از آنجایی که امروزه استفاده از شبکههای کامپیوتری بیش از پیش گسترش یافته است، لازم است به تأمین امنیت آن و جلوگیری از حملات و نفوذ احتمالی هکرها توجه ویژه شود. یکی از تجهیزات نرمافزاری و سختافزاری بسیار مهم که نقش پررنگی در تأمین امنیت شبکه دارد، فایروال (Firewall) است. در این مقاله سعی داریم اطلاعاتی در ارتباط با فایروال، انواع آن و نیز چگونگی عملکرد آن ارائه دهیم. با ما در ادامه مقاله همراه باشید.
فایروال (Firewall) یا دیواره آتش چیست؟
فایروال که به صورت یک دیوار بین شبکه امن و شبکههای ناامن عمل میکند میتواند به صورت یک نرمافزار یا سختافزار باشد که در دروازه شبکه (Gateway) قرار میگیرد و کنترل دسترسی به منابع شبکه را به کمک یک مدل کنترلی، در دست میگیرد. به عبارت دیگر مجوز ورود و خروج تنها در صورت انطباق با سیاستهای امنیتی فایروال، به یک ترافیک داده میشود و ترافیکهای غیر از آن، غیرمجاز محسوب میگردند.
محل قرارگیری فایروال در یک شبکه در محل اتصال شبکه داخلی به دیگر شبکهها یا اینترنت است، به این قسمت Junction Point یا Edge شبکه نیز میگویند و به اینترتیب از نفوذ مهاجمان و ابزارهای مخرب به شبکه داخلی جلوگیری میشود.
فایروالها از چه زمانی مطرح شدند؟
پیش از مطرح شدن فایروال که در اواخر دهه 1980 انجام شد، امنیت شبکه تنها از طریق Access Control Lists (ACLs) روی روترها تأمین میگردید. تصمیمگیری در ارتباط با دسترسی آدرسهای IP به شبکه بر عهده ACL بوده است. گستردگی و رشد اینترنت، افزایش ارتباطات شبکهای را به دنبال داشت و فیلترینگ به آن شکل، پاسخگوی تأمین امنیت نبود. شرکت Digital Equipment Corporation(DEC) برای اولین بار فیلترینگ بسته (Packet Filtering) را تحت عنوان فایروال معرفی نمود. در دوره های بعد از آن در ارتباط با فیلترینگ بسته مطالعاتی توسط Steve Bellovin و Bill Cheswick انجام شد و نتیجه آن ارائه مدل کاربردی برای آن بود. با گسترش سرورهای وب، جای خالی فایروالهایی توانمند برای محافظت از سرورها و برنامههای آنها بیشتر از قبل نمایان شد. که فناوری Application layer Firewall در سال 1999 با قابلیت بررسی و فیلترینگ بستهها در لایه های مختلف مدل OSI معرفی شد.
در حال حاضر از فناوری فایروال در بسیاری از تجهیزات استفاده میشود، روترها که وظیفه انتقال دیتا در شبکهها را برعهده دارند از فایروال برخوردارند. همچنین سیستمعاملهای کامپیوترهای خانگی نیز مجهز به فایروال از نوع نرمافزاری هستند. به کمک فایروالهای سختافزاری، مسیریابی پایهای در شبکههای داخلی امکانپذیر میشود. از جمله کمپانیهایی که فایروال و دستگاههای امنیتی تولید و به بازار عرضه میکنند، میتوان به شرکتهای Cisco, MiKrotik Juniper, Symantec, Kerio Barracuda, BlueCoat, Infoblo اشاره کرد.
ویژگیهای مهم فایروالها چیست؟
توانایی ثبت وقایع از مشخصات یک فایروال خوب است که بتواند ادمین شبکه را در جریان وقایع گوناگون قرار دهد. با وجود این توانایی، امکان کنترل ترافیک ایجادشده از سوی کاربران شبکه، فراهم میگردد.
قابلیت مدیریت ترافیک بالا، از دیگر ویژگیهای یک فایروال خوب به شمار میآید. پردازشها و نظارتهای فایروال اگر به صورتی باشد که سرعت شبکه را به صورت محسوسی کاهش دهد، آن فایروال به طور مشخص، مناسب نیست. البته لازم به ذکر است که کاهش سرعت ناشی از سرعت کم پردازنده و نیز بهینه نبودن کد نرمافزار است.
پیکربندی ساده به معنای راهاندازی فایروال با سرعت قابل قبول و نیز امکان مشاهده خطا و مشکلات با سرعت بالا میباشد. پیکربندی نادرست فایروال میتواند منجر به ایجاد مشکلات امنیتی در شبکه شود. و با انجام پیکربندی سریع و ساده میتوان امکان ایجاد خطا در شبکه را کاهش داد.به عنوان مثال بسیار اهمیت دارد که یک فایروال قادر باشد معماری شبکه را به صورت گرافیکی نمایش دهد .
استفاده از فایروال نقش بهسزایی در بالابردن امنیت شبکه دارد. بدیهی است در صورتی که خود فایروال به لحاظ امنیتی مشکلی داشته باشد موجب میشود هکرها به راحتی اجازه ورود به شبکه پیدا کنند و خود فایروال مشکلساز خواهد شد.
فایروالها چگونه از شبکه محافظت میکنند؟
عملکرد فایروالها برای آنکه از شبکهای که در آن قرار دارند، در برابر حملات هکرها و سایر تهدیدات محافظت کنند، به شرح زیر است:
فایروالها تمامی ترافیکی که از شبکه عبور میکنند را با قرارگیری در یک نقطه از مسیر اتصال شبکه مورد بررسی قرار میدهند. وظیفه فایروالها بررسی ترافیک و تشخیص پروتکل شبکهای امن و بستههایی که جزئی از حمله هستند، میباشد. برنامههای کامپیوتری قادرند با نگاه به دستورالعملهای کامپیوتری،هدف آن را شناسایی کنند اما به هیچ عنوان قادر به پیشبینی نتیجه برنامه کامپیوتری دیگر بدون اینکه اجرا کنند، نیستند. حال این موضوع را بسط دهید و به این نتیجه خواهید رسید که امکان شناسایی و تشخیص هدف ترافیک شبکه با نگاه کردن به آن وجود ندارد.
اما میتوان به دیتای Packet شبکه نگاه کرد و از آنجایی که پیش از این در حملات اتفاق افتاده نشانههایی وجود داشته است، به دنبال آن نشانهها و الگوهای شناخته شده در بستهها باشیم . این دقیقاً عملکرد Packet Filtering است. تنظیم هر نوع فایروال براساس لیست دسترسیهای آن صورت میگیرد که معیارهایی در آن تعریف شده است که به کمک آن، انتقال بستهها به صورت امن انجام میشود. امروزه فایروالها بسیار تکامل پیدا کردهاند، که در این مقاله 5 نوع از مهمترین آنها را معرفی میکنیم. با ما در ادامه همراه باشید.
انواع فایروال
فایروالها براساس کارایی و نیز سطح امنیتی که ایجاد میکنند در واقع براساس عملکرد به 5 گروه تقسیم میشوند:
Packet Filtering که در سال 1980 به عنوان اولین گروه فایروالها معرفی شد به کمک یه روتر قابل اجرا میشوند. پس از تشخیص مسیر دیتا، در ارتباط با اقدامات امنیتی تصمیمات لازم گرفته میشود. این روترها وظیفه فیلترینگ بستههای اطلاعاتی را دارند. این فایروال در مدل OSI در لایه Network و در مدل TCP/IP در لایه IP فعالیت میکنند. بر اساس مجموعهای از قوانین امنیتی، بستههای اطلاعاتی و هرگونه ترافیک ورودی بررسی میشوند و چنانچه بستهها عاری از خطر باشند، اجازه ورود و خروج پیدا میکنند. عملکرد این نوع فایروال براساس آدرس IP مبدأ و مقصد است و نیز نوع رفت و آمد Packetهای اطلاعاتی نیز به کارت شبکه فیزیکی بستگی دارد و با توجه آن مورد بررسی قرار میگیرد.
مزایای Packet Filtering:
معایب Packet Filtering:
فایروالGateway Circuit-level که در مدلهای OSI و TCP در لایه انتقال فعالیت میکند در هنگام استفاده از اتصالات TCP کاربرد دارد. بررسی فرایند Handshaking یا همان دست تکان دادن ما بین بستهها به منظور تعیین اعتبار Sessionهای مورددرخواست، در این فایروال انجام میشود. در فرایند پایش، فعالیتهای زیر انجام میشود:
پس از انجام مراحل بالا، تمامی بستههایی که وارد محدوده شبکه میشوند، مطابق با قوانین شبکه ارزیابی میشوند و در صورت انطباق با قوانین شبکه، مجوز تررد دریافت میکنند.
مزایای Gateway Circuit-level
معایب Gateway Circuit-level
به کمک این فایروال انجام عملیات پایش در لایه هفتم مدل OSI که لایه کاربردی است و لایه پنجم TCP/IP صورت میگیرد. آنچه در اینجا مطرح میشود پروکسی سرور است.
مزایای Gateway Application level
معایب Gateway Application level
نکته حائز اهمیت این است که افزایش پردازش به تنهایی یک عیب مهم محسوب نمیشود، بلکه آنچه سبب میشود از آن به عنوان عیب این شیوه نام ببریم این است که این فایروال دارای پیچیدگیهایی در سیستم امنیتی خود است که موجب افزایش پردازش میگردد و وجود این پیچیدگیها، میتواند حفرههای امنیتی ایجاد کند که در هنگام اتصال به اینترنت، منابع اطلاعاتی مهمی را برای کاربران خارجی در بر داشته باشد.
این فایروال در حقیقت ترکیبی از سه نوع فایروال گفته شده است. و سه سطح امنیتی در فایروالها در این فایروال ارائه میگردد. پایش در لایه 3 و نیز لایه IP صورت میگیرد. به یک Session جدید در صورتی اجازه شروع به کار داده میشود که از تمامی قوانین و مقررات بدون مشکل رد شده باشد و محتوای آن در لایه کاربردی (Application) مورد ارزیابی قرار گرفته باشد.
مزایای Stateful multilayer inspection
معایب Stateful multilayer inspection
هزینه زیاد این فایروالها، نیاز به نرمافزارها و سختافزارهای بیشتر و عدم امکان استفاده از آن در کارتهای شبکه رایج به دلیل عدم قابلیت اجرای الگلوریتمهای آن در این از کارتهای شبکه از جمله معایب این شیوه است.
این نوع از فایروالها که با هدف مقابله با حملات شبکهای طراحی شدهاند همانطور که از نامشان پیداست روی کامپیوترهای شخصی نصب میگردند. این فایروالها به طور معمول نسبت به برنامههایی که در حال اجرا هستند، آگاهند و فقط به ارتباطاتی اجازه فعالیت میدهند که این برنامهها، آنها را ایجاد کنند. نصب یک فایروال شخصی روی یک کامپیوتر شخصی از دو منظر مفید خواهد بود: اول اینکه موجب افزایش سطح امنیت پیشنهادی توسط فایروال شبکه میگردد، ثانیاً باتوجه به احتمال زیاد بروز حمله از داخل شبکه حفاظتشده و عدم توانایی فایروال شبکه برای رفع آن، وجود یک فایروال شخصی بسیار اهمیت خواهد داشت.
یکی دیگر از تقسیمبندیهای فایروال براساس نوع ساختار آن است که به دو دسته سختافزاری و نرمافزاری تقسیم میشوند:
کمپانیهای تولیدکننده فایروال، این نوع از فایروالهای سختافزاری را به صورت زیرساختهایی مخصوص روی بوردهای سختافزاری به صورت customize شده، نصب و راهاندازی میکنند که فعالیت آنها در شبکه در قالب یک روتر خواهد بود. روترها این قابلیت را دارند که در شبکه نقش یک فایروال را ایفا کنند.
فایروالهای سختافزاری، با نام فایروال شبکه نیز شناخته میشوند. چنانچه پشت فایروال فقط یک کامپیوتر وجود داشته باشدو یا از بهنگام بودن تمامی patchها روی کامپیوترهای دیگر اطمینان دارید و میدانید که آنها هیچ گونه ویروس یا کرمی ندارند، نیازی ندارید که از یک سطح حفاظتی اضافه تر استفاده کنید. منظور از یک سطح حفاظتی اضافه میتواند یک فایروال نرمافزاری باشد. وجود یک سیستم عامل اختصاصی در فایروالهای سختافزاری موجب میشود که استفاده از آنها یک لایه دفاعی اضافه در برابر تهاجمها به وجود بیاورد.
این فایروالها همانطور که گفته شد به صورت یک دستگاه فیزیکی طراحی شدهاند و برای اینکه دیتا را فیلترکنند و محافظت توسط آنها انجام شود به سیستم عامل کامپیوتر شخصی نیاز ندارند. فایروال سختافزاری به دلیل عدم وابستگی به کامپیوترهای شبکه تعداد بیشتری از کامپیوترهای موجود در شبکه را تحت پوشش و محافظت خود قرار میدهد. از جمله فایروالهای سختافزاری میتوان Mikrotik Routerboard، Cisco Firewalls ، Juniper Firewalls ، Fortigate و … را نام برد.
این دسته از فایروالها، به صورت نرمافزارهایی هستند که بعد از نصب روی سیستم عام، وظیفه کنترل ترافیک ورودی و خروجی به/ از شبکه و یا سیستمعامل را بر عهده دارند.
از جمله فایروالهای نرمافزاری میتوان برنامههای Mikrotik، Kerio Control و یا Microsoft TMG را نام برد. علاوه بر آنچه گفته شده سیستمعامل ویندوز نیز در لایهها و سطوح پایینتر دارای فایروال است که ارتباطات را کنترل میکنند و همچنین به همینمنظور فایروالهایی در بستههای نرمافزاری امنیتی به عنوان مثال Kaspersky Internet Security، Eset Smart Security قرار داده شده است.
فایروالهای نرمافزاری را میتوان به صورت برنامههای قابل نصب یا پرتابل که برای سیستمعاملهای گوناگون مثل ویندوز، لینوکس و … عرضه شدهاند، روی CD یا DVD تهیه کرد. (این امر به این دلیل است که دریافت برنامه از اینترنت توسط کامپیوتری که محافظت نشده، ایمن نیست). از جمله فایروالهای نرمافزاری دیگر که در سیستمعامل تعبیه نشده میتوان Comodo یا Zone Alarm را نام برد. نصب ساده و نیز امکان پیکربندی آن از جمله مزیتهای این نوع فایروال محسوب میگردد. درحالی که استفاده از این فایروالها نیازمند دانش خاصی نیست و کاربران به راحتی آن را به کار میبرند، فایروالهای سختافزاری به پیکربندی دقیقتری نیاز دارند. اما در مقابل باید درنظر داشته باشیم که ماهیت نرمافزاری این نوع فایروال موجب میشود که فایروالهای نرمافزاری فقط یک کامپیوتر را تحت محافظت قرار دهند، در نتیجه برای یک شبکه با چند کامپیوتر به فایروال سختافزاری نیز نیاز دارد. استفاده از فایروالهای نرمافزاری که بهطور پیشفرض در سیستمعامل وجود دارد برای کاربرعادی میتواند کافی و مناسب باشد. اما استفاده از فایروالهای نرمافزاری دیگر نیز پیشنهاد میشود. علاوه برآن به دلیل عدم توانایی یک فایروال سختافزاری در ایجاد یک لایه امنیتی مطمئن،لازم است از فایروال نرمافزاری نیز علاوه بر نوع سختافزاری آن، استفاده شود.
فایروالها چه نوع حملاتی را شناسایی میکنند؟
چه نوع فایروالی برای شبکه شما مناسب است؟
برای آنکه بدانید چه نوع فایروالی برای شبکه شما مناسب است لازم است به چند سوال پاسخ دهید:
این نکته را در نظر داشته باشید که هر سازمانی، با توجه به منحصر به فرد بودن شبکه خصوصی در هر سازمان و الزامات مختص خود، فایروال مناسب خود را خواهد داشت.
هنگام انتخاب فایروال مناسب، نکات زیر را در نظر داشته باشید:
پیادهسازی فایروالها، در برخی مواقع از ویژگیهای فایروالهای گوناگون پیروی میکند. برای انتخاب فایروالی که برای شبکه شما ایدهآل محسوب شود، لازم است ابتدا از معماری و عملکردهای شبکه خصوصی درک درستی داشته باشید و همچنین لازم است انواع مختلف فایروالها و نیز پالیسیهای فایروالها را بشناسید. بعد از انتخاب درست، نوبت به پیکربندی مناسب آن میرسد. نکته حائز اهمیت این است که یک فایروال مناسب، با پیکربندی نادرست (Misconfigured) میتواند گاهی حتی خطرناکتر از نداشتن فایروال عمل کند. زیرا به شما احساس ایجاد امنیت در شبکه میدهد در حالی که اگر نگوییم هیچ امنیتی برقرار نمیسازد حداقل این است که بگوییم مقدار بسیار کمی از امنیت آن را تأمین میکند.
نوع فایروالی که در شبکه شما میبایست مورد استفاده قرار بگیرد، به قابلیتهای شبکه، نیازمندیهای سازمان و نیز منابع لازم بهمنظور مدیریت فایروال بستگی خواهد داشت. در نتیجه میبایست شرایط و منابع سازمانی خود را در نظر بگیرید و سپس متناسب با آن، فایروال موردنیاز خود را انتخاب کنید.
در این مقاله تلاش شد تا اطلاعاتی در ارتباط با فایروال، چگونگی عملکرد آن و نیز انواع آن ارائه کنیم که شما با توجه به نیازهای سازمانی خود و نیز قابلیتهایی که توسط هرکدام از فایروالها ارائه میگردند، مناسبترین انتخاب را داشته باشید. همکاران ما در ساپراصنعت برای ارائه مشاوره و راهنماییهای بیشتر و نیز پاسخگویی به سؤالات شما همواره یاریرسان شما هستند. با ما تماس بگیرید.