شرکت فنی مهندسی ساپرا صنعت

شرکت فنی مهندسی ساپرا صنعت

تامین و نگهداری تجهیزات F5 – Fortinet – HPE

021-76871880

دیوار‌آتش (Firewall) به طور فرضی کجا قرار می‌گیرد؟

تاریخ انتشار : 2020/04/07

دیوار‌آتش (Firewall) به طور فرضی کجا قرار می‌گیرد؟

 

دیوار‌آتش (Firewall) به طور فرضی کجا قرار می‌گیرد؟

 

در مقاله‌هایی پیشین به ارتباط با مفهوم فایروال، انواع و ضرورت استفاده از آن و نیز چگونگی عملکرد آن به تفصیل پرداختیم. اگر می‌خواهید در ارتباط با محل قرارگیری فایروال اطلاعات کسب کنید، ما را تا پایان مقاله همراهی کنید.

موقعیت‌یابی مناسب فایروال

بعد از انتخاب نوع مناسب فایروال برای شبکه یا کامپیوتر شخصی شما و پیکربندی کامل آن، نوبت به یافتن موقعیت قرارگیری فایروال می‌رسد که دارای اهمیت بالایی است.

برای یافتن محل مناسب برای فایروال می‌بایست نکات زیر را مورد توجه قرار دهید:

  • موقعیت قرارگیری فایروال به لحاظ فیزیکی: در موقعیت‌یابی برای فایروال، بسیار رایج است که فایروال در قسمت ورودی/خروجی شبکه‌ خصوصی قرار بگیرد. با وجود فایروال و جدانمودن شبکه خصوصی از شبکه عمومی یک سد امنیتی برای شبکه خصوصی خود ایجاد می‌کنید.
  • درنظر داشتن نواحی امنیتی مختلف با قابلیت‌های دسترسی مختلف: سرورهایی که می‌بایست از قابلیت دسترسی برای شبکه عمومی برخوردار باشند، می‌بایست بعد از فایروال و در ناحیه DMZ قرار بگیرند. (توضیح ناحیه DMZ را در ادامه بخوانید.) در صورتی که این سرورها را در شبکه خصوصی قرار دهید و همزمان فایروال را به گونه‌ای تنظیم کنید که به کاربران خارجی اجازه دسترسی به این سرورها را بدهد، دقیقا مانند این است که به کاربران خارجی مجوز هک کردن شبکه خصوصی را داده‌اید. حال آنکه با به کارگرفتن ناحیه DMZ، سرورهایی که قابلیت دسترسی برای شبکه عمومی را دارند را به طور فیزیکی از سرورهای شبکه خصوصی جدا می‌شوند و با فرض هک شدن این سرورها توسط هکرها، در نهایت به فایروال برخورد می‌کنند. تقسیم کردن شبکه توسط ادمین شبکه به نواحی امنیتی مختلف، قابلیت دسترسی خاصی برای کاربران ایجاد می‌کند. هرکدام از این سطوح دارای فایروال با قوانین خاص هستند.
  • مسیریابی نامتقارن: تعدادزیادی از فایروال‌های پیشرفته امروزی، اطلاعات مربوط به اتصالات مختلفی که به کمک فایروال بین شبکه عمومی و خصوصی ارتباط برقرار کرده است را در خود ذخیره می‌کنند. به کمک این اطلاعات، به بسته‌های اطلاعاتی مجاز، اجازه ورود به شبکه خصوصی داده می‌شود. این به معنای اهمیت بالای انتخاب فایروال به عنوان مرکز ورود تمامی اطلاعات به شبکه داخلی یا خروج اطلاعات از شبکه داخلی است.
  • قرارگیری فایروال به صورت لایه‌ای: درصورتی که شبکه نیاز به سطح امنیتی بسیار بالاتر داشته باشد، می‌توان دو یا چند فایروال در مسیر قرار داد که چنانچه برای فایروال اولی مشکلی پیش آمد، فایروال دوم وظیفه تأمین امنیت شبکه را برعهده بگیرد. علاوه بر آن لازم است فایروال‌ها از برندهای مختلفی انتخاب شوند تا اشکال نرم‌افزاری یا حفره‌امنیتی یکی از آنها، توسط دیگری پوشش داده شود.

پیکربندی فایروال‌ها

شرکت‌های سرویس‌دهنده اینترنت (ISP:Internet Service Provider) امکان دسترسی به اطلاعات حساب کاربری، وضعیت اشتراک و اینترنت را به کمک یک وب‌سرور برای کاربران فراهم می‌کنند.

با تصمیم ادمین شبکه مبنی بر محافظت از منابع شبکه‌ای از طریق فایروال، این سؤال مطرح می‌شود که بهترین محل قرارگیری وب‌سرور به‌منظور تأمین امنیت شبکه کجا خواهد بود؟

  • بیرون از فایروال (بین اینترنت و فایروال): در این روش، تمامی کاربران می‌تواند بدون هیچ‌گونه پوشش امنیتی، سرور را به صورت مستقیم ببینند. فایروال بعد از سرور قرار می‌گیرد به این‌ترتیب اگرچه وب‌سرور در معرض خطر قرار دارد، اما این اطمینان حاصل می‌شود که در صورت نفوذ هکرها به وب‌‌سرور، در مرحله نفوذ به شبکه به فایروال برخورد خواهند کرد.
  • داخل فایروال (بین فایروال و شبکه): در این روش، امنیت وب‌سرور به طور کامل توسط فایروال تأمین می‌گردد. در این حالت پورت‌های ضروری و لازم توسط طراح وب و نیز ادمین شبکه بازگذاشته می‌شود و سایر پورت‌ها بسته خواهند شد. فرض کنید که یک هکر از حفاظ وب عبور کند، بنابراین دسترسی به سایر پورت‌ها و منابع شبکه نیز به راحتی توسط هکر امکان‌پذیر است.
  • بین دو فایروال : این روش که ترکیبی از دو شیوه گفته شده است، زمانی که وب‌سرور از منابع حساس و مهمی برخوردار باشد، توسط مدیرشبکه و طراح وب به کار گرفته می‌شود. در این وب‌سرور به طور توسط دو فایروال پشتیبانی و کنترل می‌شود و از نفوذ افراد سودجو جلوگیری می‌گردد.
  • فایروال Dual Homed: در این شیوه رایج، اتصال فایروال به اینرنت به صورت مستقیم است و استفاده از DMZ در آن امکان‌پذیر نیست. قوانینی برای فیلترینگ بین شبکه داخلی و اینترنت تعریف می‌گردد که فایروال براساس آن بسته‌های اطلاعاتی را بررسی می‌کند. فایروال برای ارسال بسته‌های اطلاعاتی روی اینترنت، آدرس IP خود را به کار می‌برد. این شیوه با پیکربندی ساده، در زمانی که تنها یک آدرس IP معتبر وجود داشته باشد، بسیار کاربردی است. اتصال فایروال به اینترنت توسط یک خط Dial up معمولی، یک اتصال ISDN و مودم‌های کابلی صورت می‌گیرد.
  • شبکه Two-Legged و استفاده از یک ناحیه DMZ: در این شیوه پیشرفته روتر متصل شده به اینترنت به هاب یا سوئیچی که در شبکه داخلی قرار دارد، وصل می‌شود. در این حالت اتصال ماشین‌هایی که می‌بایست به صورت مستقیم به اینترنت وصل شوند و در نتیجه از سمت فایروال روی آن‌ها فیلترینگ انجام نمی‌شود، به هاب و یا سوئیچ خارجی انجام می‌شود. دو کارت شبکه در فایروال وجود دارد که یکی از این کارت‌های شبکه به هاب یا سوئیچ خارجی متصل است و کارت شبکه دیگر به هاب یا سوئیچ داخلی که این به معنای سهولت پیکربندی فایروال است. آن دسته از ماشین‌هایی که به حفاظت از سوی فایروال نیاز دارند، به هاب و سوپیچ داخلی وصل می‌شوند. با استفاده از سوئیچ در مقابل هاب، می‌توان کارایی و امنیت شبکه را افزایش داد. در این شیوه، به کمک ناحیه DMS می‌توان از وب و یا پست‌الکترونیکی با قابلیت دسترسی همگانی و عمومی استفاده کرد.  ارائه قابلیت‌های دیگری از فیلترینگ بسته‌های اطلاعاتی در صورت امکان کنترل و مدیریت روتر، امکان‌پذیر است. براساس آنچه گفته شد در این شیوه امکان پیاده‌سازی سطح امنیت محدود دیگری به منظور حفاظت علاوه بر امکانات فراهم شده توسط فایروال نیز فراهم است. توجه داشته باشید که ناحیه DMZ برای استفاده تمامی کاربران، درصورت نبود امکان کنترل و مدیریت روتر، در دسترس خواهد بود. در این حالت تعریف یک سطح امنیتی مناسب، به کمک ویژگی‌های سیستم‌عامل نصبی روی کامپیوترهایی که در ناحیه‌ی DMZ قرار دارند، ضروری است.

برای پیکربندی ناحیه DMZ به شیوه مناسب، این دو عامل مختلف مورد توجه قرار می‌گیرد:

  • وجود یک روتر خارجی
  • وجود چندین آدرس IP

بنابراین در مواقعی که به کمک یک اتصال PPP مودم به اینترنت وصل شده باشید و یا کنترل روتر امکان‌پذیر نباشد و یا تنها یک آدرس IP وجود داشته باشد، راهکار دیگری در این رابطه باید مورد استفاده قرار بگیرد.

یکی از این راهکارها پیکربندی فایروال دیگر در شبکه است. این راه‌حل در مواقع اتصال به شبکه از طریق PPP پیشنهاد می‌گردد. در این حالت یکی از ماشین‌ها نقش فایروال خارجی را خواهد داشت (فایروال شماره‌ی 1) که وظیفه برقراری اتصال PPP و کنترل دسترسی به ناحیه DMZ را برعهده دارد و حفاظت از شبکه‌ی داخلی بر عهده‌ی فایروال شماره‌ی 2 است. و خود این فایروال توسط فایروال شماره‌ی 1 محافظت می‌گردد. راهکار دوم وجود یک فایروال Three Legged‌خواهد بود که به عنوان یک شیوه پیکربندی در ادامه آن را بررسی می‌کنیم.

  • فایروال Three-Legged: در این شیوه یک کارت شبکه‌ی دیگر روی فایروال قرار می‌گیرد که برای ناحیه DMZ مورد استفاده قرار می‌گیرد. در این حالت فایروال به گونه‌ای پیکربندی می‌شود که بسته‌های اطلاعاتی بین اینترنت و ناحیه DMZ به شیوه‌ای متفاوت از اینترنت و شبکه‌ی داخلی ، مسیریابی شوند.

در ناحیه ی DMZ از آدرس IP نامعتبر برای سرویس‌دهندگان استفاده می‌شود. دسترسی به ناحیه‌ی DMZ و استفاده از خدمات انواع مختلف سرور های موجود در این ناحیه توسط کاربران اتصالات ایستای PPP نیز امکان‌پذیر است . این شیوه پیکربندی برای سازمان‌ها و ادارات کوچک بسیار مقرون‌به صرفه است . یک سری از قوانین ویژه برای دسترسی به ناحیه DMZ و شبکه داخلی تعریف می‌شود و به همین دلیل، پیکربندی مناسب این شیوه تا حدودی پیچیده‌تر از شیوه‌های قبلی گفته شده است. کنترل ترافیک ناحیه DMZ در شرایطی که امکان کنترل روتر متصل شده به اینترنت وجود نداشته باشد، توسط فایروال شماره یک انجام می‌شود. در این شیوه تمام سعی بر این است که دسترسی به ناحیه DMZ با محدودیت انجام شود.

باتوجه به آنچه گفته شد، مشخص گردید که تنظیم و قانون‌گذاری درست برای فایروال بسیار مهم و الزامی است. در پایان مقاله مفهوم چند عنوان رایج در بحث فایروال را با هم بررسی می‌کنیم تا نکته نامفهومی باقی نمانده باشد.

  • شبکه خصوصی (Private Network) یا LAN: این محدوده برای کارکنان و ادمین شبکه درنظر گرفته می‌شود و ضرورت دارد که دارای حفاظ امنیتی باشد تا از ورود دیتای ایترنتی به آن به جز از سوی کارکنان شبکه، جلوگیری به عمل بیاید.
  • ناحیه غیرنظامی (Demilitarized Zone :DMZ): سرورهای عمومی ISP در این ناحیه قرار می‌گیرند. از آنجایی که امکان اتصال کاربران به اینترنت از طریق دسترسی به این سرورها فراهم می‌شود، بنابراین این سرورها در دسترس کاربران اینترنتی قرار دارند. از جمله این سرورهای عمومی می‌توان DNS Server، FTP Server، Mail Server و Web Server را نام برد. نکته حائز اهمیت این است که این ناحیه تحت پوشش فایروال قرار ندارد در نتیجه طراحی آن می‌بایست به‌صورت دقیق و طبق برنامه‌ریزی صحیح و رعایت تمامی موارد امنیتی انجام شود. می‌توان این ناحیه را مانند نمایشگاه ماشین درنظر گرفت که امکان ورود و تماشای ماشین بدون محدودیت برای همگان وجود دارد.
  • شبکه عمومی (Public Network) یا اینترنت (Internet): به ناحیه‌ای که در آن کاربران به اینترنت متصل هستند، اطلاق می‌گردد.
  • نواحی محرمانه: فایل‌های محرمانه و سرورهای حساس که قابلیت دسترسی به آن‌ها به تعداد خاصی از افراد داده می‌شود، در این ناحیه قرار می‌گیرند.

همان‌طور که گفته شد، چندین ناحیه مختلف وجود دارد که دارای سطح امنیتی متفاوت هستند، بنابراین تأمین امنیت در سطوح مختلف نیازمند سیاست‌گذاری دقیق و اصولی است تا از دسترسی‌های غیرمجاز جلوگیری به عمل بیاید. استفاده از فایروال با قوانین از پیش مشخص‌شده در مرز ورودی و خروجی هر ناحیه اولین گامی است که می‌بایست برداشته شود.

 

 

برخی از مشتریان