فايروول فورتي جيت FortiGate Firewall منطقة منزوعة السلاح DMZ







----------------------------------------------------------
هل الــ DMZ كافيه لتأمين الشبكه بتعتك في حاله حدوث Attack ؟
----------------------------------------------------------

الــ DMZ دي اختصار للــ Demilitarized Zone والغرض منها ان احنا نفصل ما بين 2 different types of servers يعني هنفصل بين الــ Servers الي هيتعملها Publish او هتكون متاحه علي الانترنت زي مثلا ال Web, Email and FTP .وبين ال Servers الاخري الي المفترض مينفعش تكون موجوده علي الانترنت زي مثلا Active Directory Server, SQL Server, DB Server ودا For Security Reasons.

- بالنسبه لطريقه التصميمها:
في طريقه ان احنا نعتمد علي 2 different types من الــ Firewalls
او نعتمد علي Firewall واحد ودي الطريقه الاكثر شهره وتداولا وبتسمي بالــ Single Firewall.

- هنا بيكون عندك Physical Firewall واحد
- وعلي الاقل بيكون عندك 3 Network Interfaces علشان نستخدمها في انشاء network architecture بتحتوي علي DMZ.

- وبتختار Interface للــ WAN.
- وInterface تاني للــ Internal Data Center.
- وInterface ثالث للــ DMZ.
.
- والــ DMZ دي ال zone الي احنا هنحط فيها كل ال servers الي هنعملها publish علي الانترنت كل ال servers الي هتكون متاحه علي الانترنت وبتعمل Destination NAT علي بورت 443 & 80.

- فلو حد علي الانترنت احتاج انه يفتح ال web server بتاعك هيقدر يفتحه عادي بدون مشاكل.
- والغرض من دا كله ومن تواجد ال DMZ.

- ان احنا نفصل ما بين اي server هيكون متاح علي الانترنت الــ publish Servers وبين الــ Servers الاخري For Security Reasons علشان لو لا قدر الله حصل اي attack علي اي published Server بتعتك ميقدرش الـ Attacker انه يوصل للــ Internal Data Center Servers.

ممتاز جدا ... الكلام دا كان كويس جداا وشغال معانا لفتره كبيره ... وناس كتير شغاله بيه حاليا الي وقتنا هذا.

طيب السؤال هنا هل الكلام دا كافي لتأمين الشبكه بتاعتنا في حاله حدوث Attack ؟
للاسف غير كافي للاسباب الي هتكلم فيها دلوقتي.

- خلينا ان احنا هنجيب Firewall قوي وليكن مثلا اي حاجه NGF ؟
- هل لما احنا نجيب NGF هيأمن الشبكه بتاعتنا ؟

= المفروض مع طبعا عمل configuration محترمه.


- طيب نفترض حضرتك عامل Configuration محترمه مش وارد برده يحصل attack ؟
- مش وارد يكون اساسا المشكله في ال Web Site نفسه ؟
- مش وارد يكون المشكله في ال code نفسه ؟ ال code نفسه فيه Vulnerability ؟
- فكده الــ Firewall خرج من اللعبه.

= وارد طبعا علشان كده احنا عملنا DMZ !

- طيب ما هو لو حصل Attack او compromised علي Server عندك لاي سبب سواء Firewall تعبان او Configuration غلط او ال Web Site نفسه فيه Vulnerability ... الــ attacker كده بقي داخل ال DMZ !!
- يعني هيقدر يــ attack اي server تاني داخل ال DMZ !!
- مفيش اي حاجه تمنع ان ال attacker انه يـــــ take over علي كل الــ Servers المتواجده في ال DMZ.
- ودا بيسمي بالـــ Large Attack Zone.

- دا غير ان فالغالب في communication بتتم بين الــ Web Server المتواجد في الـ DMZ وبين مثلا APP Server or Data base Server المتواجد في الــ Internal Data Center Server Zone !!
فوارد جداا انه يقدر يوصل للــ Data Base Server ومنها لاي Server تاني موجود في ال Internal Server Zone !!
وبكده تقدر تقول ان اعتمادك علي ال Traditional DMZ دا مش افضل حاجه بالنسبه للشبكه بتعتك مش Secure مقارنه بالحلول الجديده الي ظهرت (DMZ Anywhere).