفاوتي را ارائه مي دهند. با فراخواني آن يك اتصال فعال مي شود و بقيه آنها بيفايده مي مانند. در هر حال ، منظور اين است كه با ايجاد يك خط ارتباطي دوم بايد يك خرابي اتفاق مي افتد.

ورودي POP يك طرفه
يك ISP ميتواند با نصب يك مدار اضافي رويPOP ، ورودي fail-over ايجاد كند ( شكل ۲-۹ را نگاه كنيد ) .
مدار اضافي ممكن شامل يك مسيردهنده ي اضافي و CSU باشد يا ممكن از يك مسيردهنده ي تكي است استفاده شده باشد. دو مداري كه با هم تركيب شده اند بدين ترتيب كار مي كنند كه اگر مدار اصلي خراب شد مدار دوم بقيه كار انتقال را انجام مي دهد. اين معماري ممكن دچار نقص‌هايي درآدرسهاي مسيردهنده ،

CSU، مدار تلفن شركت با CO، و تجهيزات ISPدر پايان ارتباط شود. اين خرابي‌ها بيشترين نوع رايج outage هستند. با وجود اينكه،آدرس تكراري نيست ، اما حداقل خرابي سرور كه ممكن بوجود بيايد مانند قطع شدن گره ي محلي ، خرابي خود CO، يا وجود يك خرابي در POP متعلق به ISP است. همچنين ، اگر ISP دچار outage بزرگي شود ، سرويس هم دچار اختلال مي شود . يك مزيت اين معماري اين است كه هزينه ي مدارات اضافي را كاهش مي دهد. بيشتر ISP‌ها مدار اضافي كه قيمت آن از يك مدار دوم كامل كمتر است را در اختيار مي گذازند.

ورودي با چند POP
براي افزايش قابليت اعتماد و ميزان دسترسي مي توان با ايجاد ارتباط دومي توسط POPن كار را ميسرسازيم
(شكل ۳-۹ را ببينيد) . در اين مورد ، ارتباط دوم مي تواند يك مدار اضافي باشد يا مي تواند بي وقفه حركت كند .

براي اين نوع معماري با كار دقيق ، ISP بايد روي پروتكل ورودي مجاور (BGP)حركت كند . BGP يك پروتكل مسيرياب است كه توسط انواعي از اتصالات مضاعف مسيرهاي بين ماهيت‌ها را تعيين مي كند . بايد مواظب باشيد كه BGP دقيقا مسيريابي خط مش‌ها را انجام دهد .

BGP بايد شناخته شده باشد به اين دليل كه اين تركيب بندي ميتواند دو نقطه تكي را دچار نقص كند: گره ي محلي و CO.اين نقاط خراب نمي توانند برطرف شوند مگراينكه سازمان امكان داشتن دو تا ارتباط گره ي محلي در اختيار قرار دهد. اگر اين طوري باشد ، معماري مي تواند تغيير كند ، مانند شكل ۴-۹ كه نشان داده شده است . اين نوع از معماري نقاط ناتوان را تا فقط يكي كاهش مي دهد: خود ISP .اگر ISP يك outage مهم داشته باشد، سازمان ممكن است اسيب ديدن سرويس را كاهش دهد يا كلا به اتصال ضربه وارد كند.

ورودي چند خطي به چند ISP
با استفاده از يك ISP تكي ، نقاط خرابي بالقوه اي در نظر گرفته مي شود ، چرا بيش از يكي استفاده نمي شود ؟
در ظاهر اين يك طرح خوب به نظر مي رسد ( وبراي هر سازمان نيز همين طور است ) اما تصور نمي شود كه اين برداشت از مسائل و خطرات با توجه به معماري اينترنت باشد . استفاده از چند ISP مي تواند، اگر به درستي برنامه ريزي شده باشد خطر ضربه خوردن به سرويس را به طور چشمگيري كاهش دهد( به شكل ۵-۹ نگاه كنيد ). هر چند، يك تعداد از موارد ديگر ISP را انتخاب مي كنند ودر تركيب آدرس دهي براي سازمان از آن استفاده مي كنند.

انتخاب ISP‌ها
خطرات ايجاد يك معماري كه از دو تا ISP مختلف استفاده مي كند كمتر است و نياز به دانش و تجربه ي زياد در مورد ISP‌هايي كه استفاده شده اند دارد. يك قسمت از دانش كه خيلي هم مهم است آگاهي از BGP است . BGPاستفاده مي شود تا عبور و مرور سازمان را مسيردهي كند و بايد به دقت داخل و بين ISP‌ها قرار بگيرد.

مورد ديگري كه ممكن است در انتخاب ISP‌ها تاثير بگذارد آگاهي داشتن از مسير فيزيكي ارتباطات است .
اگر وسيله ي سازمان ، چند اتصال گره ي محلي نداشته باشدگره محلي ممكن است تا رسيدن به يك نقطه تكي از خرابي ادامه پيدا كند. استفاده از ارتباط بي سيم موارد دسترسي را در اختيار قرار نمي دهد مانند ارتباط بي سيمي كه ممكن است با توجه به وضعيت جوي يا پرندگان از بين رفته باشد يا ضعيف شده باشد.
نكته : انتخاب يك ISP بي سيم بايد با توجه به نيازهاي يك ISP سنتي كنترل شود. هر ISP بايد توانايي ايجاد يك توافقنامه ي سطح سرويس و نسخه ي پشتيباني از شيوه ي كار درست مديران را داشته باشد.

آدرس دهي
زمان كار با چند ISP مسئله ي ديگري كه بايد حل شود مسئله ي آدرس دهي است . معمولا زمان كار با يك ISP تكي يك آدرس به سازمان اختصاص مي دهد . ISP مسيرياب را طوري برنامه ريزي مي كند كه انتقال به سازمان مقصد مسير خود را در راه سيستم‌هاي سازمان پيدا كند. همچنين ISP برنامه ي مسير اين آدرس‌ها را طوري تنظيم مي كند كه همه روي اينترنت مي توانند به سيستم‌هاي سازمان دسترسي پيدا كنند .

زماني كه در معماري چند ISP وجود دارد شما بايد آدرس‌هايي كه استفاده خواهند شد مشخص كنيد . آدرس‌ها ممكن است از طزيق يك ISP يا بقيه ي آنها قابل دسترسي شوند . در اين مورد، به طور معمولي مسيرياب از يك ISP شروع به كار مي كند و ISP ديگر بايد مسير آدرسي كه به اولين ISP تعلق دارد را پخش كند. اين تركيب بندي به فهم درستي از كاركرد روش BGP نياز دارد تا عبورومرور از مسير درستي انجام گيرد. گزينش ديگري كه براي سازمان وجود دارد اين است كه خود سازمان يك گروه از آدرس‌ها را خريداري كند .با اينكه اين روش بعضي از مسائل را حل مي كند ولي بايد به وجود امدن مسائل ديگري هم مي شود . حالا دو ISPبايد آماده شوند تا مسير‌ها را به آدرس‌هايي كه مال خود سازمان نيست نشان دهند .

نكته : اهداف آدرس دهي و مسيردهي بايد قبل از امضاي قراردادها مورد بحث قرار گيرد. اين مسئله اي نيست ككه بدون مشاركت كامل دوتا ISP به راحتي حل شود . انتخاب آخر استفاده ي آدرس‌ها از دوتا ISP است . دراين مورد، بعضي سيستم‌ها آدرس‌ها را از يك ISP درنظر مي گيرند و سيستم‌هاي ديگر آدرس‌ها را از ISP ديگر مي گيريند . اين معماري واقعا مسائل موجود را حل نمي كند و اگر نمي تواند اين كار را انجام دهد نبايد استفاده شود.

غيرنظامي كردن بخش
DMZ به معني غيرنظامي كردن بخش است . معمولا DMZ براي اشاره كردن به يك قسمت از شبكه كه قابل اعتماد نيست استفاده مي شود . DMZ يك بخش در شبكه را به قسمت فعال سيستم‌ها كه توسط مردم روي اينترنت دستيابي مي شوند اختصاص مي دهد تا ازآنهايي كه فقط در دسترس كارمندان قرار مي گيريدمتمايز شود

.
همچنين DMZ‌ها هنگام معامله ا شركاي تجاري و ديگر افراد خارجي استفاده مي شود.
تعريف DMZ
DMZ از توليد يك بخش نيمه پشتيبان شبكه ساخته شده است . معمولا بخش با كنترل‌هاي ورودي شبكه ترسيم مي شود. مانند ديوارهاي آتش يا خيلي از مسيردهنده‌هاي فيلتر كننده . كنترل‌هاي ورودي شبكه نيز خط مشي را تنظيم مي كنند كه تعيين مي كند چه عبورومروري در داخل DMZ مجاز است و چه عبورومروري در خارج از DMZ مجاز است ( شكل ۷-۹ را مشاهده كنيد ) .

به طور كلي هر سيستمي كه مي تواند به طور مستقيم با يك كاربر خارجي ارتباط برقرار كند بايد در DMZ قرار بگيرد . سيستم‌هايي كه به مستقيم توسط كاربران يا سيستم‌هاي خارجي مورد دسترسي قرار مي گيرند ، اولين سيستم‌هايي هستند كه مورد حمله قرار مي گيرند و ايجاد خطر مي كنند . اين سيستم‌ها عملا نمي توانند مورد اعتماد باشند چرا كه آنها در هر زماني مي توانند ايجاد خطر كنند .
بنابراين ما سعي مي كنيم كه ورود به اين سيستم‌ها را كه با سيستم‌هاي حساسي كه در شبكه ي داخلي قرار دارند ارتباط دارند محدود كنيم. قواعدي براي ورود عموم در DMZ وجود دارد تا كاربران خارجي را مجاز كنند وارد سيستم‌هاي مناسبي در DMZ شوند . سيستم‌هاي DMZ بايد نسبت به دسترسي به سيستم‌هاي داخلي شديدا محدود شوند. اگ اين امكان وجود داشته باشد ، سييستم‌هاي داخلي بايد ارتباط با سيستم DMZ را شروع كنند.
سيستم‌هاي داخليبا خط مشي كه برايشان تعيين شده مي توانند وارد DMZ يا اينترنت شوند . اما هيچ كدام از كاربران خارجي امكان ورود به سيستم‌هاي داخلي را ندارند.

مكان سيستم‌ها در DMZ
بنابراين حالا ما يك خط مش عمومي براي DMZ و يك فهرست از سرويس‌هايي كه در اينترنت ارائه شده اند داريم . چه سيستم‌هايي بايد در DMZ قرار بگيرند؟ اجازه بدهيد كه نگاه اجمالي به چند سرويس خاص داشته باشيم.

ايميل
شكل ۸-۹ سرويس‌هايي كه ممكن در يك DMZ ارائه شوند را نشان مي دهد . مشاهده مي كنيد كه يك سرور ايميل داخلي و يك سرور ايميل خارجي وجود دارد . سرور ايميل خارجي براي دريافت ايميل داخل باند و ارسال ايميل خارجي استفاده شده است . ايميل جديد وسط سرور خارجي دريافت مي شود وبه سرور ايميل داخلي فرستاده مي شود. سرور ايميل داخلي ايميل خارج از باند را به سرور خارجي مي فرستد . در شرايط مطلوب ، تمام كاري كه انجام مي شود اين است كه سرور ايميل داخلي از سرور ايميل خارجي درخواست ايميل مي كند .

برخي از ديوارهاي آتش يك سرور ايميل ارائه مي دهند . اگر سرور ايميل ديوار آتش استفاده شود ، او مانند يك سرور ايميل خارجي عمل مي كند . دراين مورد ، سرور ايميل خارجي مازاد بر احتياج مي شود و مي توان آن را برداشت .
نكته : اگر سرورهاي ايميل عمليات حساسيرا انجام مي دهند ، سرورهاي ايميل اضافي بايد دو تا در داخل و در DMZ قرار بگيرند .
وب
سرورهاي وب كه در DMZ قرار گرفته اند قابل دسترسي براي عموم هستند . همچنين در شكل ۸-۹ شما مي توانيد يك سرور تقاضا در DMZ را مشاهده كنيد . وب سايت‌هاي زيادي فهرست مطالب فعالي را ارائه مي دهند كه در داده ي كاربر قرار مي گيرند . اين داده ي كاربر پردازش شده است و اطلاعاتشاز يك داده ي اصلي گرفته شده است . داده ي اصلي شامل اطلاعات حساسي مي باشد و بنابراين براي DMZ انتخاب مناسبي نيست .سرور وب خودش مي تواند با سرور داده ي اصلي ارتباط برقرار كند اما سرور وب قابل دسترسي از خارج مي باشد و در نتيجه كاملا قابل اعتماد نيست . در اين مورد ، سرور وب بهترين بازدهي را دارد چرا كه با استقراريك سيستم سوم در خانه مي تواند با داده ي اصلي ارتباط برقراركند . سرور وب داده ي كاربر را دريافت مي كند وآن را براي پردازش در اختيار سرور كاربردي قرار مي گيرد

. سرور كاربردي درواقع داده ي اصلي با درخواست اطلاعات مناسب است كه ااطلاعات را براي تحويل به كاربر در اختيار سرور وب قرار مي دهد . دراين هنگام ممكن است كه اين كارپيچيده به نظر برسد ، اين معماري از سرور داده ي اصلي حمايت مي كند و Offload‌ها نيز عمل پردازش در سرور وب را بررسي مي كنند .

سيستم‌هاي قابل دسترسي از بيرون
تمام سيستم‌هايي كه از بيرون قابل دسترسي هستند بايد در DMZ قرار بگيرند . به خوبي به ياد داريد كه اگر سيستمي توسط گروه‌هاي محاوره اي ( مانند Telnet و SSH ) قابل دسترسي باشد ، كاربران توانايي حمله كردن به سيستم‌هاي ديگر در DMZ را دارند. شما ممكن است كه ترجيح بدهيد كه يك DMZ دوم براي هر كدام از سيستم‌ها بسازيد تا DMZ سيستم‌هاي ديگر را در مقابل حمله پشتيباني كند .