بخشی از مقاله
طرح و اجراي موضوعات
3.1- بعضي تصميمات اساسي طراحي در يك firewall چه چيزهايي هستند ؟
تعدادي موضوعات طراحي اساسي وجود دارند كه بايد توسط يك شخص خوش اقبال كه مسئوليت او طراحي ، تعيين و اجرا يا نظارت بر نصب يك firewall است ، تعيين شوند .
اولين و مهمترين تصميم سياست اينكه چگونه شركت يا سازمان شما مي خواهد سيستم را اعمال كند ، است ك آيا firewall سرجاي خود قرار دارد براي رد كردن تمام خدمات به جز آن هايي كه براي كار اتصال به شبكه ضروري هستند ، يا اينكه آيا firewall براي تهيه يك متد ارزيابي شده كنترل شده ي دستيابي مرتب در يك حالت غير تعديد آميز در جاي خود قرار گرفته ؟ در جايي از شكاكيت بين اين موقعيت ها وجود دارند نقطه بعدي از firewall شما ممكن است بيشتر نتيجه ي يك تصميم سياسي باشد تا اجتماعي
دومي بدين قرار است : چه سطحي از مانيتورينگ (كنترل) افزونگي(زيادي) و كنترل را شما مي خواهيد ؟
با تثبيت كردن سطح ريسك قابل قبول (يعني ، چقدرشما محتاط هستيد ) از طريق حل مورد اول شما مي توانيد يك فهرست بازبيني از آنچه كه بايد مونيتور شود ، مجاز شود و رد شود تشكيل دهيد . به عبارت ديگر شما شروع مي كنيد با فهميدن (دانستن) اهداف كلي تان و سپس يك تحليل حتمي را تركيب مي كنيد با يك سنجش و لوازم (شرايط يا مقتضيات) تقريبا هميشه متناقض را در يك ليست نشست و رفت تفكيك كنيد كه مشخص كند چه كاري مي خواهيد انجام دهيد . (چه طرحي را مي خواهيد اجراكنيد.)
سومين مورد مالي است . ما نمي توانيم آن را در اينجا ذكر كنيم مگر با عبارت مهم و دو پهلو ، اما مهم است كه سعي كرد هر گونه راه حل پيشنهاد شده را با توجه به قيمتي كه براي خريدن يا براي اجرا دارد تعيين كرد . براي مثال يك محصول كامل firewall ممكن است حداكثر 100000 $ حداقل رايگان باشد . حق داشتن محصول رايگان شايد نياز به هزينه اي براي پيكر بندي روي يك cisco يا مشابه آن نداشته باشد ، اما نياز به زماني پركار و چند فنجان قهوه دارد ! اجراي يك firewall سطح بالا نياز به هزينه ي زيادي دارد ، شايد برابر با 30000 $ به اندازه ي حقوق و مزاياي كارمندي هزينه هاي جاري مديريت سيستم ها هم قابل توجه است .
ساختن يك نوع خانگي خوب است ، اما مهم اين است كه آن را طوري ساخت به توجه مداوم (و هزينه بردار ) نداشته باشد . به عبارت ديگر مهم است كه firewall ها را نبايد فقط با نظر به اينكه چقدر قيمت دارند سنجيد بلكه بايد هزينه هاي متوالي را هم در نظر داشت . از جنبه ي تكنيكي دو تصميم بايد گرفته شوند ،بر مبناي آن حقيقت كه براي تمام اهداف عملي و مفيد ما درباره آن صحبت مي كنيم يك سرويس فرستادن ترافيك ثابت ، بين فرستنده ي (routers ، تعيين مسير كننده ي) تهيه كننده ي شبكه و شبكه داخلي شما قرار دارد .
سرويس فرستادن ترافيك ممكن است در سطح يك IP اجرا شود ، از طريق چيزي شبيه به قوانين پخش در يك فرستنده (يا تعيين مسير خنك كننده يا در يك سطح كاربردي ، از طريق دروازه هاي نماينده و خدمات . تصميم لازم براي گرفتن اين است كه آيا يك دستگاه باز شده بي حفاظ را براي اجراي خدمات نمايندگي براي Telnet ، اخبار و. ... روي يك شبكه بيروني قرار داد يا اينكه يك فرستنده پخش به عنوان يك فيلتر تنظيم كرد كه امكان ارتباط يك دستگاه داخلي يا بيشتر را فراهم مي كند در هر دو راه كار نقص ها و مزايايي هست با دستگاه نمايندگي ميزان بيشتري از رسيدگي بالقوه و ايمني در عوض هزينه هاي بالاي پيكر بندي فراهم مي آيد و كاهش در سطح خدمات كه ممكن است فراهم آيد (زيرا يك نماينده حتما بايد براي هر سرويس مورد نظر ساخته شود ) اين مبادله قديمي بين آساني استفاده و ايمني بر مي گردد . تا فكر ما را با تمام قوا آزار دهد .
3.2- انواع اصلي و اساسي firewall ها كدام هستند ؟
از نظر ادراكي سه نوع firewall وجود دارد . Network larger (لايه شبكه) Application larger (لايه كاربرد يا اجرا) تركيبي
آن ها آنقدر كه شما فكر مي كنيد متفاوت نيستند و جديدترين تكنولوژي ها تفاوت را به آن جا مي كشانند كه ديگر نمي تواند تشخيص داد كدام بهتر و كدام بدتر است . مثل هميشه بايد دقت داشته باشيد همان نوعي را انتخاب كنيد كه نيازتان را بر طرف كند . كه بستگي دارد به آن مكانيسم هايي كه firewall براي انتقال ترافيك از يك ناحيه امنيتي به ناحيه ي ديگر استفاده مي كند . سازمان استانداردهاي بين المللي (ISO) سيستم هاي به هم متصل باز (OSI) براي شبكه سازي هفته لايه تعريف مي كند كه هر لايه خدماتي را فراهم مي كند كه لايه بالاتر به آن ها وابسته است و به ترتيب از انتها ، اين لايه ها ، فيزيكي ،لينك داده (data link) ، شبكه ، انتقال (جابه جايي) نشست (دوره اجلاس) معرفي ، كاربرد هستند .
مهمترين چيز براي تشخيص اين است كه هر چه سطح پايينتر ، مكانيسم پيش روتر و بررسي كمتر انجام مي شود . به طور كلي كه بخواهيم ، firewall هاي سطح پايين سريعتر هستند اما امكان كار اشتباه در آن ها بيشتر است اين روزها اغلب firewall ها در دسته بندي تركيبي جاي مي گيرند كه كار فيلتر كردن شبكه انجام مي دهند و همچنين كنترل (بازرسي) كاربرد . مقداري كه تغيير مي كند بستگي دارد به فروشنده ، محصول ، پروتوكل و ورژن ، بنابراين بعضي سطوح كشفيات و يا آزمودن اغلب ضروري است .
3.2.1- firewall هاي لايه شبكه
كلا اين ها تصميماتشان را بر اساس منبع ، آدرس هاي متفاوت و پورتها (براي جزئيات بيشتر در زمينه پورت ها به ضميرها رجوع كنيد .") در بسته هاي تكي IP مي گيرند . يك فرستنده ساده (router) firewall قديمي لايه شبكه است به خاطر اين كه آن نمي تواند تصميمات مخصوص پيچيده در مورد بسته ي كه در واقع با آن صحبت مي شود يا از جايي كه مي آيد . firewall هاي مدرن لايه شبكه فوق العاده پيچيده شده اند و اكنون اطلاعات داخلي در مورد وضعيت اتصال هايي كه از آن ها مي گذرند ، محتواي بعضي جريان هاي اطلاعات و غيره نگه مي دارند . يك مورد كه تمايز مهمي درباره ي بسيار از firewall هاي لايه شبكه است اين است كه آن ها ترافيك را مستقيما از ميان آن ها مي فرستند ، بنابراين براي داشتن يكي از آن ها لازم است كه يك بلوك آدرس IP معتبر داشته باشيد يا اينكه از يك بلوك آدرس خصوصي اينترنت استفاده كنيد . لايه هاي شبكه (network larger) تمايل دارند كه خيلي سريع و براي كاربران واضح و روشن باشند . شكل 1 در شكل 1 يك firewall لايه ي شبكه به نام firewall ميزبان پخش شده نشان داده شده در يك firewall ميزبان نمايش داده شده ، دستيابي به و از يك ميزبان تكي به وسيله ي يك عامل فرستند در يك لايه ي شبكه كنترل مي شود . ميزبان تك يك ميزبان باستيون (مستحكم) و با پشتيباني بالا و اين است كه خوشبختانه در برابر حمله مقاوم باشد .
لايه firewall شبكه نمونه مي تواند در شكل 2 يك firewall لايه شبكه به نام firewall زير شبكه پخش شده نشان داده شده . در يك firewall زير شبكه نمايش داده شده دستيابي و از يك شبكه كامل بوسيله ي يكي عامل فرستنده (router) در يك لايه شبكه كنترل مي شود . آن شبيه به يك ميزبان نمايش داده شده (پخش شده ) است ، با اين تفاوت كه به نحو كار آمدي ، شبكه اي از ميزبان هاي پخش شده است .
3.2.2- firewall هاي لايه كاربرد( Application larger)
اين ها كلا ميزبان هايي هستند كه سرورهاي نماينده را اجرا مي كنند كه اجازه ي ترافيك مستقيم بين شبكه ها را نمي دهند . و رسيدگي (حسابرسي ) logging پر طول و تفسيري از ترافيك در حال عبور از آن ها ، انجام مي دهند . به خاطر اينكه كاربردهاي نماينده (پركسي) عوامل نرم افزاري هستند كه روي firewall اجرا مي شوند . آن جا جاي خوبي براي logging و كنترل دستيابي محسوب مي شود . firewall هاي لايه ي كاربرد Application larger مي توانند با عنوان مترجم هاي آدرس شبكه كار روند ، زيرا ترافيك بعد از گذشتن از يك كاربرد (يا application) كه به طور موثري خاستگاه اتصال آغاز كننده را مي سازد.به يكي وارد مي شود و از ديگر خارج .
داشتن يك كاربرد در سر راه در بعضي موارد ممكن است باعث اجراي عملكرد شود و ممكن است firewall ها را مبهم سازد .
اولين firewall هاي لايه كاربرد مانند آن هايي كه با استفاده از جعبه ابزار firewall tis ساخته شدند . احتمالا براي كاربران نهايي واضح نيستند و ممكن است نياز بعه كمي آموزش داشته باشند . firewall هاي مدرن لايه كاربرد معمولا واضح اند . firewall هاي لايه ي كاربرد (يا اجرا) مايل اند نسبت به firewall هاي لايه شبكه اي الگوهاي امنيتي محافظ كارتر (كارانه تر) را اجرا كنند .
نمونه firewall لايه كاربرد : در شكل 3 يك firewall لايه كاربرد به نام دروازه ي كانوني دوتايي نشان داده شده . دروازه ي كانوني دوتايي يك ميزبان فوق العاده ايمن شده است كه نرم افزار پروكسي (نماينده) اجرا مي كند . آن دو واسطه شبكه اي دارد ، هر كدام روي يك شبكه و تمام ترافيكي كه از آن مي گذرد را مسدود مي كنند . اغلب firewall ها اكنون جايي بين firewall هاي لايه شبكه و firewall هاي لايه كاربرد قرار مي گيرند .
همانطور كه انتظار مي رود ، firewall هاي لايه شبكه اي ، به طور فزاينده اي از اطلاعاتي كه در آن هابررسي مي شود آگاه شده اند و firewall هاي لايه تقاضا(همان كاربرد) پيش از پيش سطح پايين و واضح شده اند .
نتيجه نهايي اين است كه اكنون سيستم هاي نمايش دهنده ي بسته اي سريع كه داده ها را همانطور كه به سيستم منتقل مي شوند (لگ مي كنند) و كنترل مي كنند .
Firewall ها (لايه هاي تقاضا و شبكه اي ) بيش از پيش در نهفته سازي شركت مي كنند زيرا آن ها ممكن است از ترافيك كه در جريان اينترنت از آن ها مي گذرد ، حمايت كنند . firewall ها با رمز گذاري پشت سر هم مي توانند توسط سازمان هايي با چندين نقطه اي پيوستگي اينترنتي براي استفاده از اينترنت به عنوان يك ستون خصوصي استفاده شوند ، بدون اينكه آن ها نگران لو رفتن داده ها يا رمز عبورشان باشند . (IPSEC كه در بخش 2.6 توضيح داده شد نقش فوق العاده مهمي در ساخت چنين شبكه هاي خصوصي واقعي دارد .)
3.3- سرورهاي پركسي چه چيزهايي هستند و چه كاري مي كنند ؟
يك سرور پروكسي (گاهي اشاره دارد به دروازه ي تقاضا يا پيش برنده) است كه ترافيك را بين يك شبكه پشتيباني شده و اينترنت بررسي مي كند . پروكسي ها اغلب به جاي كنترلهاي ترافيك كه بر مبناي فرستنده هستند ، استفاده مي شوند براي اينكه از انتقال مستقيم ترافيك بين شبكه ها جلوگيري كنند . بسياري از پروكسي ها براي تاييد كاربر ، Logging يا پشتيباني مضاف دارند . به خاطر اين كه پروكسي ها بايد پروتكل تقاضا كه استفاده مي شود را بدانند ، مي توانند همچنين ايمني مخصوص پروتكل را اجرا كنند (مثل پروكسي ftp ممكن است براي اجازه دادن ftp در حال آمدن و مسدود كردن ftp بيرون رونده قابل تركيب بندي باشد . )
سرورهاي پروكسي كاربرد اختصاصي دارند . به منظور پشتيباني از يك پروتكل جديد از طريق يك پروكسي ،يك پروكسي براي آن بايد ساخته شود . يك مجموعه سرورهاي پروكسي fwt2 است كه شامل پروكسي هايي ست براي Http / web , x window system , FTP , login , telnet و اخبار socks . nntp / Usenet يك سيستم پروكسي عام است كه مي تواند به صورت يك تقاضاي جانب مشتري همگرداني شود تا باعث شود آن در يك firewall كار كند . مزيت آن اين است كه استفاده آن آسان است اما آن از اضافه ي (يا دنباله ي ) قلاب هاي تاييد با پروتوكل مخصوص logging حمايت نمي كند . براي اطلاعات بيشتر در زمينه socks رجوع كنيد . به