تبادل لینک هوشمند Firewall بر اساس سیاست امنیتی، دسترسی به یک شبکه را کنترل میکند. علاوه بر این معمولا Firewall برای ترجمه آدرس یک شبکه نیز به کار گرفته میشود.
Firewall مناسب و قوی جهت ایجاد یک شبکه امن مشخصههایی مثل: ۱- توانایی ثبت و اخطار، ۲- بازدید حجم بالایی از بستههای اطلاعات، ۳- سادگی پیکر بندی، ۴- امنیت و افزونگی Firewall را داراست.
حالا به توضیح مختصری از این ویژگیها میپردازیم.
توانایی ثبت و اخطار: ثبت وقایع یکی از مشخصههای بسیار مهم یک Firewall است و به مدیران شبکه این امکان را میدهد که انجام حملات را کنترل کنند.
مدیر شبکه میتواند با کمک اطلاعات ثبت شده، ترافیک ایجاد شده توسط کاربران مجاز را کنترل کند. در یک روال ثبت مناسب، مدیر به راحتی میتواند به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند.
یک Firewall خوب علاوه بر ثبت وقایع در شرایط بحرانی، مدیر شبکه را از وقایع مطلع میکند و اخطار میفرستد.
بازدید از حجم بالایی از بستههای اطلاعات؛ یکی از تستهای یک Firewall، توانایی آن در بازدید حجم بالایی از بستههای اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است.
یک Firewall حجم دادهای که میتواند کنترل کند در شبکههای مختلف متفاوت است اما نباید قطعا به یک گلوگاه شبکه تبدیل شود.
عوامل مختلفی در سرعت پردازش اطلاعات توسط Firewall نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی Firewall تحمیل میشوند.
کارتهای واسطی که بر روی Firewall نصب میشود میتواند عامل محدود کننده دیگری باشد.
Firewall بعضی کارها مثل صدور اخطار، کنترل دسترسی مبنی بر Url و بررسی وقایع ثبت شده را به نرم افزارهای دیگر میسپارد از سرعت و کارایی بالاتر و بهتری برخوردار است.
سادگی پیکر بندی: امکان راه اندازی سریع Firewall و مشاهده سریع خطاها و مشکلات است. در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکهها میشود به پیکر بندی غلط Firewall بر میگردد. یک پیکربندی سریع و ساده، امکان بروز خطا را کم میکند.
برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزاری که بتواند سیاستهای امنیتی را پیکر بندی ترجمه کند، برای یک Firewall بسیار مهم است.
امنیت و افزونگی Firewall:
امنیت Firewall خود یکی از نکات مهم در یک شبکه امن است. Firewall که نتواند خود را تامین کند، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد.
Firewall در دوبخش تامین کننده امنیت شبکه است.
الف) امنیت سیستم عامل Firewall:
اگر نرم افزار Firewall بر روی سیستم عامل جداگانهای کار میکند، نقاط ضعف امنیتی سیستم عامل میتواند نقاط ضعف Firewall به حساب بیاید. بنابراین امنیت و استحکام کامل Firewall و بروز رسانی آن از نکات مهم در امنیت Firewall است.
ب) دسترسی امن به Firewall جهت مقاصد مدیریتی:
یک Firewall باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرید. این روشها میتواند رمز نگاری همراه با روشنهای مناسب تعیین هویت به کار گیرد تا بتواند در مقابل نفوذ گران تاب بیاورد.
Firewallها به انواع مختلفی تقسیم میشوند که به معرفی آنها میپردازیم:
١- فایروالھای سطح مدار (Circuit-Level):
این فایروالھا به عنوان یک رله برای ارتباطات TCP عمل میکنند.
آنھا ارتباطTCP را با رایانه پشتشان قطع میکنند و خود به جای آن رایانه به پاسخگویی اولیه میپردازند. تنھا پس از برقراری ارتباط است که اجازه میدھند تا داده به سمت رایانه مقصد جریان پیدا کند و تنھا به بسته ھای دادهای مرتبط اجازه عبور میدھند.
این نوع از فایروالھا ھیچ داده درون بسته ھای اطلاعات را مورد بررسی قرار نمیدھند و لذا سرعت خوبی دارند.
ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلھا (غیر ازTCP) را نیزنمی دھند.
٢- فایروالھای پروکسی سرور: فایروالھای پروکسی سرور به بررسی بسته ھای اطلاعات در لایه کاربرد میپردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه ھای کاربردی پشتش را قطع میکند و خود به جای آنھا درخواست را ارسال میکند. نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه ھای کاربردی ارسال میکند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورھا و برنامه ھای کاربردی خارجی امنیت بالایی را تامین می کند. از آنجایی که این فایروالھا پروتکلھای سطح کاربرد ر ا میشناسند، لذا میتوانند بر مبنای این پروتکلھا محدودیتھایی را ایجاد کنند. ھمچنین آنھا میتوانند با بررسی محتوای بسته ھای دادهای به ایجاد محدودیتھای لازم بپردازند. البته این سطح بررسی میتواند به کندی این فایروالھا بیانجامد. ھمچنین از آنجایی که این فایروالھا باید ترافیک ورودی و اطلاعات
برنامه ھای کاربردی کاربر انتھایی را پردازش کند، کارایی آنھا بیشتر کاھش مییابد. اغلب اوقات پروکسی سرورھا از دید کاربر انتھایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالھا را به کار بگیرد.
ھر برنامه جدیدی که بخواھد از این نوع فایروال عبور کند، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد.
٣- فیلترھای Nosstateful packet:
این فیلترھا روش کار سادهای دارند. آنھا بر مسیر یک شبکه مینشینند و با استفاده از مجموعهای از قواعد، به بعضی بسته ھا اجازه عبور میدھند و بعضی دیگر را بلوکه میکنند. این تصمیمھا با توجه به اطلاعات آدرس دھی موجود در پروتکلھای شبکه مانندIP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلھای لایه انتقال مانند سرآیندھای UDP و TCP اتخاذ میشود. این فیلترھا زمانی میتوانند به خوبی عمل کنند که فھم خوبی از کاربرد سرویسھای مورد نیاز شبکه جھت محافظت داشته باشند. ھمچنین این فیلترھا میتوانند سریع باشند چون ھمانند پروکسی ھا عمل نمیکنند و اطلاعاتی درباره پروتکلھای لایه کاربرد ندارند.
۴- فیلترھای Stateful Packet:
این فیلترھا بسیار باھوشتر از فیلترھای ساده ھستند. آنھا تقریبا تمامی ترافیک ورودی را بلوکه میکنند اما میتوانند به ماشینھای پشتشان اجازه بدھند تا به پاسخگویی بپردازند. آنھا این کار ر ا با نگھداری رکورد اتصالاتی که ماشینھای پشتشان در لایه انتقال ایجاد میکنند، انجام میدھند. این فیلترھا، مکانیزم اصلی مورد استفاده جھت پیاده سازی فایروال در شبکه ھای مدرن ھستند. این فیلترھا میتوانند رد پای اطلاعات مختلف را از طریق بسته ھایی که در حال عبور ند ثبت کنند.
برای مثال شماره پورت ھایTCP وUDP مبدا و مقصد، شماره ترتیب TCP و پرچمھای TCP. بسیاری از فیلترھای جدید Stateful میتوانند پروتکلھای لایه کاربرد مانندHTTP و FTP را تشخیص دھند و لذا میتواننداعمال کنترل دسترسی را با توجه به نیازھا و سرعت این پروتکلھا انجام دھند.
۵- فایروالھای شخصی: فایروالھای شخصی، فایروالھایی ھستند که بر روی رایانه ھای شخصی نصب میشوند. آنھا برای مقابله با حملات شبکهای طراحی شدهاند. معمولا از برنامه ھای در حال اجرا در ماشین آگاھی دارند و تنھا به ارتباطات ایجاد شده توسط این برنامه ھا اجازه میدھند که به کار بپردازند نصب یک فایروال شخصی بر روی یکPCبسیار مفید است زیرا سطح امنیت پیشنھادی توسط فایروال شبکه را افزایش میدھد.
از طرف دیگر از آنجایی کهامروزه بسیاری از حملات از درون شبکه حفاظت شده انجام میشوند، فایروال شبکه نمیتواند کاری برای آنھا انجام دھد و لذا یک فایروال شخصی بسیار مفید خواھد بود. معمولا نیازیبه تغییر برنامه جھت عبور از فایروال شخصی نصب شده (ھمانند پروکسی) نیست
موقعیت یابی برای فایروال
محل و موقعیت نصب فایروال ھمانند انتخاب نوع صحیح فایروال و پیکربندی کامل آن، از اھمیت ویژهای
برخوردار است. نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از: موقعیت و محل نصب از لحاظ توپولوژیکی: معمولا مناسب به نظر میرسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم. این امر به ایجاد بھترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال از یک طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک میکند.
قابلیت دسترسی و نواحی امنیتی: اگر سرورھایی وجود دارند که باید برای شبکه عمومی در دسترس باشند، بھتر است آنھا را بعد از فایروال و در ناحیه DMZ قرار دھید.
قرار دادن این سرورھا در شبکه خصوصی وتنظیم فایروال جھت صدور اجازه به کاربران خارجی برای دسترسی به این سرورھا برابر خواھد بود با ھک شدن شبکه داخلی. چون شما خود مسیر
ھکرھا را در فایروال باز کردهاید. درحالی که با استفاده از ناحیهDMZ سرورھای قابل دسترسی برای شبکه عمومی از شبکه خصوصی، شما بطور فیزیکی جدا ھستند، لذا اگر ھکرھا بتوانند به نحوی به
این سرورھا نفوذ کنند بازھم فایروال را پیش روی خود دارند.
مسیریابی نامتقارن: بیشتر فایروالھای مدرن سعی میکنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنھا شبکه داخلی را به شبکه عمومی وصل کرده است، نگھداری کنند. این اطلاعات کمک میکنند تا تنھا بسته ھای اطلاعاتیمجاز به شبکه خصوصی وارد شوند. در نتیجه حائز اھمیت
است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصیاز طریق یک فایروال باشد.
فایروالھای لایهای: در شبکه ھای با درجه امنیتی بالا بھتر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشکلی روبرو شود، دومی به کار ادامه میدھد. معمولا بھتر است دو یا چند
فایروال مورد استفاده از شرکتھای مختلفی باشند تا در صورت وجود یک اشکال نرم افزاری یا حفره
امنیتی در یکی از آنھا، سایرین بتوانند امنیت شبکه را تامین کنند.
.: Weblog Themes By Pichak :.