همه چیز در مورد Firewall را اینجا بخوانید
Firewall بر اساس سیاست امنیتی، دسترسی به یک شبکه را کنترل می‌کند. علاوه بر این معمولا Firewall برای ترجمه آدرس یک شبکه نیز به کار گرفته می‌شود. 
Firewall مناسب و قوی جهت ایجاد یک شبکه امن مشخصه‌هایی مثل: ۱- توانایی ثبت و اخطار، ۲- بازدید حجم بالایی از بسته‌های اطلاعات، ۳- سادگی پیکر بندی، ۴- امنیت و افزونگی Firewall را داراست. 
 
حالا به توضیح مختصری از این ویژگی‌ها می‌پردازیم. 
 
توانایی ثبت و اخطار: ثبت وقایع یکی از مشخصه‌های بسیار مهم یک Firewall است و به مدیران شبکه این امکان را می‌دهد که انجام حملات را کنترل کنند. 
 
مدیر شبکه می‌تواند با کمک اطلاعات ثبت شده، ترافیک ایجاد شده توسط کاربران مجاز را کنترل کند. در یک روال ثبت مناسب، مدیر به راحتی می‌تواند به بخش‌های مهم از اطلاعات ثبت شده دسترسی پیدا کند. 
یک Firewall خوب علاوه بر ثبت وقایع در شرایط بحرانی، مدیر شبکه را از وقایع مطلع می‌کند و اخطار می‌فرستد. 
 
بازدید از حجم بالایی از بسته‌های اطلاعات؛ یکی از تست‌های یک Firewall، توانایی آن در بازدید حجم بالایی از بسته‌های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. 
یک Firewall حجم داده‌ای که می‌تواند کنترل کند در شبکه‌های مختلف متفاوت است اما نباید قطعا به یک گلوگاه شبکه تبدیل شود. 
 
عوامل مختلفی در سرعت پردازش اطلاعات توسط Firewall نقش دارند. بیشترین محدودیت‌ها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی Firewall تحمیل می‌شوند. 
کارت‌های واسطی که بر روی Firewall نصب می‌شود می‌تواند عامل محدود کننده دیگری باشد. 
 
Firewall بعضی کار‌ها مثل صدور اخطار، کنترل دسترسی مبنی بر Url و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می‌سپارد از سرعت و کارایی بالا‌تر و بهتری برخوردار است. 
 
سادگی پیکر بندی: امکان راه اندازی سریع Firewall و مشاهده سریع خطا‌ها و مشکلات است. در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه‌ها می‌شود به پیکر بندی غلط Firewall بر می‌گردد. یک پیکربندی سریع و ساده، امکان بروز خطا را کم می‌کند. 
 
برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزاری که بتواند سیاست‌های امنیتی را پیکر بندی ترجمه کند، برای یک Firewall بسیار مهم است. 
 
امنیت و افزونگی Firewall: 
امنیت Firewall خود یکی از نکات مهم در یک شبکه امن است. Firewall که نتواند خود را تامین کند، قطعا اجازه ورود هکر‌ها و مهاجمان را به سایر بخش‌های شبکه نیز خواهد داد. 
Firewall در دوبخش تامین کننده امنیت شبکه است. 
 
الف) امنیت سیستم عامل Firewall: 
اگر نرم افزار Firewall بر روی سیستم عامل جداگانه‌ای کار می‌کند، نقاط ضعف امنیتی سیستم عامل می‌تواند نقاط ضعف Firewall به حساب بیاید. بنابراین امنیت و استحکام کامل Firewall و بروز رسانی آن از نکات مهم در امنیت Firewall است. 
 
ب) دسترسی امن به Firewall جهت مقاصد مدیریتی: 
یک Firewall باید مکانیزم‌های امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرید. این روش‌ها می‌تواند رمز نگاری همراه با روشن‌های مناسب تعیین هویت به کار گیرد تا بتواند در مقابل نفوذ گران تاب بیاورد. 
 
Firewall‌ها به انواع مختلفی تقسیم می‌شوند که به معرفی آن‌ها می‌پردازیم: 
 
١- فایروالھای سطح مدار (Circuit-Level): 
 
این فایروالھا به عنوان یک رله برای ارتباطات TCP عمل می‌کنند. 
 
آنھا ارتباطTCP را با رایانه پشتشان قطع می‌کنند و خود به جای آن رایانه به پاسخگویی اولیه می‌پردازند. تنھا پس از برقراری ارتباط است که اجازه می‌دھند تا داده به سمت رایانه مقصد جریان پیدا کند و تنھا به بسته ھای داده‌ای مرتبط اجازه عبور می‌دھند. 
 
این نوع از فایروالھا ھیچ داده درون بسته ھای اطلاعات را مورد بررسی قرار نمی‌دھند و لذا سرعت خوبی دارند. 
 
ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلھا (غیر ازTCP) را نیزنمی دھند. 
 
٢- فایروالھای پروکسی سرور: فایروالھای پروکسی سرور به بررسی بسته ھای اطلاعات در لایه کاربرد می‌پردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه ھای کاربردی پشتش را قطع می‌کند و خود به جای آنھا درخواست را ارسال می‌کند. نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه ھای کاربردی ارسال می‌کند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورھا و برنامه ھای کاربردی خارجی امنیت بالایی را تامین می‌ کند. از آنجایی که این فایروالھا پروتکلھای سطح کاربرد ر ا می‌شناسند، لذا می‌توانند بر مبنای این پروتکلھا محدودیتھایی را ایجاد کنند. ھمچنین آنھا می‌توانند با بررسی محتوای بسته ھای داده‌ای به ایجاد محدودیتھای لازم بپردازند. البته این سطح بررسی می‌تواند به کندی این فایروالھا بیانجامد. ھمچنین از آنجایی که این فایروالھا باید ترافیک ورودی و اطلاعات
 
برنامه ھای کاربردی کاربر انتھایی را پردازش کند، کارایی آنھا بیشتر کاھش می‌یابد. اغلب اوقات پروکسی سرورھا از دید کاربر انتھایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالھا را به کار بگیرد. 
 
ھر برنامه جدیدی که بخواھد از این نوع فایروال عبور کند، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد. 
 
٣- فیلترھای Nosstateful packet: 
این فیلترھا روش کار ساده‌ای دارند. آنھا بر مسیر یک شبکه می‌نشینند و با استفاده از مجموعه‌ای از قواعد، به بعضی بسته ھا اجازه عبور می‌دھند و بعضی دیگر را بلوکه می‌کنند. این تصمیمھا با توجه به اطلاعات آدرس دھی موجود در پروتکلھای شبکه مانندIP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلھای لایه انتقال مانند سرآیندھای UDP و TCP اتخاذ می‌شود.  این فیلترھا زمانی می‌توانند به خوبی عمل کنند که فھم خوبی از کاربرد سرویسھای مورد نیاز شبکه جھت محافظت داشته باشند. ھمچنین این فیلترھا می‌توانند سریع باشند چون ھمانند پروکسی ھا عمل نمی‌کنند و اطلاعاتی درباره پروتکلھای لایه کاربرد ندارند. 
 
۴- فیلترھای Stateful Packet
این فیلترھا بسیار باھوش‌تر از فیلترھای ساده ھستند. آنھا تقریبا تمامی ترافیک ورودی را بلوکه می‌کنند اما می‌توانند به ماشینھای پشتشان اجازه بدھند تا به پاسخگویی بپردازند. آنھا این کار ر ا با نگھداری رکورد اتصالاتی که ماشینھای پشتشان در لایه انتقال ایجاد می‌کنند، انجام می‌دھند. این فیلترھا، مکانیزم اصلی مورد استفاده جھت پیاده سازی فایروال در شبکه ھای مدرن ھستند. این فیلترھا می‌توانند رد پای اطلاعات مختلف را از طریق بسته ھایی که در حال عبور ند ثبت کنند. 
 برای مثال شماره پورت ھایTCP وUDP مبدا و مقصد،  شماره ترتیب TCP و پرچمھای TCP.  بسیاری از فیلترھای جدید Stateful می‌توانند پروتکلھای لایه کاربرد مانندHTTP و FTP را تشخیص دھند و لذا می‌تواننداعمال کنترل دسترسی را با توجه به نیازھا و سرعت این پروتکلھا انجام دھند. 
 
۵- فایروالھای شخصی: فایروالھای شخصی، فایروالھایی ھستند که بر روی رایانه ھای شخصی نصب می‌شوند. آنھا برای مقابله با حملات شبکه‌ای طراحی شده‌اند. معمولا از برنامه ھای در حال اجرا در ماشین آگاھی دارند و تنھا به ارتباطات ایجاد شده توسط این برنامه ھا اجازه می‌دھند که به کار بپردازند نصب یک فایروال شخصی بر روی یکPCبسیار مفید است زیرا سطح امنیت پیشنھادی توسط فایروال شبکه را افزایش می‌دھد. 
از طرف دیگر از آنجایی کهامروزه بسیاری از حملات از درون شبکه حفاظت شده انجام می‌شوند، فایروال شبکه نمی‌تواند کاری برای آنھا انجام دھد و لذا یک فایروال شخصی بسیار مفید خواھد بود. معمولا نیازیبه تغییر برنامه جھت عبور از فایروال شخصی نصب شده (ھمانند پروکسی) نیست
 
موقعیت یابی برای فایروال
محل و موقعیت نصب فایروال ھمانند انتخاب نوع صحیح فایروال و پیکربندی کامل آن، از اھمیت ویژه‌ای
برخوردار است. نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از: موقعیت و محل نصب از لحاظ توپولوژیکی: معمولا مناسب به نظر می‌رسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم. این امر به ایجاد بھ‌ترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال از یک طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک می‌کند. 
قابلیت دسترسی و نواحی امنیتی: اگر سرورھایی وجود دارند که باید برای شبکه عمومی در دسترس باشند، بھ‌تر است آنھا را بعد از فایروال و در ناحیه DMZ قرار دھید. 
 
 قرار دادن این سرورھا در شبکه خصوصی وتنظیم فایروال جھت صدور اجازه به کاربران خارجی برای دسترسی به این سرورھا برابر خواھد بود با ھک شدن شبکه داخلی. چون شما خود مسیر
ھکرھا را در فایروال باز کرده‌اید. درحالی که با استفاده از ناحیهDMZ سرورھای قابل دسترسی برای شبکه عمومی از شبکه خصوصی، شما بطور فیزیکی جدا ھستند، لذا اگر ھکرھا بتوانند به نحوی به
این سرورھا نفوذ کنند بازھم فایروال را پیش روی خود دارند. 
 
مسیریابی نامتقارن: بیشتر فایروالھای مدرن سعی می‌کنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنھا شبکه داخلی را به شبکه عمومی وصل کرده است، نگھداری کنند. این اطلاعات کمک می‌کنند تا تنھا بسته ھای اطلاعاتیمجاز به شبکه خصوصی وارد شوند. در نتیجه حائز اھمیت
است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصیاز طریق یک فایروال باشد. 
 
فایروالھای لایه‌ای: در شبکه ھای با درجه امنیتی بالا بھ‌تر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشکلی روبرو شود، دومی به کار ادامه می‌دھد. معمولا بھ‌تر است دو یا چند
فایروال مورد استفاده از شرکتھای مختلفی باشند تا در صورت وجود یک اشکال نرم افزاری یا حفره
امنیتی در یکی از آنھا، سایرین بتوانند امنیت شبکه را تامین کنند.




تاريخ : دو شنبه 26 اسفند 1392برچسب:, | | نویسنده : مقدم |