راه اندازی فایروال و کنترل مصرف اینترنت
نت وب
مدیریت اینترنت در شبکه سازمانها اهمیت ویژه ای دارد چرا که معمولا یک کاربر عادی فیلم دانلود می کند و مدیران و کاربران حساس مشکل سرعت پائین اینترنت دارند و مدیران شبکه هم اگر ابزار مناسبی مثل اکانتینگ و مدیریت پهنای باند و … نداشته باشند معمولا به عدم کفایت متهم می شوند در اینجا دو ابزار خیلی خوب را معرفی می کنیم که می تواند در حل این مشکل کمک کند.کنترل پهنای باند مصرفی امروزه یکی از دغدغه های کاربران اینترنت محسوب می شود. به عنوان مثال در یک شبکه کوچک در یک کتابخانه تمامی کاربران به اینترنت دسترسی دارند و می توانند به صورت آزاد از اینترنت فایل های مورد نیاز خود را دانلود نمایند. حال اگر این شبکه کوچک دارای پهنای باند مشخصی به میزان معین در ماه باشد و همه کاربران بخواهند فایل های مورد نیاز خود را به صورت گسترده دانلود کنند ، در این موقع مسئول شبکه دچار مشکل می شود. برای کنترل پهنای باند در شبکه نرم افزار های مختلفی وجود دارد.
خدمات نت وب
دیوار آتش نام عمومی برنامههایی است که از دستیابی غیر مجاز به یک رایانه یا شبکه جلوگیری میکنند. در برخی از این نرمافزارها، برنامهها بدون اخذ مجوز قادر نخواهند بود از یک رایانه برای سایر رایانهها، داده ارسال کنند. علاوه بر درگاه ورودی (Incoming)، درگاههای خروجی (Outgoing) هم کنترل میشوند. بستههای اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله فایروال متوقف میشوند. نوع دیگری از فایروال نیز وجود دارد که به آن فایروال معکوس می گویند. فایروال معکوس ترافیک خروجی شبکه را فیلتر می کند، برخلاف فایروال معمولی که ترافیک ورودی را فیلتر میکند. در عمل، فیلترکردن برای هر دوی این مسیرهای ورودی و خروجی، احتمالاً توسط دستگاه یا نرمافزار یکسانی انجام میشود.استفاده دیگر فایروال جلوگیری از ارتباط مستقیم یک سری از رایانهها با دنیای خارج میباشد. هر چند فایروال بخش مهمی از سیستم امنیتی را تشکیل میدهد ولی طراحان به این نکته نیز توجه میورزند که اکثر حملات از درون شبکه میآیند و نه از بیرون آن. فایروال از شبکه شما در برابر ترافیک ناخواسته و همچنین نفوذ دیگران به کامپیوتر شما حفاظت میکند. توابع اولیه یک فایروال به این صورت هستند که اجازه می دهند ترافیک خوب عبور کند و ترافیک بد را مسدود می کنند! مهمترین قسمت یک فایروال ویژگی کنترل دستیابی آن است که بین ترافیک خوب و بد تمایز قائل می شود.وقتی آن را نصب می کنید فایروال بین کامپیوتر شما و اینترنت قرار می گیرد. فایروال به شما اجازه می دهد صفحات وب را ببینید و به آنها دسترسی داشته باشید، فایل download کنید، چت کنید و … در حالیکه مطمئن هستید افراد دیگری که در اینترنت مشغول هستند نمیتوانند به کامپیوتر شما دست درازی کنند. بعضی از فایروالها نرم افزارهایی هستند که روی کامپیوتر اجرا میشوند اما فایروالهای دیگر به صورت سخت افزاری ساخته شدهاند و کل شبکه را از حمله مصون میکنند.نحوه عملکرد بسیاری از سیستمهای فایروال اینگونه است که تمامی ارتباطات از طریق یک سرویس دهنده پروکسی به سمت فایروال هدایت شده و همین سرویس دهنده درباره امن بودن یا نبودن عبور یک پیام یا یک فایل از طریق شبکه تصمیم گیری میکند.این سیستم امنیتی معمولاً ترکیبی از سختافزار و نرمافزار است. با توجه به ضررورتهای استاندارد (ISMS & ISO۲۷۰۰۱) فایروالها جزء لاینفک شبکههای کامپیوتری قرارگرفتهاند و یکی از دغدغههای اصلی مسئولین شبکه شدهاند، در این میان با توجه به حساسیت هر سازمان لایه بندی و قدرت فایروالها در نظر گرفته میشود. مثلاً در بانکها به لحاظ اهمیت و ارزش اطلاعات فایروالها جایگاه حساسی دارند و مسئولین شبکه بانکها همواره دقت بسیاری را در این ارتباط به خرج میدهند. برخی از شرکتهای بزرگی که در این ارتباط با مهمترین بانکهای بینالمللی همکاری دارند عبارتاند از Cisco، Juniper، Securepoint و….در بین نرم افزارهای فایروال نرم افزار Thread Management Gateway 2010) TMG) برنامه ای است که به منظور حفاظت و امنیت شبکه در سیستم عامل ویندوز از سوی مایکروسافت ارائه شده است و مطرحترین و قویترین نرم افزار موجود در بازار است که با قابلیتهای فراوان خود کنترل کاملی بر شبکه خواهد داد. و از همه مهمتر ارتباط تنگاتنگی با اکتیو دایرکتوری نیز دارد.
فایروال چیست
در صورت دستیابی سایرین به سیستم شما ، کامپیوتر شما دارای استعداد بمراتب بیشتری در مقابل انواع تهاجمات می باشد . شما می توانید با استفاده و نصب یک فایروال ، محدودیت لازم در خصوص دستیابی به کامپیوتر و اطلاعات را فراهم نمائید .فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.
فایروال یا دیوار آتش چیست؟
فایروال (Firewall) یا دیوار آتش به نرم افزارها یا سخت افزارهایی گفته میشود که از دسترسیهای غیرمجاز به کامپیوتر فرد در یک شبکه یا اینترنت جلوگیری کرده و دادههای ورودی و خروجی را کنترل میکند. درواقع کار فایروال بسیار شبیه به در خانه شماست. کسانی که مجوز ورود را دارند میتوانند وارد خانه شوند و برعکس کسانی که حق ورود به خانه را ندارند، نمیتوانند به آن وارد شوند (با این تفاوت که معمولاً در فایروالها هر دو جهت ورودی و خروجی کنترل میشود). یعنی فایروال به عنوان یک لایه امنیتی دادهها و ارتباطات را فیلتر میکند.دیوار آتش یکی از مهمترین لایههای امنیتی شبکههای کامپیوتری است که وجود نداشتن آن موجب میشود هکرها و افراد خراب کار بدون وجود داشتن محدودیتی به شبکه وارد شده و کار خود را انجام دهند. یک فیلتر هوای خودرو را فرض کنید که از ترکیبات بسیار موجود در هوا، فقط اکسیژن را عبور میدهد حال آن که اگر ذرات دیگر مانند گرد و غبار نیز به داخل موتور وارد شوند، به آن آسیب خواهند رساند. بنابراین وجود یک فایروال (حتی اگر آنتی ویروس یا اینترنت سکیوریتی داشته باشید) برای همه کاربرانی که به یک شبکه وصل هستند یا از اینترنت استفاده میکنند، کاملاً ضروری است.
مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:
۱- توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.
۲- بازدید حجم بالایی از بسته های اطلاعات: یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.
۳- سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است.
۴- امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است:
الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.
ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.
۴- فیلترهای ٍStateful Packet : این فیلترها بسیار باهوشتر از فیلترهای ساده هستند. آنها تقریبا تمامی ترافیک ورودی را بلوکه می کنند اما می توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنها این کار را با نگهداری رکورد اتصالاتی که ماشینهای پشتشان در لایه انتقال ایجاد می کنند، انجام می دهند.این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبکه های مدرن هستند.این فیلترها می توانند رد پای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدا و مقصد، شماره ترتیب TCP و پرچمهای TCP. بسیاری از فیلترهای جدید Stateful می توانند پروتکلهای لایه کاربرد مانند FTP و HTTPرا تشخیص دهند و لذا می تواننداعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکلها انجام دهند.
۵- فایروالهای شخصی : فایروالهای شخصی ، فایروالهایی هستند که بر روی رایانه های شخصی نصب می شوند.آنها برای مقابله با حملات شبکه ای طراحی شده اند. معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PCبسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش می دهد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده انجام می شوند ، فایروال شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود. معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروکسی) نیست.
نحوه پیکربندی بهینه یک فایروال به چه صورت است ؟
اکثر محصولات فایروال تجاری ( هم سخت افزاری و هم نرم افزاری ) دارای امکانات متعددی بمنظور پیکربندی بهینه می باشند . با توجه به تنوع بسیار زیاد فایروال ها ، می بایست به منظور پیکربندی بهینه آنان به مستندات ارائه شده ، مراجعه تا مشخص گردد که آیا تنظمیات پیش فرض فایروال نیاز شما را تامین می نماید یا خیر ؟ . پس از پیکربندی یک فایروال یک سطح امنیتی و حفاظتی مناسب در خصوص ایمن سازی اطلاعات انجام شده است . لازم است به این موضوع مهم اشاره گردد که پس از پیکربندی یک فایروال نمی بایست بر این باور باشیم که سیستم ما همواره ایمن خواهد بود . فایروال ها یک سطح مطلوب حفاظتی را ارائه می نمایند ولی هرگز عدم تهاجم به سیستم شما را تضمین نخواهند کرد . استفاده از فایروال به همراه سایر امکانات حفاظتی نظیر نرم افزارهای آنتی ویروس و رعایت توصیه های ایمنی می تواند یک سطح مطلوب حفاظتی را برای شما و شبکه شما بدنبال داشته باشد .
انواع فابروال از لحاظ نحوه عملکرد
فایروالها به سه نوع “لایه شبکه”، “لایه اپلیکیشن یا کاربردی” و “فایروال پراکسی” از لحاظ نحوه عملکرد تقسیم میشوند که کاربر میتواند در یک زمان از همه یا هیچ کدام از آنها استفاده کند:
-
دیوار آتش لایه شبکه یا فیلتر بستهها (Network layer or packet filters):
فایروالهای شبکه (Network Firewall) یا فیلتر بستهها نوعی دیوار آتش هستند که تنها وظیفه دارند تا با توجه به سربرگ (Header) پکتهای TCP/IP و مقایسه معیارهای خود با اطلاعاتی نظیر آدرس IP فرستنده ویا گیرنده، پورت انتقالی فرستنده ویا گیرنده، زمان دریافت، نوع سرویس (ToS) و پارامترهای مشابه تصمیم به عبور دادن و مسیر دهی بستهها بگیرد یا آنها را بلاک کند. فایروال لایه شبکه میتواند تا حداکثر چهار لایه (از ۱ تا ۴) از مدل OSI را فیلتر کند. از مرحله یک تا سوم که لایه فیزیکی تا شبکه است و لایه چهارم (انتقال) که برای فهمیدن پورت مقصد استفاده میکند.
در این نوع، فایروال هیچ کاری به محتوای بستههای ارسالی یا دریافتی نداشته و فقط طبق سربرگها و هدرهای بستهها تصمیم گیری میکند. مثلاً بستههایی که فقط در هدر آنها ذکر شده باشد که به پورت ۸۰ (پورت وب یا HTTP) فرستاده شوند را اجازه عبور دهد. این نوع فایروالها معمولاً به دلیل این که مقایسات کلی را انجام نمیدهند، سرعت بسیار بالاتری نسبت به سایر دیوارهای آتش دارند. اینگونه فایروال را تقریباً میتوان در هر دستگاه شبکهای مثل مسیریابها (روترها – Routers)، سوئیچها (Switches) و … یافت.
-
فایروال لایه کاربرد (Application firewall):
فایروالهای لایه کاربردی (Application Firewalls) میتوانند کل یک بسته را آنالیز کنند که شامل سربرگها و محتوای آن است. برعکس فایروال لایه شبکه که به محتوا کاری نداشت، در این نوع فایروال فیلتر اصلی بر روی محتوای پکتها داده اعمال میشود بنابراین میتوان گفت که این فایروال میتواند در تمامی لایههای مدلینگ OSI کار کند یعنی ۷ لایه. از لایه ۱ تا ۴ که عمل مسیریابی و انتقال انجام میشود و از لایه ۵ تا ۷ نیز که لایه محتوای دادههاست. به همین دلیل این نوع فایروال میتواند بسیار امن تر و قابل اعتماد تر باشد.
فهمیدیم که هدرهای بستهها چگونه بررسی میشوند حال به بررسی و فیلترینگ محتوای بستهها میپردازیم. میدانیم که بخش اصلی پکتها همان محتوای آن است پس این همان قسمت است که باید آنالیز شود. منظور از محتوای پکتها همان دادههایی هستند که درحال انتقال اند مثلاً ممکن است دادههای مربوط به یک فایل، صفحه اینترنتی، ایمیل و … باشد. این نوع فایروالها قابلیت ایجاد معیارهای فیلترینگ دارند که محتوا و هدرهای بستهها را طبق آن معیارها فیلتر کند. مثلاً فرض کنید که این دادهها خود آلوده باشند (یعنی فایلی که منتقل میشود ویروسی باشد) در اینجاست که برخی از فایروالهای لایه کاربرد به بررسی و فیلتر کردن این دادهها میپردازد. از جمله این فایروالهای اسکنر میتوان به بخشی از اینترنت سکیوریتیها اشاره کرد.
طبیعی است که چک کردن کل محتوای منتقل شده زمان بر است بنابراین سرعت کار این نوع فایروالها نیز کند است. از جمله فایروالهای لایه اپلیکیشن میتوان ویندوز فایروال (Windows Firewall)، کومودو (Comodo) و … را نام برد.
-
فایروالهای پراکسی (Proxies):
سرورهای پراکسی (یا پروکسی – Proxy) نوعی رابط بین یک شبکه و یک شبکه دیگر یا یک کاربر و اینترنت است که برای مواردی نظیر حفظ امنیت، پنهان کردن هویت و … استفاده میشود در واقع کاربر بجای این که درخواست خود را مستقیماً به یک شبکه یا یک سرور دیگر در اینترنت بفرستد و پاسخ آن را نیز مستقیماً دریافت کند، آن را به یک سرور به نام پراکسی فرستاده و سرور پراکسی آن بسته را به مقصد اصلی میرساند. در هنگام دریافت پاسخ نیز ابتدا به سرور پراکسی فرستاده شده و پراکسی در صورت نیاز پردازشهایی را بر روی آن انجام داده و به کاربر اصلی بر میگرداند.
فایروال پراکسی یا پروکسی (Proxy Firewalls) نوعی از فایروالهاست که بر روی سرور پراکسی اجرا میشود و کاربر با وصل شدن به آن، در واقع به یک فایروال وصل شده است چون همه دادههای رد و بدل شده از سرور پراکسی میگذرد و ما یک فایروال پراکسی بر روی آن نصب کردهایم، دادهها در طول مسیر انتقال فیلتر خواهند شد. این نوع فایروال معایب خود را نیز دارد از جمله آن که میتوان دادهها را در طول مسیر بین پراکسی و کاربر یا پراکسی و اینترنت دزدید یا سایر حملات را بر روی آن عملی کرد. درصورتی که ارتباط بین کاربر و فایروال پراکسی رمزگذاری شده باشد، این احتمال به حداقل خود خواهد رسید.
-
انواع فایروال
انواع مختلف فایروال کم و بیش کارهایی را که اشاره کردیم ، انجام می دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروال می شود.بر این اساس فایروالها را به ۵ گروه تقسیم می کنند.
۱- فایروالهای سطح مدار (Circuit-Level): این فایروالها به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباطTCP را با رایانه پشتشان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند.تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند. این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند. ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلها ( غیر از TCP) را نیز نمی دهند.
۲- فایروالهای پروکسی سرور : فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد می پردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی پشتش را قطع می کند و خود به جای آنها درخواست را ارسال می کند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال می کند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین می کند. از آنجایی که این فایروالها پروتکلهای سطح کاربرد را می شناسند ، لذا می توانند بر مبنای این پروتکلها محدودیتهایی را ایجاد کنند. همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به کندی این فایروالها بیانجامد. همچنین از آنجایی که این فایروالها باید ترافیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالها را به کار بگیرد.هر برنامه جدیدی که بخواهد از این نوع فایروال عبور کند ، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد.
۳- فیلترهای Nosstateful packet : این فیلترها روش کار ساده ای دارند. آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتکلهای لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلهای لایه انتقال مانند سرآیندهای TCP و UDP اتخاذ می شود. این فیلترها زمانی می توانند به خوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این فیلترها می توانند سریع باشند چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی درباره پروتکلهای لایه کاربرد ندارند.
چه نوع فایروال هائی وجود دارد ؟
فایروال ها به دو شکل سخت افزاری ( خارجی ) و نرم افزاری ( داخلی ) ، ارائه می شوند . با اینکه هر یک از مدل های فوق دارای مزایا و معایب خاص خود می باشند ، تصمیم در خصوص استفاده از یک فایروال بمراتب مهمتر از تصمیم در خصوص نوع فایروال است .-
فایروال های سخت افزاری : این نوع از فایروال ها که به آنان فایروال های شبکه نیز گفته می شود ، بین کامپیوتر شما (و یا شبکه) و کابل و یا خط DSL قرار خواهند گرفت . تعداد زیادی از تولید کنندگان و برخی از مراکز ISP دستگاههائی با نام “روتر” را ارائه می دهند که دارای یک فایروال نیز می باشند . فایروال های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بوده و یک سطح مناسب حفاظتی را ارائه می نمایند( امکان استفاده از آنان به منظور حفاظت یک دستگاه کامپیوتر نیز وجود خواهد داشت ) . در صورتی که شما صرفا” دارای یک کامپیوتر پشت فایروال می باشید و یا این اطمینان را دارید که سایر کامپیوتر های موجود بر روی شبکه نسبت به نصب تمامی patch ها ، بهنگام بوده و عاری از ویروس ها و یا کرم ها می باشند ، ضرورتی به استفاده از یک سطح اضافه حفاظتی (یک نرم افزار فایروال ) نخواهید داشت . فایروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سیستم عامل اختصاصی خود می باشد . بنابراین بکارگیری آنان باعث ایجاد یک لایه دفاعی اضافه در مقابل تهاجمات می گردد .فایروالهای سخت افزاری (Hardware Firewall) در قالب دستگاههای فیزیکی ارائه میشوند که به تنهایی و بدون نیاز به هیچ چیز اضافی (مثل سیستم عامل کامپیوتر فرد و …) میتواند دادهها را فیلتر کرده و عمل محافظت را انجام دهد. معمولاً در روترهایی که قدیمی نیستند، یک فایروال در آنها تعبیه شده است که توسط ارزیابی هدر پکتها این کار را انجام میدهد.برخلاف فایروال نرم افزاری، فایروال سخت افزاری میتواند بیش از یک کامپیوتر موجود در شبکه را محافظت کند چون هیچ وابستگیای به کامپیوترهای شبکه نداشته و به تعداد پورتهای آن میتواند کامپیوترهای شبکه را به وسیله یک فایروال سخت افزاری محافظت نمود.برای یک کاربر عادی، استفاده از فایروال نرم افزاری آن هم از فایروالهای پیش فرض سیستم عامل میتواند کافی به نظر برسد اما استفاده از سایر فایروالهای نرم افزاری را توصیه میکنیم. همچنین یک فایروال سخت افزاری به تنهایی نمیتواند لایه امنیتی قابل اعتمادی باشد به همین دلیل استفاده از فایروالهای نرم افزاری را، اگر چه از نوع سخت افزاری نیز استفاده شود، پیشنهاد میکنیم.
-
فایروال های نرم افزاری : برخی از سیستم های عامل دارای یک فایروال تعبیه شده درون خود می باشند . در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای ویژگی فوق می باشد ، پیشنهاد می گردد که آن را فعال نموده تا یک سطح حفاظتی اضافی در خصوص ایمن سازی کامپیوتر و اطلاعات ، ایجاد گردد .(حتی اگر از یک فایروال خارجی یا سخت افزاری استفاده می نمائید). در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای یک فایروال تعیبه شده نمی باشد ، می توان اقدام به تهیه یک فایروال نرم افزاری کرد . با توجه به عدم اطمینان لازم در خصوص دریافت نرم افزار از اینترنت با استفاده از یک کامپیوتر محافظت نشده ، پیشنهاد می گردد برای نصب فایروال ازCD و یا DVD مربوطه استفاده گردد . فایروالهای نرم افزاری (Software Firewall) در قالب برنامههای قابل نصب یا قابل حمل برای سیستم عاملهای مختلف مثل ویندوز، لینوکس، OS X و … ارائه شده و بهترین انتخاب برای کاربران خانگی است. این گونه فایروالها را معمولاً به صورت تعبیه شده (Built-in) میتوان در خود سیستم عاملها پیدا کرد برای مثال در سیستم عامل ویندوز برنامه Windows Firewall (که به صورت پیش فرض فعال است) میتواند بیشتر نیازهای کاربران را تامین کند اگر چه پیشنهاد میشود از سایر فایروالهای نرم افزاری مانند Comodo یا Zone Alarm در کنار آن استفاده شود.از مهمترین مزایای این گونه فایروالها به نصب آسان آن (مثل یک برنامه ساده) و امکان پیکربندی و ایجاد Rule های متنوع مورد نیاز اشاره کرد برای مثال میتوان یک برنامه خاص را مجاز کرد و از اتصال یک برنامه دیگر به شبکه یا اینترنت جلوگیری کرد. همچنین کار با این فایروالها بسیار ساده بوده و حتی کاربران مبتدی نیز میتوانند با خیال راحت از آنها استفاده کنند درحالی که نوع سخت افزاری فایروالها نیاز به پیکربندیهای دقیق تر دارند.اما عیب این فایروال این است به دلیل ماهیت نرم افزاری بودن، فقط کامپیوتری را محافظت خواهد نمود که بر روی آن نصب شده باشد و هیچ اختلالی در فایلهای فایروال وجود نداشته باشد به همین دلیل برای یک شبکه که از چندین کامپیوتر تشکیل شده باشد، استفاده از فایروال سخت افزاری در کنار فایروال نرم افزاری پیشنهاد میشود.
-
انواع فایروال - فایروال پروکسی - فایروال بسته
فایروال یکی از اولین خطوط دفاع در یک شبکه است . انواع مختلف فایروال وجود دارند و این موارد می توانند به صورت سیستم های مستقل باشند یا به صورت تعبیه شده در دیگر دیوایس ها باشند مثلا داخل روترها یا سرورها . شما می توانید فایروال هایی را پیدا کنید که فقط سخت افزاری باشند و یا فقط نرم افزاری باشند . گرچه اکثر فایروال ها شامل نرم افزارهای افزونه ای هستند که برای سرورها و ورک استیشن ها در دسترس اند .هرچند در فایروال هایی که به عنوان فقط سخت افزاری شناخته می شوند کماکان بخش کوچکی از نرم افزار وجود دارد و این نرم افزار در حافظه Rom تعبیه شده تا از دستکاری حفظ شود .هدف اولیه و اصلی یک فایروال ایزوله کردن و جداسازی یک شبکه از شبکه دیگر است. فایروال ها به عنوان (Appliances)دیوایس های اختصاصی در دسترس هستند به این معنی که به منظور جداسازی شبکه به عنوان دیوایس اولیه نصب و راه اندازی می شوند . Appliances دیوایس های ساده ای هستند که به طور وسیع به تنهایی و مستقل عمل می کنند و نگهداری و پشتیبانی کمتری نسبت به محصولات شبکه محور دارند .به منظور درک مفهوم یک فایروال بایستی بدانید که این واژه از کجا منشا گرفته است . در دوران قدیم خانه ها بسیار نزدیک به هم ساخته می شد به نحوی که اگر آتش در یک خانه شعله ور می شد , به راحتی بلوک بین دو خانه تخریب می شد . به منظور کاهش ریسک این اتفاق دیوارآتش یا همان فایروال بین دو ساختمان ساخته شد . فایروال دیوار خشتی بزرگی بود که دو ساختمان را از هم جدا می کرد و آتش را بین دو ساختمان جدا می کرد . همان مفهوم منع و محدود کردن در شبکه هم حقیقت پیدا می کند . ترافیکی که از دنیای خارج وارد می شود به فایروال برخورد می کند و فایروال اجازه ورود این ترافیک را به شبکه نمی دهد .فایروالی که در شکل زیر نمایش داده شده است به طور موثر دسترسی از دنیای خارج به شبکه ها را محدود می کند . در عین حال کاربران داخل شبکه می توانند به منابع خارج از شبکه دسترسی داشته باشند . همچنین در این شکل فایروال نقش یک پروکسی را ایفا می کند که بعدا درباره آن توضیح خواهیم داد .
به طور کلی فایروال سه عملکرد دارد که در زیر به آنها خواهیم پرداخت :
فایروال با عملکرد فیلترینگ بسته ها
فایروالی که عملکرد فیلترکردن بسته ها را بر عهده دارد ترافیک شبکه را به آدرس خاص و بر مبنای نوع اپلیکیشن بلاک کرده یا عبور می دهد . فیلترینگ بسته , داده یک بسته را آنالیز نمی کند , بلکه بر مبنای اطلاعات آدرس دهی بسته تصمیم می گیرد که این بسته را عبور دهد یا خیر . به عنوان مثال یک فیلتر بسته ممکن است ترافیک وب را بر روی پورت ۸۰ را عبور دهد و ترافیک بسته بر روی پورت ۲۳ تلنت را بلاک کند .این نوع فیلترینگ در روترهای زیادی وجود دارد . اگر درخواست بسته دریافتی از پورتی بدون مجوز دریافت شود , فیلتر درخواست را رد می کند و به سادگی آن را نادیده خواهد گرفت. بسیاری از این فیلتر های بسته قادرند تعیین کنند که چه آدرس های آیپی می توانند به چه پورتی درخواست بفرستند و بر مبنای تنظیمات امنیتی فایروال اجازه عبور و رد چه بسته هایی را بدهند .فیلترینگ بسته ها در کمال و قابلیت ها در حال رشد هستند . یک فایروال با عملکرد فیلترینگ بسته ها به تمامی ترافیک قابل قبول اجازه عبور خواهد داد . برای مثال اگر می خواهید که کاربران وب به سایت شما دسترسی داشته باشند , بایستی فایروال Packet Filter را به نحوی پیکربندی کنید که اجازه عبور پورت ۸۰ داده شود . اگر هر شبکه ای دقیقا همان بود و همه شبکه ها مثل هم بودند , فایروال ها نیز به صورت با تنظیمات پیش فرض پورت ها با کدهای از پیش نوشته شده می بودند ولی شبکه ها متفاوتند در نتیجه تنظیمات فایروال ها هم متفاوت خواهد بود .اکنون وقت خوبی است که به عنوان مدیر شبکه شبکه را بازبینی کنید و تصمیم بگیرید که چه ترافیکی اجازه عبور از فایروال را داشته باشد و کدام یک این اجازه را نداشته باشد .
لیست زیر پورت های رایج TCP را نشان می دهد . چک باکس های مورد نظر در شبکه خود و پورت هایی که از آنها استفاده خواهید کرد را برای شبکه خود تعیین کنید :فایروال با عملکرد پروکسی
یک Proxy Firewall را می تونید به عنوان یک میانجی بین شبکه شما و دیگر شبکه ها در نظر بگیرید . پروکسی فایروال به منظور پردازش درخواست رسیده از خارج شبکه استفاده می شود . پروکسی فایروال داده را تست می کند و بر مبنای قوانین تعیین شده تصمیم گیری می کند که آیا درخواست بایستی فوروارد شود یا ردشود . پروکسی همه بسته ها را پیگیری می کند و آنها را در داخل شبکه بازفراوری می کند . این پروسه شامل مخفی کردن آیپی هم می باشد.پروکسی فایروال امنیت بهتری را نسبت به Packet Filtering Firewall به وجود می آورد . دلیل آن این است که پروکسی فایروال از هوشمندی بالاتری برخوردار است . درخواست هایی که از طرف کاربران داخلی شبکه ارسال می شوند , در مسیر پروکسی مسیریابی می شوند .پروکسی به نوبه خود درخواست ها را بسته بندی می کند و آن را به جلو ارسال می کند بدین وسیله کاربران از شبکه خارجی جدا شده و ایزوله می شوند . علاوه بر این پروکسی می تواند داده ها را کش کند تا راندمان تایید داده بالاتر رود .یک پروکسی فایروال معمولا از دو کارت شبکه (NIC) استفاده می کند .این نوع فایروال به عنوان فایروالی با نام Dual-homed-firewall شناخته می شود .یکی از این کارت های شبکه به شبکه خارجی متصل شده و دیگر کارت شبکه به شبکه داخلی متصل می شود .نرم افزار پروکسی اتصال بین دو کارت شبکه را مدیریت می کند . این ترکیب دو شبکه را از هم جدا می کند و امنیت را افزایش می دهد . شکل زیر یک Dual homed Firewall را مصور می کند که دو شبکه از هم جداسازی شده اند .
سناریو دنیای واقعی
شما مدیر شبکه کوچکی هستید و درحال نصب فایروال جدیدی در سرور هستید . پس از پایان نصب متوجه می شوید که شبکه ترافیک مسیریابی شده را نشان نمی دهد و ترافیکی ورودی مورد نظر بلاک نمی شود . این وضعیت یک مشکل امنیتی را برای شبکه بوجود می آورد . محتمل ترین راه حل برای این مشکل به این واقعیت برمی گردد که سرور توانایی ارسال به جلو آیپی (IP Forwarding) را در در یک Dual-homed-server عرضه می کند . IP Forwarding فایروال شما را دور می زند و از سرور به عنوان یک روتر استفاده می کند .گرچه دو شبکه به طور موثر ایزوله شده اند روتر جدید کار خود را خوب انجام می دهد . در نتیجه شما نیاز خواهید داشت تا IP Forwarding و Routing Services را در این سرور از کار بیندازیدعملکرد پروکسی می تواند در دو سطح اپلیکیشن و سطح مدار اتفاق بیافتد .عملکرد پروکسی در سطح اپلیکیشن تک تک دستورات فراهم شده پروتکل را می خواند . این نوع از سرور بسیار پیشرفته است و باید قوانین و قابلیت های پروتکل استفاده شده را بداند . پیاده سازی این نوع پروکسی بایستی تفاوت بین عملیات های GET و PUT را بداند . پروکسی در سطح مدار , مداری بین کلاینت و و سرور ایجاد می کند و کاری با محتوای بسته های پردازش شده ندارد .
Stateful Inspection Firewalls
آخرین بخش فایروال بر روی مفهوم Stateful Inspection تمرکز دارد . به منظور درک این واژه باید بدانید که Stateless firewall به چه معنی است . Stateless Firewall تصمیمات را بر مبنای داده های ورودی مثل بسته های ورودی می گیرد و نه بر اساس هر نوع تصمیم های پیچیده ای . Stateful Inspection را با نام دیگر Statefull Packet Filtering هم می شناسند . اکثر دیوایس هایی که در شبکه به کار می روند , اطلاعات مربوط به داده های مسیریابی شده و استفاده شده در شبکه را بازرسی و ثبت نمی کنند. به همین دلیل پس از آنکه یک بسته در شبکه عبور داده شد , بسته و مسیر آن فراموش می شود . در Stateful Inspetion با استفاده از جدولی که به منظور بازرسی داده ها استفاده می شود , رکوردهایی که در هر ارتباط بوجود می آید ثبت می شود . این امکان در تمام سطوح شبکه بوجود می آید و امنیت مضاعفی را به ویژه در پروتکل های بدون اتصال (Statless) مثل User Datagram و ICMP بوجود می آورد . این ویژگی پروسه را کمی پیچیده تر می کند و به همین دلیل می توان گفت که حمله های ناشی از Denial-of-Service چالش برانگیز است . زیرا تکنیک های طغیان شبکه به منظور ایجاد بار اضافی بر روی جدول بازرسی و در نهایت به طور موثر دلیل شات دان یا ریبوت شدن فایروال می شود .
عملکرد فایروال
فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.
دیواره آتش ؛ فایروال چه کارایی دارد؟
باید بگویم که حتی اگر از خط تلفن معمولی برای اتصال به اینترنت استفاده میکنید، داشتن یک فایروال سودمنداست. توجه داشته باشید که وقتی در اینترنت برنامه ها یا اطلاعات رایگان را در کامپیوتر خود وارد میکنید همواره این خطر وجود دارد که گونه ای از برنامه های جاسوسیSpyware یا Adware را نیز به کامپیوتر خود راه داده باشید. این برنامه ها میتوانند اطلاعات شخصی شما را جمع آوری کرده و آنها را برای افرادی بفرستند که برنامه را نوشته اند. یک فایروال خوب در هنگام ارسال اطلاعات ناخواسته، جلوی آنها را گرفته و شما را از انجام یک ارسال آگاه میکند.
آیا از اسپم نفرت دارید؟
آیا از اسپم نفرت دارید؟ جالب است بدانید که بعضی از اسپمرها، کامپیوترها را به خدمت گرفته و از آنها برای ارسال اسپم استفاده میکنند، شاید کامپیوتر شما هدف بعدی باشد. اینکار بدون اطلاع و آگاهی شما انجام میشود. این برنامه میتواند خود را از چشم شما پنهان ساخته و کار خود را انجام دهد. یک فایروال خوب باید بتواند شما را از وجود این واقعه آگاه سازد تا کامپیوتر خود را محافظت کنید.
نصب یک فایروال روی کامپیوتر
آسانترین راه برای نصب یک فایروال روی کامپیوترتان، آنستکه نمونه نرم افزاری آنرا نصب کنید. این نصب درست مانند نصب یک برنامه معمولی انجام می شود. اکثر برنامه های فایروال میتوانند جلوی ارسال اطلاعات شخصی ناخواسته به خارج از کامپیوتر را بگیرند. قبل از آنکه پولی بابت فایروال پرداخت کنید مطمئن شوید که دو طرفه کار میکند یعنی هم ارسال و هم نفوذ را کنترل میکند. بعضی از فایروالها فقط در زمانی که کسی قصد نفوذ به داخل کامپیوتر را داشته باشد، شما را آگاه میکنند. این فایروالهای یکطرفه نمیتوانند خروج اطلاعات از کامپیوتر شما را کنترل کنند.
در داخل ویندوزXP یک فایروال وجود دارد که باید آنرا فعال کنید تا کار کند. اما متاسفانه این فایروال یکطرفه است که میتواند نفوذ به داخل کامپیوتر را کنترل کند و تسلطی به ارسال دیتا ندارد. البته از هیچی بهتر است اما باید هوشیار باشید که حتما فایروال دوطرفه در کامپیوتر خود نصب کنید. یکی از بهترین انواع فایروال رایگان ZoneAlarm است
مشخصات مهم یک فایروال ؛ دیواره آتش مناسب
مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:
توانایی ثبت و اخطار :
ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.
بازدید حجم بالایی از بسته های اطلاعات:
یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.
سادگی پیکربندی:
سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است.
امنیت و افزونگی فایروال:
امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است:
الف- امنیت سیستم عامل فایروال :
اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.
ب- دسترسی امن به فایروال جهت مقاصد مدیریتی :
یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.
فایروال چه کار می کند ؟
فایروال ها حفاظت لازم در مقابل مهاجمان خارجی را ایجاد و یک لایه و یا پوسته حفاظتی پیرامون کامپیوتر و یا شبکه را در مقابل کدهای مخرب و یا ترافیک غیرضروری اینترنت ، ارائه می نمایند . با بکارگیری فایروال ها ، امکان بلاک نمودن داده از مکانی خاص فراهم می گردد . امکانات ارائه شده توسط یک فایروال برای کاربرانی که همواره به اینترنت متصل و از امکاناتی نظیر DSL و یا مودم های کابلی استفاده می نمایند ، بسیار حیاتی و مهم می باشد.حال که فهمیدیم فایر وال چه کاری میکند، بهتر است به نحوه کار آن بپردازیم. دادهها در یک ارتباط شبکهای (چه اینترنت باشد چه یک شبکه محلی) در رفت و برگشت از محلی به نام دروازه (Gateway) عبور میکنند. فایروالها برای بالاترین امنیت ممکن، در این قسمت قرار میگیرند. اگر مقیاس را کوچک تر کرده و یک کامپیوتر مستقل را در نظر بگیرید، فایروال درست بعد از درایور کارت شبکه قرار میگیرد بنابراین در هر دو حالت، همه دادههای ورودی و خروجی از فایروال باید بگذرند. فایروالها طبق معیارهایی (که به آنها Rule گفته میشود) که برای آن تعیین میشود دادهها را فیلتر میکنند. برای درک بهتر یک دربان کنفرانسی را در نظر بگیرید. این دربان طبق لیستی که دارد (همان معیارهای فایروال) به اشخاص دارای مجوز امکان ورود را میدهد و از ورود سایر افراد غیرمجاز به کنفرانس جلوگیری میکند. فایروال نیز مانند همین دربان کار میکند یعنی دادههای ورودی و خروجی را با لیست Rule های خود مطابقت داده و آنهایی که اجازه گذشتن از فایروال را دارند، عبور میدهد (Allow کند) یا آنها را عبور ندهد (Deny کند).از جمله Rule های فایروال میتوان به باز بودن یا بسته بودن یک درگاه (پورت – Port)، اجازه داشتن یک برنامه خاص برای ارتباط با شبکه، محدود کردن یا آزاد کردن پروتکلها (مانند HTTP یا FTP)، مقایسه کردن بستههای داده با محتوای مشخص و … .اگر شما یک کاربر اینترنت هستید یا در خانه و محل کار خود در وب ، گشت و گذار می کنید احتمالا بارها و بارها کلمه firewall یا دیواره آتش را شنیده اید؛ البته بحث فایروال به ارتباط تلفنی Dial-up مربوط نیست و کسانی که احتمالا مودم های کابلی و ارتباط از نوع DSL دارند، از فایروال استفاده بیشتری می برند. در حقیقت این برنامه ، شبکه های کوچک خانگی و شبکه های بزرگ شرکتی را از حملات احتمالی هکرها و وب سایت های نامناسب و خطرناک حفظ می کند و مانع و سدی است که متعلقات و دارایی های شما را از دسترس نیروهای نفوذی دور نگاه می دارد و به همین دلیل است که فایروال دیوار آتش خوانده می شود. چون فایروال های فیزیکی هم حوزه آتش را محدود می کنند و مانع گسترش آن به نواحی دیگر می شوند. به طور کلی فایروال یک برنامه یا وسیله سخت افزاری است که اطلاعات ورودی به سیستم رایانه و شبکه های اختصاصی را تصفیه یا به اصطلاح فیلتر می کند. اگر یک بسته اطلاعاتی ورودی به وسیله فیلترها نشان دار شود، اجازه ورود به شبکه و رایانه کاربر را نخواهد داشت.
به عنوان مثال در یک شرکت بزرگ ، بیش از ۱۰۰ رایانه وجود دارد که با کارت شبکه به یکدیگر متصل هستند. این شبکه داخلی به وسیله یک یا چند خط ویژه به اینترنت متصل است.بدون استفاده از یک فایروال تمام رایانه ها و اطلاعات موجود در این شبکه برای شخص خارج از شبکه قابل دسترس است و اگر این شخص راه خود را بشناسد می تواند تک تک رایانه ها را بررسی و با آنها ارتباط هوشمند برقرار کند. در این حالت اگر یک کارمند خطایی انجام دهد و یک سوراخ امنیتی ایجاد شود، هکرها می توانند وارد سیستم شوند و از این سوراخ سوئاستفاده کنند؛ اما با داشتن یک فایروال همه چیز متفاوت خواهد بود.
فایروال ها روی خطوطی که ارتباط اینترنتی برقرار می کنند، نصب می شوند و از یک سری قانون های امنیتی پیروی می کنند. به عنوان مثال یکی از قانون های امنیتی شرکت می تواند به این ترتیب باشد، از تمام ۵۰۰ رایانه موجود در شرکت فقط یکی اجازه دریافت صفحات FTP را دارد و فایروال باید مانع ارتباط دیگر رایانه ها از طریق FTP شود. این شرکت می تواند برای وب سرورها و سرورهای هوشمند و… همچنین قوانینی در نظر بگیرد. علاوه بر این شرکت می تواند شیوه اتصال کاربران و کارمندان به شبکه اینترنت را هم کنترل کند؛ به عنوان مثال اجازه ارسال فایل از شبکه به خارج را ندهد. درحقیقت با استفاده از فایروال یک شرکت می تواند شیوه استفاده از اینترنت را تعیین کند. فایروال ها برای کنترل جریان عبوری در شبکه ها از ۳ روش استفاده می کنند: ۱) Packet Filtering: تک تک بسته های اطلاعاتی با توجه به فیلترهای تعیین شده مورد تحلیل و ارزیابی قرار می گیرند. بسته هایی که از تمام فیلترها عبور می کنند به سیستم های مورد نیاز فرستاده و بقیه بسته رد می شوند. ۲) Proxy Service: اطلاعات موجود در اینترنت به وسیله فایروال اصلاح و سپس به سیستم فرستاده می شود و بلعکس. ۳) Stateful lnspection: در این روش جدید محتوای هر بسته با بسته های اطلاعاتی ویژه ای از اطلاعات مورد اطمینان مقایسه می شوند، اطلاعاتی که باید از اردل فایروال به بیرون فرستاده شوند، با اطلاعاتی که از بیرون به اردل ارسال می شود از لحاظ داشتن خصوصیات ویژه مقایسه می شوند و در صورتی که با یکدیگر ارتباط منطقی داشتند. اجازه عبور به آنها داده می شود، در غیر این صورت امکان مبادله اطلاعات فراهم نمی شود.نقش فایروال در شبکه شما:
فایروال یا دیوار آتش ابزاری برای کنترل دسترسی های غیر مجاز سیستم به اینترنت و شبکه است. به عبارت دیگر فایروال تمام ورودی ها و خروجی های سیستم را کنترل کرده و مانع از هرگونه دسترسی غیر مجاز به سیستم و یا از سیستم به شبکه – اینترنت می شود. فایروال ها به دو گونه سخت افزاری و نرم افزاری می باشند.
- مدیریت دسترسی کاربران به منابع شبکه
- جلوگیری از ورود غیر مجاز به شبکه
- کنترل دسترسی کاربران به اینترنت و ایجاد محدودیت های ترافیکی
- تأمین امنیت شبکه
- نظارت بر دیتاهای ارسالی و ورودی به شبکه
سیستم acconting IBSng
-
نصب و راه اندازی سیستم اکانتینگ نسخه ساده دارای امکانات ذیل
-
ایجاد محدودیت ساعت اتصال به اینترنت
-
ایجاد محدودیت در گیگابایت مصرفی از اینترنت
-
ایجاد محدودیت در الزام استفاده از کانکشن در اتصال به اینترنت
-
قابلیت تعریف روتر جدید
-
پشتیبانی روتر Cisco از عملیات Re-Online
-
ﭘشتیبانی از ﭘروتکل های MS-CHAPV2 CHAP ,MS-Chap , PA
-
سایر امکانات برای کاربران برخط (online)
-
ارائه گزارشات متنوع ومفید از کاربران روی خط، همراه با جزئیات اتصال همانند CallerIDو MAC Address
-
قطع اتصال کاربران روی خط به صورت تکی و گروهی
-
مشاهده تعداد کاربران روی خط در یک بازه زمانی خاص
-
نمایش نمودار تعداد کاربران روی خط به تفکیک
-
راه اندازی سیستم مدیریت پهنای باند
- محدود کردن نرخ انتقال اطلاعات بصورت درختی با امکان نامتقارن کردن نرخ دریافت و ارسال اطلاعات
- پشتیبانی همزمان از چند Bandwidth Manager
- تعیین میزان مصرف پهنای باند کاربران در زمان اتصال به یک IP خاص (به یک سرور خاص )
- محدود کردن میزان مصرف پهنای باند یک IP
- محدود کردن میزان مصرف پهنای باند توسط RAS (برای مراکزی که از لحاظ توپولوژی شبکه امکان برقراری کنترل پهنای باند بصورت متمرکز واستفاده از کنترل پهنای باند یکپارچه با IBSng نمی باشد )
- ذخیره کردن نمودار مصرف پهنای باند کاربران
- ولویت بندی اختصاص پهنای باند موجود بین مراکز و مشترکین
- نمایش نمودار مصرف پهنای باند کاربران بر اساس هر گروه و یا هر یک از سرویس دهنده گان مجازی
اهم مشکلات در سیستم فعلی که حل خواهد شد
- عدم توانائی در دیدن گراف مصرف و سرعت مورد استفاده کاربران
- عدم توانائی در اختصاص پهنای باندتضمین شده به مدیران و کاربران اصلی و تعریف حداکثر پهنای باند در ساعات خلوت بودن شبکه
- اتصال دائم کاربران فعال به اینترنت که باعث کاهش امنیت شبکه خواهد شد.
- استفاده از پروکسی بعنوان یک روش اتصال به اینترنت و محدود به پورت ۸۰ که در روش جدید از تمام استانداردهای شبکه در اتصال به اینترنت از قبیل VPN پشتیبانی خواهد شد.
TMG امکانات زیر را ارائه میدهد
- تعیین کاربرانی که مجاز به استفاده از اینترنت و یا هر قسمتی از منابع داخل شبکه هستند
- اعمال محدودیت حجمی، سرعتی ، زمانی و نوع منبع جهت استفاده از اینترنت یا محیط داخل شبکه
- مانیتورینگ و لاگ گیری قوی شامل تمامی منابع استفاده شده توسط کاربران مانند سایتهای بازیدد شده و …
- ارائه گزارش درباره منابع استفاده شده به تفکیک کاربر، منبع، زمان و …
- قابلیت Capture کردن ترافیک SSL و کشف Malware های موجود و همچنین ایجاد محدودیت بر روی حجم استفاده از اینترنت
- امکان مسدود سازی دسترسی به URL های خاص
- دارا بودن امکانات Anti-Virus و Anti-Malware
- امکانات ویژه ایمن سازی پست الکترونیک
- امکان شناسایی آسیب پذیری های امنیتی موجود در شبکه
- بهبود NAT
- بهبود پشتیبانی از VoIP
- استفاده از تکنولوژی فایروال چند لایه
- امکان مسدود سازی در سطح برنامه های کاربردی
- امکان مدیریت بر روی دانلود فایل ها
- امکان مدیریت بر روی متدهای HTTP
- امکان مدیریت بر روی امضاهای الکترونیک
- امکان مقابله با بسیاری از حملات هکری
- دارا بودن قابلیت هایی برای SharePoint و Exchange Server
- انتشار بسیار امن Web Server , Intranet Server و Terminal Services
موقعیت یابی برای فایروال
محل و موقعیت نصب فایروال همانند انتخاب نوع صحیح فایروال و پیکربندی کامل آن ، از اهمیت ویژه ای برخوردار است. نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از :
ü موقعیت و محل نصب از لحاظ توپولوژیکی : معمولا مناسب به نظر می رسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم. این امر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال از یک طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.
ü قابلیت دسترسی و نواحی امنیتی : اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از فایروال و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی وتنظیم فایروال جهت صدور اجازه به کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود با هک شدن شبکه داخلی. چون شما خود مسیر هکرها را در فایروال باز کرده اید. در حالی که با استفاده از ناحیه DMZ ، سرورهای قابل دسترسی برای شبکه عمومی از شبکه خصوصی شما بطور فیزیکی جدا هستند، لذا اگر هکرها بتوانند به نحوی به این سرورها نفوذ کنند بازهم فایروال را پیش روی خود دارند.
ü مسیریابی نامتقارن : بیشتر فایروالهای مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنها شبکه داخلی را به شبکه عمومی وصل کرده است، نگهداری کنند. این اطلاعات کمک می کنند تا تنها بسته های اطلاعاتی مجاز به شبکه خصوصی وارد شوند. در نتیجه حائز اهمیت است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصی از طریق یک فایروال باشد.
ü فایروالهای لایه ای : در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشکلی روبرو شود، دومی به کار ادامه می دهد.معمولا بهتر است دو یا چند فایروال مورد استفاده از شرکتهای مختلفی باشند تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تامین کنند.