بخشی از مقاله
سرور ها و firewall
اصولاً يك firewall روشي است براي كنترل ، جلوگيري
و چك كردن آنچه كه وارد شبكه مي شود يا از آن خارج مي گردد .
وظيفة firewall اين است كه از دسترسي غيرمجاز به شبكه چه توسط كاربران داخلي و چه خارجي جلوگيري نمايد . همة اطلاعات ارسالي از firewall خواهد گذشت و اين اطلاعات را چه ببينيم و چه بدون رويت چك مي گردند .
شكل 8-1 چگونگي يك سيستم ويژه firewall و گنجاندن آن در شبكه را نشان ميدهد .
در حقيقت firewall ، يك تعيين كننده مسير مي باشد كه بر اساس معيارهاي آن و معيارهاي تعريف شده براي آن تصميم به ارسال اطلاعات يا سرور كردن آنها مينمايد.
تفاوت ميان يك firewall و يك router (تعيين كننده مسير) و در آن است كه firewall مي تواند بر اساس تنوع زيادي كه در ميارهايش دارد ، توان تصميم گيري بالاتري را داشته باشد .
يك firewall حتي مي تواند درون يك بسته از اطلاعات را جستجو كند براي اينكه مشخص شود محتويات اطلاعات آن ، هماني است كه گفته شده يا نه .
اگرچه عمومي ترين استفاده اي كه از firewall مي شود محافظت از محدوده اطلاعات سازماندهي شده مي باشد . برخي از شركتها از firewall استفاده داخلي نيز مي نمايند . اين روش معمولاً بصورت عمومي براي محافظت از محيطهايي از شبكه كه اطلاعات آن ممكن است حساس باشند از قبيل تحقيق و اطلاعات حسابداري استفاده مي شود .
متأسفانه همينكه تصميم به ايجاد يك firewall طراحي شده در داخل شبكه مي گردد هزينه هاي متعددي در رابطه با ايجاد firewall نمايان مي گردد .
برخلاف نقش برخي از Server هاي ديگر ، كه در اين فصل توضيح داده شده ، كه مي توانند يك ابزار باشند و به تنهايي نمي توانند كارشان را انجام دهند يك Server firewall مي تواند چنين باشد .
ايمن سازي آن و ايجاد يك سازماندهي و تعميرات و نگه داري firewall مي تواند مهم باشد .
هزينه ها چه از لحاظ مالي و چه از جهات ديگر كه مربوط به Server هاي firewall مي باشد ، شامل :
- هزينه هاي نخستين نرم افزاري و سخت افزاري
- هزينه هاي به روز نرم افزاري و سخت افزاري
- هزينه هاي آموزشي و وضعيت اجرائي آن
- نيازمندي به چم و بررسي فايلهاي پايه ، مشاهده شكافهاي ايمن سازي (شكافهايي كه باعث تضعيف ايمني مي شوند)
- ايجاد مشكل در firewall
- ايجاد مزاحمت براي استفاده كننده كه باعث از بين رفتن انگيزه براي ارتباط با شبكه مي گردد .
محصولات firewall براي همة سيستم عاملهاي بزرگ (NOS) قابل دسترسي ميباشند.
امنيت كامپيوتر چيست ؟ بصورت خيلي اساسي اطلاعات شما جلوگيري مي كند و از اينكه شخصي عملياتي بر روي آنها انجام دهد ، جلوگيري مي كند .
شما براي پاسخ دادن به دو سوال مهم بايد يك firewall بخريد آن را و فعال كنيد :
- كدام منبع شبكه با حفاظت ارتباط مي يابد ؟ پاسخ به اين سوال ، ميزان امنيت
كاربردي براي منبع ويژه اي يا اطلاعات درون يك سرور ناميده مي شود . براي مثال ، اگر يك سازمان فايلهاي حساسي داشته باشد ، آنگاه بالاترين سطح از password ها و رمزها مورد نياز است .
- چه كسي اين منابع را حفاظت مي كند ؟ كسي كه بزرگترين تهديد براي شبكة شماست به شما كمك خواهد كرد تا در مورد سازماندهي شبكه فايروالتان تصميمگيري كنيد .
براي مثال ، در يك مدرسه شايد بزرگترين تهديد كنندگان امنيت ، جواناني هستند كه بعد از ظهرشان را به تلاش براي دستيابي به ركوردهاي مدرسه و يا فايلهاي زيان آور مي گذرانند .
نكته اين است كه حفاظت از يك شبكه توسط جوانان خلاقي كه تلاش مي كنند براي بالا بردن سطح انگليسي كاملاً متفاوت است با كار يك گروه از hacker ها كه تلاش مي كنند براي دستيابي به اطلاعات كاري يك سازمان . شبكه از password و ديگر ممنوعيتهاي زباني استفاده مي كند كه شايد براي جوانان كافي باشد ولي يك راه حل امنيتي سخت تر نياز است براي hacker هاي جدي تر علاوه بر اين نقشي كه توصيف شد ، نسخه هاي جديد firewall همچنين مي توانند يك رنج از كاركردهاي ديگر را انجام دهند ، اين كماركردها شايد شامل شوند :
- چك كننده هاي ويروس - شبيه صفحه هاي وب دانلود مي شوند و محتويان درون صفحه ها از لحاظ ويروس چك مي شوند . اين خصوصيت به طور فزاينده اي جالب مي شود براي كمپاني هايي كه مرتبط مي شود با پتانسيلهاي تهديدي منابع اينترنتي
- ترجمه آدرس شبكه (NAT) - براي حفاظت از موجوديت ماشين ها در يك شبكه داخلي و ايجاد انعطاف پذيري بيشتري در TCP/IP داخلي ساختارهاي آدرسي
ميباشد .
بسياري از firewall ها آدرس اصلي اطلاعات را درون يكم آدرس متفاوت كپي ميكنند كه سپس استفاده مي شود در اينترنت .
ترجمة آدرس شبكه كاربرد عمومي دارد زير بر روي قابليت دسترسي محدود بهآدرسهاي TCP/IP ، كار مي كند .
- URLfiltering با استفاده از روش هاي متنوع ، firewall مي تواند بلوكي از وب سايتهاي مخصوص توسط ارباب رجوعان در يك سازمان را انتخاب كند . اين بلوكبندي اجازة كنترل صفحه هايي كه مي توانند نمايش داده شوند را مي دهد .
Bandwidth management : گرچه به يك وضعيت ويژه نياز دارد اما Bandwidth management مي تواند از يك كاربر و يا سيستم مخصوص كه در ارتباط با شبكه است ، جلوگيري كند . عمومي ترين حركت به سوي Bandwidth management ، تقسيم كردن Bandwidth به بخشهاي قابل دسترس و سپس ساخت يك بخش قابل دسترسي براي كاربر و يا سيستم است .
مشخصات يك سرور firewall :
- دو واسطه شبكه دارد يكي براي شبكه داخلي و ديگري براي شبكه خارجي .
- سيستم عامل مقاوم مي شود در برابر حمله .
- مي تواند يك رنج از خدمات از پيشنهاد كند علاوه بر اين حمايت كند از شبكه در مقابل حمله .
- بايد قابليت دسترسي بالايي داشته باشد زيرا سرويسهاي ديگر مانند web Access و ايميل اينترنتي اغلب بر روي يك firewall تكيه مي كنند .
Proxy Server (سرور نماينده) :
در حالي كه آنها چندين سال است كه موجود مي باشند ، سرورهاي نماينده به طور فزاينده اي رايج مي شوند . سرورهاي نماينده بخش نمونه اي از يك سيستم firewall هستند . در حقيقت آنها بسيار يكپارچه مي شوند توسط firewall ها بطوريكه تفاوت ميان اين دو گاهي از بين مي رود .
يكي از بزرگترين خصوصيات سرور نماينده اين است كه مي تواند كاركرد شبكه را توس يك برنامه كه Caching ناميده مي شود بهبود بخشد . وقتي يك Caching سرور نماينده به يك درخواست براي صفحه وب پاسخ مي دهد ، سرور يك كپي از همه يا بخشي از صفحه در Cache آن تهيه مي كند .
سپس هنگامي كه صفحه دوباره مورد نياز باشد ، سرور نماينده به اين درخواست پاسخ مي دهد و از Cache بر مي گردد و به اينترنت ، براي مثال ، اگر يك ارباب رجوع در يك شبكه صفحة Web ، Com . Coriolis . www را درخواست كند ، سرور نماينده مي تواند محتواي صفحة وب را پنهان كند . سپس مشتري دوم در يك شبكه تلاش مي كند وبراي دستيابي به سايت مشابهي كه مي تواند آن را از طريق Cache سرور نماينده بدست آورد . و دستيابي به اينترنت لزومي ندارد . اين
بطور عمده زمان پاسخ به مشتري را افزايش مي دهد و همچنين مي تواند Band width موردنياز براي انجام دادن درخواستهاي مشتري را ، كاهش دهد . امروزه ، سرعت مهم است و توانايي دسترسي سريع به اطلاعات از اينترنت يكي از دغدغه هاي مهم بسياري از سازمانهاست . سرورهاي نماينده و توانايي آنها براي پنهان كردن Web ، براي سرعت مورد نياز است .
بنابراين يك مانع براي Caching وجود دارد . هنگامي كه شما در اينترنت Load
ميكنيد ، آخرين اطلاعات را بدست مي آوريد اما اين هميشگي نيست . بنابراين اطلاعات از يك Cache بازيابي مي شوند . بعضي از سرورهاي نماينده توانايي به روزرساني و تجديد كردن صفحه هاي وب را دارند اما آنها هميشه در مرحلة عقب تر خواهند بود .
دومين خصوصيت سرورهاي نماينده به مديران شبكه توانايي جداسازي درخواستهاي مشتري را ميدهد . اگر يك مدير شبكه بخواهد دسترسي به وب سايتهاي ويژه اي را مسدود كند ، سرور نماينده به كنترل اجازه مي دهد تا دسترسي بعضي وب سايتها را رد كند .
تعيين اينكه كاربران وب سايتها مي توانند دسترسي يابند يا نمي توانند بصورت رمز انجام شود از ميان ليست كنترل Acess(ACL) . ACL يك ليست از وب سايتهاي مجاز يا غيرمجاز است بطوريكه ممكن است شما تصور كنيد كه كامپايل يك ليست مي تواند يك كار بزرگ و شگفت آور باشد . مسلم است كه ميليونها وب سايت قابل دسترسي وجود دارد و نمونه هاي جديد آنها پديده هاي روزانه اي هستند چگونه رد كردن دسترسي به نمونه هاي مشكوك امكان پذير مي شود ؟
يك روش وارونه كردن موقعيت و رد كردن دسترسي به همه صفحه هايي است كه در يك ليست مجاز ظاهر مي شوند . اين روش حالت اجرايي بالايي دارد و بطور عمده دسترسي به Access اينترنت را محدود مي كند . بر اين اساس نگه داري كردن از يك ليستي كه محل همه سايتهايي كه داراي روابط مشكوك هستند ، ممكن مي شود بنابراين با نگه داري يك ليست ، سردرهاي نماينده در تهيه يك سطح بالاتر از كنترلها تواناتر مي شوند و سپس مي توانند باعث بازيابي صفحه هاي وب كاراكتر شوند .
مشخصات سرورهاي نماينده :
- اغلب نياز دارد به حافظة زيادي و فضاي ديسك سخت براي تهيه امكانات Caching
- بايد يك پايگاه ايمن باشد براي مانع شدن از روش هاي خرابكاري
سرور Web :
ده سال پيش ، يك سرور Web چيزي بود كه در بخش محاسبه دانشگاه ها وجود داشت براي انجام آزمايشات . حالا ، سرورهاي Web هر جا هستند و بصورت كاربردي يكپارچه مي شوند در هر شبكه و حتي desktop سيستم عامل . برنامه به اندازة كافي ساده است اما صفحه هاي وب كارهاي بيشتري انجام مي دهند سپس تصاوير و متنها را نمايش مي دهند . در بسياري موارد ، صفحه هاي وب صرفاً پيش از پايان هستند براي درخواست بعضي ديگر از كاركردهاي آن در سرور .
البته ، رقابت با هر كس براي نمايش صفحه هاي اينترنت و گزارش هاي آماري ، كليد اصلي براي هر سرور وب هستند . در بعضي موارد ، سرور وب استفاده مي كند از امكانات اصلي و اساسي سيستم عامل براي logging و در موارد ديگر ، سرورهاي وب يك سيستم گزارشي كامل ساخته مي شود .
شكل 10-1 نشان مي دهد اثر متقابل يا فعل و انفعال ميان مشتري و يك سرور وب .
سرورهاي وب بطور نمونه ماشينهاي قوي اي هستند كه خدماتي براي شمار زيادي از مشتريان پيشنهاد ميكنند .
خصوصيات سرور Web :
- اين سرور بهينه شده براي I/O بهره برداري هاي زياد .
- اين سرور بصورت دستي صفحه هاي وب در فرمها و فايلهاي متنوع ، ايجاد ميكند.
- اين سرور حمايت مي كند از درخواستهاي Server-Side و درخواست نرم افزار سرور .
سرور FTP :
آنهايي كه وقت زيادي را در اينترنت مي گذرانند شايد آگاه باشند بخش مهمي از ترافيك اينترنتي ، فايلهاي انتقالي را شامل مي شود . چه ارسال فايلها از يك كامپيوتر و چه دانلود برنامه ها از اينترنت .
پروتكل فايل انتقالي (FTP) قراردادي است براي انتخاب فايلهاي انتقالي اينترنتي در زماني قبل از قرارداد انتقالي (HTTP) . HTTP رايج ترين زيرا يك واسط دوست را پيشنهاد مي كند اما FTP تاثير زيادي دارد با وجود اينكه HTTP رايج تر است اما FTP هنوز جايگاه دارد و هنوز بطور عمده استفاده مي شود براي فايلهاي انتقالي در اينترنت .
براي دانلودكردن يا ارسال يك file يك مشتري در سرور FTP ، بايد داراي اعتبار شود كه چك مي كند كه آيا كار بر حق لازم را براي انجام دادن فعاليت دارد .
دستورات FTP نسبتاً اساسي انجام مي شوند شبيه GET (دانلود) و PUT(Upload) . همچنين فرمانهاي ديگري وجود دارد كه اجازه مي دهد به فعاليتهاي ديگر . فرمانهاي FTP مي تواند از طريق دستور درخواست FTP وارد شود . بسياري از كاربرها استفاده از يكم درخواست گرافيكي را ترجيح مي دهند .
برنامة FTP Serving ، بسياري از load هاي كوچك را در سرور قرار مي دهد اما اين افزايش همزمان و متوالي است با انتقال اطلاعات . بنابراين سرورهاي FTP بطور رايج صدها ارتباط را برقرار مي كنند . و صدها مگابايت از اطلاعات را در هر دقيقه منتقل مي كنند ، بنابراين اين سرورها بايد hard disk بزرگ و خيلي سريعي داشته باشند و همچنين RAM زياد و ارتباط شبكه سريع .
خصوصيالت سرور FTP :
- يك ماشين قوي است و قدرت آن بستگي به استفاده سنگين از آن دارد .
- بايد در يك پايگاه واقع شود زيرا بايد مورد دسترس كاربران خارجي قرار گيرد .
- اين سرور بطور رايج انجام مي دهد نقشهاي ديگري نظير سرور Web .
DNS Server :
سرور DNS نقش اساسي براي بسياري از سازمانها انجام مي دهد . كاركرد يك سرور DNS نسبتاً ساده است بطوريكه تجزيه اسم را به آدرس IP انجام مي دهد .
پيش بيني اينكه كدام سرور يك تجزيه و تحليل موفق تهيه خواهد كرد ، ساده نيست . همانگونه كه شما مي دانيد هر سرور در يك شبكه نياز دارد به يك آدرس IP منحصر به فرد بتواند خدماتي را براي مشتريان انجام دهد . سپس اعتماد به حافظه بي عيب بشري براي بخاطر آوردن اين آدرسها ، DNS به شما اجازه مي دهد تا از گروهي از اسمهايي كه به آساني به خاطر سپرده مي شوند ،استفاده كنيد نظير Coriolis.com براي دسترسي به اين گروهها .
هنگامي كه ما تايپ مي كنيم www.Coriolis.com در يك وب ، سرور DNS درخواست را مي برد و تحقيق مي كند در يك سيستم از سرورها براي پيدا كردن آدرس صحيح TCP/IP كه مربوط مي شود به www.Coriolis.com سپس سرور DNS آدرس صحيح TCP/IP را جستجو مي كند و آدرس را به مشتري باز
ميگرداند. سپس به سرعت به آدرس IP متصل مي شود بعد از درخواست كردن براي يك آدرس مشابه ، سرور DNS ، آدرس را در درون Cache اش اضافه مي كند . مورد استفدده قرار گيرد ، تجزيه گروهي از سمها انجام مي شده از ميان فايلهاي متني غيرپويا . اين فايلهاي متني به سرعت بزرگ مي شوند براي به آساني اداره كردن و جايگزين مي شوند توسط DNS در بسياري از نمونه ها ، سازمانها انتخاب نمي كنند براي نگه داري كردن از سرورهاي DNS خودشان در عوض تكيه مي كنند بر خلاف DNS نگه داري شده توسط تهيه كنندگان سرويس اينترنتي . اين استراتژي در بسياري از موارد پذيرفته شده است زيرا تجزيه اسمها براي سيستم هاي داخلي يك كمپاني اغلب توسط بعضي از قطعات ماشيني ديگر انجام مي شود .
براي اطمينان از اينكه سرورهاي DNS غوطه ور نباشد در درخواستها ، محل NameSpace تقسيم مي شود و به Subdomain هر يك از اين ها يك شماره از سرورهايي دارد كه مشروط هستند به نامه سرور سرويس دهي . بيشتر سيستم هاي عامل معمولي صلاحيت ايجاد كار براي يك سرور DNS را ايجاد مي كنند .
بعضي از اجراها پيچيده تر از ديگران هستند اما قانون علمي ابتدايي از LastName براي آدرس TCP/IP آثار يكسان را تحليل مي كند .
قدرت محاسباتي درخواست مي شود توسط يك سرور DNS كه متناسب است با شماري از درخواستهاي DNS كه به صورت دستي ايجاد مي شوند . در يك سازمان ركوردها ممكن است شكل داده شوند فقط با چند گروه نسبتاً كوچك و ممكن است تنها يك شمار كوچك از درخواستهاي مشتريان وجود داشته باشد . در اين حال يك محيط تمايل دارد به داشتن يك سرور اختصاصي براي عمليات DNS . براي يك تهيه كننده لوازم اينترنت يك سرور نياز است تا با قدرت كافي در هر ساعت ميليونها درخواست مشتريان را هماهنگ سازد .
خصوصيات سرور DNS :
- به درخواستهاي مشتريان پاسخ مي دهد براي ترجمه كردن host name به آدرس IP.
- قدرت پردازش بستگي دارد به سرعت load كردن .
- معمولاً در سازمانهاي كوچك يافت نمي شود .