بلاگ

فایروال چیست؟
  •   نویسنده: آرین
  • شنبه, ۲۴ اردیبهشت ۱

فایروال چیست؟

"فایروال یا دیوار آتش یک دستگاه شبکه است که روی بسته هایی که وارد یک شبکه یا از آن خارج‌‌ می‌شوند نظارت‌‌ می‌کنند."
فایروال یا دیوار آتش چیست؟
فایروال (Firewall) یا دیوار آتش به نرم افزارها یا سخت افزارهایی گفته می‌شود که از دسترسی‌های غیرمجاز به کامپیوتر فرد در یک شبکه یا اینترنت جلوگیری کرده و داده‌های ورودی و خروجی را کنترل می‌کند. درواقع کار فایروال بسیار شبیه به در خانه شماست. کسانی که مجوز ورود را دارند می‌توانند وارد خانه شوند و برعکس کسانی که حق ورود به خانه را ندارند، نمی‌توانند به آن وارد شوند (با این تفاوت که معمولاً در فایروال‌ها هر دو جهت ورودی و خروجی کنترل می‌شود). یعنی فایروال به عنوان یک لایه امنیتی داده‌ها و ارتباطات را فیلتر می‌کند.
فایروال یکی از مهمترین لایه‌های امنیتی شبکه‌های کامپیوتری است که وجود نداشتن آن موجب می‌شود هکرها و افراد خراب کار بدون وجود داشتن محدودیتی به شبکه وارد شده و کار خود را انجام دهند. یک فیلتر هوای خودرو را فرض کنید که از ترکیبات بسیار موجود در هوا، فقط اکسیژن را عبور می‌دهد حال آن که اگر ذرات دیگر مانند گرد و غبار نیز به داخل موتور وارد شوند، به آن آسیب خواهند رساند. بنابراین وجود یک فایروال (حتی اگر آنتی ویروس یا اینترنت سکیوریتی داشته باشید) برای همه کاربرانی که به یک شبکه وصل هستند یا از اینترنت استفاده می‌کنند، کاملاً ضروری است.
 
فایروال چگونه کار می‌کند؟
حال که فهمیدیم فایروال چه کاری می‌کند، بهتر است به نحوه کار آن بپردازیم. داده‌ها در یک ارتباط شبکه‌ای (چه اینترنت باشد چه یک شبکه محلی) در رفت و برگشت از محلی به نام دروازه (Gateway) عبور می‌کنند. فایروال‌ها برای بالاترین امنیت ممکن، در این قسمت قرار می‌گیرند. اگر مقیاس را کوچک تر کرده و یک کامپیوتر مستقل را در نظر بگیرید، فایروال درست بعد از درایور کارت شبکه قرار می‌گیرد بنابراین در هر دو حالت، همه داده‌های ورودی و خروجی از فایروال باید بگذرند.
فایروال‌ها طبق معیارهایی (که به آن‌ها Rule گفته می‌شود) که برای آن تعیین می‌شود داده‌ها را فیلتر می‌کنند. برای درک بهتر یک دربان کنفرانسی را در نظر بگیرید. این دربان طبق لیستی که دارد (همان معیارهای فایروال) به اشخاص دارای مجوز امکان ورود را می‌دهد و از ورود سایر افراد غیرمجاز به کنفرانس جلوگیری می‌کند. فایروال نیز مانند همین دربان کار می‌کند یعنی داده‌های ورودی و خروجی را با لیست Rule های خود مطابقت داده و آن‌هایی که اجازه گذشتن از فایروال را دارند، عبور می‌دهد (Allow کند) یا آن‌ها را عبور ندهد (Deny کند).
 
از جمله Rule های فایروال می‌توان به باز بودن یا بسته بودن یک درگاه (پورت - Port)، اجازه داشتن یک برنامه خاص برای ارتباط با شبکه، محدود کردن یا آزاد کردن پروتکل‌ها (مانند HTTP یا FTP)، مقایسه کردن بسته‌های داده با محتوای مشخص و ... .
 
انواع فایروال
انواع مختلف فایروال کم و بیش کارهایی را که اشاره کردیم ، انجام‌‌ می‌دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروال‌‌ می‌شود.بر این اساس فایروالها را به ۵ گروه تقسیم‌‌ می‌کنند.
 
فایروالهای سطح مدار (Circuit-Level)
این فایروالها به عنوان یک رله برای ارتباطات TCP عمل‌‌ می‌کنند. آنها ارتباط TCP را با رایانه پشتشان قطع‌‌ می‌کنند و خود به جای آن رایانه به پاسخگویی اولیه‌‌ می‌پردازند.تنها پس از برقراری ارتباط است که اجازه‌‌ می‌دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده‌ای مرتبط اجازه عبور‌‌ می‌دهند. این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار‌‌ نمی‌دهند و لذا سرعت خوبی دارند. ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلها ( غیر از TCP) را نیز‌‌ نمی‌دهند.
 
فایروالهای پروکسی سرور
فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد‌‌ می‌پردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی پشتش را قطع‌‌ می‌کند و خود به جای آنها درخواست را ارسال‌‌ می‌کند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال‌‌ می‌کند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین‌‌ می‌کند. از آنجایی که این فایروالها پروتکلهای سطح کاربرد را‌‌ می‌شناسند ، لذا‌‌ می‌توانند بر مبنای این پروتکلها محدودیتهایی را ایجاد کنند. همچنین آنها‌‌ می‌توانند با بررسی محتوای بسته های داده‌ای به ایجاد محدودیتهای لازم بپردازند.
البته این سطح بررسی‌‌ می‌تواند به کندی این فایروالها بیانجامد. همچنین از آنجایی که این فایروالها باید ترافیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها بیشتر کاهش‌‌ می‌یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالها را به کار بگیرد.هر برنامه جدیدی که بخواهد از این نوع فایروال عبور کند ، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد.
 
فیلترهای Nosstateful packet
این فیلترها روش کار ساده‌ای دارند. آنها بر مسیر یک شبکه‌‌ می‌نشینند و با استفاده از مجموعه‌ای از قواعد ، به بعضی بسته‌ها اجازه عبور‌‌ می‌دهند و بعضی دیگر را بلوکه‌‌ می‌کنند. این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتکلهای لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلهای لایه انتقال مانند سرآیندهای TCP و UDP اتخاذ‌‌ می‌شود. این فیلترها زمانی‌‌ می‌توانند به خوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این فیلترها‌‌ می‌توانند سریع باشند چون همانند پروکسی‌ها عمل‌‌ نمی‌کنند و اطلاعاتی درباره پروتکلهای لایه کاربرد ندارند.
 فیلترهای ٍStateful Packet این فیلترها بسیار باهوشتر از فیلترهای ساده هستند.
آنها تقریبا تمامی ترافیک ورودی را بلوکه‌‌ می‌کنند اما‌‌ می‌توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنها این کار را با نگهداری رکورد اتصالاتی که ماشینهای پشتشان در لایه انتقال ایجاد‌‌ می‌کنند، انجام‌‌ می‌دهند.این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبکه های مدرن هستند.این فیلترها‌‌ می‌توانند رد پای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدا و مقصد، شماره ترتیب TCP و پرچمهای TCP. بسیاری از فیلترهای جدید Stateful می توانند پروتکلهای لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا‌‌ می‌تواننداعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکلها انجام دهند.
 
فایروالهای شخصی
فایروالهای شخصی ، فایروالهایی هستند که بر روی رایانه های شخصی نصب‌‌ می‌شوند.آنها برای مقابله با حملات شبکه‌ای طراحی شده اند. معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه‌ها اجازه‌‌ می‌دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش‌‌ می‌دهد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده انجام‌‌ می‌شوند ، فایروال شبکه‌‌ نمی‌تواند کاری برای آنها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود. معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروکسی) نیست.
 
معرفی برخی از فایروال ها:
FortiGate:  شرکت فورتی نت در سال 2000 توسط مدیرعامل سابق و بنیان گذار شرکت Netscreen تاسیس شد و توسط یک تیم مدیریتی قوی و با تجربه در زمینه امنیت و شبکه هدایت می شود. این شرکت یکی از بزرگترین و مطرح ترین ارائه دهندگان تجهیزات امنیت شبکه در سراسر جهان و رهبر و مبتکر جهانی در عرصه امنیت شبکه می باشد. با نگرش بر توانایی عملیاتی محصولاتی فورتی گیت می توان آنها را در سه دسته Soho, Midrange & Enterprise تقسیم بندی کرد. این دسته بندی با نوع استفاده سازمانها صورت گرفته است. برای مثال سازمانهای بزرگ که شبکه های پیچیده تری دارند استفاده از راهکارهای رده Enterprise شرایط بهتری را برای رفع نیازهای امنیتی سازمان در رده های UTM فراهم می سازد. شایان ذکر است قابلیتهای اجرایی مدلهای مختلف یکسان بوده و تفاوت در تعداد و نوع اینترفیس ها و توان و قدرت، آنها در رده بندی های مختلف از هم متمایز میکند.و منظم برای برنامه های شبکه و دسترسی به داده از جمله کنترل های پالیسی برای تمام دستگاههای شیکه یک سازمان است.
 
Juniper: جونیپر با بكار بردن لايه‌هاي مختلف دفاعي اطمينان خاطر مديران ارشد فناوري اطلاعات را از حفاظت داده‌ها و شبكه‌ها ايجاد مي‌نمايد. Juniper راه حل هایی با کارایی بالا ،مقیاس پذیری و یکپارچگی برای امن سازی شبکه ،application ها و دسترسی در سراسر شبکه سازمان فراهم می‌کند . راهکارها و محصولات Juniper در بردارنده یک اکوسیستم یکپارچه هستندکه شبکه ،application ها و دسترسی به داده ها به شدت کنترل و محافظت می شود و پاسخگوی نیازهای جدید کسب و کار است امن سازی دسترسی:مدیریت پالیسی unified و منظم برای برنامه های شبکه و دسترسی به داده از جمله کنترل های پالیسی برای تمام دستگاههای شبکه یک سازمان است. Firewall ‌هاي کمپاني Juniper داراي تراشه‌اي با طراحي ASIC مي‌باشند كه وظايف كنترل امنيت را به صورت كاملاً سخت‌افزاري انجام مي‌دهد.
 
Cisco:سال هاست که سیسکو فایروال اختصاص تولید می کند و در سال های قبل این دستگاه تحت نام PIX روانه بازار می شد. با پیشرفت تکنولوژی سیسکو دستگاه جدیدی را درست کرد که تمام قابلیت های PIX را داشت و علاوه برای آن قابلیت های جدیدی را به آن اضافه کرد و این دستگاه را تحت نام (Adaptive Security Appliance (ASA روانه بازار کرد.فایروال های ASA در اندازه ها و شکل های مختلفی وجود دارند اما همه آنها قابلیت های مشابهی دارند. معمولا دستگاهی که شماره مدل آن پایین تر است توان پایین تری دارد. شماره مدل این دستگاه ها با 55 شروع می شود البته دستگاه هایی از خانواده ASA وجود دارند که بر روی سوئیچ هایی مانند 6500 نصب می شوند یا نسخه مناسب برای محیط های مجازی.مجموعه این وِیژگی ها ، امنیت لایه به لایه برای برنامه های كاربردی، كنترل سطح دسترسی براساس نوع کاربر، حفاظت در برابر ویروسها، بهبود و كارآیی و بهره وری كاركنان، هشدار لحظه ای و آنی ، اتصال ایمن كاربران به شبكه در محل سایت و یا از راه دور را در اختیار شما قرار دهد.
 
Kerio Control:کریو کنترل با دارا بودن بهترین طراحی شبکه، سازمان یا شرکت و یا اداره شما را از هجوم تهدیدات فلج کننده حفاظت می کند. Kerio Control بصورت اتوماتیک لایه های امنیتی را پیدا می کند و مانع از این می شود که تهدیدات شبکه اعمال شود. Kerio Control یک امنیت شبکه قوی و هوش پایدار با امنیت بهتر و بالاتر از همه یک مدیریت ساده را فرآهم می کند.نرم افزار Kerio Control یک راه حل کامل برای تامین امنیت و مدیریت دسترسی به اینترنت برای تمامی شبکه ها به هر اندازه است. برای سازمانهای بزرگ طراحی شده است، در مقابل حملات بیرونی و ویروسها یک دفاع مستحکم و کم نظیر دارد، میتواند دسترسی به محتوای مطالب سایتهای اینترنتی را محدود و یا مانع شود. برقراری ارتباط V.P.N را با هر نقطه فراهم میکند.
 
Cyberoam: سایبروم مجموعه ای از سیستمهاي امنیتی نظیر: دیواره آتش با قابلیت بررسی هوشمند بسته هاي اطلاعاتی پشتیبانی از ایجاد شبکه خصوصی مجازي، ضدویروس و ضدجاسوس افزار درگاه اینترنت، ضدهرزنامه درگاه اینترنت، تشخیص و مقابله با نفوذ، سیستم نظارت بر محتواي وب و برنامه، مدیریت پهناي باند، مدیریت چند لینک اینترنتی و مجموعه گزارشهاي جامع روي یک دستگاه را به همراه می آورد و به کمک کنسول مرکزي سایبروم بطور متمرکز کنترل می شود.Cyberoam اولين توليد كننده راهكاري امنيت شبكه UTM براسا‌س شناسه كاربري براي شركتهاي كوچك ، متوسط و بزرگ است .تجهيزات UTM Cyberoam شامل ديوار‌آتش ، شبکه خصوصي مجازي VPN ، مديريت پهناي باند ، سيستم مديريت ارتباطات همزمان چند گانه و جلوگيري از مسدود شدن دروازه (Gateway)، سيستم گزارش‌گيري روي يك دستگاه واحد مي‌باشد. سايبروم در جهت يروز رساني سيستمهاي ضد ويروس ، ضد جاسوس افزار، ضد هرزنامه، سيستم جلوگيري از نفوذ و سيستم پالايش و فيلترينگ برنامه ها و وب، لايسنسهاي اشتراکي بصورت ساليانه ارائه مي کند.
 
Microsoft TMG: یکی از محصولات خانواده ForeFront مایکروسافت است. همه محصولات خانواده ForeFront مایکروسافت با هدف حفاظت و افزایش امنیت شبکه های کامپیوتری و سرورهای موجود در آنها تولید و راه اندازی شده که TMG Server یکی از آنها به شمار می آید.در واقع TMG Server نسخه جدید ISA Server 2006 است که به عنوان یک Firewall وظیفه ایجاد امنیت در لایه Application را برای کاربران در یک شبکه محلی با کنترل و مانیتور کردن ترافیک خروجی (Outbound) عمومی به شبکه اینترنت برعهده خواهد داشت در کنار وظایف دیگری از جمله Web Proxy، Web Anti Malware، Web Caching ، VPN NAT Server و Secure email.
آرین

آرین هستم عاشق تولید محتوا

ارسال دیدگاه

برای ارسال دیدگاه ابتدا باید وارد حساب کاربری خود شوید