cloudflayer یا physical Firewall ؟؟؟؟

[hostfire]

سلام

قبل از هرچی بگم که میدونم فایروال 100 تا کار میکنه و کلودفلیر کلا کارش چیز دیگست ، این تاپیک از لحاظ رفع حملات دیداس هست ... (کارائی ای که این دو دارن روش هاش رو کار ندارم )

من خودم به شخصه فایروال 360 دلاری OVH رو تست کردم واقعا جوابگوست از هر لحاظ ، امروز تو بحث با یکی از دوستان ایشون طرفداری کلودفلیر رو میکردن ...

حالا برای خود من سواله ! واقعا تو رفع حملات ، کدوم یکی ازین دو قوی تر عمل میکنن؟

خب اگر کلود فلیر با دو مرحله ای کردن dns و چند تا کار غیره و ذالک میتونه با 200 دلار حملات رو دفع کنه خب آدم مگه مغزش خرابه بره خداتومن پول فایروال فیزیکی بده؟

من خودم کلودفلیر استفاده نکردم همه کارامو با فایروال انجام دادم ولی این مسئله ذهنم رو درگیر کرده ....

کسی پاسخی قانع کننده براش داره؟

[yastheme]

تفاوتش در اینه که شما تو کلود فلر 200 دلاری؛ فایروال لایه 7 ( نرم افزاری) دارید! یعنی کل فایروال خلاصه میشه تو پروتکل http و https !و اگر در مقابل حملات لایه 4 مثل TCP و UDP هم محافظت میشید به خاطر این نیست که از آی پی شما محافظت میشه! به خاطر اینه که آی پی شما مخفی میشه و اگر کسی بتونه آی پی اصلی شما را پیدا کند در حقیقت بودن یا نبودن کلود فلر تفاوتی نخواهد داشت !
شما نمی تونید آزادانه از پورت ها و پروتکل های دیگه به کاربرانتون سرویس بدید؛ چرا که موجب لو رفتن آی پی اصلی شما میشه !

شما باید اول ببینید نیازتون چی هست و بعد تصمیم بگیرید که از کلود فلر استفاده کنید یا فایروال سخت افزاری.

[hostfire]

تفاوتش در اینه که شما تو کلود فلر 200 دلاری؛ فایروال لایه 7 ( نرم افزاری) دارید! یعنی کل فایروال خلاصه میشه تو پروتکل http و https !و اگر در مقابل حملات لایه 4 مثل TCP و UDP هم محافظت میشید به خاطر این نیست که از آی پی شما محافظت میشه! به خاطر اینه که آی پی شما مخفی میشه و اگر کسی بتونه آی پی اصلی شما را پیدا کند در حقیقت بودن یا نبودن کلود فلر تفاوتی نخواهد داشت !
شما نمی تونید آزادانه از پورت ها و پروتکل های دیگه به کاربرانتون سرویس بدید؛ چرا که موجب لو رفتن آی پی اصلی شما میشه !

شما باید اول ببینید نیازتون چی هست و بعد تصمیم بگیرید که از کلود فلر استفاده کنید یا فایروال سخت افزاری.

شما استادید تو این امر واقعا ...


تشکر

یه سوال دیگه ، الان یهس ری روتر بورد های میکروتیک تا لایه 7 شمارو امن نگه میدان ، هرچند بین شبکه کار های حرفه ای میگن میکروتیک راهکاره آخره یا به اطلاح اگر هیچی دیگه پیدا نشد میکروتیک !!! ( میدونم میکروتیک اصلا قابل قیاس با فایروال های قدرت مندی مثل آسترو ، سایبر روم و نت گیر نیست... برای مثلا گفتم )

یه سری فایروال های سخت افزاری جدید رو هم دیدم تو Ebay که تا 7 لایه رو ساپورت میکنه و نمیدونم تو ایرانم هست ازش یا نه چون فقط فایروالا 4 لایه ای TCP/IP دیدم

پس نتیجه اینه که اگه بتونیم IP سرور رو از دید دیداسر خارج نگه داریم تا به هیچ وجه از هیج جا نتونه ببینتش یا به اصطلاح امن نگهش داریم ، کلودفلر خیلی بصرفهتره تا هزینه های زیاد برای فایروال انجام بشه . این درسته ؟؟

یه سوال دیگه ، برای شبکه ی یک ساختمان با حدود 200 کلاینت که برپایه اینترنت هست ، نمیشه برا جلوگیری از حملات از این کلود فلر استفاده کنیم؟؟

/24 برای ساختمان اجاره شده و هر سیستم دارای آی پی ولید هست ، MPLS و خطوط اینترنت ساختمان بعضی جاها به یه سوئیچ وصل شدن !!! داشتیم که سرور روم ساختمان رفته زیر حمله و قدرتش پکت های ارسالی طوری بودی که سوئیچ های سیسکو هم خوابیدن و در نتیجه mpls هم رفته زیر حمله و بدلیل نبود فایروال درست حسابی کاری جز داون کردن شبکه ی ساختمان و تغییر آی پی سرور برای چند وقت نداشتیم

آیا ازین کلود فلر میشه در این ساختمان استفاده کرد؟

[hamid.soltani92]

سلام.
مهدی فایروال زمانی می‌تونه جوابگو باشه که پهنای‌باند زیادی پشتش باشه. فرض کن شما یک سرویس STM1 دارید و مثلا با سرعت ۳۰۰ مگابیت بر ثانیه به شما حمله میشه. کل پهنای‌باند شما پر میشه و در این صورت فایروال سخت‌افزاری هم نمیتونه جوابگو باشه.
عملا با وضع فعلی پهنای‌باند تو ایران مبحث ddos-protection امکان‌پذیر نیست. اگر بود، از سایت‌های مهم دولتی حفاظت می‌کردن!
در مورد کلود‌فلر هم نحوه کارکرد به این صورته که کاربر به کلود‌فلر درخواست رو میده، کلود‌فلر به سروری که تحت محافظت هست درخواست رو میده و جواب رو میگیره و به کاربر تحویل میده. این سرویس برای کشورهایی مثل امریکا و فرانسه و ... که کلودفلر اونجا نود داره و سرعت اینترنت بالاست هیچ مشکلی ایجاد نمی‌کنه. اما فرض کن هر کاربر که سایتِ میزبانی شده در ایران رو باز کنه، کلود‌فلر سایت رو از امریکا باز می‌کنه که خب این میشه در حد ۱ ثانیه و بیشتر latency! و به کاربر نمایش میده.

[hostfire]

سلام.
مهدی فایروال زمانی می‌تونه جوابگو باشه که پهنای‌باند زیادی پشتش باشه. فرض کن شما یک سرویس STM1 دارید و مثلا با سرعت ۳۰۰ مگابیت بر ثانیه به شما حمله میشه. کل پهنای‌باند شما پر میشه و در این صورت فایروال سخت‌افزاری هم نمیتونه جوابگو باشه.
عملا با وضع فعلی پهنای‌باند تو ایران مبحث ddos-protection امکان‌پذیر نیست. اگر بود، از سایت‌های مهم دولتی حفاظت می‌کردن!
در مورد کلود‌فلر هم نحوه کارکرد به این صورته که کاربر به کلود‌فلر درخواست رو میده، کلود‌فلر به سروری که تحت محافظت هست درخواست رو میده و جواب رو میگیره و به کاربر تحویل میده. این سرویس برای کشورهایی مثل امریکا و فرانسه و ... که کلودفلر اونجا نود داره و سرعت اینترنت بالاست هیچ مشکلی ایجاد نمی‌کنه. اما فرض کن هر کاربر که سایتِ میزبانی شده در ایران رو باز کنه، کلود‌فلر سایت رو از امریکا باز می‌کنه که خب این میشه در حد ۱ ثانیه و بیشتر latency! و به کاربر نمایش میده.

متوجهم حمید
ما الان فایروال شبکه اینترنتیمون سایبر رومه ، دیروز یه سری پکت از ژاپن و کره ی جنوبی داشت سند میشد ، فایروال رو که ناکار کرده بود هیچ ، خط STM1 رو که کل چهنای باندش رو گرفته بود باز هیچ ، MPLS رو هم برده بود زیر بار ترافیکی سنگین طوری که از مخابرات مرکزی تو اتوبان کردستان تماس گرفتن باما ...
کلا MPLS نباید تو سوئیچ و یا راتر-روتر بخوره طبق مقررات رادیوئی ولی ما نیاز داشتیم دادیمش به بک بن ساختمون نمیتونیمم کاریش کنیم !!!

دقیقا دیروز به این حرف رسیدیم که سایبر روم با این همه ادئا فقط به درد این میخوره که یه سری محدودیت هارو برا یوزر انجام بدیم وگرنه از خارج هیچ غلطی نمیکنه

الان یکی توضیح بده که ما میتونیم برای محافظ از شبکه داخلی اینتنتمون و MPLS ساختمان از کلود فلر استفاده کنیم یا نه؟
یعنی برای مخفی کردن یا محافظت کردن از کل /24 از خارج یه رانش ابری از طریق همین کلود فلر ایجاد کنیم که پک آی پی از بیرون دید نداشته باشه اصلا و با تغییر dns و ارسال و دریافت از یه سرور سیف اینترنت رو دریافت و ارسال کنه و این سرور دقیقا بشه کور یا انجین اینترنت ما مثل همین کار کلود فلر ، یا یه جور دیگه بگم ما اینتنتمون رو رات کنیم به یه سرور دیگه اون جواب درخواستارو از خارج بده برهی ما ارسال کنه و ارتباط ما با اون سرور یه ارتباط لایه 7 ای باشه که دسترسی بهش نباشه
چون خط STM1 هست این تاخییر ایجاد شده مشکلی ایجاد نمیکه

الان این کار میشه انجام بشه یا در حد یه تئوریه؟

[yastheme]

الان یکی توضیح بده که ما میتونیم برای محافظ از شبکه داخلی اینتنتمون و MPLS ساختمان از کلود فلر استفاده کنیم یا نه؟
- خیر
من در خصوص شبکه های داخل ایران اطلاعاتی نداریم؛ اما اگر از مخابرات GRE tunneling را برای شما ساپورت می کنند می توانید از پروتکشن های شبکه استفاده کنید؛
شرکت بلک لوتوس یکی از قدیمی های این کار است و خیلی وقت است با آن همکاری می کنیم؛ در لینک زیر توضیحات و حتی فیلم هم ارائه شده که فکر نکنم دیگر نیاز به پاسخی باشد:
https://www.blacklotus.net/protect/p...-for-networks/
بزرگترین مزیت این روش عدم نیاز به پهنای باند بالا است؛
شما اگر از فایروال های میلیاردی هم در ایران استفاده کنید ؛ با چند گیگ اتک آی پی های شما قبل از رسیدن به فایروال در مخابرات مسدود می شوند ؛ اما در این روش تا حجم خیلی بالا در خصوص حملات UDP مقاوم هستید؛
همچنین نیاز به کانفیگ فایروال ندارید چرا که قدرتمند ترین متخصصان DDoS Protection به صورت مداوم در حال تشخیص روش ها و متود های حملات و جلوگیری از آن ها هستند و خیالتان همیشه راحت است.

اما مشکلاتی نیز ممکن است به همراه داشته باشد؛ از فاصله جغرافیایی گرفته تا فاصله ......... ؛ در هر صورت هنوز تحریم هستیم و احتمال آن خیلی کم است یک شرکت آمریکایی این سرویس خود را به آی پی ایرانی بدهد.
البته ما هیچ وقت از این سرویس بلک لوتوس استفاده نکردیم و ممکن است اطلاعات من در خصوص این سرویس محدود یا ناقص باشد؛بهتر است در خصوص هزینه و توضیحات بیشتر با این شرکت تماس بگیرید.