فرهنگ و تاريخ | سرگرمي | نيازمنديها | مذهبي | اقتصادي | خانواده و اجتماع | هنر | اخبار | ورزش | کامپيوتر | گردشگري | صنعت و دانشگاه | صفحه اصلي

آموزش کارکردن با نرم افزارها
دانلود نرم افزارهاي کاربردي
آموزش سخت افزار کامپيوتر
آخرين قيمت قطعات کامپيوتر
آموزش ويندوز و ترفندهاي آن
معرفي انواع سيستم عاملها
آموزش کار با اينترنت و شبکه
مبارزه با ويروسهاي کامپيوتري
رده بندي سايتهاي کامپيوتري
نشريات و کتابهاي کامپيوتري
 
 

عنوان: فايروال چيست

نويسنده: گروه امداد امنيت کامپيوتري ايران

منبع اطلاعاتي: www.ircert.com                      تاريخ نگارش:

عکس
 

 

گالري تصاوير

 

مطالب مرتبط 1

   
 
 

فايروال وسيله اي است که کنترل دسترسي به يک شبکه را بنابر سياست امنيتي شبکه تعريف مي کند. علاوه بر آن از آنجايي که معمولا يک فايروال بر سر راه ورودي يک شبکه مي نشيند لذا براي ترجمه آدرس شبکه نيز بکار گرفته مي شود.

 مشخصه هاي مهم يک فايروال قوي و مناسب جهت ايجاد يک شبکه امن عبارتند از:

1- توانايي ثبت و اخطار : ثبت وقايع يکي از مشخصه هاي بسيار مهم يک فايروال به شمار مي شود و به مديران شبکه اين امکان را مي دهد که انجام حملات را کنترل کنند. همچنين مدير شبکه مي تواند با کمک اطلاعات ثبت شده به کنترل ترافيک ايجاد شده توسط کاربران مجاز بپردازد. در يک روال ثبت مناسب ، مدير مي تواند براحتي به بخشهاي مهم از اطلاعات ثبت شده دسترسي پيدا کند. همچنين يک فايروال خوب بايد بتواند علاوه بر ثبت وقايع، در شرايط بحراني، مدير شبکه را از وقايع مطلع کند و براي وي اخطار بفرستد.

2- بازديد حجم بالايي از بسته هاي اطلاعات: يکي از تستهاي يک فايروال ، توانايي آن در بازديد حجم بالايي از بسته هاي اطلاعاتي بدون کاهش چشمگير کارايي شبکه است. حجم داده اي که يک فايروال مي تواند کنترل کند براي شبکه هاي مختلف متفاوت است اما يک فايروال قطعا نبايد به گلوگاه شبکه تحت حفاظتش تبديل شود.عوامل مختلفي در سرعت پردازش اطلاعات توسط فايروال نقش دارند. بيشترين محدوديتها از طرف سرعت پردازنده و بهينه سازي کد نرم افزار بر کارايي فايروال تحميل مي شوند. عامل محدودکننده ديگر مي تواند کارتهاي واسطي باشد که بر روي فايروال نصب مي شوند. فايروالي که بعضي کارها مانند صدور اخطار ، کنترل دسترسي مبني بر URL و بررسي وقايع ثبت شده را به نرم افزارهاي ديگر مي سپارد از سرعت و کارايي بيشتر و بهتري برخوردار است.

3- سادگي پيکربندي: سادگي پيکربندي شامل امکان راه اندازي سريع فايروال و مشاهده سريع خطاها و مشکلات است.در واقع بسياري از مشکلات امنيتي که دامنگير شبکه هاي مي شود به پيکربندي غلط فايروال بر مي گردد. لذا پيکربندي سريع و ساده يک فايروال ، امکان بروز خطا را کم مي کند. براي مثال امکان نمايش گرافيکي معماري شبکه و يا ابزراي که بتواند سياستهاي امنيتي را به پيکربندي ترجمه کند ، براي يک فايروال بسيار مهم است.

4- امنيت و افزونگي فايروال: امنيت فايروال خود يکي از نکات مهم در يک شبکه امن است.فايروالي که نتواند امنيت خود را تامين کند ، قطعا اجازه ورود هکرها و مهاجمان را به ساير بخشهاي شبکه نيز خواهد داد. امنيت در دو بخش از فايروال ، تامين کننده امنيت فايروال و شبکه است:

الف- امنيت سيستم عامل فايروال: اگر نرم افزار فايروال بر روي سيستم عامل جداگانه اي کار مي کند، نقاط ضعف امنيتي سيستم عامل ، مي تواند نقاط ضعف فايروال نيز به حساب بيايد. بنابراين امنيت و استحکام سيستم عامل فايروال و بروزرساني آن از نکات مهم در امنيت فايروال است.

ب- دسترسي امن به فايروال جهت مقاصد مديريتي: يک فايروال بايد مکانيزمهاي امنيتي خاصي را براي دسترسي مديران شبکه در نظر بگيرد. اين روشها مي تواند رمزنگاري را همراه با روشهاي مناسب تعيين هويت بکار گيرد تا بتواند در مقابل نفوذگران تاب بياورد.

 انواع فايروال:
انواع مختلف فايروال کم و بيش کارهايي را که اشاره کرديم ، انجام مي دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که اين امر منجر به تفاوت در کارايي و سطح امنيت پيشنهادي فايروال مي شود.بر اين اساس فايروالها را به 5 گروه تقسيم مي کنند.

1- فايروالهاي سطح مدار (Circuit-Level): اين فايروالها به عنوان يک رله براي ارتباطات TCP عمل مي کنند. آنها ارتباط TCP را با رايانه پشتشان قطع مي کنند و خود به جاي آن رايانه به پاسخگويي اوليه مي پردازند.تنها پس از برقراري ارتباط است که اجازه مي دهند تا داده به سمت رايانه مقصد جريان پيدا کند و تنها به بسته هاي داده اي مرتبط اجازه عبور مي دهند. اين نوع از فايروالها هيچ داده درون بسته هاي اطلاعات را مورد بررسي قرار نمي دهند و لذا سرعت خوبي دارند. ضمنا امکان ايجاد محدوديت بر روي ساير پروتکلها ( غير از TCP) را نيز نمي دهند.

2- فايروالهاي پروکسي سرور: فايروالهاي پروکسي سرور به بررسي بسته هاي اطلاعات در لايه کاربرد مي پردازد. يک پروکسي سرور درخواست ارائه شده توسط برنامه هاي کاربردي پشتش را قطع مي کند و خود به جاي آنها درخواست را ارسال مي کند.نتيجه درخواست را نيز ابتدا خود دريافت و سپس براي برنامه هاي کاربردي ارسال مي کند. اين روش با جلوگيري از ارتباط مستقيم برنامه با سرورها و برنامه هاي کاربردي خارجي امنيت بالايي را تامين مي کند. از آنجايي که اين فايروالها پروتکلهاي سطح کاربرد را مي شناسند ، لذا مي توانند بر مبناي اين پروتکلها محدوديتهايي را ايجاد کنند. همچنين آنها مي توانند با بررسي محتواي بسته هاي داده اي به ايجاد محدوديتهاي لازم بپردازند. البته اين سطح بررسي مي تواند به کندي اين فايروالها بيانجامد. همچنين از آنجايي که اين فايروالها بايد ترافيک ورودي و اطلاعات برنامه هاي کاربردي کاربر انتهايي را پردازش کند، کارايي آنها بيشتر کاهش مي يابد. اغلب اوقات پروکسي سرورها از ديد کاربر انتهايي شفاف نيستند و کاربر مجبور است تغييراتي را در برنامه خود ايجاد کند تا بتوان داين فايروالها را به کار بگيرد.هر برنامه جديدي که بخواهد از اين نوع فايروال عبور کند ، بايد تغييراتي را در پشته پروتکل فايروال ايجاد کرد.

3- فيلترهاي Nosstateful packet : اين فيلترها روش کار ساده اي دارند. آنها بر مسير يک شبکه مي نشينند و با استفاده از مجموعه اي از قواعد ، به بعضي بسته ها اجازه عبور مي دهند و بعضي ديگر را بلوکه مي کنند. اين تصميمها با توجه به اطلاعات آدرس دهي موجود در پروتکلهاي لايه شبکه مانند IP و در بعضي موارد با توجه به اطلاعات موجود در پروتکلهاي لايه انتقال مانند سرايندهاي TCP و UDP اتخاذ مي شود. اين فيلترها زماني مي توانند به خوبي عمل کنند که فهم خوبي از کاربرد سرويسهاي مورد نياز شبکه جهت محافظت داشته باشند. همچنين اين فيلترها مي توانند سريع باشند چون همانند پروکسي ها عمل نمي کنند و اطلاعاتي درباره پروتکلهاي لايه کاربرد ندارند.

4- فيلترهاي ٍStateful Packet : اين فيلترها بسيار باهوشتر از فيلترهاي ساده هستند. آنها تقريبا تمامي ترافيک ورودي را بلوکه مي کنند اما مي توانند به ماشينهاي پشتشان اجازه بدهند تا به پاسخگويي بپردازند. آنها اين کار را با نگهداري رکورد اتصالاتي که ماشينهاي پشتشان در لايه انتقال ايجاد مي کنند، انجام مي دهند.اين فيلترها ، مکانيزم اصلي مورد استفاده جهت پياده سازي فايروال در شبکه هاي مدرن هستند.اين فيلترها مي توانند رد پاي اطلاعات مختلف را از طريق بسته هايي که در حال عبورند ثبت کنند. براي مثال شماره پورت هاي TCP و UDP مبدا و مقصد، شماره ترتيب TCP و پرچمهاي TCP. بسياري از فيلترهاي جديد Stateful مي توانند پروتکلهاي لايه کاربرد مانند FTP و HTTP را تشخيص دهند و لذا مي تواننداعمال کنترل دسترسي را با توجه به نيازها و سرعت اين پروتکلها انجام دهند.

5- فايروالهاي شخصي: فايروالهاي شخصي ، فايروالهايي هستند که بر روي رايانه هاي شخصي نصب مي شوند.آنها براي مقابله با حملات شبکه اي طراحي شده اند. معمولا از برنامه هاي در حال اجرا در ماشين آگاهي دارند و تنها به ارتباطات ايجاد شده توسط اين برنامه ها اجازه مي دهند که به کار بپردازند نصب يک فايروال شخصي بر روي يک PC بسيار مفيد است زيرا سطح امنيت پيشنهادي توسط فايروال شبکه را افزايش مي دهد. از طرف ديگر از آنجايي که امروزه بسياري از حملات از درون شبکه حفاظت شده انجام مي شوند ، فايروال شبکه نمي تواند کاري براي آنها انجام دهد و لذا يک فايروال شخصي بسيار مفيد خواهد بود. معمولا نيازي به تغيير برنامه جهت عبور از فايروال شخصي نصب شده (همانند پروکسي) نيست.

 موقعيت يابي براي فايروال:
محل و موقعيت نصب فايروال همانند انتخاب نوع صحيح فايروال و پيکربندي کامل آن ، از اهميت ويژه اي برخوردار است. نکاتي که بايد براي يافتن جاي مناسب نصب فايروال در نظر گرفت عبارتند از :
موقعيت و محل نصب از لحاظ توپولوژيکي : معمولا مناسب به نظر مي رسد که فايروال را در درگاه ورودي/خروجي شبکه خصوصي نصب کنيم. اين امر به ايجاد بهترين پوشش امنيتي براي شبکه خصوصي با کمک فايروال از يک طرف و جداسازي شبکه خصوصي از شبکه عمومي از طرف ديگر کمک مي کند.
 

قابليت دسترسي و نواحي امنيتي: اگر سرورهايي وجود دارند که بايد براي شبکه عمومي در دسترس باشند ، بهتر است آنها را بعد از فايروال و در ناحيه DMZ قرار دهيد. قرار دادن اين سرورها در شبکه خصوصي وتنظيم فايروال جهت صدور اجازه به کاربران خارجي براي دسترسي به اين سرورها برابر خواهد بود با هک شدن شبکه داخلي. چون شما خود مسير هکرها را در فايروال باز کرده ايد. در حالي که با استفاده از ناحيه DMZ ، سرورهاي قابل دسترسي براي شبکه عمومي از شبکه خصوصي شما بطور فيزيکي جدا هستند، لذا اگر هکرها بتوانند به نحوي به اين سرورها نفوذ کنند بازهم فايروال را پيش روي خود دارند.
 

مسيريابي نامتقارن: بيشتر فايروالهاي مدرن سعي مي کنند اطلاعات مربوط به اتصالات مختلفي را که از طريق آنها شبکه داخلي را به شبکه عمومي وصل کرده است، نگهداري کنند. اين اطلاعات کمک مي کنند تا تنها بسته هاي اطلاعاتي مجاز به شبکه خصوصي وارد شوند. در نتيجه حائز اهميت است که نقطه ورود و خروج تمامي اطلاعات به/از شبکه خصوصي از طريق يک فايروال باشد.

فايروالهاي لايه اي: در شبکه هاي با درجه امنيتي بالا بهتر است از دو يا چند فايروال در مسير قرار گيرند. اگر اولي با مشکلي روبرو شود، دومي به کار ادامه مي دهد.معمولا بهتر است دو يا چند فايروال مورد استفاده از شرکتهاي مختلفي باشند تا در صورت وجود يک اشکال نرم افزاري يا حفره امنيتي در يکي از آنها ، سايرين بتوانند امنيت شبکه را تامين کنند.

 

 

 

 

 

گروه علمي فدک

کليه مطالب ارسالي با نام اشخاص و ذکر منبع در اين سايت درج مي شود

راهنما  |  آمار سايت  |  درباره ما  |  تماس با ما  |  نظر خواهي  | آرشيو  |  عضويت در سايت