هرچند در فایروال هایی که به عنوان فقط سخت افزاری شناخته می شوند کماکان بخش کوچکی از نرم افزار وجود دارد و این نرم افزار در حافظه Rom تعبیه شده تا از دستکاری حفظ شود .
هدف اولیه و اصلی یک فایروال ایزوله کردن و جداسازی یک شبکه از شبکه دیگر است. فایروال ها به عنوان (Appliances)دیوایس های اختصاصی در دسترس هستند به این معنی که به منظور جداسازی شبکه به عنوان دیوایس اولیه نصب و راه اندازی می شوند . Appliances دیوایس های ساده ای هستند که به طور وسیع به تنهایی و مستقل عمل می کنند و نگهداری و پشتیبانی کمتری نسبت به محصولات شبکه محور دارند .
به منظور درک مفهوم یک فایروال بایستی بدانید که این واژه از کجا منشا گرفته است . در دوران قدیم خانه ها بسیار نزدیک به هم ساخته می شد به نحوی که اگر آتش در یک خانه شعله ور می شد , به راحتی بلوک بین دو خانه تخریب می شد . به منظور کاهش ریسک این اتفاق دیوارآتش یا همان فایروال بین دو ساختمان ساخته شد . فایروال دیوار خشتی بزرگی بود که دو ساختمان را از هم جدا می کرد و آتش را بین دو ساختمان جدا می کرد . همان مفهوم منع و محدود کردن در شبکه هم حقیقت پیدا می کند . ترافیکی که از دنیای خارج وارد می شود به فایروال برخورد می کند و فایروال اجازه ورود این ترافیک را به شبکه نمی دهد .
فایروالی که در شکل زیر نمایش داده شده است به طور موثر دسترسی از دنیای خارج به شبکه ها را محدود می کند . در عین حال کاربران داخل شبکه می توانند به منابع خارج از شبکه دسترسی داشته باشند . همچنین در این شکل فایروال نقش یک پروکسی را ایفا می کند که بعدا درباره آن توضیح خواهیم داد .
به طور کلی فایروال سه عملکرد دارد که در زیر به آنها خواهیم پرداخت :
فایروال با عملکرد فیلترینگ بسته ها
فایروالی که عملکرد فیلترکردن بسته ها را بر عهده دارد ترافیک شبکه را به آدرس خاص و بر مبنای نوع اپلیکیشن بلاک کرده یا عبور می دهد . فیلترینگ بسته , داده یک بسته را آنالیز نمی کند , بلکه بر مبنای اطلاعات آدرس دهی بسته تصمیم می گیرد که این بسته را عبور دهد یا خیر . به عنوان مثال یک فیلتر بسته ممکن است ترافیک وب را بر روی پورت 80 را عبور دهد و ترافیک بسته بر روی پورت 23 تلنت را بلاک کند .این نوع فیلترینگ در روترهای زیادی وجود دارد . اگر درخواست بسته دریافتی از پورتی بدون مجوز دریافت شود , فیلتر درخواست را رد می کند و به سادگی آن را نادیده خواهد گرفت. بسیاری از این فیلتر های بسته قادرند تعیین کنند که چه آدرس های آیپی می توانند به چه پورتی درخواست بفرستند و بر مبنای تنظیمات امنیتی فایروال اجازه عبور و رد چه بسته هایی را بدهند .
فیلترینگ بسته ها در کمال و قابلیت ها در حال رشد هستند . یک فایروال با عملکرد فیلترینگ بسته ها به تمامی ترافیک قابل قبول اجازه عبور خواهد داد . برای مثال اگر می خواهید که کاربران وب به سایت شما دسترسی داشته باشند , بایستی فایروال Packet Filter را به نحوی پیکربندی کنید که اجازه عبور پورت 80 داده شود . اگر هر شبکه ای دقیقا همان بود و همه شبکه ها مثل هم بودند , فایروال ها نیز به صورت با تنظیمات پیش فرض پورت ها با کدهای از پیش نوشته شده می بودند ولی شبکه ها متفاوتند در نتیجه تنظیمات فایروال ها هم متفاوت خواهد بود .
اکنون وقت خوبی است که به عنوان مدیر شبکه شبکه را بازبینی کنید و تصمیم بگیرید که چه ترافیکی اجازه عبور از فایروال را داشته باشد و کدام یک این اجازه را نداشته باشد .
لیست زیر پورت های رایج TCP را نشان می دهد . چک باکس های مورد نظر در شبکه خود و پورت هایی که از آنها استفاده خواهید کرد را برای شبکه خود تعیین کنید :
فایروال با عملکرد پروکسی
یک Proxy Firewall را می تونید به عنوان یک میانجی بین شبکه شما و دیگر شبکه ها در نظر بگیرید . پروکسی فایروال به منظور پردازش درخواست رسیده از خارج شبکه استفاده می شود . پروکسی فایروال داده را تست می کند و بر مبنای قوانین تعیین شده تصمیم گیری می کند که آیا درخواست بایستی فوروارد شود یا ردشود . پروکسی همه بسته ها را پیگیری می کند و آنها را در داخل شبکه بازفراوری می کند . این پروسه شامل مخفی کردن آیپی هم می باشد.
پروکسی فایروال امنیت بهتری را نسبت به Packet Filtering Firewall به وجود می آورد . دلیل آن این است که پروکسی فایروال از هوشمندی بالاتری برخوردار است . درخواست هایی که از طرف کاربران داخلی شبکه ارسال می شوند , در مسیر پروکسی مسیریابی می شوند .
پروکسی به نوبه خود درخواست ها را بسته بندی می کند و آن را به جلو ارسال می کند بدین وسیله کاربران از شبکه خارجی جدا شده و ایزوله می شوند . علاوه بر این پروکسی می تواند داده ها را کش کند تا راندمان تایید داده بالاتر رود .
یک پروکسی فایروال معمولا از دو کارت شبکه (NIC) استفاده می کند .این نوع فایروال به عنوان فایروالی با نام Dual-homed-firewall شناخته می شود .یکی از این کارت های شبکه به شبکه خارجی متصل شده و دیگر کارت شبکه به شبکه داخلی متصل می شود .نرم افزار پروکسی اتصال بین دو کارت شبکه را مدیریت می کند . این ترکیب دو شبکه را از هم جدا می کند و امنیت را افزایش می دهد . شکل زیر یک Dual homed Firewall را مصور می کند که دو شبکه از هم جداسازی شده اند .
سناریو دنیای واقعی
شما مدیر شبکه کوچکی هستید و درحال نصب فایروال جدیدی در سرور هستید . پس از پایان نصب متوجه می شوید که شبکه ترافیک مسیریابی شده را نشان نمی دهد و ترافیکی ورودی مورد نظر بلاک نمی شود . این وضعیت یک مشکل امنیتی را برای شبکه بوجود می آورد . محتمل ترین راه حل برای این مشکل به این واقعیت برمی گردد که سرور توانایی ارسال به جلو آیپی (IP Forwarding) را در در یک Dual-homed-server عرضه می کند . IP Forwarding فایروال شما را دور می زند و از سرور به عنوان یک روتر استفاده می کند .
گرچه دو شبکه به طور موثر ایزوله شده اند روتر جدید کار خود را خوب انجام می دهد . در نتیجه شما نیاز خواهید داشت تا IP Forwarding و Routing Services را در این سرور از کار بیندازید
عملکرد پروکسی می تواند در دو سطح اپلیکیشن و سطح مدار اتفاق بیافتد .
عملکرد پروکسی در سطح اپلیکیشن تک تک دستورات فراهم شده پروتکل را می خواند . این نوع از سرور بسیار پیشرفته است و باید قوانین و قابلیت های پروتکل استفاده شده را بداند . پیاده سازی این نوع پروکسی بایستی تفاوت بین عملیات های GET و PUT را بداند . پروکسی در سطح مدار , مداری بین کلاینت و و سرور ایجاد می کند و کاری با محتوای بسته های پردازش شده ندارد .
Stateful Inspection Firewalls
آخرین بخش فایروال بر روی مفهوم Stateful Inspection تمرکز دارد . به منظور درک این واژه باید بدانید که Stateless firewall به چه معنی است . Stateless Firewall تصمیمات را بر مبنای داده های ورودی مثل بسته های ورودی می گیرد و نه بر اساس هر نوع تصمیم های پیچیده ای .
Stateful Inspection را با نام دیگر Statefull Packet Filtering هم می شناسند . اکثر دیوایس هایی که در شبکه به کار می روند , اطلاعات مربوط به داده های مسیریابی شده و استفاده شده در شبکه را بازرسی و ثبت نمی کنند. به همین دلیل پس از آنکه یک بسته در شبکه عبور داده شد , بسته و مسیر آن فراموش می شود . در Stateful Inspetion با استفاده از جدولی که به منظور بازرسی داده ها استفاده می شود , رکوردهایی که در هر ارتباط بوجود می آید ثبت می شود . این امکان در تمام سطوح شبکه بوجود می آید و امنیت مضاعفی را به ویژه در پروتکل های بدون اتصال (Statless) مثل User Datagram و ICMP بوجود می آورد . این ویژگی پروسه را کمی پیچیده تر می کند و به همین دلیل می توان گفت که حمله های ناشی از Denial-of-Service چالش برانگیز است .
زیرا تکنیک های طغیان شبکه به منظور ایجاد بار اضافی بر روی جدول بازرسی و در نهایت به طور موثر دلیل شات دان یا ریبوت شدن فایروال می شود .
ترجمه شده توسط محمد شریعتی
منبع : کتاب CompTIA Security-Study Guide ویرایش پنجم فصل دوم (Understanding the Different Network Infrastructure Devices)
عضو شوید
عضویت سریع
آمار مطالب
آمار بازدید
آمار
وب سایت:
