دیواره آتشین (Fire wall) سیستمى است بین کاربران یک شبکه محلى و یک شبکه بیرونى (مثل اینترنت( که ضمن نظارت بر دسترسى ها، در تمام سطوح، ورود و خروج اطلاعات را تحت نظر دارد.
بر خلاف تصور عموم کاربرى این نرم افزارها صرفاً در جهت فیلترینگ سایت ها نیست.
براى آشنایى بیشتر با نرم افزارهاى دیواره هاى آتشین، آشنایى با طرز کار آنها شاید مفیدترین راه باشد.
در وهله اول و به طور مختصر مى توان گفت بسته هاى TCP/IP قبل و پس از ورود به شبکه وارد دیواره آتش مى شوند و منتظر مى مانند تا طبق معیارهاى امنیتى خاصى پردازش شوند.
حاصل این پردازش احتمال وقوع سه حالت است
-۱ اجازه عبور بسته صادر مى شود
- ۲ بسته حذف مى شود
-۳ بسته حذف مى شود و پیام مناسبى به مبدا ارسال بسته فرستاده مى شود.
• ساختار و عملکرد
با این توضیح، دیواره آتش محلى است براى ایست بازرسى بسته هاى اطلاعاتى به گونه اى که بسته ها براساس تابعى از قواعد امنیتى و حفاظتى پردازش شده و براى آنها مجوز عبور یا عدم عبور صادر شود.
همانطور که همه جا ایست بازرسى اعصاب خردکن و وقت گیر است دیواره آتش نیز مى تواند به عنوان یک گلوگاه باعث بالا رفتن ترافیک، تاخیر، ازدحام و بن بست شود.
از آنجا که معمارى TCP/IP به صورت لایه لایه است (شامل ۴ لایه: فیزیکى، شبکه، انتقال و کاربردى) و هر بسته براى ارسال یا دریافت باید از هر ۴ لایه عبور کند بنابراین براى حفاظت باید فیلدهاى مربوطه در هر لایه مورد بررسى قرار گیرند.
بیشترین اهمیت در لایه هاى شبکه، انتقال و کاربرد است چون فیلد مربوط به لایه فیزیکى منحصر به فرد نیست و در طول مسیر عوض مى شود.
پس به یک دیواره آتش چند لایه نیاز داریم.
سیاست امنیتى یک شبکه مجموعه اى از قواعد حفاظتى است که بنابر ماهیت شبکه در یکى از سه لایه دیواره آتش تعریف مى شوند.
کارهایى که در هر لایه از دیواره آتش انجام مى شود عبارت است از:
-۱ تعیین بسته هاى ممنوع (سیاه) و حذف آنها یا ارسال آنها به سیستم هاى مخصوص ردیابى (لایه اول دیواره آتش)
-۲ بستن برخى از پورت ها متعلق به برخى سرویس ها مثلTelnet، FTP و...
(لایه دوم دیواره آتش)
-۳ تحلیل برآیند متن یک صفحه وب یا نامه الکترونیکى یا ....
(لایه سوم دیواره آتش)
•••
در لایه اول فیلدهاى سرآیند بسته IP مورد تحلیل قرار مى گیرد:
آدرس مبدأ: برخى از ماشین هاى داخل یا خارج شبکه حق ارسال بسته را ندارند، بنابراین بسته هاى آنها به محض ورود به دیواره آتش حذف مى شود.
آدرس مقصد: برخى از ماشین هاى داخل یا خارج شبکه حق دریافت بسته را ندارند، بنابراین بسته هاى آنها به محض ورود به دیواره آتش حذف مى شود.
IP آدرس هاى غیرمجاز و مجاز براى ارسال و دریافت توسط مدیر مشخص مى شود.
شماره شناسایى یک دیتا گرام تکه تکه شده: بسته هایى که تکه تکه شده اند یا متعلق به یک دیتا گرام خاص هستند حذف مى شوند.
زمان حیات بسته: بسته هایى که بیش از تعداد مشخصى مسیریاب را طى کرده اند حذف مى شوند.
بقیه فیلدها: براساس صلاحدید مدیر دیواره آتش قابل بررسى اند.
بهترین خصوصیت لایه اول سادگى و سرعت آن است چرا که در این لایه بسته ها به صورت مستقل از هم بررسى مى شوند و نیازى به بررسى لایه هاى قبلى و بعدى نیست.
به همین دلیل امروزه مسیریاب هایى با قابلیت انجام وظایف لایه اول دیواره آتش عرضه شده اند که با دریافت بسته آنها را غربال کرده و به بسته هاى غیرمجاز اجازه عبور نمى دهند.
با توجه به سرعت این لایه هر چه قوانین سختگیرانه ترى براى عبور بسته ها از این لایه وضع شود بسته هاى مشکوک بیشترى حذف مى شوند و حجم پردازش کمترى به لایه هاى بالاتر اعمال مى شود.
-۳ تحلیل برآیند متن یک صفحه وب یا نامه الکترونیکى یا ....
(لایه سوم دیواره آتش) ••• در لایه اول فیلدهاى سرآیند بسته IP مورد تحلیل قرار مى گیرد: آدرس مبدأ: برخى از ماشین هاى داخل یا خارج شبکه حق ارسال بسته را ندارند، بنابراین بسته هاى آنها به محض ورود به دیواره آتش حذف مى شود.
آدرس مقصد: برخى از ماشین هاى داخل یا خارج شبکه حق دریافت بسته را ندارند، بنابراین بسته هاى آنها به محض ورود به دیواره آتش حذف مى شود.
IP آدرس هاى غیرمجاز و مجاز براى ارسال و دریافت توسط مدیر مشخص مى شود.
شماره شناسایى یک دیتا گرام تکه تکه شده: بسته هایى که تکه تکه شده اند یا متعلق به یک دیتا گرام خاص هستند حذف مى شوند.
زمان حیات بسته: بسته هایى که بیش از تعداد مشخصى مسیریاب را طى کرده اند حذف مى شوند.
بقیه فیلدها: براساس صلاحدید مدیر دیواره آتش قابل بررسى اند.
بهترین خصوصیت لایه اول سادگى و سرعت آن است چرا که در این لایه بسته ها به صورت مستقل از هم بررسى مى شوند و نیازى به بررسى لایه هاى قبلى و بعدى نیست.
به همین دلیل امروزه مسیریاب هایى با قابلیت انجام وظایف لایه اول دیواره آتش عرضه شده اند که با دریافت بسته آنها را غربال کرده و به بسته هاى غیرمجاز اجازه عبور نمى دهند.
با توجه به سرعت این لایه هر چه قوانین سختگیرانه ترى براى عبور بسته ها از این لایه وضع شود بسته هاى مشکوک بیشترى حذف مى شوند و حجم پردازش کمترى به لایه هاى بالاتر اعمال مى شود.
••• در لایه دوم فیلدهاى سرآیند لایه انتقال بررسى مى شوند: شماره پورت پروسه مبدأ و مقصد: با توجه به این مسئله که شماره پورت هاى استاندارد شناخته شده اند ممکن است مدیر دیواره آتش بخواهد مثلاً سرویس FTP فقط براى کاربران داخل شبکه وجود داشته باشد بنابراین دیواره آتش بسته هاى TCP با شماره پورت ۲۰ و ۲۱ که قصد ورود یا خروج از شبکه را داشته باشند حذف مى کند و یا پورت ۲۳ که مخصوص Telnet است اغلب بسته است.
یعنى بسته هایى که پورت مقصدشان ۲۳ است حذف مى شوند.
کدهاى کنترلى: دیواره آتش با بررسى این کدها به ماهیت بسته پى مى برد و سیاست هاى لازم براى حفاظت را اعمال مى کند.
مثلاً ممکن است دیواره آتش طورى تنظیم شده باشد که بسته هاى ورودى با SYN=1 را حذف کند.
بنابراین هیچ ارتباط TCP از بیرون با شبکه برقرار نمى شود.
فیلد شماره ترتیب و :Acknowledgement بنابر قواعد تعریف شده توسط مدیر شبکه قابل بررسى اند.
در این لایه دیواره آتش با بررسى تقاضاى ارتباط با لایه TCP، تقاضاهاى غیرمجاز را حذف مى کند.
در این مرحله دیواره آتش نیاز به جدولى از شماره پورت هاى غیرمجاز دارد.
هر چه قوانین سخت گیرانه ترى براى عبور بسته ها از این لایه وضع شود و پورت هاى بیشترى بسته شوند بسته هاى مشکوک بیشترى حذف مى شوند و حجم پردازش کمترى به لایه سوم اعمال مى شود.
••• در لایه سوم حفاظت براساس نوع سرویس و برنامه کاربردى صورت مى گیرد: در این لایه براى هر برنامه کاربردى یک سرى پردازش هاى مجزا صورت مى گیرد.
بنابراین در این مرحله حجم پردازش ها زیاد است.
مثلاً فرض کنید برخى از اطلاعات پست الکترونیکى شما محرمانه است و شما نگران فاش شدن آنها هستید.
در اینجا دیواره آتش به کمک شما مى آید و برخى آدرس هاى الکترونیکى مشکوک را بلوکه مى کند، در متون نامه ها به دنبال برخى کلمات حساس مى گردد و متون رمزگذارى شده اى که نتواند ترجمه کند را حذف مى کند.
یا مى خواهید صفحاتى که در آنها کلمات کلیدى ناخوشایند شما هست را حذف کند و اجازه دریافت این صفحات به شما یا شبکه شما را ندهد.
• انواع دیواره هاى آتش دیواره هاى آتش هوشمند: امروزه حملات هکرها تکنیکى و هوشمند شده است به نحوى که با دیواره هاى آتش و فیلترهاى معمولى که مشخصاتشان براى همه روشن است نمى توان با آنها مقابله کرد.
بنابراین باید با استفاده از دیواره هاى آتش و فیلترهاى هوشمند با آنها مواجه شد.
از آنجا که دیواره هاى آتش با استفاده از حذف بسته ها و بستن پورت هاى حساس از شبکه محافظت مى کنند و چون دیواره هاى آتش بخشى از ترافیک بسته ها را به داخل شبکه هدایت مى کنند، (چرا که در غیر این صورت ارتباط ما با دنیاى خارج از شبکه قطع مى شود)، بنابراین هکرها مى توانند با استفاده از بسته هاى مصنوعى مجاز و شناسایى پورت هاى باز به شبکه حمله کنند.
بر همین اساس هکرها ابتدا بسته هایى ظاهراً مجاز را به سمت شبکه ارسال مى کنند.
یک فیلتر معمولى اجازه عبور بسته را مى دهد و کامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را مى دهد.
بنابراین هکر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن کامپیوتر هدف اطمینان حاصل مى کند.
براى جلوگیرى از آن نوع نفوذها دیواره آتش باید به آن بسته هایى اجازه عبور دهد که با درخواست قبلى ارسال شده اند.
حال با داشتن دیواره آتشى که بتواند ترافیک خروجى شبکه را براى چند ثانیه در حافظه خود حفظ کرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد مى توانیم از دریافت بسته هاى بدون درخواست جلوگیرى کنیم.
مشکل این فیلترها زمان پردازش و حافظه بالایى است که نیاز دارند.
اما در عوض ضریب اطمینان امنیت شبکه را افزایش مى دهند.
دیواره هاى آتش مبتنى بر پروکسى: دیواره هاى آتش هوشمند فقط نقش ایست بازرسى را ایفا مى کنند و با ایجاد ارتباط بین کامپیوترهاى داخل و خارج شبکه کارى از پیش نمى برد.
اما دیواره هاى آتش مبتنى بر پروکسى پس از ایجاد ارتباط فعالیت خود را آغاز مى کند.
در این هنگام دیواره هاى آتش مبتنى بر پروکسى مانند یک واسطه عمل مى کند، به نحوى که ارتباط بین طرفین به صورت غیرمستقیم صورت مى گیرد.
این دیواره هاى آتش در لایه سوم دیواره آتش عمل مى کنند، بنابراین مى توانند بر داده هاى ارسالى در لایه کاربرد نیز نظارت داشته باشند.
دیواره هاى آتش مبتنى بر پروکسى باعث ایجاد دو ارتباط مى شود: ۱ - ارتباط بین مبدا و پروکسى ۲ - ارتباط بین پروکسى و مقصد حال اگر هکر بخواهد ماشین هدف در داخل شبکه را مورد ارزیابى قرار دهد در حقیقت پروکسى را مورد ارزیابى قرار داده است و نمى تواند از داخل شبکه اطلاعات مهمى به دست آورد.
دیواره هاى آتش مبتنى بر پروکسى به حافظه بالا و CPU بسیار سریع نیاز دارند و از آنجایى که دیواره هاى آتش مبتنى بر پروکسى باید تمام نشست ها را مدیریت کنند گلوگاه شبکه محسوب مى شوند.
پس هرگونه اشکال در آنها باعث ایجاد اختلال در شبکه مى شود.
اما بهترین پیشنهاد براى شبکه هاى کامپیوترى استفاده همزمان از هر دو نوع دیواره آتش است.
با استفاده از پروکسى به تنهایى بارترافیکى زیادى بر پروکسى وارد مى شود.
با استفاده از دیواره هاى هوشمند نیز همانگونه که قبلاً تشریح شد به تنهایى باعث ایجاد دیواره نامطمئن خواهد شد.
اما با استفاده از هر دو نوع دیواره آتش به صورت همزمان هم بار ترافیکى پروکسى با حذف بسته هاى مشکوک توسط دیواره آتش هوشمند کاهش پیدا مى کند و هم با ایجاد ارتباط واسط توسط پروکسى از خطرات احتمالى پس از ایجاد ارتباط جلوگیرى مى شود.
توضیح: فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.
در این بخش در ابتدا چندین ویژگی فایروال را مشاهده رامشاهده می کنیم سپس انواع فایروال هایی که به طور جاری مورد استفاده عموم هستند را مشاهده می کنیم.
سر انجام به بررسی پیکربندی برخی از فایروالهایی که عمومیت دارند می پردازیم.
خصوصیات Firewall : مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از: 1- توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند.
همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد.
در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند.
همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.
2- بازدید حجم بالایی از بسته های اطلاعات: یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است.
حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند.
بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند.
عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند.
فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.
3- سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد.
لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند.
برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است.
4- امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد.
امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است: الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید.
بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.
ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد.
این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.
اصول طراحی Firewall : کنترل سرویس:تعیین انواعی از خدمات شبکه که می تواند در داخل ویا خارج محدوده مورد نظر در دسترس باشد.فایروال می تواند فیلتری برای عبور مرور در واحد آدرس IP و شماره دریچه ی TCP باشد ویا می تواند نماینده دریافت تقاضا ی دادن سرویس جهت دریافت ویا فشرده سازی اطلاعات قبل از ورود به گذرگاه باشد.و یا امکانات میزبان به سرور نرم افزاری خودشاز جمله خدمات شبکه و یا ارسال نامه را فراهم سازد.
مدیریت کنترل:اتخاذ دستور که مختص تقاضاهای آغازین است و مجاز توسط فایروال باشد.
USER CONTROl:کنترل دستیابی به خدمات مطابق با کاربرانی که مبادرت به دستیابی آن می کنند.این خصوصیت به طور نمونه در محیط داخلی فایروال به کار برده می شود که به کاربران محلی این امکان را می دهد که حجم ترافیک داده های کاربران خارجی را کاهش دهند.اخیرا برخی از تکنولوژیهای سند امنیتی چنین اند.بطوریکه در IPsec آماده می شوند.
کنترل رفتار:کنترل ها مخصوص خدمات هستند.
برای مثال فایروال می تواندفیلتری برای دادن ایمیل جهت حذف spam است ویافعال کردن دسته خارجی به قسمتی ازاطلاعات در سرور شبکه محلی است.
قبل از بررسی جزءیات انواع فایروال و پیکربندی آنها بهتر است خلاصه ای از انتظاراتمان را از فایروال بررسی کنیم امکاناتی که از فایروال انتظار داریم به صورت زیر است: فایروال کانونی تعریف می کند که دسترسیهای غیر مجاز خارج از حفاظت شبکه را نگه می داردو از تخریب داده وآسیبهای سرویس دهی جلوگیری می کند.از آسیبهای جدی که از دستکاری داده و یا رها کردن شبکه است و امنیت انواع گوناگون کلاهبرداریهای IP و حجوم مسیریابیها جلوگیری می کند.از این رو امنیت را تضمین می کند.
فایروال مکانهایی را برای نظارت بر EVENT هایی که به امنیت وابستهاند فراهم می کند .
فایروال سکوی مناسبی برای عملکردهای جداگانه شبکه اینترنت است که امنیت ندارند.اینان شامل مترجم های آدرسند که آدرسهای محلی را به آدرس های شبکه می نگارندو عملکرد مدیریت شبکه که به بررسی موقعیت سیستم ویا عرف تماسهای شبکه است می پردازند.
فایروال می تواند سکوی خدمات IPsec باشد.استفاده از کانالهای محاوره ای قابلیتها را در بخش 13 توصیف می کند.فایروال می تواند قابلیت استفاده از شبکه خصوصی را فراهم سازد.
فایروال می تواند محدودیتهایی نیز بوجود آورد.که در ذیل آمده است: 1-فایروال در مقابل حمله های bypass نمی تواند محافظت کند.سیتم های داخلبی می توانند قابلیت تماس با ISP را دارا باشند.
2- فایروال نمی تواند در مقابل تهدید ها محافظت کند 3- فایروال در مقابل انتقال ویروسها توسط فایلهاو برنامه ها نمی تواند محافظت کند.زیرا انواعی از عملیاتهای سیستم ودرخواست ها آنها را پشتیبانی می کنند.
انواع فایروال: (a) Packet-filtering router دربالا سه تا از انواع رایج فایروال را مشاهده می کنیم.
انواع مختلف فایروال کم و بیش کارهایی را که اشاره کردیم ، انجام می دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروال می شود.بر این اساس فایروالها را به 5 گروه تقسیم می کنند.
1- فایروالهای سطح مدار (Circuit-Level): این فایروالها به عنوان یک رله برای ارتباطات TCP عمل می کنند.
آنها ارتباط TCP را با رایانه پشتشان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند.تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند.
این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند.
ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلها ( غیر از TCP) را نیز نمی دهند.
2- فایروالهای پروکسی سرور : فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد می پردازد.
یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی پشتش را قطع می کند و خود به جای آنها درخواست را ارسال می کند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال می کند.
این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین می کند.
از آنجایی که این فایروالها پروتکلهای سطح کاربرد را می شناسند ، لذا می توانند بر مبنای این پروتکلها محدودیتهایی را ایجاد کنند.
همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیتهای لازم بپردازند.
البته این سطح بررسی می تواند به کندی این فایروالها بیانجامد.
همچنین از آنجایی که این فایروالها باید ترافیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد.
اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالها را به کار بگیرد.هر برنامه جدیدی که بخواهد از این نوع فایروال عبور کند ، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد.
3- فیلترهای Nosstateful packet : این فیلترها روش کار ساده ای دارند.
آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند.
این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتکلهای لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلهای لایه انتقال مانند سرآیندهای TCP و UDP اتخاذ می شود.
این فیلترها زمانی می توانند به خوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند.
همچنین این فیلترها می توانند سریع باشند چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی درباره پروتکلهای لایه کاربرد ندارند.
4- فیلترهای ٍStateful Packet : این فیلترها بسیار باهوشتر از فیلترهای ساده هستند.
آنها تقریبا تمامی ترافیک ورودی را بلوکه می کنند اما می توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند.
آنها این کار را با نگهداری رکورد اتصالاتی که ماشینهای پشتشان در لایه انتقال ایجاد می کنند، انجام می دهند.این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبکه های مدرن هستند.این فیلترها می توانند رد پای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ثبت کنند.
برای مثال شماره پورت های TCP و UDP مبدا و مقصد، شماره ترتیب TCP و پرچمهای TCP.
بسیاری از فیلترهای جدید Stateful می توانند پروتکلهای لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا می تواننداعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکلها انجام دهند.
5- فایروالهای شخصی : فایروالهای شخصی ، فایروالهایی هستند که بر روی رایانه های شخصی نصب می شوند.آنها برای مقابله با حملات شبکه ای طراحی شده اند.
معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش می دهد.
از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده انجام می شوند ، فایروال شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود.
معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروکسی) نیست.
16.2اصول طراحی فایروال: مبنای آن بر اساس فایل هاس درون IP و نقل و انتقالات(eg,TCP or UDP )و headerو شامل منبع و مقصد آدرس IP وفایل های پروتکل HP(که انتقال پرتکل را تعریف می کنند)و TCPیا شماره پورت UDP(که درخواست از SNMP یا TELNET تعریف شده است) پاکت های فیلتری به طور نمونه در لیست دستورات مبنایی در ابتدای فایلهادر IP یا در header,TCP نصب شده اند.
اگر با دستورات مطابقت کنند دستور آنها را احضار می کندو تصمیم می گیرد که آیا پیش برود و یا آن بسته را دور بیندازد.اگر آنها با یکی از دستورات مطابقت نداشته باشددر این هنگام عمل defult آنها بررسی مس شود.دو defult ممکن به صورت زیر است: Defult=discard:آن یکی که صریحا غیر مجاز است ممنوع است.
Defult=forward:آن یکی که صریحا محروم نشده ممنوع است.
روش پیش فرض discard:بیشتر محافظه کارانه است.در ابتدا همه چیز مسدوداستو خدمات بایستی در پایه case by case اضافه شود.این روش بیشتر در بین کاربران مشاهده می شود.
روش پیش فرض forward:اگرچه برای کاربران نهایی آسانتر است ولی از امنیت می کاهد.مدیر امنیت باید ماهیتا در مقابل هر تهدیدی عکس العمل خاصی از خود نشان دهد.
جدول بالا مثالهایی برای دستورات پاکت های فیلتری می زند.
معماری Firewall: از آنجا که معمارى TCP/IP به صورت لایه لایه است (شامل ۴ لایه: فیزیکى، شبکه، انتقال و کاربردى) و هر بسته براى ارسال یا دریافت باید از هر ۴ لایه عبور کند بنابراین براى حفاظت باید فیلدهاى مربوطه در هر لایه مورد بررسى قرار گیرند.
پس به یک دیواره آتش چند لایه نیاز داریم.
سیاست امنیتى یک شبکه مجموعه اى از قواعد حفاظتى است که بنابر ماهیت شبکه در یکى از سه لایه دیواره آتش تعریف مى شوند.
کارهایى که در هر لایه از دیواره آتش انجام مى شود عبارت است از: -۱ تعیین بسته هاى ممنوع (سیاه) و حذف آنها یا ارسال آنها به سیستم هاى مخصوص ردیابى (لایه اول دیواره آتش) -۲ بستن برخى از پورت ها متعلق به برخى سرویس ها مثلTelnet، FTP و...
(لایه دوم دیواره آتش) -۳ تحلیل برآیند متن یک صفحه وب یا نامه الکترونیکى یا ....
موقعیت یابی برای فایروال محل و موقعیت نصب فایروال همانند انتخاب نوع صحیح فایروال و پیکربندی کامل آن ، از اهمیت ویژه ای برخوردار است.
نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از : موقعیت و محل نصب از لحاظ توپولوژیکی : معمولا مناسب به نظر می رسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم.
این امر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال از یک طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.
قابلیت دسترسی و نواحی امنیتی : اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از فایروال و در ناحیه DMZ قرار دهید.
قرار دادن این سرورها در شبکه خصوصی وتنظیم فایروال جهت صدور اجازه به کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود با هک شدن شبکه داخلی.
چون شما خود مسیر هکرها را در فایروال باز کرده اید.
در حالی که با استفاده از ناحیه DMZ ، سرورهای قابل دسترسی برای شبکه عمومی از شبکه خصوصی شما بطور فیزیکی جدا هستند، لذا اگر هکرها بتوانند به نحوی به این سرورها نفوذ کنند بازهم فایروال را پیش روی خود دارند.
مسیریابی نامتقارن : بیشتر فایروالهای مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنها شبکه داخلی را به شبکه عمومی وصل کرده است، نگهداری کنند.
این اطلاعات کمک می کنند تا تنها بسته های اطلاعاتی مجاز به شبکه خصوصی وارد شوند.
در نتیجه حائز اهمیت است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصی از طریق یک فایروال باشد.
فایروالهای لایه ای : در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند فایروال در مسیر قرار گیرند.
اگر اولی با مشکلی روبرو شود، دومی به کار ادامه می دهد.معمولا بهتر است دو یا چند فایروال مورد استفاده از شرکتهای مختلفی باشند تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تامین کنند نتیجه گیری: مطمئنا ما فیلتر کننده های TCP/IP داریم که واقعا سریع می باشد.
اما بسیار محدود است و فقط برای بسیاری از ترافیک های ابتدایی ورودی کاربرد دارد.
اگرشما از فیلتر کننده های TCP/IP استفاده کنید شما نیاز دارید که محافظت از لایه های دیگر را به طور اضافه نیز داشته باشید.
IPSec نیز است.
فقط شما یک مرتبه بین قاعده ها، مجموعه قاعده ها، فیلترها و مجموعه فیلتر های مختلف، دسته بندی ایجاد می کنید.
شما حتی می توانید از یک رابط کاربر و یا از اسکریپت های مختلف استفاده کنید ولی هر دو آنها گیج کننده هستند.
به هر جهت وقتی که شما تمام این کارها را انجام دهید و در شبکه خود اجرا کنید مشاهده خواهید کرد که شبکه شما کندتر از قبل شده است.
زیرا که IPSec به همراه فیلترینگ بسته ها، شبکه را تا حدود 10% - 15% کند می کند.
راستی یک چیز دیگر هم وجود دارد که باعث می شود من از IPSec متنفر شوم: رویدادهای آن توسط ثبت وقایع ویندوز(Windows Eventlog ) ، ثبت می گردد.
یعنی شما نیاز دارید که روی تک تک رویدادها کلیک کنید تا مشخصات و خصوصیات آن را مشاهده کنید و یا آن را به فرمتی دیگر در آورید.
همین موضوع کافی است که من از هر دوی آنها فرار کنم.
دیواره آتش ارتباطات اینترنت ویندوز (ICF) تا حدودی بهتر است و با قاعده ها به طور قابل انعطاف تری برخورد می کند.
وقتی ویندوز 2003 با SP1 عرضه شد حتی دیواره آتش بهتر نیز شد.
واقعا باید اعتراف کرد که دیواره آتش ویندوز یک پیشرفت بزرگ محسوب می شود و جالب آنکه حتی از Group Policy ها نیز پشتیبانی می کند.
متاسفانه دیواره آتش ویندوز به شما اجازه نمی دهد که روی ترافیک بیرونی هیچ قاعده ای داشته باشید.
به علاوه نیاز دارد که مدیریت ارتباطات دسترسی ها از راه دور و همچنین سرویس های تلفنی روشن شوند دیواره های آتش شخصی مناسب و کاربردی نیز وجود دارد که واقعا برای کامپیوترهای رومیزی بسیار مناسب و کارا می باشد اما هیچکدام برای ویندوز سرور کارایی مناسب را ندارند.
برخی از آنها از بقیه بهترند ولی باز هم تمامی آنها مشکلات خاص خود را دارند.
مشکلاتی از قبیل ضعف در فایل های ثبت وقایع، قابلیت های پیکربندی محدود، کند بودن و بدتر از همه آنکه در هنگام بار بالا صفحه آبی خطای ویندوز را نمایش می دهند!