بخشی از مقاله
فـايـروال (سپر اينترنتي)
فايروال:
فايروال وسيله اي است كه كنترل دستي و به يك شبكه با بنا بر سياست امنيتي شبكه تعريف مي كند. علاوه بر آن از آنجايي كه معمولاً يك فايروال بر سر راه ورودي يك شبكه مي نشـيند لذا براي ترجمـه آدرس شبـكه نيـز بكـار گرفتـه مي شود.
مشخه هاي مهم يك فايروال قوي و مناسب جهت ايجاد يك شبكه امن عبارتند از:
1 – توانايي ثبت و اخطار: ثبت وقايع يكي از مشخصه هاي بسيار مهم يك فايروال به شمار مي شود و به مديران شبكه اين امكان را مي دهد كه انجام حملات را كنترل كند. همچنين مدير شبكه مي تواند با كمك اطلاعات ثبت شده به كنترل ترافيك ايجاد دشه توسط كاربران مجاز بپردازد. در يك روال مناسب، مدير مي تواند براحتي به بخشهاي مهم از اطلاعات ثبت شده دسترسي پيدا كند. همچنين يك فايروال خوب بايد بتواند علاوه بر ثبت وقايع، در شرايطي بحراني، مدير شبكه را از وقايع مطلع كند و بر وي اخطار بفرستد.
2 – بازديد از حجم بالايي از بسته هاي اطلاعات: يكي از تستهاي يك فايروال، توانايي آن در بازديد حجم بالايي از بسته هاي اطلاعاتي بدون كاهش چشمگيري كارايي شبكه است. حجم داده ه اي كه يك فايروال مي تواند كنترل كند براي شبكه هاي مختلف متفاوت است اما يك فايروال قطعاً نبايد به گلوگاه شبكه تحت حفاظتش تبديل شود. عوامل مختلفي در سرعت پردازش اطلاعات توسط فايروال نقش دارند، بيشترين محدوديتها از طرف سرعت پردازنده و بهينه سازي كه نرم افزار بركارايي فايروال تحميل مي شوند، عامل محدودكننده ديگر مي تواند كارتهاي واسطي باشد كه بر روي فايروال نصب مي شوند. فايروالي كه بعضي كارها مانند صدور اخطار، كنترل دسترسي مبتني بر URL و بررسي وقايع ثبت شده را به نرم افزارهاي ديگر مي سازد از سرعت و كارايي بيشتر و بهتري برخوردار است.
3 – سادگي و پيكربندي: سادگي و پيكربندي شامل امكان راه اندازي سريع فايروال و مشاهده سريع خطاها و مشكلات است. در واقع بسياري از مشكلات امنيتي كه دامنگير شبكه هاي مي شود به پيكربندي غلط فايروال بر مي گردد. لذا پيكربندي سريع و ساده يك فايروال، امكان بروز خطا را كم مي كند. براي مثال امكان نمايش گرافيكي معماري شبكه و يا ابزاري كه بتواند سياستهاي امنيتي شبكه را به پيكربندي ترجمه كند، براي يك فايروال بسيار مهم است.
4 – امنيت و افزودگي فايروال: امنيت فايروال خود يكي از نكات مهم در يك شبكه امن است. فايروالي كه نتواند امنيت خود را تامين كند، قطعاً اجازه ورود هكرها و مهاجمان را به ساير بخشهاي شبكه نيز خواد داد. در دو بخش از فايروال، تامين كننده امنيت و شبكه است:
الف: امنيت سيستم عامل فايروال: اگر نرم افزار فايروال بر سيستم عامل جداگانه اي كار مي كند، نقاط ضعف امنيتي سيستم عامل، مي تواند نقاط ضعف فايروال نيز به حساب بيايد. بنابراين امنيت و استحكام سيستم عامل فايروال و بروزرساني آن از نكات مهم در امنيت فايروال است.
5 - دسترسي امن به فايروال جهت مقاصد مديريتي: يك فايروال بايد مكانيزمهاي امنيتي خاصي را براي دسترسي مديران شبكه در نظر بگيرد. اين روشها مي تواند رمزنگاري را همراه با روشهاي مناسب تعيين هويت بكار گيرد تا بتواند در مقابل نفوذگران تاب بياورد.
انواع فايروال:
انواع مختلف فايروال كم و بيش از كارهايي را كه اشاره كرديم، انجام مي دهند، اما روش انجام كار توسط انواع مختلف، متفاوت است كه اين امر منجر به تفاوت در كارايي و سطح امنيت پيشنهادي فايروال مي شود. بر اين اساس فايروال ها را به 5 گروه تقسيم مي كنند.
1 – فايروال هاي سطح مدار (Circuit-Level): اين فايروالها به عنوان يك رله براي ارتباطات TCP عمل مي كنند. آنها ارتباط TCP را با رايانه پشتشان قطع مي كنند و خود به جاي آن رايانه به پاسخگويي اوليه مي پردازند. تنها پس از برقراري ارتباط است كه اجازه مي دهند تا داده به سمت رايانه مقصد جريان پيدا كند و تنها به بسته هاي داده اي مرتبط اجازه عبور مي دهند. اين نوع از فايروالها هيچ داده برون بسته هاي اطلاعات را مورد بررسي قرار نمي دهند و لذا سرعت خوبي دارند. ضمناً امكان ايجاد محدوديت بر روي ساير پروتكلها (غير از TCP) را نيز نمي دهند.
2 – فايروالهاي پروكسي سرور: فايروالهاي پروكسي سرور به بررسي بسته هاي اطلاعات در لايه كاربرد مي پردازند. يك پروكسي سرور درخواست ارائه شده توسط برنامه هاي كاربردي پشتش را قطع مي كند و خود به جاي آنها درخواست ارسال مي كند. نتيجه درخواست را نيز ابتدا خود دريافت و سپس براي برنامه هاي كاربردي ارسال مي كند. اين روش با جلوگيري از ارتباط مستقيم برنامه با سرورها و برنامه هاي كاربردي خارجي امنيت بالايي را تاميـن مي كند. از آنجايي كه اين فايروالها پروتكلهاي سطح كاربرد را مي شناسند، لذا مي توانند بر مبناي اين پروتكها محدوديتهايي را ايجاد كنند. همچنين آنها مي توانند با بررسي محتواي بسته هاي داده اي به ايجاد محدوديتهاي لازم بپردازند.
البته اين سطح بررسي مي تواند به كندي اين فايروالها بيانجامد. همچنين از آنجايي كه اين فايروالها بايد ترافيك ورودي و اطلاعات برنامه هاي كاربردي كاربر انتهايي را پردازش كند، كارايي آنها بيشتر كاهش مي يابد. اغلب اوقات پروكسي سرورها از ديد كاربر انتهاي شفاف نيستند و كاربر مجبور است تغييراتي را در برنامه خود ايجاد كند تا بتوان داين فايروالها به كار بگيرد. هر برنامه جديدي كه بخواهد از اين نوع فايروال عبور كند، بايد تغييراتي را در پشته پروتكل فايروال ايجاد كرد.
3 – فيلترهاي Nosstateful packet: اين فيلترها روش كار ساده اي دارند. آنها بر مسير يك شبكه مي نشينند و با استفاده از مجموعه اي از قواعد، به بعضي بسته ها اجازه عبور مي دهند و بعضي از ديگر را بلوكه مي كنند، اين تصميمها با توجه به اطلاعات آدرس دهي موجود در پروتكلهاي لايه شبكه مانند IP و در بعضي موارد با توجه به اطلاعات موجود در پروتكلهاي لايه انتقال مانند سرآيندهاي TCP و UDP اتخاذ مي شود. اين فيلترها سرويسهاي مورد نياز شبكه جهت محافظت داشته باشند، همچنين اين فيتلرها مي توانند سريع باشند چون همانند پروكسي ها عمل نمي كنند و اطلاعاتي درباره پروتكلهاي لايه كاربرد ندارند.
4 – فيلترهاي Stateful packet: اين فيلترها بسيار باهوشتر از فيلترهاي ساده هستند. آنها تقريباً تمامي ترافيك ورودي را بلوكه مي كنند اما مي توانند به ماشينهاي پيشتشان اجازه بدهند تا به پاسخگويي بپردازند. آنها اين كار را با نگهداري ركورد اتصالاتي كه ماشينهاي پشتشان درلايه انتقال ايجاد مي كنند، انجام مي دهند. اين فيلترها، مكانيزم اصلي مورد استفاده جهت پياده سازي فايروال در شبكه هاي مدرن هستند. اين فيلترها مي توانند ردپاي اطلاعات مختلف را از طريق بسته هايي كه در حال عبورند ثبت كنند. براي مثال شماره پورت هاي UDP , TCP مبدأ و مقصد، شماره ترتيب TCP و پرچمهاي TCP. بسياري از فيلترهاي جديد Stateful مي توانند پروتكلهاي لايه كاربرد مانند HTTP , FTP را تشخيص دهند و لذا مي توانند اعمال كنترل دسترسي را با توجه به نيازها و سرعت اين پروتكلها انجام دهند.
5 – فايروالهاي شخصي: فايروالهاي شخصي، فايروالهايي هستند كه بر روي رايانه هاي شخصي نصب مي شوند. آنها براي مقابله با حملات شبكه اي طراحي شده اند. معمولاً از برنامه هاي در حال اجرا در ماشين آگاهي دارند و تنها به ارتباطات ايجاد شده توسط اين برنامه ها اجازه مي دهند كه به كار بپردازند نصب يك فايروال شخصي بر روي يك PC بسيار مفيد است زيرا سطح امنيت پيشنهادي توسط فايروال شبكه را افزايش مي دهد. از طرف ديگر از آنجايي كه امروزه بسياري از حملات از دورن شبكه حفاظت شده انجام مي شوند، فايروال شبكه نمي تواند كاري براي آنها انجام دهد و لذا يك فايروال، شخصي بسيار مفيد خواهد بود. معمولاً نيازي به تغيير برنامه جهت عبور از فايروال شخصي نصب شده (همانند پروكسي) نيست.
موقعيت يابي براي فايروال:
محل و موقعيت نصب فايروال همانند انتخاب نوع صحيح فايروال و پيكربندي كامل آن، از اهميت ويژه اي برخوردار است. نكاتي كه بايد براي يافتن جاي مناسب نصب فايروال در نظر گرفت عبارتند از:
1 - موقعيت و محل نصب از لحاظ توپولوژيكي: معمولاً مناسب به نظر مي سد كه فايروال را در درگاه ورودي/خروجي شبكه خصوصي نصب كنيم. اين امر به ايجاد بهترين پوشش امنيتي براي شبكه خصوصي با كمك فايروال از يك طرف و جداسازي شبكه خصوي از شبكه عموي از طرف ديگر كمك مي كند.
2 - قابليت دسترسي و نواحي امنيتي: اگر سرورهاي وجود دارند كه بايد براي شبكه عمومي در دسترس باشند،
بهتر است آنها را بعد از فايروال و در ناحيه DMZ قرار دهيد. قرار دادن اين سرورها در شبكه خصوصي و تنظيم فايروال جهت صدور اجازه به كاربران خارجي براي دسترسي به اين سرورها برابر خواهد بود با هك شدن شبكه داخلي. چون شما خود مسير هكرها را در فايروال باز كرده ايد، در حالي كه با استفاده از ناحيه DMZ، سروهاي جدا هستند، لذا اگر هكرها بتوانند به نحوي به اين سرورها نفوذ كنند باز هم فايروال را پيش روي خود دارند.
3 - مسريابي نامتقارن: بيشتر فايروالهاي مدرن سعي مي كنند اطلاعات مربوط به اتصالات مختلفي را كه از طريق آنها شبكه داخلي را به شبكه عمومي وصل كرده است، نگهداري كنند. اين اطلاعات كمك مي كنند تا تنها بسته هاي اطلاعاتي مجاز به شبكه خصوصي وارد شوند. در نتيجه حائز اهميت است كمه نقطه ورود و خروج تمامي اطلاعات به / از شبكه خصوصي از طريق يك فايروال باشد.
4 - فايروالهاي لايه اي: در شبكه هاي با درجه امنيت بالا بهتر است از دو يا چند فايروال در مسير قرار گيرند. اگر اولي با مشكلي روبرو شود، دومي به كار ادامه مي دهد. معمولاًٌ بهتر است دو يا چند فايروال مورد استفاده از شركتهاي مختلفي باشند تا در صورت وجود يك اشكال نرم افزاري يا حفره امنيتي در يكي از آنها سايرين بتوانند امنيت شبكه را تامين كنند.
با وجود هكرهها، باجگيران و خلافكارن دنياي اينترنت كه در همه قسمتهاي اينترتنت پرسه مي زنند بايد از خودتا مراقبت كنيد. ما به شما كمك مي كنيم تا بتوانيد با خيال راحت و امنيت كامل در اينترنت سير كنيد.
اينترنت مكاني ترسناك و پر از انواع و اقسام مجرمان است. همه ما افتخار مي كنيم كه گير باج گيران اينترنتي نيفتاده ايم. اما جرايم اينترنتي روز به روز در حال گسترش است. بدتر از آن، كامپيوترها تقريباً خنگ هستند –اگر مراقب نباشيد- خودشان را حتي وقتي شما نباشيد، تسليم مجرمان مي كنند. از بسياري جهات، اينترنت شبيه به غرب وحشي است. يكي صحراي گسترده و بي قانون كه پر از راهزنان است. اما شما مي توانيد با انجام چند عمل ساده در مقابل مجرمان اينترنتي محافظت كنيد.
اولين قدم براي مطمئن شدن از يك امنيت كامپيوترتان، نصب يك فايروال است تا موقع وصل به اينترنت از شما محافظت كند، مخصوصاً اگر اتصال پهن باند داشته باشيد كه دائماً وصل است اين موضوع برايتان اهميت بيشتري پيدا مي كند. اما به هر حال بايد مطابق با نيازتان عمل كنيد. تحقيقات اخير نشان داده، كامپيتوتري كه كاملاً بدون محافظ به اينترنت وصل مي شود، در عرض تنها 121 دقيقه مي تواند مورد هجوم ويروس ها و فايل هاي هكي قرار گيرد.
اگر روي كامپيوترتان فايروال نصب كنيد، مثل اين است كه ماشينتان را جايي پارك كنيد و پنجره ها را باز بگذاريد، بدين ترتيب خودتان به دنبال دردسر مي گرديد. بسياري از اين سيستم عامل ها اين توانايي را دارند كه فايروال هاي اوليه را خود نصب كنند و اين براي شروع خوب است، اگر ويندوز xp نصب كرده ايد، راهنماي مايكروسافت شما را در اين فرايند هدايت مي كند. معمولاً يك سري تنظيمات سيستمي كوچك لازم است تا بتوانيد فايرولتان را راه انداز كنيد.
اگر از يك مودم جداگانه براي اتصال به اينترنت استفاده مي كنيد و يا از يك روتر به عنوان مدخل شبكه تان استفاده مي كنيد، اغلب آنها براي خود يك فايروال توكار فايروال دارند. مودم هاي اكسترنال (External) و روترها يك فايروال داخلي دارند. راهنماي كارخانه سازنده را خيلي دقيق بخوانيد تا بفهميد چگونه با سيستمتان كار مي كند و در نتيجه مي توانيد ميزان محافظت بيشتري داشته باشيد. افراد محتاط تر احتمالاً مي خواهند يك فايروال جداگانه روي سيستم عاملشان نصب كنند، مانند Norton Internet Security Alarm (از اينجا بگيريد) يا Zone Alarm (از اينجا بگيرد).
محصولات اين چنيني لايه محافظت اضافه تري ايجاد مي كنند تـــا آنهايي كه مي خواهند هر چه به سيستمشان وارد يا خارج مي شود را كنترل كنند، از آن استفاده كنند و بسياري از آنها، نرم افزار كنترل ويروس نيز دارند.