همه چيز درباره فايروال

همه چيز درباره فايروال

تاریخ ایجاد

IRCAR200909034
اگر از اينترنت استفاده مي­كنيد، و بخصوص اگر در يك شركت بزرگ كار مي­كنيد كه در حين كار به اينترنت متصل هستيد حتما نام فايروال را شنيده ايد. شما مي­توانيد با استفاده از فايروال از شبكه خود در مقابل وب سايتهاي خرابكار و هكرها محافظت نماييد. يك فايروال در حقيقت حصاري است كه نيروهاي خرابكار را از شما دور نگه مي­دارد. به همين دليل به آن فايروال (ديوار آتش) گفته مي­شود. كار اين حصار شبيه يك ديوار آتش فيزيكي است كه از گسترش آتش از يك ناحيه به ناحيه ديگر جلوگيري مي­كند. در اين مقاله اطلاعات بيشتري راجع به فايروالها، نحوه كار آنها، و خطراتي كه در مقابل آن از شما محافظت مي­كنند بدست خواهيد آورد.

1- يك فايروال چه مي­كند؟
يك فايروال يك برنامه يا يك وسيله سخت افزاري است كه اطلاعاتي را كه از طريق اينترنت به شبكه يا كامپيوتر شما وارد و يا از آن خارج مي­شود، بررسي و درصورت نياز فيلتر مي­كند. اگر بسته اي كه در حال ورود به شبكه شماست بعنوان بسته فيلتري برچسب بخورد، ديگر اجازه ورود به شبكه شما را نخواهد داشت. فرض كنيد كه شما در شركتي با 500 كارمند كار مي­كنيد. اين شركت چند صد كامپيوتر دارد كه از طريق كارت شبكه به هم متصلند. همچنين اين شركت از يك يا چند اتصال به اينترنت استفاده مي­كند. بدون استفاده از فايروال تمامي اين كامپيوترها از طريق اينترنت براي هركسي قابل دسترسي هستند. هر فردي خارج از شبكه شما كه مي­داند چه كاري بايد انجام دهد، مي­تواند با اين كامپيوترها اتصال FTP، telnet و غيره برقرار كند. اگر يكي از كارمندان اشتباهي مرتكب شده و يك حفره امنيتي را باز بگذارد، هكرها مي­توانند به سيستم او وارد شده و از حفره امنيتي موجود سوء استفاده نمايند. اما در مقابل با استفاده از يك فايروال، اتفاق كاملا متفاوتي رخ مي­دهد. شركت در سر راه هر اتصالي به اينترنت يك فايروال قرار مي­دهد. فايروال مي­تواند قوانين امنيتي را پياده كند. براي مثال يكي از قوانين امنيتي يك شركت مي­تواند اين باشد: از ميان 500 كامپيوتر اين شركت، فقط يكي حق دارد ترافيك FTP را دريافت نمايد. يك شركت مي­تواند چنين قوانيني را براي سرورهاي FTP، سرورهاي وب، سرورهاي Telnet و مانند آن اختصاص داده و تعريف نمايد. بعلاوه يك شركت مي­تواند در مورد نحوه اتصال كارمندان به وب سايتها و اينكه آيا فايلها مجوز خروج از شبكه شركت را دارند يا خير، كنترلهاي لازم را اعمال نمايد. يك فايروال كنترل مناسبي بر روي نحوه استفاده كارمندان از شبكه ايجاد مي­كند. فايروالها با استفاده از حداقل يكي از روشهاي زير، ترافيك ورودي و خروجي شبكه را كنترل مي­كنند:

  • فيلتر كردن بسته ها
    بسته هاي داده بر اساس مجموعه اي از فيلترها تحليل مي­شوند. بسته هايي كه مجوز داشته باشند وارد شده و بقيه رد مي­شوند.
  • سرويس Proxy
    اطلاعات دريافتي از اينترنت ابتدا توسط فايروال دريافت شده و سپس به سيستم درخواست كننده ارسال مي­شوند و برعكس.
  • تفتيش Stateful
    روشي جديد كه محتويات هر بسته را بررسي نمي­كند و به جاي آن، بخشهاي كليدي مشخصي از بسته ها را با يك پايگاه داده مطمئن مقايسه مي­نمايد. اطلاعاتي كه از درون فايروال به بيرون مي­روند، از لحاظ برخي ويژگيها بررسي و كنترل شده و اطلاعات ورودي با اين ويژگيها مقايسه مي­گردند. اگر تطابق معنا داري بين اين دو دسته وجود داشته باشد، آنگاه اطلاعات اجازه ورود را خواهند داشت و در غير اينصورت رد مي­شوند.

2- انواع فايروال

  • فايروالهاي سخت افزاري:
    اين نوع فايروالها كه به آن فايروال شبكه نيز گفته مي­شود، بين كامپيوتر (يا شبكه) شما و كابل يا خط DSL قرار مي­گيرند. تعداد زيادي از توليد كنندگان و برخي از مراكز ISP، مسيريابهايي ارائه مي دهند كه داراي يك فايروال نيز مي­باشند. فايروالهاي سخت افزاري معمولا در مواردي كه قصد حفاظت از چندين كامپيوتر را داشته باشيد مفيد بوده و يك سطح حفاظتي مناسب را ارائه مي­نمايند (بديهي است كه امكان استفاده از اين فايروالها به منظور حفاظت از يك دستگاه كامپيوتر نيز وجود دارد). در صورتي كه شما صرفا يك كامپيوتر پشت فايروال قرار داده ايد و يا اين اطمينان را داريد كه ساير كامپيوتر هاي موجود بر روي شبكه، از لحاظ نصب تمامي اصلاحيه ها به روز بوده و عاري از هرگونه بدافزاري مي­باشند، نيازي به استفاده از يك نرم افزار فايروال نخواهيد داشت. فايروالهاي سخت افزاري، دستگاههاي سخت افزاري مجزائي هستند كه داراي سيستم عامل اختصاصي خود مي­باشند و استفاده از آنها باعث ايجاد يك لايه دفاعي اضافه در مقابل تهاجمات مي گردد.
  • فايروالهاي نرم افزاري:
    برخي از سيستم عاملها داراي يك فايروال دروني هستند كه همراه سيستم عامل به كاربران عرضه مي­شود. در صورتي كه سيستم عامل نصب شده بر روي كامپيوتر شما داراي ويژگي فوق مي­باشد، پيشنهاد مي­كنيم كه اين فايروال را فعال كنيد تا يك سطح حفاظتي اضافي براي سيستم شما ايجاد گردد (حتي اگر از يك فايروال خارجي يا سخت افزاري استفاده مي كنيد، باز هم فايروال سيستم عامل خود را فعال نماييد). در صورتي كه سيستم عامل نصب شده بر روي كامپيوتر شما داراي يك فايروال دروني نيست، مي­توانيد اقدام به تهيه يك فايروال نرم افزاري نماييد. بهتر است براي اطمينان بيشتر، به جاي نصب فايروال از طريق اينترنت، از CD ها و DVD هاي ارائه دهنده نرم افزار فايروال استفاده كنيد.


3- تنظيم فايروال
فايروالها قابل تنظيم هستند. اين بدان معناست كه شما مي­توانيد فيلترهايي را بر اساس شرايط و مسائل مختلف به فايروال خود اضافه كرده يا از آن حذف نماييد. برخي از اين تنظيمات از اين قرارند:

  • آدرس IP
    هر سيستمي روي اينترنت يك آدرس يكتا به نام آدرس IP دريافت مي­كند. آدرس IP يك عدد 32 بيتي است كه از چهار قسمت كه با نقطه از هم جدا مي­شوند تشكيل شده است. براي مثال يك آدرس IP نوعي مي­تواند به اين شكل باشد: 192.168.0.120. اگر يك آدرس IP خاص در خارج از شبكه شركت فايلهاي زيادي را از يكي از سرورهاي شركت دريافت مي­كند، فايروال مي­تواند تمام ترافيك مرتبط با آن آدرس IP خاص را مسدود نمايد.
  • نام دامنه
    از آنجاييكه به خاطر سپردن آدرس IP كار سختي است و اين آدرس گاهي تغيير مي­كند، تمامي سرورهاي اينترنتي يك نام يكتاي تشكيل شده از حروف الفبا نيز دارند كه به آن نام دامنه گفته مي­شود. براي مثال به خاطر سپردن نام www.certcc.ito.gov.ir بسيار راحتتر از به خاطر سپردن يك رشته عددي است. يك شركت مي­تواند با استفاده از يك فايروال، تمامي دسترسيها به يك نام دامنه خاص را مسدود كرده يا تنها دسترسي به نامهاي دامنه خاصي را مجاز بداند.
  • پروتكلها
    پروتكل عبارتست از يك روش خاص و از پيش تعريف شده براي برقراري ارتباط ميان دو سيستم كه هر يك از اين دو سيستم مي­توانند سخت افزاري يا نرم افزاري باشند. براي مثال يكطرف اين ارتباط مي­تواند يك مرورگر وب باشد و طرف ديگر نيز يك وب سرور. پروتكلها معمولا متني هستند كه به سادگي نحوه ارتباط كلاينت و سرور را توضيح مي­دهند. براي مثال http يك پروتكل وب است. برخي پروتكلهاي معمول كه مي­توانيد فيلترهاي فايروال را براي آن تنظيم نماييد عبارتند از:
  1. IP (Internet Protocol): سيستم اصلي انتقال اطلاعات روي اينترنت
  2. TCP (Transmission Control Protocol): براي شكستن و دوباره ساختن اطلاعات منتقل شده روي اينترنت استفاده مي­شود.
  3. HTTP (Hyper Text Transfer Protocol): مورد استفاده براي صفحات وب
  4. FTP (File Transfer Protocol): مورد استفاده براي انتقال (ارسال و دريافت) فايله
  5. UDP (User Datagram Protocol): مورد استفاده براي اطلاعاتي كه نياز به پاسخ ندارند مانند جريان صوت يا ويدئو
  6. ICMP (Internet Control Message Protocol): مورد استفاده توسط مسيريابها براي تبادل اطلاعات با مسيريابهاي ديگر
  7. SMTP (Simple Mail Transport Protocol): مورد استفاده براي ارسال اطلاعات مبتني بر متن (ايميل)
  8. SNMP (Simple Network Management Protocol): مورد استفاده براي جمع آوري اطلاعات سيستم از يك كامپيوتر راه دور
  9. Telnet: مورد استفاده براي انجام دستورات روي يك كامپيوتر از راه دور

ممكن است لازم باشد كه يك شركت فقط يك يا دو سيستم را براي مديريت يك پروتكل خاص انتخاب و تنظيم نمايد و ساير سيستمها را از آن پروتكل منع كند.

  • پورتها
    هر سروري سرويسهاي خود را با استفاده از پورتهاي شماره دار، روي اينترنت در دسترس قرار مي­دهد. در واقع به ازاي هر سرويس براي هر سرور يك پورت وجود دارد. براي مثال، اگر يك سيستم يك HTTP Server و يك FTP Server را اجرا كند، سرور HTTP نوعا روي پورت شماره 80 و سرور FTP روي پورت شماره 21 در دسترس قرار خواهند داشت. ممكن است لازم باشد يك شركت دسترسي به پورت شماره 21 را روي تمامي سيستمها ببندد و فقط يك سيستم مجوز دسترسي به اين پورت را داشته باشد.
  • كلمات و عبارات خاص
    فايروال هر بسته اطلاعات را دقيقا با فيلتري كه تعيين شده است مقايسه و بررسي مي­كند. براي مثال، شما مي­توانيد به فايروال دستور بدهيد كه هر بسته اي را كه كلمه "X rated" در آن قرار داشته باشد مسدود نمايد. نكته كليدي در اينجا اين است كه فايروال بايد دقيقا به دنبال همين كلمه در بسته ها بگردد. يعني كلمه "X-rated" با "X rated" هماهنگي و همخواني ندارد. شما مي­توانيد هر تعداد كلمه يا عبارتي كه لازم داريد را براي اين كار در نظر بگيريد.
    برخي سيستم عاملها يك فايروال دروني دارند. يك فايروال نرم افزاري نيز مي­تواند روي سيستم خانگي شما كه به اينترنت متصل است نصب گردد. به اين كامپيوتر «gateway» گفته مي­شود، چرا كه تنها نقطه ارتباط شبكه شما با اينترنت است. يك فايروال سخت افزاري، خود يك gateway محسوب مي شود. بعنوان يك نمونه خوب از فايروالهاي سخت افزاري مي­توان به برخي مسيريابها اشاره كرد. اين مسيريابها يك كارت Ethernet و يك هاب دروني دارند. كامپيوترهاي شبكه شما به يك مسيرياب متصل مي­شوند و اين مسيرياب نيز به يك مودم متصل است. شما مسيرياب را از طريق يك واسط كاربر مبتني بر وب تنظيم مي­كنيد و مي­توانيد هر فيلتر يا تنظيمات ديگري را تعيين نماييد. فايروالهاي سخت افزاري بسيار امن هستند و نسخه هاي خانگي آن چندان گران نيستند. چنين فايروالي را كه شامل يك مسيرياب، فايروال و هاب Ethernet براي اتصالات پهن باند است، مي­توان با حدود 100 دلار خريداري كرد.

4- چرا امنيت از طريق فايروال؟
يكي از مهمترين و بهترين نكات در مورد فايروال اين است كه دسترسي به كامپيوترهاي داخل شبكه شما را از خارج شبكه متوقف مي­سازد. راههاي مختلفي براي دسترسي به كامپيوترهاي ناامن و سوء استفاده از آنها وجود دارد كه مي­توان به موارد ذيل اشاره كرد:

  • Login از راه دور
  • درهاي پشتي (Backdoor) برنامه ه
  • سرقت نشست SMTP
  • نقايص امنيتي سيستم عامل
  • انكار سرويس
  • بمبهاي ايميلي
  • ماكروه
  • ويروسه
  • هرزنامه
  • تغيير مسير بمبه
  • مسيريابي منبع

فيلتر كردن برخي از موارد فهرست بالا با استفاده از فايروال سخت و در برخي موارد ناممكن است. با اينكه برخي فايروالها آنتي ويروس نيز دارند، ولي نصب آنتي ويروسهاي جداگانه روي تمامي سيستمهاي شبكه يك سرمايه گذاري با ارزش است. سطح امنيتي كه شما در نظر مي­گيريد مشخص كننده اين موضوع است كه چه تعداد از اين تهديدات مي­توانند توسط فايروال شما متوقف گردند. بالاترين سطح امنيت اين است كه همه چيز مسدود شود. اما واضح است كه چنين كاري فلسفه استفاده از اينترنت را بطور كلي زير سوال مي­برد. اما قانون معمول اين است كه ابتدا همه چيز را مسدود كنيد و سپس تصميم بگيريد كه چه نوع ترافيكهايي مجاز به عبور از فايروال شما هستند و آنها را باز نماييد. شما همچنين مي­توانيد ترافيكي را كه از فايروال عبور مي­كند محدود نماييد تا فقط انواع خاصي از اطلاعات مانند ايميلها اجازه عبور داشته باشند. داشتن يك مدير شبكه خوب كه نيازها را درك كرده و بر اساس آن نوع اطلاعات مجاز را مشخص نمايد بسيار كمك كننده است. براي اغلب ما بهترين كار اين است كه با تنظيمات پيش فرض فايروال در اين مورد كار كنيم، مگر اينكه دليل مشخصي براي تغيير آن داشته باشيم.

5- Proxy Server ها و DMZ
يكي از كاركردهايي كه معمولا با فايروال همراه است Proxy Server مي­باشد. Proxy Server براي دسترسي به صفحات وب توسط ساير كامپيوترها مورد استفاده قرار مي­گيرد. زمانيكه كامپيوتر ديگري يك صفحه وب را درخواست مي­كند، اين صفحه توسط Proxy Server بازيابي شده و سپس به كامپيوتر درخواست كننده ارسال مي­شود. تاثير شبكه اي اين كار اين است كه كامپيوتري كه آن صفحه وب را ميزباني مي­كند هرگز بطور مستقيم با هيچ چيز روي شبكه شما (به جز Proxy Server) ارتباط برقرار نمي­كند. Proxy Server ها همچنين مي­توانند باعث كارآيي اتصال اينترنت شما گردند. اگر شما به يك صفحه روي يك وب سايت دسترسي پيدا كنيد، اين صفحه روي Proxy Server شما ذخيره مي­شود. اين بدان معناست كه دفعه بعد كه بخواهيد به آن صفحه مراجعه نماييد، بطور پيش فرض لازم نيست كه آن صفحه از روي وب سايت مذكور دريافت گردد. بلكه مستقيما از روي Proxy Server دريافت مي­شود. البته گاهي اوقات نيز ممكن است شما بخواهيد كه كاربراني از راه دور به برخي چيزها در شبكه شما دسترسي داشته باشند. در اين مورد مي­توان به وب سايت و تجارت آنلاين اشاره كرد. در چنين شرايطي يك DMZ (محدوده غير نظامي) مي­تواند به شما كمك كند. اين محدوده به محدوده خارج از فايروال گفته مي­شود. DMZ را مي­توان به حياط خانه تشبيه كرد كه به شما تعلق دارد و ممكن است چيزهايي را نيز در آنجا قرار دهيد. اما قطعا شما تمامي وسايل با ارزش خود را داخل خانه نگهداري مي­كنيد. ايجاد و راه اندازي يك DMZ بسيار ساده است. اگر شما چندين كامپيوتر داشته باشيد، مي­توانيد يكي از كامپيوترها را بين فايروال و اتصال اينترنت قرار دهيد. اغلب فايروالهاي نرم افزاري به شما اجازه مي­دهند كه فولدري را روي كامپيوتر gateway به DMZ اختصاص دهيد.

مقالات مرتبط:
چگونه يك فايروال مناسب انتخاب كنيم؟

منابع:

http://www.us-cert.gov/
http://howstuffworks.com/

برچسب‌ها
مستندات مرجع
  • 7