دیوارآتش (Firewall) چیست و انواع آن کدام است؟
دیوار آتش نوعی وسیله ایمنی شبکه است که باعث می‌شود شبکه‌ای متشکل از کامپیوترهای خانگی به شیوه ایمنی به تبادل اطلاعات بپردازند. دیوارآتش مانع از آن می‌شود تا هکرها بتوانند به راحتی به شبکه‌های نفوذ کرده و به استراق سمع اطلاعات بپردازند. دیوارهای آتش می‌توانند در ساختارها و معماری‌های مختلفی استفاده شوند. دیوارهای آتش می‌توانند به شکل نرم‌افزاری یا سخت‌افزاری در مبادی حساس شبکه‌های کامپیوتر مستقر شوند و هرگونه ترافیک وارد یا خارج شونده به شبکه را شنود کنند. به‌طور معمول دیوارهای آتش میان شبکه خصوصی سازمان و شبکه عمومی مثل اینترنت مستقر می‌شوند تا ارتباط ایمنی را برقرار کنند. بر مبنای این تعریف باید بگوییم که شما می‌توانید دیوار آتش را به نوعی گذرگاه تبادل اطلاعات میان دو شبکه تعبیر کنید.

ثبثبثب.gif

دیوارهای آتش چگونه کار می‌کنند؟

با فهمیدن این‌که دیوار آتش چیست و چه کاری انجام میدهد، وقت آن رسیده تا بفهمید دیوارآتش چگونه کار می‌کند؟ دیوارهای آتش با بازرسی تمام بسته‌های اطلاعاتی که از مکانیزم‌های ارتباطی آن‌ها عبور می‌کند به ارزیابی بسته‌ها پرداخته و بررسی می‌کند که آیا بسته‌ها مطابق با قوانین و دستورالعمل‌های ارائه شده توسط فهرست کنترل دسترسی (ACL) و خط‌مشی‌های تعیین شده توسط کارشناسان امنیتی قرار است به شبکه وارد یا از آن خارج شوند یا خیر. در حالت کلی پیکربندی دیوارهای آتش به گونه‌ای است که اجازه می‌دهد بسته‌های اطلاعاتی که با استانداردهای تعیین شده توسط ACL را رعایت کرده‌اند به درون شبکه ارتباطی وارد شوند.

علاوه بر این، دیوارهای آتش نقش کلیدی در ثبت اطلاعات حساس سازمانی دارند و به کارشناسان امنیتی در تحلیل اطلاعات کمک می‌کنند. به‌طوری که مدیران شبکه با ارزیابی گزارش‌های ثبت شده توسط دیوارهای آتش اطمینان حاصل می‌کنند که فعالیت مشکوکی از جانب کاربران درون سازمانی یا برون سازمانی انجام نشده است. از جمله اطلاعاتی که توسط دیوارهای آتش ثبت می‌شود باید به توصیف بسته، آدرس، وضعیت و نرخ تبدیل بسته‌ها اشاره کرد. با این وجود دیوارهای آتش فقط سرآیندهای بسته‌ها را روی صفحه‌نمایش نشان می‌دهند. اکنون که اطلاعات مختصری در ارتباط با دیوارهای آتش به دست آوردید، وقت آن رسیده تا در مورد انواع دیوارهای آتش صحبت کنیم.

انواع دیوارهای آتش

دیوارهای آتش به انواع مختلفی طبقه‌بندی می‌شوند، به‌طوری که هر یک از آن‌ها بر مبنای میزان ایمنی و قابلیتی که در اختیار سازمان‌ها قرار می‌دهند استفاده می‌شوند. امروزه دیوارهای آتش مختلفی در دنیای فناوری استفاده می‌شوند که برخی از آن‌ها به شرح زیر هستند:

Firewall Filtering Packet

نوعی دیوار آتش است که به‌طور معمول در سوئیچ‌هایی قرار می‌گیرد که نقش رابط یا اتصال دهنده به وب را بازی می‌کنند. دیوارآتش جدا کننده بسته نرم‌افزاری فقط روی مدل OSI یک لایه سازمانی ایجاد می‌شود. دیوارهای آتش فیلترکننده بسته به خط‌مشی‌ها و استانداردهای تعریف شده توسط فهرست‌های کنترل دسترسی وابسته است. دیوارهای آتش های غربال‌گر بسته‌ها با بررسی کامل چیدمان بسته‌های دریافتی مهر تاییدی بر درست بودن آن‌ها و همسو بودن آن‌ها با فهرست کنترل دسترسی می‌زنند. در شرایطی که بسته نرم‌افزاری مغایر با خط‌مشی‌های فهرست کنترل دسترسی باشد، بسته را دور ریخته و گزارشی در مورد آن تهیه می‌کنند تا کارشناسان بتوانند در آینده این گزارش‌ها را بررسی کنند. هنگام استفاده از دیوار‌های آتش غربال‌کننده بسته‌ها، کارشناسان امنیتی قادر به اعمال تغییراتی در فهرست‌های کنترل دسترسی هستند که برخی آدرس‌ها و بسته‌ها را  از خط‌مشی‌ها  مستثنا کنند تا بسته‌ها بدون مشکل به شبکه وارد یا از آن خارج شوند.

فایروال‌های دروازه سطح مدار

فایروال سطح مدار نوع دیگری از دیوارهای آتش هستند. فایروال سطح مدار در لایه نشست در مدل OSI کار می‌کند که در واقع یک لایه میانی بین لایه کاربرد و لایه انتقال در مدل TCP/IP است. این فایروال فرایند اتصال و بسته‌های آغازین یا دست‌دهی بسته‌ها در مدل TCP را نظارت می‌کند تا تشخیص دهد که آیا یک درخواست نشست درست است یا خیر. فایروال سطح مدار، جزییات شبکه محافظت شده را از ترافیک خارجی پنهان می‌کند که باعث قطع دسترسی سواستفاده کنندگان خواهد شد. از مزایای فایروال سطح مدار این است که نسبتاً ارزان است و اطلاعات شبکه‌های خصوصی را محرمانه نگه می‌دارند، اما این نوع فایروال‌ها نمی‌توانند داخل خود بسته‌ها را بررسی و فیلتر کند. در این فایروال عملیات زیر مورد استفاده قرار می‌گیرد:

به هر نشست یک شماره منحصر به فرد داده میشود.

توالی اطلاعات مورد بررسی قرار میگیرد.

آدرس‌ها، هم مبدا و هم مقصد مورد بررسی قرار می‌گیرد.

شماره پورت ثبت و حفظ می‌شود.

این روش به دلیل این‌که بررسی کمتری روی محتوای داده‌ها انجام می‌دهد سریع‌تر است، اما چون محتوای بسته‌ها پایش نمی‌شوند توانایی محدودتری دارد.

دیوارآتش بازرسی‌کننده دارال حالت

دیوارهای آتش بازرسی‌کننده دارای حالت که برخی منابع به آن‌ها دیوارآتش غربال‌کننده پویا نیز می‌گویند جدولی دارند که از آن برای برقراری ارتباط استفاده می‌کنند. عملکرد این دیوارهای آتش به این صورت است که سرآیند بسته جدید را با اطلاعات این جدول مقایسه می‌کنند و بر مبنای پروتکل و وضعیت تصمیم‌گیری می‌کنند که ارتباط برقرار شود یا خیر. این تصمیمات بر مبنای خط‌مشی‌های درج شده و در دیوارآتش و جدول مرتبط اتخاذ می‌شوند. دیوارهای آتش بازرسی‌کننده دارای حالت، تمام فعالیت‌ها را از زمان باز شدن اتصال تا بسته شدن آن مانیتور می‌کنند. اطلاعات بسته‌های داده‌ای مسیریابی و به کار گرفته شده در شبکه در جدول دیوارآتش ذخیره می‌شوند. بر مبنای این مکانیزم ترتیب مسیر بسته در شبکه فراموش نمی‌شود و بازرسی داده بر مبنای این اطلاعات انجام می‌شود. با این‌حال، به دلیل پیچیدگی‌های زیادی که دیوارهای آتش مذکور دارند، در برابر حمله‌های انکار سرویس آسیب‌پذیر هستند.

دیوارهای آتش غیربال‌کننده نرم‌افزاری (پروکسی‌ها)

دیوارهای آتش پروکسی به عنوان سامانه حائلی میان سامانه‌ها/شبکه‌ها و اینترنت قرار می‌گیرند و درخواست‌های کاربران را دریافت و به جای آن‌که اتصال مستقیم با اینترنت را برقرار کنند، محاوره‌های کاربر را دریافت و ارسال کرده و پاسخ دریافتی از سرویس‌دهنده را بررسی و پس از حصول اطمینان از درست بودن، داده‌ها را در اختیار کاربر قرار می‌دهند. مزیت مهمی که این دیوارهای آتش دارند در این است که اگر کاربری در شبکه داده‌ها را درخواست کرده باشد، به جای آن‌که دوباره به سرویس‌دهنده مراجعه کنند با قابلیت نگه‌داری از درخواست‌های قبلی از داده‌های ذخیره شده در حافظه خود به کاربران پاسخ می‌دهند. رویکرد فوق باعث افزایش سرعت و پاسخ‌گویی شبکه می‌شود. این دیوارهای آتش در لایه کاربرد یا همان لایه 7 مدل OSI کار می‌کنند و شبکه سازمانی را از شبکه خارجی تفکیک می‌کنند.

دیوارهای آتش نسل بعد

دیوارهای آتش نسل بعد ترکیبی از دیوارهای آتش غربال‌کننده بسته‌ها و دارای حالت هستند که برای مسدود کردن حمله‌های پیشرفته و بدافزارهای نسل جدید و حمله‌هایی که لایه هفت را نشانه می‌روند استفاده می‌شوند.

دیوارآتش مجازی

دیوارهای آتش مجازی که این روزها محبوبیت زیادی پیدا کرده‌اند عمدتا در شبکه‌های ابرمحور و در معماری‌های مرتبط با VMware ESXi، Hyper-V مایکروسافت و ابرهای عمومی ارائه شده توسط مایکروسافت، گوگل و آمازون استفاده می‌شوند. این دیوارهای آتش برای مانتیور کردن و تامین امنیت ترافیک شبکه‌های مجازی و فیزیکی استفاده می‌شوند. دیوارهای آتش مجازی یکی از مولفه‌های مهم شبکه‌های نرم‌افزار محور هستند.

دیوارآتش نرم‌افزاری

دیوارهای آتش نرم‌افزاری که همه کاربران به واسطه سیستم‌عامل ویندوز آن‌را دارند، نرم‌افزارهایی هستند که روی سیستم‌عامل نصب می‌شوند و ترافیک وارد و خارج شوند به شبکه یا سیستم‌عامل را کنترل می‌کنند. این مدل دیوارهای آتش عمدتا توسط کاربران خانگی و کسب‌وکارهای کوچک و متوسط استفاده می‌شوند. دیوارهای آتش نرم‌افزار از سامانه‌ها در برابر دسترسی‌های غیرمجاز که از جانب اینترنت سامانه‌ها را تهدید می‌کند محافظت می‌کنند. از مزایای بالقوه این دیوارهای آتش می‌توان به به‌اشتراک‌گذاری منابعی نظیر چاپگر، پویش‌ها، تغییر خط‌مشی‌های امنیت و تنظیم پیکربندی‌ها مطابق با نیازها اشاره کرد.

دیوارآتش چند لایه دارای حالت

این دیوارآتش ترکیبی از دیوارهای آتشی است که درباره آن‌ها صحبت کردیم. آن‌ها دیوارهای آتش پیشرفته‌ای هستند و عملکرد پیچیده‌ای نیز دارند. دیوارهای آتش بازرسی چندلایه دارای حالت را می‌توان برای ساخت کانال‌هایی که مبتنی بر فرهست کنترل دسترسی هستند استفاده کرد. این دیوارهای آتش، بسته‌ها را در لایه شبکه فیلتر می‌کنند تا اطمینان حاصل کنند یک نشست معتبر است. علاوه بر این محتوای بسته‌ها را در لایه کاربرد ارزیابی می‌کنند.

دیوارآتش سخت‌افزاری

دیوارهای آتش سخت‌افزاری در قالب محصولات فیزیکی به بازار عرضه می‌شوند که امکان نصب آن‌ها به شکل سخت‌افزاری در زیرساخت‌های ارتباطی وجود دارد. به‌طور سنتی، دیوارهای آتشی که درون روترها نصب می‌شود این قابلیت را فراهم می‌کند تا از روتر در یک شبکه به عنوان یک دیوارآتش سخت‌افزاری استفاده کرد. دیوارهای آتش سخت‌افزاری می‌توانند به شکل پیش‌فرض و بر مبنای تنظیمات اولیه از ورود ترافیک و داده‌های ناخواسته به شبکه پیشگیری کرده و یک جریان تبادل داده‌های ایمنی را به وجود آورند. این مدل دیوارهای آتش در قالب فیلترینگ بسته فعالیت می‌کنند و سرآیندهای مربوط به مبدا و مقصد بسته‌ها را بررسی کرده و اگر بسته‌ای مغایر با خط‌مشی‌های دیوارآتش باشد از ورود آن به شبکه جلوگیری کرده و آن‌را دور می‌ریزند.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟