ديواره آتشين (Firewall) سيستمى است بين کاربران يک شبکه محلى و يک شبکه بيرونى (مثل اينترنت) که ضمن نظارت بر دسترسى ها، در تمام سطوح، ورود و خروج اطلاعات را تحت نظر دارد. بر خلاف تصور عموم کاربرى اين نرم افزارها صرفاً در جهت فيلترينگ سايت ها نيست. براى آشنايى بيشتر با نرم افزارهاى ديواره هاى آتشين، آشنايى با طرز کار آنها شايد مفيدترين راه باشد. در وهله اول و به طور مختصر مى توان گفت بسته هاى TCP/IP قبل و پس از ورود به شبکه وارد ديواره آتش مى شوند و منتظر مى مانند تا طبق معيارهاى امنيتى خاصى پردازش شوند. حاصل اين پردازش احتمال وقوع سه حالت است:

1- اجازه عبور بسته صادر مى شود.
2- بسته حذف مى شود.
3- بسته حذف مى شود و پيام مناسبى به مبدا ارسال بسته فرستاده مى شود.

• ساختار و عملکرد با اين توضيح، ديواره آتش محلى است براى ايست بازرسى بسته هاى اطلاعاتى به گونه اى که بسته ها براساس تابعى از قواعد امنيتى و حفاظتى پردازش شده و براى آنها مجوز عبور يا عدم عبور صادر شود. همانطور که همه جا ايست بازرسى اعصاب خردکن و وقت گير است ديواره آتش نيز مى تواند به عنوان يک گلوگاه باعث بالا رفتن ترافيک، تاخير، ازدحام و بن بست شود. از آنجا که معمارى TCP/IP به صورت لايه لايه است (شامل 4 لايه: فيزيکى، شبکه، انتقال و کاربردى) و هر بسته براى ارسال يا دريافت بايد از هر 4 لايه عبور کند بنابراين براى حفاظت بايد فيلدهاى مربوطه در هر لايه مورد بررسى قرار گيرند. بيشترين اهميت در لايه هاى شبکه، انتقال و کاربرد است چون فيلد مربوط به لايه فيزيکى منحصر به فرد نيست و در طول مسير عوض مى شود. پس به يک ديواره آتش چند لايه نياز داريم. سياست امنيتى يک شبکه مجموعه اى از قواعد حفاظتى است که بنابر ماهيت شبکه در يکى از سه لايه ديواره آتش تعريف مى شوند. کارهايى که در هر لايه از ديواره آتش انجام مى شود عبارت است از:

1- تعيين بسته هاى ممنوع (سياه) و حذف آنها يا ارسال آنها به سيستم هاى مخصوص رديابى (لايه اول ديواره آتش)
2- بستن برخى از پورت ها متعلق به برخى سرويس ها مثلTelnet، FTP و… (لايه دوم ديواره آتش)
3- تحليل برآيند متن يک صفحه وب يا نامه الکترونيکى يا …. (لايه سوم ديواره آتش)

••• در لايه اول فيلدهاى سرآيند بسته IP مورد تحليل قرار مى گيرد: آدرس مبدأ: برخى از ماشين هاى داخل يا خارج شبکه حق ارسال بسته را ندارند، بنابراين بسته هاى آنها به محض ورود به ديواره آتش حذف مى شود. آدرس مقصد: برخى از ماشين هاى داخل يا خارج شبکه حق دريافت بسته را ندارند، بنابراين بسته هاى آنها به محض ورود به ديواره آتش حذف مى شود. IP آدرس هاى غيرمجاز و مجاز براى ارسال و دريافت توسط مدير مشخص مى شود. شماره شناسايى يک ديتا گرام تکه تکه شده: بسته هايى که تکه تکه شده اند يا متعلق به يک ديتا گرام خاص هستند حذف مى شوند. زمان حيات بسته: بسته هايى که بيش از تعداد مشخصى مسيرياب را طى کرده اند حذف مى شوند. بقيه فيلدها: براساس صلاحديد مدير ديواره آتش قابل بررسى اند. بهترين خصوصيت لايه اول سادگى و سرعت آن است چرا که در اين لايه بسته ها به صورت مستقل از هم بررسى مى شوند و نيازى به بررسى لايه هاى قبلى و بعدى نيست. به همين دليل امروزه مسيرياب هايى با قابليت انجام وظايف لايه اول ديواره آتش عرضه شده اند که با دريافت بسته آنها را غربال کرده و به بسته هاى غيرمجاز اجازه عبور نمى دهند. با توجه به سرعت اين لايه هر چه قوانين سختگيرانه ترى براى عبور بسته ها از اين لايه وضع شود بسته هاى مشکوک بيشترى حذف مى شوند و حجم پردازش کمترى به لايه هاى بالاتر اعمال مى شود.

••• در لايه دوم فيلدهاى سرآيند لايه انتقال بررسى مى شوند: شماره پورت پروسه مبدأ و مقصد: با توجه به اين مسئله که شماره پورت هاى استاندارد شناخته شده اند ممکن است مدير ديواره آتش بخواهد مثلاً سرويس FTP فقط براى کاربران داخل شبکه وجود داشته باشد بنابراين ديواره آتش بسته هاى TCP با شماره پورت 20 و 21 که قصد ورود يا خروج از شبکه را داشته باشند حذف مى کند و يا پورت 23 که مخصوص Telnet است اغلب بسته است. يعنى بسته هايى که پورت مقصدشان 23 است حذف مى شوند. کدهاى کنترلى: ديواره آتش با بررسى اين کدها به ماهيت بسته پى مى برد و سياست هاى لازم براى حفاظت را اعمال مى کند. مثلاً ممکن است ديواره آتش طورى تنظيم شده باشد که بسته هاى ورودى با SYN=1 را حذف کند. بنابراين هيچ ارتباط TCP از بيرون با شبکه برقرار نمى شود. فيلد شماره ترتيب و :Acknowledgement بنابر قواعد تعريف شده توسط مدير شبکه قابل بررسى اند. در اين لايه ديواره آتش با بررسى تقاضاى ارتباط با لايه TCP، تقاضاهاى غيرمجاز را حذف مى کند. در اين مرحله ديواره آتش نياز به جدولى از شماره پورت هاى غيرمجاز دارد. هر چه قوانين سخت گيرانه ترى براى عبور بسته ها از اين لايه وضع شود و پورت هاى بيشترى بسته شوند بسته هاى مشکوک بيشترى حذف مى شوند و حجم پردازش کمترى به لايه سوم اعمال مى شود. ••• در لايه سوم حفاظت براساس نوع سرويس و برنامه کاربردى صورت مى گيرد: در اين لايه براى هر برنامه کاربردى يک سرى پردازش هاى مجزا صورت مى گيرد. بنابراين در اين مرحله حجم پردازش ها زياد است. مثلاً فرض کنيد برخى از اطلاعات پست الکترونيکى شما محرمانه است و شما نگران فاش شدن آنها هستيد. در اينجا ديواره آتش به کمک شما مى آيد و برخى آدرس هاى الکترونيکى مشکوک را بلوکه مى کند، در متون نامه ها به دنبال برخى کلمات حساس مى گردد و متون رمزگذارى شده اى که نتواند ترجمه کند را حذف مى کند. يا مى خواهيد صفحاتى که در آنها کلمات کليدى ناخوشايند شما هست را حذف کند و اجازه دريافت اين صفحات به شما يا شبکه شما را ندهد.

• انواع ديواره هاى آتش ديواره هاى آتش هوشمند: امروزه حملات هکرها تکنيکى و هوشمند شده است به نحوى که با ديواره هاى آتش و فيلترهاى معمولى که مشخصاتشان براى همه روشن است نمى توان با آنها مقابله کرد. بنابراين بايد با استفاده از ديواره هاى آتش و فيلترهاى هوشمند با آنها مواجه شد. از آنجا که ديواره هاى آتش با استفاده از حذف بسته ها و بستن پورت هاى حساس از شبکه محافظت مى کنند و چون ديواره هاى آتش بخشى از ترافيک بسته ها را به داخل شبکه هدايت مى کنند، (چرا که در غير اين صورت ارتباط ما با دنياى خارج از شبکه قطع مى شود)، بنابراين هکرها مى توانند با استفاده از بسته هاى مصنوعى مجاز و شناسايى پورت هاى باز به شبکه حمله کنند. بر همين اساس هکرها ابتدا بسته هايى ظاهراً مجاز را به سمت شبکه ارسال مى کنند. يک فيلتر معمولى اجازه عبور بسته را مى دهد و کامپيوتر هدف نيز چون انتظار دريافت اين بسته را نداشته به آن پاسخ لازم را مى دهد. بنابراين هکر نيز بدين وسيله از باز بودن پورت مورد نظر و فعال بودن کامپيوتر هدف اطمينان حاصل مى کند. براى جلوگيرى از آن نوع نفوذها ديواره آتش بايد به آن بسته هايى اجازه عبور دهد که با درخواست قبلى ارسال شده اند. حال با داشتن ديواره آتشى که بتواند ترافيک خروجى شبکه را براى چند ثانيه در حافظه خود حفظ کرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد مى توانيم از دريافت بسته هاى بدون درخواست جلوگيرى کنيم. مشکل اين فيلترها زمان پردازش و حافظه بالايى است که نياز دارند. اما در عوض ضريب اطمينان امنيت شبکه را افزايش مى دهند. ديواره هاى آتش مبتنى بر پروکسى: ديواره هاى آتش هوشمند فقط نقش ايست بازرسى را ايفا مى کنند و با ايجاد ارتباط بين کامپيوترهاى داخل و خارج شبکه کارى از پيش نمى برد. اما ديواره هاى آتش مبتنى بر پروکسى پس از ايجاد ارتباط فعاليت خود را آغاز مى کند. در اين هنگام ديواره هاى آتش مبتنى بر پروکسى مانند يک واسطه عمل مى کند، به نحوى که ارتباط بين طرفين به صورت غيرمستقيم صورت مى گيرد. اين ديواره هاى آتش در لايه سوم ديواره آتش عمل مى کنند، بنابراين مى توانند بر داده هاى ارسالى در لايه کاربرد نيز نظارت داشته باشند. ديواره هاى آتش مبتنى بر پروکسى باعث ايجاد دو ارتباط مى شود:

1 – ارتباط بين مبدا و پروکسى
2 – ارتباط بين پروکسى و مقصد حال اگر هکر بخواهد ماشين هدف در داخل شبکه را مورد ارزيابى قرار دهد در حقيقت پروکسى را مورد ارزيابى قرار داده است و نمى تواند از داخل شبکه اطلاعات مهمى به دست آورد. ديواره هاى آتش مبتنى بر پروکسى به حافظه بالا و CPU بسيار سريع نياز دارند و از آنجايى که ديواره هاى آتش مبتنى بر پروکسى بايد تمام نشست ها را مديريت کنند گلوگاه شبکه محسوب مى شوند. پس هرگونه اشکال در آنها باعث ايجاد اختلال در شبکه مى شود. اما بهترين پيشنهاد براى شبکه هاى کامپيوترى استفاده همزمان از هر دو نوع ديواره آتش است. با استفاده از پروکسى به تنهايى بارترافيکى زيادى بر پروکسى وارد مى شود. با استفاده از ديواره هاى هوشمند نيز همانگونه که قبلاً تشريح شد به تنهايى باعث ايجاد ديواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع ديواره آتش به صورت همزمان هم بار ترافيکى پروکسى با حذف بسته هاى مشکوک توسط ديواره آتش هوشمند کاهش پيدا مى کند و هم با ايجاد ارتباط واسط توسط پروکسى از خطرات احتمالى پس از ايجاد ارتباط جلوگيرى مى شود.

03 اسفند 1390 Admin 5239

FireWall ,firewall , شبکه هزاره , شبکه , تجهيزات,ديواره,بسته,لايه,شبکه,براى,پروکسى,آنها,شوند,bull,پورت

مرورگر شما (Internet Explorer 8) از رده خارج شده است. این مرورگر دارای مشکلات امنیتی شناخته شده می باشد و نمی تواند تمامی ویژگی های این وب سایت را به خوبی نمایش دهد.
جهت به روز رسانی مرورگر خود اینجا کلیک کنید.
×
نسخه مرورگر شما قدیمی است و نمی تواند تمامی ویژگی های این وب سایت را به خوبی نمایش دهد.
جهت به روز رسانی مرورگر خود اینجا کلیک کنید.
×
Powered by CMSIRAN © 2002 - 2017