تبلیغات
علم و فناوری - اشنایی با فایر وال FIREWALL
دوشنبه 4 آبان 1388

اشنایی با فایر وال FIREWALL

   نوشته شده توسط: کامبیز دهزاد    



 ISP دیواره آتشین ، نرم افزاری است که در حدفاصل بین اینترنت و و یا اینترنت و دستگاه های ما قرار می گیرد. فایروال وسیله ای است که کنترل دسترسی های افراد مختلف به یک شبکه را بر اساس سیاست امنیتی خاصی بر عهده دارد. با برنامه ریزی و سیاستگذاری یک فایروال ، کلیه دسترسی های شبکه کنترل می شود بطوریکه به برخی از درخواست ها اجازه ورود به شبکه داده و به برخی دیگر اجازه ورود داده نمی شود.

به ادامه مطلب مراجعه شود

یکی از اولین و مهمترین موردی که برای حفاظت از ساختمان یک اداره در نظر گرفته می شود کنترل درب های ورودی و خروجی و ورود و خروج افراد می باشد.

فایروال دقیقا همانند بازرسی هنگام ورود به یک ساختمان عمل می كند. اما فایروال نیاز به تنظیم درست دارد در صورتیکه این تنظیمات و برنامه ریزی ها به صورت نادرست انجام گیرد جلوی دسترسی ها گرفته نخواهد شد. مدیران شبکه و یا ISP ، باید بر این امر واقف باشند.

 

فایروال یک ضرورت اجتناب ناپذیر

در دنیای کامپیوتر لازم است نرم افزاری با قواعد و اصول مشخص و از قبل تعیین شده طراحی شود تا دستگاه های ما را از گزند سارقین اطلاعات ، هکرها ، نفوذگرها و نرم افزارها مخرب ، ویروس ها و کرم های رایانه ای در امان نگه دارد. امروزه با توجه به پیشرفت علوم رایانه ای و تکنولوژی اطلاعات و ارتباطات و نیز هجوم بی رویه و پیش بینی نشده نرم افزارها و برنامه های جاسوسی و ویروسی مخرب و پیشرفت برنامه نویسان حرفه ای ، لزوم استفاده از نرم افزارهای پیشرفته تر و تعیین اصول دفاعی قوی تر توسط متخصصین مجرب امری ضروری و اجتناب ناپذیر می باشد. بنابراین یکی از دغدغه های مدیران شبکه ها و ISP ها ، نگهبانی از مرزهای ورودی و خروجی شبکه داخلی خود با مرز شبکه جهانی اینترنت می باشد. برای نگهبانی از این مرزها ، از Firewall به معنی دیواره آتشین ، استفاده می شود.

فایروال ها یکی از عناصر اساسی در دنیای امنیت اطلاعات می باشد. بسیاری از افراد نگران هستند ونگرانی بسیاری از آنها ناشی از عدم درک درست مفهوم فایروال ، جایگاه و هدف از نصب و راه اندازی آن می باشد. در این مقاله سعی داریم به نکات اساسی در ارتباط با فایروال ها اشاراتی داشته باشیم.

 

وظایف فایروال

1- استفاده از تکنولوژی NAT

یکی از وظایف مهم فایروال جداسازی شبکه داخلی یک ISP از اینترنت می باشد که این کار توسط مفهومی به نام NAT انجام می شود. مهمترین هدف ارائه شده توسط تکنولوژی  NAT، عدم دسترسی مستقیم کاربران اینترنتی به کامپیوترهای موجود در شبکه می باشد که اینکار از طریق اعطای آدرس های IP غیرمعتبر ( Invalid ) به کامپیوترهای داخلی شبکه انجام می شود. مدیران شبکه از این ویژگی NAT به نحو احسن ، در خصوص فایروال ها ، استفاده کرده اند. بدین صورت که به یک فایروال آدرس IP معتبر ( valid ) می دهند. بنابراین زمانیکه کامپیوترهای موجود در شبکه بخواهند به اینترنت دسترسی پیدا کنند ، ضرورت پیدا می کند که از دستگاه فایروال عبور کنند و زمانیکه درخواست آنها انجام شد باز از طریق عبور از فایروال به کامپوترهای موجود در شبکه خواهد رسید. همانطوریکه توجه کردید در اینجا فایروال مانند مانع و سد دفاعی عمل می کند.


2- فیلترینگ

یکی دیگر از وظایف مهم فایروال ها ، خاصیت فیلترینگ عالی آن می باشد. می توان قواعد و قوانین خاصی را در فایروال اعمال کرد که موارد زیر را فیلتر وجلوی عبور آنها را بگیرد:

 

• فیلترینگ نشانی IP : فایروال می تواند نشانی IP خاصی را فیلتر کند. مثلا مدیر شبکه متوجه شود که فردی از رایانه خود که دارای IP مشخصی است ، مرتبا به سرور وصل می شود و قصد سوء استفاده دارد. مدیر شبکه می تواند با استفاده از این ویژگی فایروال به این فرد اجازه ورود ندهد.

 

فیلترینگ دامنه ها ( Domain Name ) : همانطوریکه می دانید هر وب سروری دارای نام حوزه خاصی می باشد. فایروال می تواند جلوی دسترسی افراد را به سایت خاصی از طریق فیلترینگ نام آن دامین بگیرد.

 

فیلترینگ پروتکل ها و پورت ها : فایروال ها می دانند که داده های رد و بدل شده از چه پورتی عبور می کنند و دارای چه نوع پروتکلی هستند. بنابراین کنترل کاملی دارند و می توانند به پورت خاص و یا به پروتکل خاصی اجازه عبور ندهد.

 

فیلترینگ واژه ها و عبارت های ویژه ( Packet Filtering ) : هر صفحه وبی که مشاهده می کنید و یا هر پیام ایمیلی که ارسال و دریافت می کنید ، به صورت مجموعه ای از packet ها بین دو نقطه منتقل می شوند. هر بسته اطلاعاتی شامل IP آدرس فرستنده و گیرنده می باشد. تبادل تمام اطلاعات در اینترنت به وسیله بسته بندی داده ها انجام می شود. هر بسته شامل 3 بخش اصلی می باشد. Body ،  Footerو Header می باشد. آدرس فرستنده و گیرنده ، نوع پروتکلی که انجام وظیفه می کند و شماره بسته در هدر قرار می گیرد. در بدنه هر بسته داده های فرد فرستنده که برای گیرنده ارسال می کند ، واقع شده است. در این روش فیلترینگ ، در واقع بسته ها از یک صافی عبور می کنند و تماما اسکن می شوند ، اگر شامل هر مورد مشخص شده در فیلتر باشند ، نادیده گرفته می شوند و به مقصد نمی رسند.


توجه :
از جمله روش های بسیار متداولی که توسط مهاجمان انجام می گیرد ، یافتن نقطه ورود به یک شبکه و نفوذ در آن از طریق یافتن یک پورت باز در شبکه می باشد. یکی از برنامه هایی که مورد استفاده آنها قرار می گیرد ، برنامه Telnet و اصطلاحا عمل تلنتیگ پورت باز شبکه می باشد. اگر پورتی ، اشتباها توسط مدیر شبکه بسته نشود. مهاجمان از طریق آن پورت وارد عمل شده و به اطلاعات محرمانه شبکه دسترسی پیدا می کنند و یا برنامه های مخرب خود را از طریق همان پورت بار وارد شبکه می کنند.

 

توپولوژی فایروال

بعد از آشنایی با مفهوم فایروال و وظایف آن نوبت به آن می رسد که توپولوژی فایروال ها را بررسی کنیم. موقعیت یابی برای فایروال و تعیین محل برای آن ، از درجه اهمیت بسیار بالایی برخوردار می باشد. برای درک بیشتر اهمیت موضوع ، مثال هایی را بیان خواهیم کرد. قبل از هر چیز به نکات مهمی که در هنگام تعیین محل و موقعیت فایروال باید بدان توجه شود دقت نمایید:

 

1- موقیت قرار گیری فایروال از لحاظ فیزیکی : معمولا ، فایروال ها را در مرزهای ورودی و خروجی شبکه نصب می کنند تا فایروال هم به عنوان پوشش امنیتی مناسب برای حفاظت از شبکه داخلی باشد و هم شبکه داخلی را از شبکه عمومی ( اینترنت ) جداسازی کند.

 

2- در نظر گرفتن نواحی امنیتی مختلف با قابلیت دسترسی های متفاوت : مدیران و مهندسین شبکه برحسب نیاز ، شبکه را به نواحی امنیتی متفاوت تقسیم می کنند بطوریکه هر ناحیه سطوح دسترسی خاصی به افراد می دهد و برای هر کدام از این سطوح فایروال هایی با قوانین وساستگذاری های خاصی نصب و تعریف می کنند.

 

3- حفاظت لایه ای : در شبکه های بزرگی که از درجه امنیت بالایی برخوردار باشند ، معمولا داده ها از چندین فایروال عبور می کنند. بدین ترتیب لایه های امنیتی متفاوتی در موقعیت های مختلف در شبکه نصب می کنند. این ویژگی باعث می شود که در صورتی که یکی از فایروال ها دچار مشکل شود ویا اینکه یک فایروال نتوانست جلوی حمله را بگیرد، بقیه فایروال ها راه نفوذ را ببندند.

 

چند نوع توپولوژی :

اکثر ISP ها دارای وب سرور هستند که از طریق آن اطلاعاتی را در اختیار کاربران و مشریان خود قرار می دهند تا از طریق این وب سرور بتوانند مثلا حساب کاربری و اشتراکی- اینترنتی خود را بررسی کنند و یا به منابعی از شبکه دسترسی داشته باشند.

مدیر شبکه قصد دارد که از فایروال برای حفاظت منابع شبکه ای خود استفاده نماید. به نظر شما وب سرور را در کجا قرار دهد تا امنیت شبکه تامین شود؟ در پاسخ به این پرسش سه شیوه طراحی متفاوت در نظر گرفته می شود:

1- خارج از فایروال ( بین اینترنت وفایروال ) : در این شیوه ، سرور مستقیما و بدون حفاظ و لایه امنیتی در معرض دید عموم قرار می گیرد. و بعد از آن یک فایروال نصب می شود. ممکن است که این شیوه طراحی برای وب سرور شما خطرناک باشد ، اما چنانچه هکرها با سوء استفاده از ضعف طراحی وب مستر بتوانند وب سرور را در کرده و به بخواهند به داخل شبکه نفوذ کنند به یک فایروال سفت و سخت مواجه خواهند شد.



شكل 4


2- درون فایروال ( بین فایروال وشبکه ) : در این طراحی ، وب سرور تحت حمایت کامل امنیتی فایروال قرار دارد. در این شیوه باید طراح وب و مدیر شبکه پورت های مورد نیاز و ضروری را باز بگذارد و سایر پورت ها را ببندد. در این صورت چنانچه هکری توانست از حفاظ وب نفوذ کند ، احتمال دارد که به راحتی به سایر پورت ها و منابع شبکه هم دسترسی پیدا کند.



شكل 5


3- میان دو فایروال : اگر وب سرور دارای منابع حساس و مهمی باشد ، وب مستر و مدیر شبکه ضرورت پیدا می کند که از این شیوه امنیتی استفاده نماید. که در واقع ترکیبی از دو حالت فوق می باشد. در این شیوه طراحی ، وب سرور تحت حمایت و کنترل کامل دو فایروال می باشد و جلوی نفوذ هر فرد سودجویی گرفته می شود.



شكل 6


در سه حالت فوق مشاهده کردید که تنظیم و سیاستگذاری درست قواعد یک فایروال تا چه اندازه می تواند ضروری و حیاتی باشد.

 

 مثالی دیگر:

در ISP و شبکه های بزرگ ، از روتر برای تنظیم قواعد اینترنتی و برقراری ارتباط شبکه با اینترنت استفاده می شود. روترها وظایف زیادی را می توانند به صورت همزمان انجام دهند. که در این مقاله قصد نداریم به وظایف مختلف یک روتر بپردازیم. همانطوریکه می دانید روترها اولین لایه دفاعی در شبکه ها می باشد. در مقاله شماره گذشته ذکر کردیم که یک روتر (مسیر یاب) ، وسیله ای می باشد که به عنوان پل ارتباطی یک ISP به ISP دیگر و کلا شبکه جهانی اینترنت به شمار می رود بنابراین در روتر تکنیک های امنیتی Packet Filtering دفاعی تعیین و تنظیم می شود ، تا به عنوان نگهبان لب مرز از شبکه ISP دفاع کند. شایان ذکر است که روتر نمی تواند جایگزین Firewall باشد و بار نگهبانی از شبکه را به تنهایی تحمل کند. زیرا از یک طرف در برنامه های Firewall تاکتیک های دفاعی خاصی قابل اجرا شدن می باشد که در روتر ها قابل پیاده سازی نیست. و از طرف دیگر وجود چندین Firewall در نقاط مختلف و حساس شبکه باعث بوجود آوردن لایه های دفاعی و محافظتی مختلفی می شود تا امنیت شبکه را در حد قابل ملاحظه ای تامین کند.

برای درک بیشتر موضوع به شکل های 7 و 8 توجه کنید.

در هر دو شکل ، روتر ترافیک شبکه در حد ورود و خروج داده ها در سطح IP و برای پورت های خاصی انجام می دهد. در اینجا روتر اولین لایه دفاعی شبکه ( ISP ) محسوب می شود. روتر اجازه ورود کاربران اینترنتی را فقط در حالتیکه متقاضی :

 

دیدن وب سایتی اینترنتی از طریق پورت 80

ارسال و دریافت پست الکترونیک ( از طریق پورت 25 )
ونیز دسترسی
DNS از طریق پورت 53.

 

نکته: بعضی از وب سایت ها با https شروع می شوند آنها سایت هایی هستند كه در آن داده ها با امنیت بسیار بالا ، با حالت encrypt و رمز گذاری و از تونل خاصی عبور می کنند. برای دیدن این گونه سایت ها باید پورت 443 باز باشد. و یا سایت های دانلود فایل که از پروتکل FTP با پورت 21 استفاده می کنند.

 

 در شکل 7 فقط دو لایه محافظتی توسط مدیر شبکه در نظر گرفته شده است. یک لایه روتر و یک لایه فایروال.



شكل 7


در شکل 8 چندین لایه حفافظتی برای کنترل ورود و خروج داده ها از مکان های مختلف در نظر گرفته شده است.



شكل 8

 

برای درک بهتر مفهوم فایروال ما در شکل چهار ناحیه یا Zone را در نظر گرفته ایم :

 

1-  LAN یا شبكه خصوصی (  Private Network) :  ناحیه ای است مخصوص مدیران شبکه وکارکنان آن ، بنابراین باید حفاظی برای آن در نظر گرفته شود که اجازه ورود داده های اینترنتی به این ناحیه داده نشود مگر به خود کارکنان شبکه.

 

2-  DMZ مخفف (Demilitarized Zone ) : به معنی ناحیه غیر نظامی ، ناحیه ای است که سرورهای عمومی ISP در آنجا واقع می شوند. کاربران اینترنتی با دسترسی یه این سرورها می توانند به اینترنت وصل شوند. بنابرین این سرورها در دسترس کاربران اینترنت می باشد. این سرورها می تواند DNS سرور ، وب سرور ، FTP سرور ، میل سرور و غیره باشد... توجه شود که ، این ناحیه در قلمرو حفاظتی فایروال واقع نمی شود. بنابراین باید با دقت و با یک برنامه ریزی صحیح و نیز رعایت تمام مسائل امنیتی اقدام طراحی این ناحیه کرد. این ناحیه درست همانند نمایشگاه ماشین می باشد. که تمام افراد می توانند وارد شده و از تماشا کنند بدون آنکه محدودیتی باشد.

 

3-  Internet یا ( Public Network ) : ناحیه ای است مربوط به کاربران اینترنتی در حال اتصال به اینترنت.

 

4-  مناطق محرمانه : در این ناحیه سرورهای حساس و فایل های سری وجود دارند. که در دسترس تعداد خاصی می باشد.

با این تفاصیل و با داشتن چندین ناحیه که از لحاظ سطح امنیتی بسیار متفاوت از یکدیگر هستند. باید اصولی اتخاذ شود که بتوان سطوح امنیتی مختلفی را تامین کرد و جلوی دسترسی های غیر مجاز را گرفت. اولین قدمی که باید برداشت گذاشتن فایروال ها با قواعد تعریف شده معین و در لبه ورودی و خروجی این نواحی می باشد.

 

فایروال های شخصی

 فایروال های شخصی ، فایروال هایی هستند که بر روی رایانه های شخصی نصب می شوند.

یکی از کاربردهای مهم فایروال های شخصی در کامپیوتر موجود در شبکه ، از یک طرف فراهم آوردن سطح امنیت پیشنهادی توسط صاحب آن کامپیوتر می باشد و از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه انجام می شوند ، فایروال شبکه برای اینجور حملات مفید می باشد. بر اساس برخی آمارهای منتشر شده ، اغلب آسیب ها و تهدیدات در شبکه یک سازمان توسط کارکنان کنجکاو و یا ناراضی صورت می پذیرد تا از طریق مهاجمان خارج از شبکه. لذا داشتن یک فایروال شخصی علاوه بر فایروال بسیار مفید می باشد.

یکی از این فایروال ها ، فایروال ویندوز می باشد ( ICF ) این فایروال به عنوان نزدیکترن لایه دفاعی به سیستم ما می باشد. فایروال ویندوز در نسخه های جدید ماکروسافت ( مثلا در ویندوز 2003 سرور سرویس پک 1 و ویندوز ایکس پی سرویس پک 2 ) با قابلیت بیشتر وکارایی بهتری عرضه شده است.

 

Accounting / Billing

برای کنترل ، مدیریت و محدود کردن کاربران اینترنت ، در ISP ها از نرم افزارهایی ( معروف به Accounting/Billing ) استفاده می شود. این نرم افزارها امکانات متنوعی نظیر آنجه که ذیلا بصورت مختصر بیان می شود ، دارند .



 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر