جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

MPF در فایروال سیسکو چیست؟ بررسی مفهوم Modular Policy Framework

در ZBF از class map برای شناسایی ترافیک استفاده می شد و از policy map برای مشخص کردن actions برای آن ترافیک استفاده می شد اجرای این سیاست ها با استفاده از service policy انجام می گرفت. در IOS روتر تمام این قابلیت های به همراه کلمه inspect استفاده می شود تا آنها را از class maps و policy maps و service policies معمولی متمایز سازد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

(Modular Policy Framework (MPF چیست؟

از (Modular Policy Framework (MPF به منظور شناسایی ترافیک جهت مقاصد مختلف و خاص استفاده می شود. در ASA نیز از class map برای شناسایی ترافیک استفاده می شود و policy map نوع action را برای ترافیک شناسایی شده مشخص می کند و با استفاده از دستور service policy این سیاست ها اجرا می شوند. service policy می تواند بروی اینترفیس یا به صورت globally اعمال شود که در صورت اعمال به صورت globally روی تمام اینترفیس های ASA تاثیر خواهد گذاشت.

یک کاربرد (Modular Policy Framework (MPF در ASA این است که application layer inspection را برای ترافیک FTP انجام دهد تا به طور داینامیک اجازه این ارتباط فراهم شود. کاربرد دیگر MPF این است که بخواهیم ترافیک عبوری از فایروال را برای بررسی بیشتر به ماژول (intrusion prevention system (IPS ارسال کنیم. مثال دیگر از کاربرد MPF اولیت بندی ترافیک هایی مانند Voice است که با استفاده از class map ترافیک Voice شناسایی می شود و توسط policy map اولیت آنرا افزایش می دهیم و توسط service policy آنرا اعمال می کنیم.

وب سایت توسینسو

Class map می تواند ترافیک را براساس Layer 3 تا Layer 7 شناسایی کند. class map های لایه 3 و 4 می تواند ترافیک ها را به چندین روش مختلف شناسایی کند که به شرح زیر هستند :

  • استفاده از ACL
  • براساس فیلدهای differentiated services code point (DSCP)/IP Precedence در بسته
  • براساس پورت های TCP و UDP
  • براساس IP Precedence
  • براساس شماره پورت (Real-time Transport Protocol (RTP
  • VPN tunnel groups

Action هایی که می توان با استفاده از policy map مشخص کرد به شرح زیر است :

  • هدایت ترافیک به سمت ماژول هایی مانند IPS
  • بازرسی ترافیک
  • دادن اولویت به ترافیک
  • مشخص کردن Rate-limit برای ترافیک
  • عملیات پیشرفته روی ترافیک

کجا سیاست ها اعمال می شود

شما می توانید سیاست ها را به یک اینترفیس خاص اعمال کنید به هر اینترفیس فقط میتوان یک سیاست اعمال کرد. همچنین می توانید سیاست ها را به صورت globally اعمال کنید که باعث می شود این سیاست ها به تمام اینترفیس ها اعمال می شود. به صورت همزمان می توان سیاست را به صورت مستقیم به اینترفیس و globally اعمال کرد و تا زمانی که تداخل وجود نداشته باشد مشکلی نیست.


جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات