امنیت شبکه چیست؟

آخرین به روز رسانی: 20 تیر 3
خواندن این مطلب 8 دقیقه زمان میبرد

امنیت شبکه (Network security) مجموعه‌ای از شیوه‌ها و فناوری‌ها است که از زیرساخت شبکه در برابر حملات، دسترسی غیرمجاز و نقض داده‌ها محافظت می‌کند. امنیت شبکه را می‌توانیم به‌عنوان حوزه‌ای از امنیت سایبری که دوره های مرتبط با آن در مجتمع فنی تهران نیز تدریس میشود مطرح کنیم که بر حفاظت از شبکه‌های کامپیوتری در برابر تهدیدهای سایبری متمرکز است. سه هدف اصلی امنیت شبکه‌های کامپیوتری عبارت‌اند از:

  • جلوگیری از دسترسی غیرمجاز به منابع شبکه
  • شناسایی و متوقف کردن حملات سایبری و نقض امنیت داده‌ها
  • اطمینان از دسترسی ایمن کاربران مجاز به منابع شبکه مورد نیازشان

چرا امنیت شبکه‌های کامپیوتری حائز اهمیت است؟

با بزرگ‌تر و پیچیده‌تر شدن شبکه‌ها خطر حملات سایبری نیز افزایش پیدا می‌کند. در دنیای امروز که اپلیکیشن‌های کسب‌وکاری بیشتری به سمت ابرهای خصوصی و عمومی در حال حرکت هستند و رواج بیشتری پیدا کرده، امنیت شبکه‌های کامپیوتری نیز با چالش‌های بزرگ‌تری همراه شده است. علاوه‌بر این، خود اپلیکیشن‌ها نیز به سمت مجازی‌سازی و توزیع در مکان‌های مختلف کشیده می‌شوند که برخی از آن‌ها خارج از کنترل فیزیکی تیم امنیت IT هستند. با افزایش روز افزون حملات سایبری به کسب‌وکارها و زیرساخت‌های سازمان‌ها، حفاظت از ترافیک شبکه و زیرساخت به یک امر ضروری و حیاتی تبدیل شده است.

آشنایی با مزایای امنیت شبکه

امنیت شبکه کلید توانایی سازمان در ارائه محصولات و سرویس‌ها به مشتریان و کارکنان است. از فروشگاه‌های آنلاین گرفته تا اپلیکیشن‌های سازمانی و دسکتاپ‌های از راه دور (Remote desktops)، محافظت از اپلیکیشن‌ها و داده‌های روی شبکه برای پیشرفت و ترقی کسب‌وکار و همچنین اعتبار یک سازمان ضروری است. علاوه‌بر این، امنیت شبکه موثر از خارج شدن زیرساخت از دسترس جلوگیری کرده و در نتیجه عملکرد شبکه را بهبود می‌بخشد.

نحوه عملکرد امنیت شبکه چگونه است؟

امنیت شبکه چندین لایه دفاعی را در لبه و شبکه ترکیب می‌کند، به‌طوری‌که هر لایه امنیتی شبکه سیاست‌ها و کنترل‌ها را پیاده‌سازی می‌کند. عناصر معماری امنیتی کامل و چند لایه که امنیت شبکه را در سراسر یک سازمان پیاده‌سازی می‌کند، به دو دسته کلی تقسیم می‌شوند؛ کنترل دسترسی و کنترل تهدید که در ادامه به بررسی آن‌ها می‌پردازیم:

امنیت شبکه با کنترل دسترسی شروع می‌شود. در بخش کنترل دسترسی، دسترسی به داده‌ها و نرم‌افزارهای مورد استفاده برای جلوگیری از دستکاری آن داده‌ها محدود می‌شود. کنترل دسترسی برای جلوگیری از دسترسی غیرمجاز و کاهش خطر تهدیدهای داخلی بسیار مهم است. اگر عوامل مخرب به یک شبکه دسترسی پیدا کنند، می‌توانند با نظارت بر ترافیک و نقشه‌برداری از زیرساخت، اقدام به حمله DDoS کرده یا بدافزار وارد کنند.

انواع امنیت شبکه از نظر تکنولوژی

سیستم‌های امنیتی شبکه در دو سطح کار می‌کنند؛ در محیط و در منابع داخلی شبکه. کنترل‌های امنیتی در محیط تلاش می‌کنند تا از ورود تهدیدهای سایبری به شبکه جلوگیری کنند. اما گاهی اوقات مهاجمان شبکه موفق به نفوذ می‌شوند؛ بنابراین تیم‌های امنیت IT باید کنترل‌هایی را در اطراف منابع داخل شبکه مانند لپ‌تاپ‌ها یا داده‌ها نیز اعمال کنند. این استراتژی یعنی لایه‌بندی کنترل‌های چندگانه بین هکرها و آسیب‌پذیری‌های احتمالی را «Defense in depth» می‌نامند. برای ساخت سیستم‌های امنیتی، تیم‌های امنیتی ابزارهای زیر را ترکیب می‌کنند:

فایروال‌ها

فایروال نرم‌افزار یا سخت‌افزاری است که از ورود یا خروج ترافیک مشکوک یک شبکه جلوگیری می‌کند و درعین‌حال به ترافیک قانونی اجازه عبور می‌دهد. به عبارت دیگر، فایروال‌ها تهدیدهای بالقوه ترافیک شبکه را فیلتر کرده و حملات بدافزار، سوءاستفاده از آسیب‌پذیری، حملات ربات‌ها و سایر تهدیدها را مسدود می‌کنند.

فایروال‌های سنتی با استفاده از یک دستگاه سخت‌افزاری در محل فیزیکی یک کسب‌وکار اجرا می‌شوند. امروزه بسیاری از فایروال‌ها می‌توانند به‌صورت نرم‌افزاری یا در فضای ابری اجرا شوند و نیاز به سخت‌افزار فایروال را از بین می‌برند. به‌علاوه، فایروال‌ها را می‌توان در لبه‌های یک شبکه مستقر کرد یا به‌صورت داخلی برای تقسیم یک شبکه بزرگ‌تر به زیرشبکه‌های کوچک‌تر مورد استفاده قرار داد. به‌این‌ترتیب اگر بخشی از شبکه در معرض خطر باشد، هکرها از سایر بخش‌ها جدا خواهند بود.

IDPS / IDS / IPS

یک سیستم تشخیص و جلوگیری از نفوذ (IDPS) که گاهی اوقات IPS نامیده می‌شود، می‌تواند به‌طور مستقیم پشت فایروال مستقر شود تا ترافیک ورودی برای تهدید‌های امنیتی را اسکن کند. ابزارهای امنیتی IDPS از سیستم‌های تشخیص نفوذ (IDS) تکامل پیدا کرده‌اند که فقط فعالیت‌های مشکوک را برای بررسی علامت‌گذاری می‌کنند. این قابلیت به IDPSها اضافه شده است که به‌صورت خودکار به نقض‌های احتمالی مانند مسدود کردن ترافیک یا تنظیم مجدد اتصال پاسخ دهند. IDPSها به‌ویژه در تشخیص و مسدود کردن حملات Brute force، DoS و DDoS موثر هستند.

شبکه‌های خصوصی مجازی (VPN)

یک شبکه خصوصی مجازی (VPN) با رمزگذاری داده‌های کاربران و پوشاندن آدرس IP و مکان آن‌ها از هویتشان محافظت می‌کند. در صورت استفاده از VPN، کاربران به‌طور مستقیم به اینترنت متصل نمی‌شوند، بلکه به یک سرور امن که به اینترنت متصل است، وصل می‌شوند.

VPNها به کارکنان از راه دور کمک می‌کنند تا حتی از طریق اتصالات Wifi عمومی ناامن به‌طور ایمن به شبکه‌های شرکت دسترسی پیدا کنند. شبکه‌های خصوصی مجازی ترافیک کاربر را رمزگذاری می‌کنند و آن را از هکرهایی که به‌دنبال رهگیری ارتباطات آن‌ها هستند، در امان نگه می‌دارند.

درگاه‌های ایمیل اولین عامل تهدید برای نقض امنیت هستند. مهاجمان از اطلاعات شخصی و تاکتیک‌های مهندسی اجتماعی برای ایجاد کمپین‌های فیشینگ پیچیده برای فریب دادن گیرنده‌ها و ارسال آن‌ها به سایت‌هایی که بدافزار دارند، استفاده می‌کنند. 

در حالی که فایروال‌ها و حفاظت DDoS از ورود حملات خارجی به شبکه جلوگیری می‌کنند، پیشگیری از نشت داده‌ها (DLP) مانع از انتقال داده‌های داخلی به خارج از شبکه می‌شود. DLP به ابزارها و استراتژی‌های امنیت اطلاعات اشاره دارد که تضمین می‌کنند داده‌های حساس نه به سرقت رفته‌اند و نه به‌طور تصادفی فاش شده‌اند. DLP شامل سیاست‌های امنیت داده‌ها و تکنولوژی‌های هدفمند است که جریان‌های داده‌ای را ردیابی کرده، اطلاعات حساس را رمزگذاری می‌کند و درصورت شناسایی فعالیت مشکوک، هشدار می‌دهد.

دسترسی به اینترنت از طریق یک شبکه باعث ایجاد خطر برای شبکه می‌شود؛ زیرا مرورگر وب شامل اجرای کد از منابع غیرقابل اعتماد خارجی (مانند سرورهای وب‌سایت‌های مختلف) در دستگاه‌های کاربر است. جداسازی مرورگر این خطر را با اجرای کد از خارج از شبکه داخلی سازمان اغلب روی یک سرور ابری از بین می‌برد.

خطرات رایج امنیت شبکه

شبکه‌های کامپیوتری مانند هر دارایی تجاری دیگری به روش‌های مختلفی در معرض خطر قرار دارند. تهدیدهایی که شبکه‌ها به‌طور معمول باید برای آن آماده شوند، عبارت‌اند از:

  • دسترسی غیرمجاز: اگر یک کاربر غیرمجاز به یک شبکه دسترسی پیدا کند، می‌تواند اطلاعات محرمانه آن شبکه را مشاهده کند. عوامل مخرب با دسترسی غیرمجاز به شبکه‌های کامپیوتری می‌توانند داده‌های محرمانه را افشا کنند یا سیستم‌های داخلی را به خطر بیندازند.
  • حملات DDoS: حملات DDoS با ارسال ترافیک ناخواسته به مقدار زیاد باعث کندی یا از دسترس خارج شدن سرویس برای کاربران مجاز می‌شود.
  • سوء استفاده از آسیب‌پذیری: مهاجمان می‌توانند از آسیب‌پذیری شبکه در پرتال‌های ورود، برنامه‌ها، سخت‌افزار یا سایر مناطق برای نفوذ به شبکه برای اهداف مخرب مختلف استفاده کنند.
  • آلودگی‌های بدافزار (Malware infections): از آلودگی‌های رایج بدافزاری می‌توان به باج‌افزارها (Ransomware) اشاره کرد که داده‌ها را رمزگذاری می‌کنند یا از بین می‌برند و با این عمل دسترسی کاربران به شبکه را محدود می‌کنند. کرم‌ها (worms) بدافزارهایی هستند که می‌توانند به‌سرعت در سراسر شبکه تکثیر شوند. نرم‌افزارهای جاسوسی (spyware) که به مهاجمان اجازه می‌دهند تا اقدامات کاربر را ردیابی کنند نیز از انواع دیگر بدافزار هستند. بدافزار می‌تواند از منابع مختلفی از جمله وب‌سایت‌های ناامن، دستگاه‌های آلوده کارمندان یا حملات خارجی هدفمند وارد شبکه شود.
  • تهدیدات داخلی: کارمندان یا پیمانکاران داخلی می‌توانند به‌طور ناخواسته امنیت شبکه را تضعیف کنند یا در صورت ناآگاهی از شیوه‌های امنیتی، داده‌ها را افشا کنند. در موارد دیگر، کاربران ممکن است عمدا یک شبکه را به خطر بیندازند یا با توجه به دلایل شخصی خود باعث افشای اطلاعات شوند.

راه‌های تامین امنیت شبکه‌های کامپیوتری

تا این قسمت از مقاله به بررسی امنیت شبکه‌های کامپیوتری پرداختیم و انواع آن‌ها را مورد بررسی قرار دادیم. در این بخش قرار است به بررسی راه‌های تامین امنیت شبکه بپردازیم تا بتوانید تا حد قابل توجهی از حمله به شبکه داده‌ها و اطلاعات مهم سازمان جلوگیری کنید.

پشتیبان‌گیری از داده‌ها و ذخیره چند فایل پشتیبان

حتی شبکه‌ای که امنیت بسیار بالایی دارد نیز ممکن است در معرض حمله قرار گیرد. از دست دادن دسترسی جزئی یا کامل به داده‌ها و سیستم‌های داخلی می‌تواند برای یک کسب‌وکار مخرب باشد. نگه داشتن نسخه‌های پشتیبان از داده‌ها به کاهش تاثیر چنین حمله‌ای کمک می‌کند.

آموزش کاربر

بسیاری از مشکلات داده‌ها و آلودگی‌های بدافزاری به این دلیل اتفاق می‌افتند که کاربر به سادگی مرتکب اشتباه شده است. این اشتباه می‌تواند با باز کردن تصادفی پیوست ایمیل ناامن، ارائه اعتبار ورود به سیستم خود در نتیجه حمله فیشینگ (phishing) یا اجازه دسترسی خارجی به روشی دیگر توسط کاربر اتفاق بیفتد. کارکنان داخلی و پیمانکاران باید از نحوه ایمن ماندن و محافظت از شبکه آگاه شوند.

به‌کارگیری رویکرد اعتماد صفر (Zero trust)

شبکه‌های سنتی به‌صورت متمرکز طراحی و ایجاد می‌شدند و نقاط پایانی (Endpoints) کلیدی، داده‌ها و اپلیکیشن‌ها در محل قرار داشتند. سیستم‌های امنیتی شبکه سنتی روی جلوگیری از نفوذ تهدیدها به محیط شبکه متمرکز بودند؛ به‌طوری‌که در صورت ورود یک کاربر به شبکه، کاربر قابل اعتماد تلقی می‌شد و عملا دسترسی نامحدودی به کل شبکه داشت.

کنترل‌های امنیتی مبتنی بر محیط در شبکه‌های توزیع‌شده تاثیر کمتری دارند؛ ازهمین‌رو بسیاری از تیم‌های امنیتی IT به چارچوب‌های امنیتی شبکه اعتماد صفر (Zero-trust) روی می‌آورند. تمرکز امنیت شبکه Zero-trust به‌جای محیط، بر کنترل‌های امنیتی اطراف منابع فردی قرار دارد. کاربران هرگز قابل اعتماد نیستند؛ یعنی هر بار که کاربر برای دسترسی به منبع تلاش می‌کند، فارغ از اینکه قبلا در شبکه بوده است یا خیر، باید احراز هویت شود و مجوز دریافت کند.

به بیان دیگر، چارچوب اعتماد صفر (Zero trust) مجموعه‌ای از عوامل امنیتی است که همه کاربران داخلی و خارجی را قبل از ورود به سیستم، احراز هویت می‌کند. در پروتکل اعتماد صفر به هیچ کاربر یا دستگاهی به‌طور پیش‌فرض نباید اعتماد کرد. کاربران احراز هویت شده فقط به حداقل امتیاز دسترسی دارند و مجوزهای آن‌ها به‌محض انجام وظیفه لغو می‌شود.

پروتکل‌های امنیتی شبکه

پروتکل‌های امنیت شبکه مجموعه پروتکل‌هایی است که برای حفاظت از اطلاعاتی که در یک شبکه جریان دارد، استفاده می‌شود.

  • IPSec: پروتکل IPSec (IP Security) احراز هویت داده‌ها، یکپارچگی و همچنین حریم خصوصی بین دو موجودیت را ارائه می‌دهد.
  • SSL (Secure Sockets Layer): لایه سوکت ایمن یک مکانیسم امنیتی استاندارد است که برای حفظ یک اتصال اینترنتی امن بین سرویس‌گیرنده و سرویس‌دهنده استفاده می‌شود. در این پروتکل امنیتی با استفاده از رمزنگاری از تغییر داده‌های شخصی، بسته‌ها و جزئیات در حین ارسال و همچنین خواندن آن‌ها توسط مجرمان جلوگیری می‌شود. برای آشنایی بیشتر با گواهی‌نامه SSL، مقاله «» از ابر دراک را مطالعه کنید. در این بلاگ به بررسی کامل این پروتکل امنیتی، انواع و مزایای آن پرداخته‌ایم.
  • SSH (Secure Shell): پروتکل SSH یک پروتکل امنیتی شبکه است که ارتباطات و داده‌های شبکه را رمزنگاری می‌کند. این پروتکل به خط فرمان اجازه می‌دهد تا از راه دور وارد سیستم شود و وظایف خاصی را از راه دور انجام دهد. عملکردهای مختلف FTP در SSH گنجانده شده است. SSH-1 و SSH-2 جدیدترین نوع پروتکل‌های SSH هستند.
  • HTTPS (HyperText Transfer Protocol Secure): پروتکل HTTPS یک پروتکل امنیت شبکه است که برای ایمن‌سازی ارتباطات داده بین دو یا چند سیستم استفاده می‌شود. ازآنجایی‌که داده‌های منتقل شده از طریق HTTPS رمزگذاری می‌شوند، مجرمان سایبری قادر به تغییر داده‌ها در طول انتقال از مرورگر به وب‌سرور نیستند. حتی زمانی که مجرمان سایبری به بسته‌های داده دسترسی پیدا می‌کنند، به دلیل رمزگذاری قوی بسته‌ها قادر به خواندن و تفسیر آنها نخواهند بود.

اطمینان خاطر از امنیت شبکه با سرویس امنیت ابری ابر دراک

امنیت ابری یکی از سرویس‌های ارائه‌شده توسط ابر دراک است که از شبکه شما در برابر حملات DDoS، بدافزارها و تهدیدهای سایبری محافظت می‌کند. ابر دراک شبکه شما را به‌صورت روزانه اسکن کرده و ترافیک ورودی را بررسی می‌کند. این ارائه‌دهنده سرویس امنیت ابری با استفاده از فایروال، ترافیک ورودی را فیلتر کرده و از ورود ترافیک مخرب قبل از رسیدن به شبکه شما جلوگیری می‌کند. اَبر دِراک حملات DDoS را نیز به‌صورت هوشمند تشخیص می‌دهد و دفع می‌کند. شما می‌توانید دسترسی کاربران به شبکه را بر اساس معیارهایی مانند منطقه جغرافیایی و IP محدود کنید. با وب‌سایت خود را حتی در زمان اوج ترافیک نیز پایدار نگه دارید و امنیت آن را تضمین کنید.

مطالب پرطرفدار سایت:

  1. مزایای پشتیبانی شبکه چیست؟
  2. اشتراک شبکه NBA چیست و نحوه استفاده از آن
  3. پیش‌بینی‌ امنیت سایبری برای سال ۲۰۲۲
  4. کلاف درهم پیچیده امنیت سایبری در ایران
دسته بندی مطلب
آخرین به روز رسانی: 20 تیر 3
خواندن این مطلب 8 دقیقه زمان میبرد
تمامی حقوق محفوظ و متعلق به ترندونی است
دکمه بازگشت به بالا