مقدمه ای بر فایروال

فایروال وسیله ای است كه كنترل دسترسی به یك شبكه را بنابر سیاست امنیتی شبكه تعریف می كند.علاوه بر آن از آنجایی كه معمولا یك فایروال بر سر راه ورودی یك شبكه می نشیند لذا برای ترجمه آدرس شبكه نیز بكار گرفته می شود.

مشخصه های مهم یك فایروال قوی و مناسب جهت ایجاد یك شبكه امن عبارتند از:

1- توانایی ثبت و اخطار :

ثبت وقایع یكی از مشخصه های بسیار مهم یك فایروال به شمار  می شود و به مدیران شبكه این امكان را می دهد كه انجام حملات را كنترل كنند. همچنین مدیر شبكه می تواند با كمك اطلاعات ثبت شده به كنترل ترافیك ایجاد شده توسط كاربران مجاز بپردازد. در یك روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا كند. همچنین یك فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبكه را از وقایع مطلع كند و برای وی اخطار بفرستد.

2-

بازدید حجم بالایی از بسته های اطلاعات:

یكی از تستهای یك فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون كاهش چشمگیر كارایی شبكه است. حجم داده ای كه یك فایروال می تواند كنترل كند برای شبكه های مختلف متفاوت است اما یك فایروال قطعا نباید به گلوگاه شبكه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی كد نرم افزار بر كارایی فایروال تحمیل می شوند. عامل محدودكننده دیگر می تواند كارتهای واسطی باشد كه بر روی فایروال نصب می شوند. فایروالی كه بعضی كارها مانند صدور اخطار ، كنترل دسترسی مبنی برURL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و كارایی بیشتر و بهتری برخوردار است.

3-

سادگی پیكربندی:

سادگی پیكربندی شامل امكان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشكلات است.در واقع بسیاری از مشكلات امنیتی كه دامنگیر شبكه های می شود به پیكربندی غلط فایروال بر می گردد. لذا پیكربندی سریع و ساده یك فایروال ، امكان بروز خطا را كم می كند. برای مثال امكان نمایش گرافیكی معماری شبكه  و یا ابزرای كه بتواند سیاستهای امنیتی را به پیكربندی ترجمه كند ، برای یك فایروال بسیار مهم است.

4-

امنیت و افزونگی فایروال:

امنیت فایروال خود یكی از نكات مهم در یك شبكه امن است.فایروالی كه نتواند امنیت خود را تامین كند ، قطعا اجازه ورود هكرها و مهاجمان را به سایر بخشهای شبكه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین كننده امنیت فایروال و شبكه است:

الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای كار می كند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحكام سیستم عامل فایروال و بروزرسانی آن از نكات مهم در امنیت فایروال است.

ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یك فایروال باید مكانیزمهای امنیتی خاصی را برای دسترسی مدیران شبكه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بكار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.

انواع فایروال

انواع مختلف فایروال كم و بیش كارهایی را كه اشاره كردیم ، انجام می دهند، اما روش انجام كار توسط انواع مختلف ، متفاوت است كه این امر منجر به تفاوت در كارایی و سطح امنیت پیشنهادی فایروال می شود.بر این اساس فایروالها را به 5 گروه تقسیم می كنند.

1-

فایروالهای سطح مدار (

Circuit-Level

): ا

ین فایروالها به عنوان یك رله برای ارتباطاتTCP عمل می كنند. آنها ارتباطTCP را با رایانه پشتشان قطع می كنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند.تنها پس از برقراری ارتباط است كه اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا كند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند. این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند. ضمنا امكان ایجاد محدودیت بر روی سایر پروتكلها ( غیر ازTCP) را نیز نمی دهند.

2-

فایروالهای پروكسی سرور :

فایروالهای پروكسی سرور به بررسی بسته های اطلاعات در لایه كاربرد می پردازد. یك پروكسی سرور درخواست ارائه شده توسط برنامه های كاربردی پشتش را قطع می كند و خود به جای آنها درخواست را ارسال می كند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های كاربردی ارسال می كند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های كاربردی خارجی امنیت بالایی را تامین می كند. از آنجایی كه این فایروالها پروتكلهای سطح كاربرد را     می شناسند ، لذا می توانند بر مبنای این پروتكلها محدودیتهایی را ایجاد كنند. همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به كندی این فایروالها بیانجامد. همچنین از آنجایی كه این فایروالها باید ترافیك ورودی و اطلاعات برنامه های كاربردی كاربر انتهایی را پردازش كند، كارایی آنها بیشتر كاهش می یابد. اغلب اوقات پروكسی سرورها از دید كاربر انتهایی شفاف نیستند و كاربر مجبور است تغییراتی را در برنامه خود ایجاد كند تا بتوان داین فایروالها را به كار بگیرد.هر برنامه جدیدی كه بخواهد از این نوع فایروال عبور كند ، باید تغییراتی را در پشته پروتكل فایروال ایجاد كرد.

3-

فیلترهای

Nosstateful packet

:

این فیلترها روش كار ساده ای دارند. آنها بر مسیر یك شبكه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوكه می كنند. این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتكلهای لایه شبكه مانندIP و در بعضی موارد با توجه به اطلاعات موجود در پروتكلهای لایه انتقال مانند سرآیندهایTCP وUDP اتخاذ می شود. این فیلترها زمانی می توانند به خوبی عمل كنند كه فهم خوبی از كاربرد سرویسهای مورد نیاز شبكه جهت محافظت داشته باشند. همچنین این فیلترها می توانند سریع باشند چون همانند پروكسی ها عمل نمی كنند و اطلاعاتی درباره پروتكلهای لایه كاربرد ندارند.

4-

فیلترهای ٍ

Stateful Packet

:

این فیلترها بسیار باهوشتر از فیلترهای ساده هستند. آنها تقریبا تمامی ترافیك ورودی را بلوكه می كنند اما می توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنها این كار را با نگهداری ركورد اتصالاتی كه ماشینهای پشتشان در لایه انتقال ایجاد می كنند، انجام می دهند.این فیلترها ، مكانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبكه های مدرن هستند.این فیلترها می توانند رد پای اطلاعات مختلف را از طریق بسته هایی كه در حال عبورند ثبت كنند. برای مثال شماره پورت هایTCP وUDP مبدا و مقصد، شماره ترتیبTCP و پرچمهایTCP. بسیاری از فیلترهای جدیدStateful می توانند پروتكلهای لایه كاربرد مانندFTP وHTTP را تشخیص دهند و لذا می تواننداعمال كنترل دسترسی را با توجه به نیازها و سرعت این پروتكلها انجام دهند.

5-

فایروالهای شخصی :

فایروالهای شخصی ، فایروالهایی هستند كه بر روی رایانه های شخصی نصب می شوند.آنها برای مقابله با حملات شبكه ای طراحی شده اند. معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند كه به كار بپردازند نصب یك فایروال شخصی بر روی یكPC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبكه را افزایش می دهد. از طرف دیگر از آنجایی كه امروزه بسیاری از حملات از درون شبكه حفاظت شده انجام  می شوند ، فایروال شبكه نمی تواند كاری برای آنها انجام دهد و لذا یك فایروال شخصی بسیار مفید خواهد بود. معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروكسی) نیست.

موقعیت یابی برای فایروال

محل و موقعیت نصب فایروال همانند انتخاب نوع صحیح فایروال و پیكربندی كامل آن ، از اهمیت ویژه ای برخوردار است. نكاتی كه باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از :

ü

موقعیت و محل نصب از لحاظ توپولوژیكی :

معمولا مناسب به نظر می رسد كه فایروال را در درگاه ورودی/خروجی شبكه خصوصی نصب كنیم. این امر به ایجاد بهترین پوشش امنیتی برای شبكه خصوصی با كمك فایروال از یك طرف و جداسازی شبكه خصوصی از شبكه عمومی از طرف دیگر كمك می كند.

ü

قابلیت دسترسی و نواحی امنیتی :

اگر سرورهایی وجود دارند كه باید برای شبكه عمومی در دسترس باشند ، بهتر است آنها را بعد از فایروال و در ناحیهDMZ قرار دهید. قرار دادن این سرورها در شبكه خصوصی وتنظیم فایروال جهت صدور اجازه به كاربران خارجی برای دسترسی به این سرورها برابر خواهد بود با هك شدن شبكه داخلی. چون شما خود مسیر هكرها را در فایروال باز كرده اید. در حالی كه با استفاده از ناحیهDMZ، سرورهای قابل دسترسی برای شبكه عمومی از شبكه خصوصی شما بطور فیزیكی جدا هستند، لذا اگر هكرها بتوانند به نحوی به این سرورها نفوذ كنند بازهم فایروال را پیش روی خود دارند.

ü

مسیریابی نامتقارن :

بیشتر فایروالهای مدرن سعی می كنند اطلاعات مربوط به اتصالات مختلفی را كه از طریق آنها شبكه داخلی را به شبكه عمومی وصل كرده است، نگهداری كنند. این اطلاعات كمك می كنند تا تنها بسته های اطلاعاتی مجاز به شبكه خصوصی وارد شوند. در نتیجه حائز اهمیت است كه نقطه ورود و خروج تمامی اطلاعات به/از شبكه خصوصی از طریق یك فایروال باشد.

ü

فایروالهای لایه ای :

در شبكه های با درجه امنیتی بالا بهتر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشكلی روبرو شود، دومی به كار ادامه می دهد.معمولا بهتر است دو یا چند فایروال مورد استفاده از شركتهای مختلفی باشند تا در صورت وجود یك اشكال نرم افزاری یا حفره امنیتی در یكی از آنها ، سایرین بتوانند امنیت شبكه را تامین كنند.

برگرفته از سایت www.ircert.com