فرهنگ و تاريخ | سرگرمي | نيازمنديها | مذهبي | اقتصادي | خانواده و اجتماع | هنر | اخبار | ورزش | کامپيوتر | گردشگري | صنعت و دانشگاه | صفحه اصلي

آموزش کارکردن با نرم افزارها
دانلود نرم افزارهاي کاربردي
آموزش سخت افزار کامپيوتر
آخرين قيمت قطعات کامپيوتر
آموزش ويندوز و ترفندهاي آن
معرفي انواع سيستم عاملها
آموزش کار با اينترنت و شبکه
مبارزه با ويروسهاي کامپيوتري
رده بندي سايتهاي کامپيوتري
نشريات و کتابهاي کامپيوتري
 
 

عنوان: بررسي تخصصي نحوه کار فايروال

نويسنده: محمد مهدي کسائيان                         ايميل:  

منبع اطلاعاتي: www.networkprof.com            تاريخ نگارش: 29/01/1389

عکس
 

 

گالري تصاوير

 

مطالب مرتبط 1

   
 
 

فايروال مي تواند يک برنامه نرم افزاري و يا يک وسيله سخت افزاري باشد که مانند فيلتر از ورود اطلاعات ناخواسته به سيستم کامپيوتري و يا شبکه کامپيوتري جلوگيري کند. اگر بسته اي از اطلاعات توسط فيلترهاي فايروال ، بسته ناخواسته تشخيص داده شود اجازه ورود به سيستم را نخواهد داشت.

 اگر با نحوه جابجايي بسته هاي اطلاعات در شبکه آشنا باشيد خواهيد ديد که چگونه يک فايروال مي تواند از کامپيوتر حفاظت کند. تصور کنيد در شرکتي کار مي کنيد که داراي ۵۰۰ کارمند است. شرکت مذکور داراي صدها کامپيوتر مي باشد که توسط کارت شبکه به هم متصل اند و از طريق خطوط پرسرعت به اينترنت متصل مي شوند. بدون مجهز بودن اين شرکت به فايروال هر کس در اينترنت مي تواند به تمام سيستم هاي موجود در شبکه دسترسي داشته باشد. و يا يک هکر حرفه اي مي تواند به راحتي از طريق FTP و Telnet تمام کامپيوترهاي آن شرکت را مورد بررسي قرار دهد. اگر يکي از کارمندان مرتکب اشتباهي شود و يک شکاف امنيتي در شبکه بوجود آورد، هکرها مي توانند به کامپيوتر دست يابند و از آن شکاف نهايت استفاده را ببرند. اما با نصب فايروال مناسب مي توان کاملا اين موارد را بر طرف کرد.

 

 

اگر شرکت در هر يک از نقاط اتصال به اينترنت يک فايروال نصب کند و به اعمال و اجراي قوانين امنيتي بپردازد مي تواند درصد هک شدن و تهديدات را به ميزان قابل توجهي کاهش دهد. براي روشن شدن موضوع به مثال زير توجه کنيد:

يکي از موارد امنيتي که در شرکت فرضي ممکن است اعمال شود کنترل ترافيک FTP است. چون در بين ۵۰۰ کامپيوتر موجود در شرکت تنها يکي از آنها مجاز به دريافت ترافيک FTP و پاسخ به درخواست هاي آن مي باشد و درخواست ها نيز فقط مجازند با همان يک سيستم ( FTP Server ) ارتباط داشته باشند و نه با سيستم هاي ديگر. بنابراين شرکت مي تواند از طريق فايروال قوانيني را وضع نمايد تا کاربران راه دور فقط با همان يک سيستم ارتباط برقرار نمايد. مانند آنچه براي FTP گفته شد را مي توان براي ديگر سرورها از جمله Telnet Server , Web Server و غيره تعريف کرد. همچنين شرکت مي تواند نحوه ارتباط کارکنان خود را به شبکه اينترنت و وب سايت هاي مختلف کنترل نمايد.

 

◄   Firewall به زبان ساده:

شايد بتوان Firewall يا به عبارتي سد امنيتي را چنين توضيح داد: مفهوم اين سد امنيتي و نوع دفاعي که مي کند ،خيلي شبيه قلعه ايست که اطراف قلعه خندق کنده باشند و هر کس بخواهد داخل قلعه بيايد بايد خندق را دور بزند. و بالطبع اگر وارد شونده ماهري وجود داشته باشد مي تواند مثلا با يک قلاب بپرد و به داخل قلعه بيايد و اگر ماهر نباشد داخل خندق مي افتد . البته اگر داخل قلعه سگ پاسبان، دزدگير، سنسورهاي حساس و اينجور وسايل امنيتي باشند، به نگهبان قلعه خبر داده مي شود که شخص مزاحم دارد وارد مي شود و ممکن است جواهرات و طلا و اجناس قيمتي گم شوند و تکنيک بهتري براي حفاظت از آن بايد بکار برند و با شخص مزاحم برخورد کنند .

 البته اين گونه حمله ها به قلعه بخشي از ماجراست، تهديد اصلي آن جاسوساني هستند که در تاريکي شب پشت ديوارها مخفي مي شوند و سد ها را بدون اينکه ديده شوند وشناسايي شوند پشت سد گذاشته اند و به هدفشان نزديکترند. خوب حالا در اين قلعه و با اين سيستم امنيتي چه سياست هايي را بايد در پيش گرفت؟ تا کي بايد به مردم اجازه داد در آن قلعه باشند .ايا به عنوان مثال کارهايي را براي ثبت خود به عنوان فرد مجاز، بايد انجام دهند؟ بازرگانان و اهالي محلي شهر اجازه عبور و مرور در سوپر مارکت ها و کار در محوطه قلعه را دارند و مي توانند کالاهاي خود را بدست آورند يا تحويل دهند. در شب دروازه ها بسته مي شوند و کالا ها داخل قلعه آورده مي شوند معمولا بعد از يک بازرسي دقيق! (با اين مقايسه سوپر مارکت حکم WEB server يا FTP server عمومي را دارند که براي دسترسي هاي عمومي با آنها وصل مي شويد.

البته مواقعي هم پيش مي ايد که هيچ کس حق ورود را ندارد، فقط افراد مطمئن و کساني مجوز عبور خاصي دارند مي توانند وارد شوند که به اين ترتيب حجم سنگيني از حمله ها بي اثر خواهند ماند. البته اين يک قانون اجتماعي شده است که در همه جا، برج هاي بزرگ توسط پولداران سازنده ي آن، مستحکم و خوب و مطمئن ساخته مي شود. به همين صورت در تجارت هم اگر بودجه کافي باشد مي توان به خوبي از اطلاعات محافظت کرد. همچنان که سنگرهاي دفاعي چند گانه در محافظت از قلعه کمک مي کنند ديوار آتشين چندگانه در حفاظت از شبکه از دست نفوذگران (HACKERS) مفيد است مثلا مي توان مين ها يا سيم هاي حساس گذاشت تا اگر نگهبان قلعه هم خواب بود با ورود دزد با سر و صدا خبر دهد.

 

در زمان صلح حاکم قلعه مي تواند مردم عادي شهر بازرگانان و يا اشخاص مهم را از نواحي ديگر ببينند. هر ملاقات مستقيم با رئيس يا ملکه با يک الگوريتم اولويت داده مي شود. ولي اگر شرايط سياسي خاصي پيش ايد حاکم ممکن است از ملاقات مستقيم با ملاقات کنندگان دوري کند در اين مورد قرار دادي گذاشته مي شود که ملاقات کنندگان با يک عامل يا کار گذار از طرف ملکه ملاقات کنند که اين عامل پيغام ها را مي رساند. Proxy server نقش اين عامل را بازي مي کند. (اگر دقيق نمي دانيد Proxy server چيست و چه مي کند زياد نگران نباشيد در اين مقاله کمي اطلاعات در اين زمينه خواهيد يافت) ممکن است سياست ورود و خروج اين گونه باشد که مثلا نگهبان قلعه مي داند چه کساني از قلعه بيرون رفته اند و تنها به کساني اجازه ورود مي دهد که قبلا خارج شده اند.

در هر حال يک قلعه اگر بخواهد خوب و محکم و امن باشد، علاوه بر چيزهايي که گفته شد بايد سيستم بازسازي هم داشته باشد که اگر قسمتي ضربه ديد بتوان آن را دوباره زنده کرد و همچنين بايد يک مديريت بر قوانين قلعه حکومت کند، چون سياست ها از قلعه اي به قلعه اي ديگر و از زماني تا زمان ديگر فرق مي کند.

 

◄   Firewall چيست؟

Firewall سيستمي است بين کاربران يک شبکه محلي و يک شبکه بيروني مثل Internet که ضمن نظارت بر دسترسي ها، بر تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد و در واقع از شبکه هاي کامپيوتري محافظت مي کند . اين مي تواند يک ابزار سخت افزاري باشد يا يک نرم افزار که روي يک کامپيوتر امن اجرا مي شود. در هر حال بايد رابط حداقل دو شبکه را داشته باشد . يکي شبکه اي که در آن مي نشيند و بايد از آن محافظت کند و ديگري يک شبکه بيروني.

يک Firewall در نقطه اتصال يا gateway بين دو شبکه مي نشيند.

 

 

 فايروال سخت افزاري

 

 

 فايروال نرم افزاري

 

◄   Firewall چه مي کند؟

يک Firewall ترافيکي را که بين دو شبکه عبور مي کند را امتحان و بررسي مي کند تا ببيند ايا ملاقاتها طبق معيارهاي خاصي صورت مي گيرد يا نه. در واقع بسته هاي TCP و IP قبل و بعد از ورود به شبکه وارد ديوار آتش مي شوند و منتظر مي مانند تا طبق معيارهاي امنيتي خاصي پردازش شوند. حاصل اين پردازش احتمال وقوع سه حالت است:

۱- اجازه عبور بسته داده مي شود (Accept Mode )
2- بسته حذف مي شود (Blocking Mode )
3- بسته حذف مي شود وپيغام مناسب به مبدا ارسال بسته فرستاده مي شود (Response Mode)

(به غير از پيغام حذف بسته مي توان عملياتي نظير اخطار، ردگيري و جلوگيري از ادامه استفاده از شبکه و توبيخ هم در نظر گرفت)

در حقيقت ديوار آتش محلي است براي ايست و بازرسي بسته هاي اطلاعاتي به گونه اي که بسته ها بر اساس تابعي از قواعد امنيتي و حفاظتي پردازش شده و براي آنها مجوز عبور يا عدم عبور صادر شود. اگر P مجموعه اي از بسته هاي ورودي به سيستم ديوار آتش در نظر گرفته شود و S مجموعه اي متناهي از قواعد امنيتي باشد داريم :

 

X=F(P,S)

 

F تابع عملکرد Firewall و X نتيجه بسته (شامل سه حالت Response,Accept و Blocking ) خواهد بود. همانطور که همه جا ايست و بازرسي وقت گير و اعصاب خردکن است Firewall نيز مي تواند به عنوان يک گلوگاه باعث بالا رفتن ترافيک، تاخير و بن بست در شبکه شود. بن بست زماني است که بسته ها آنقدر در حافظه ديوار آتش معطل مي شوند تا طول عمرشان تمام شده و فرستنده اقدام به ارسال مجدد آنها کرده و اين کار به طور متناوب تکرار شود.

به همين دليل Firewall نياز به طراحي صحيح و دقيق دارد تا از حالت گلوگاهي خارج شود. البته تاخير درFirewall اجتناب ناپذير است فقط بايد به گونه اي باشد که بحران ايجاد نکند.

بياييد کمي جزئي تر به اين مسئله نگاه کنيم، اگر از ديدگاه نظريه صف به يک ديوار آتش يا همان Firewall نگاه کنيم مي توان تخميني از تاخير تحميل شده به هر بسته را بدست آورد. معمولا تابع توزيع بسته ها را در شبکه هاي اطلاعاتي پوآسون در نظر مي گيرند. فرض کنيد λn متوسط انتقال بسته IP در واحد زمان از شبکه N به ديوار آتش و λm متوسط انتقال بسته در واحد زمان از شبکه M باشد.q را احتمال عبور بسته PM و r را احتمال عبور بسته PN فرض کنيد.

 

(۱-q).λm+(1-r).λn = متوسط بسته هاي حذف شده
r.λn = متوسط انتقال بسته از ديوار آتش به M
q.λm = متوسط انتقال بسته از ديوار آتش به N

 

طبق نظريه صف اگر ديوار آتش بخواهد از نقش گلوگاهي خود بکاهد بايستي به گونه اي طراحي شود که نسبت متوسط خروجي بسته ها از ديوار آتش (u) به ورودي بسته ها (يعني نسبت μ/λ) تا حد امکان زياد باشد که اين کار منوط به افزايش سرعت پردازش، داشتن حافظه کافي براي ذخيره بسته هاي پردازش نشده و هرچه سريع تر کردن تابع تصميم گيري مي باشد. مشکل زماني حاد مي شود که ديوار آتش مجبور باشد براي تصميم گيري و اجازه عبور تعدادي از بسته ها را نگه دارد تا تصميم گيري بر اساس مجموعه اي از بسته ها انجام شود. اين نکته در ادامه آشکار تر خواهد شد.

 

◄   Firewall چگونه کار مي کند؟

دو متدولوژي در Firewall استفاده مي شود. Firewall مي تواند به تمام ترافيک اجازه عبور دهد تا اينکه به معيار مشخصي برسد يا اينکه به هيچ کس اجازه عبور ندهد مگر اينکه به معيار مشخصي برسد.

اين معيارها از يک Firewall به Firewall ديگر تفاوت مي کند. Firewall ها مي توانند به محتوي داده حساس باشند يا آدرس مبدا و مقصد و شماره پورت و يا تصميم نهايي در مورد پذيرش يا رد بسته، بستگي به لايه شبکه اي دارد که روي آن کار مي کند. Firewall ها روي لايه هاي مختلفي از شبکه سوار مي شوند تا معيارهاي مختلفي را براي محدود کردن ترافيک به کار برند. همانطور که مي دانيم مدل شبکه OSI 7 لايه دارد. (لايه ۱ : لايه فيزيکي، لايه ۲: لايه پيوند داده ها، لايه ۳: لايه شبکه، لايه ۴ : لايه انتقال، لايه ۵: لايه جلسه، لايه۶: لايه ارائه (نمايش)،لايه ۷: لايه کاربرد)
و مدل شبکه اينترنت (لايه ۱ : واسط شبکه، لايه۲: لايه شبکه، لايه ۳: لايه انتقال، لايه۴: لايه کاربرد)
 

حال مختصر بپردازيم به اينکه Firewall چگونه کار مي کند.

از آنجايي که معماري شبکه به صورت لايه لايه است و اينترنت هم از مدل TCP/IP حمايت مي کند، ما بيشتر توضيحاتمان را روي اين مدل مي آوريم. در مدل TCP/IP براي انتقال يک واحد اطلاعات از لايه چهارم بر روي شبکه، بايد تمام لايه ها را گذراند و هر لايه براي انجام وظيفه خود تعدادي فيلد مشخص به ابتداي بسته اطلاعاتي اضافه کرده و آن را تحويل لايه زيرين مي دهد. قسمت اعظم کار يک ديوار آتش تحليل فيلدهاي اضافه شده در هر لايه وسرايند بسته مي باشد. در بسته اي که وارد ديوار آتش مي شود به تعداد لايه ها سرايند مختلف وجود خواهد داشت. معمولا سرايند لايه اول (لايه فيزيکي يا network-interface از شبکه اينترنت) اهميت چنداني نخواهد داشت. چرا که محتواي اين فيلدها فقط روي کانال فيزيکي از شبکه محلي معنا دارند و در گذر از هر شبکه يا مسيرياب اين فيلدها عوض خواهد شد. بيشترين اهميت در سرايندي است که در لايه هاي دوم سوم و چهارم شبکه به يک واحد از اطلاعات اضافه خواهد شد:

در لايه شبکه ديوار آتش فيلدهاي بسته IP را پردازش و تحليل مي کند.
در لايه انتقال ديوار آتش فيلدهاي بسته هاي TCP يا UDP را پردازش و تحليل مي کند.
در لايه کاربرد ديوار آتش فيلدهاي سرايند و همچنين محتواي خود داده ها را بررسي مي کند. (مثلا سرايند و محتوي يکه نامه الکترونيکي يا يک صفحه وب مي تواند مورد بررسي قرار گيرد.)

با توجه به لايه لايه بودن معماري شبکه لاجرم ديوار آتش نيز بايد لايه لايه طراحي شود. (البته توجه به اين نکته مهم است که اين به اين معنا نيست که همه Firewall ها همه اين لايه ها و قابليت ها را دارند، بلکه بسته به کاربرد در بعضي انواع Firewall فقط برخي لايه هاي آن پياده سازي مي شود.)
اگر يک بسته در يکي از لايه هاي ديوار آتش شرايط عبور را احراز نکند همان جا حذف شده و به لايه هاي بالاتر ارجاع نمي شود بلکه اين امکان وجود دارد که آن بسته جهت پيگيري هاي امنيتي نظير ثبت و ردگيري به سيستمي جانبي تحويل داده شود.

سياست امنيتي يک شبکه مجموعه اي متناهي از قواعد امنيتي است که بنابر ماهيتشان در يکي از سه لايه ديوار آتش تعريف مي شوند، به عنوان مثال:

۱-  قواعد تعيين آدرس هاي ممنوع در اولين لايه از ديوار آتش
۲-  قواعد بستن برخي از سرويس ها مثل Telnet يا FTP در لايه دوم
۳-  قواعد تحليل سرايند متن يک نامه الکترونيکي يا صفحه وب در لايه سوم

      +   لايه اول ديوار آتش :

لايه اول در ديوار آتش بر اساس تحليل بسته IP و فيلدهاي سرايند اين بسته کار مي کند و در اين بسته فيلدهاي زير قابل نظارت و بررسي هستند :
آدرس مبدا برخي ماشين هاي داخل و يا خارج شبکه با آدس IP خاص حق ارسال بسته نداشته باشند و بسته هاي آنها به محض ورود به ديوار آتش حذف شود.

آدرس مقصد : برخي ماشين هاي داخل و يا خارج شبکه با آدرس IP خاص حق دريافت بسته نداشته باشند و بسته هاي آنها به محض ورود به ديوار آتش حذف شود.

شماره شناسايي يک ديتاگرام : بسته هايي که متعلق به يک ديتاگرام خاص هستند حذف شوند.

شماره پروتکل : بسته هايي که متعلق به پروتکل خاصي در لايه بالاتر هستند مي توانند حذف شوند.
يعني بررسي اينکه بسته متعلق به چه پروتکلي از لايه بالاتر است و ايا براي تحويل به آن پروتکل مجاز است يا نه؟
زمان حيات بسته : بسته هايي که بيش از تعداد مشخصي مسيرياب را طي کرده باشند مشکوک هستند و بايد حذف شوند.

بقيه فيلدها بنابر صلاحديد و قواعد امنيتي مسئول ديوار آتش قابل بررسي هستند.

مهمترين خاصيت لايه اول ديوار آتش آن است که در اين لايه بسته ها به طور مجزا و مستقل از هم بررسي مي شوند و هيچ نيازي به نگه داشتن بسته هاي قبلي يا بعدي يک بسته نيست. به همين دليل ساده ترين و سريع ترين تصميم گيري در اين لايه انجام مي شود. امروزه بعضي مسيرياب ها با امکان لايه اول ديوار آتش به بازار عرضه مي شوند يعني به غير از مسيريابي، وظيفه لايه اول ديوار آتش را هم انجام مي دهند که به آنها مسيرياب هاي (router) فيلتر کننده بسته گفته مي شود. بنابراين مسيرياب قبل از اقدام به مسيريابي بر اساس جدولي بسته هاي IP را غربال مي کند و تنظيم اين جدول بر اساس نظر مسئول شبکه و برخي قواعد امنيتي انجام مي گيرد. با توجه به سريع بودن اين لايه هرچه درصد قواعد امنيتي در اين لايه دقيقتر و سخت گيرانه تر باشد حجم پردازش در لايه هاي بالاتر کمتر و در عين حال احتمال نفوذ پايين تر خواهد بود ولي در مجموع به خاطر تنوع ميلياردي آدرس هاي IP نفوذ از اين لايه با آدرس هاي جعلي و يا فرضي امکان پذير خواهد بود و اين ضعف در لايه هاي بالاتر بايد جبران شود.

 

      +   لايه دوم ديوار آتش :

در اين لايه از فيلدهاي سرايند لايه انتقال براي تحليل بسته استفاده مي شود. عمومي ترين فيلدهاي بسته هاي لايه انتقال جهت بازرسي در ديوار آتش عبارتند از:

شماره پورت پروسه مبدا و شماره پورت پروسه مقصد : با توجه با آنکه پورت هاي استاندارد شناخته شده هستند ممکن است مسئول يک ديوار آتش بخواهد سرويس FTP (انتقال فايل) فقط در محيط شبکه محلي امکان پذير باشد و براي تمام ماشين هاي خارجي اين سرويس وجود نداشته باشد، بنابراين ديوار آتش مي تواند بسته هاي TCP با شمار پورت ۲۰ و ۲۱ (مربوط به FTP ) که قصد ورود يا خروج از شبکه را دارند حذف کند . يکي ديگر از سرويس هاي خطرناک که ممکن است مورد سوءاستفاده قرار گيرد Telnet است که مي تواند به راحتي پورت ۲۳ را مسدود کند يعني بسته هايي که شماره پورت مقصدشان ۲۳ است حذف شوند.

فيلد شماره ترتيب و فيلد acknowledgment : اين دو فيلد نيز بنا بر قاعد تعريف شده توسط مسئول شبکه قابل استفاده هستند.
از خصوصيات اين لايه آن است که تمام تقاضاهاي برقراري ارتباط TCP تا مراحل دست تکاني سه گانه اش به اتمام نرسد انتقال داده امکان پذير نيست لذا قبل از مبادله هرگونه داده ديوار آتش مي تواند مانع برقراري هرگونه ارتباط شود. يعني ديوار آتش مي تواند تقاضاي برقراري ارتباط TCP را قبل از ارائه به ماشين مقصد بررسي نمايد و در صورت غيرقابل اعتماد بودن مانع از برقراري ارتباط شود. ديوار آتش در اين لايه نياز به جدولي از پورت هاي غير مجاز دارد.

 

      +   لايه سوم ديوار آتش :

در اين لايه حفاظت بر اساس نوع سرويس و برنامه کاربردي انجام مي شود يعني با در نظر گرفتن پروتکل در لايه چهارم به تحليل داده ها مي پردازد. تعداد سرايند هاي در اين لايه بسته به نوع سرويس بسيار متنوع و فراوان است. بنابراين در لايه سوم ديوار آتش براي هر سرويس مجزا (مثل سرويس پست الکتريکي، سرويس FTP، سرويس وب و ) بايد يک سلسله پردازش و قواعد امنيتي مجزا تعريف شود و به همين دليل حجم و پيچيدگي پردازش در قسمت سوم بسيار زياد است .

توصيه موکد آن است که تمام سرويس هاي غير ضروري و شماره پورت هايي که مورد استفاده نيستند در لايه دوم مسدود شوند تا کار در لايه سوم کمتر شود. به عنوان مثال فرض کنيد موسسه نظامي سرويس پست الکتريکي خود را داير کرده ولي نگران فاش شدن برخي از اطلاعات محرمانه است در اين حالت ديوار آتش در لايه سوم مي تواند کمک کند تا برخي از آدرس هاي پست الکترونيکي مسدود شود . در عين حال مي تواند در متون نامه هاي رمز نشده دنبال برخي از کلمات کليدي حساس بگردد و متون رمزگذاري شده را در صورتي که موفق به رمز گشايي آن نشود حذف نمايد.

به عنوان مثالي ديگر يک مرکز فرهنگي علاقه مند است قبل از تحويل صفحه وب به يک کاربر درون آن را از لحاظ وجود برخي از کلمات کليدي بررسي کند و اگر کلماتي با معيارهاي فرهنگي مطابقت ندارد درون متن صفحه يافت شود و آن صفحه را حذف نمايد.

 

 

 

 

 

گروه علمي فدک

کليه مطالب ارسالي با نام اشخاص و ذکر منبع در اين سايت درج مي شود

راهنما  |  آمار سايت  |  درباره ما  |  تماس با ما  |  نظر خواهي  | آرشيو  |  عضويت در سايت