تبلیغات
network and internet - « فایروال چیست ؟ »

امروز:

« فایروال چیست ؟ »

» نوع مطلب : شبكه و اینترنت ،

دیواره آتش(FireWall) سیستمى است بین كاربران یك شبكه محلى و یك شبكه بیرونى (مثل اینترنت) كه ضمن نظارت بر دسترسى ها، در تمام سطوح، ورود و خروج اطلاعات را تحت نظر دارد. بر خلاف تصور عموم كاربرى این نرم افزارها صرفاً در جهت فیلترینگ سایت ها نیست. براى آشنایى بیشتر با نرم افزارهاى دیواره هاى آتشین، آشنایى با طرز كار آنها شاید مفیدترین راه باشد. در وهله اول و به طور مختصر مى توان گفت بسته هاى TCP/IP قبل و پس از ورود به شبكه وارد دیواره آتش مى شوند و منتظر مى مانند تا طبق معیارهاى امنیتى خاصى پردازش شوند.

حاصل این پردازش احتمال وقوع سه حالت است:

1 - اجازه عبور بسته صادر مى شود.

 2 - بسته حذف مى شود.

3 - بسته حذف مى شود و پیام مناسبى به مبدا ارسال بسته فرستاده مى شود.

 • ساختار و عملكرد با این توضیح، دیواره آتش محلى است براى ایست بازرسى بسته هاى اطلاعاتى به گونه اى كه بسته ها براساس تابعى از قواعد امنیتى و حفاظتى پردازش شده و براى آنها مجوز عبور یا عدم عبور صادر شود. همانطور كه همه جا ایست بازرسى اعصاب خردكن و وقت گیر است دیواره آتش نیز مى تواند به عنوان یك گلوگاه باعث بالا رفتن ترافیك، تاخیر، ازدحام و بن بست شود. از آنجا كه معمارى TCP/IP به صورت لایه لایه است (شامل 4 لایه: فیزیكى، شبكه، انتقال و كاربردى) و هر بسته براى ارسال یا دریافت باید از هر ? لایه عبور كند بنابراین براى حفاظت باید فیلدهاى مربوطه در هر لایه مورد بررسى قرار گیرند. بیشترین اهمیت در لایه هاى شبكه، انتقال و كاربرد است چون فیلد مربوط به لایه فیزیكى منحصر به فرد نیست و در طول مسیر عوض مى شود. پس به یك دیواره آتش چند لایه نیاز داریم. سیاست امنیتى یك شبكه مجموعه اى از قواعد حفاظتى است كه بنابر ماهیت شبكه در یكى از سه لایه دیواره آتش تعریف مى شوند.

كارهایى كه در هر لایه از دیواره آتش انجام مى شود عبارت است از:

1 - تعیین بسته هاى ممنوع (سیاه) و حذف آنها یا ارسال آنها به سیستم هاى مخصوص ردیابى (لایه اول دیواره آتش)

2 - بستن برخى از پورت ها متعلق به برخى سرویس ها مثلTelnet، FTP و... (لایه دوم دیواره آتش)

3 - تحلیل برآیند متن یك صفحه وب یا نامه الكترونیكى یا .... (لایه سوم دیواره آتش)

در لایه اول فیلدهاى سرآیند بسته IP مورد تحلیل قرار مى گیرد:

 آدرس مبدأ: برخى از ماشین هاى داخل یا خارج شبكه حق ارسال بسته را ندارند، بنابراین بسته هاى آنها به محض ورود به دیواره آتش حذف مى شود.

 آدرس مقصد: برخى از ماشین هاى داخل یا خارج شبكه حق دریافت بسته را ندارند، بنابراین بسته هاى آنها به محض ورود به دیواره آتش حذف مى شود. IP آدرس هاى غیرمجاز و مجاز براى ارسال و دریافت توسط مدیر مشخص مى شود. شماره شناسایى یك دیتا گرام تكه تكه شده: بسته هایى كه تكه تكه شده اند یا متعلق به یك دیتا گرام خاص هستند حذف مى شوند.

 زمان حیات بسته: بسته هایى كه بیش از تعداد مشخصى مسیریاب را طى كرده اند حذف مى شوند. بقیه فیلدها: براساس صلاحدید مدیر دیواره آتش قابل بررسى اند. بهترین خصوصیت لایه اول سادگى و سرعت آن است چرا كه در این لایه بسته ها به صورت مستقل از هم بررسى مى شوند و نیازى به بررسى لایه هاى قبلى و بعدى نیست. به همین دلیل امروزه مسیریاب هایى با قابلیت انجام وظایف لایه اول دیواره آتش عرضه شده اند كه با دریافت بسته آنها را غربال كرده و به بسته هاى غیرمجاز اجازه عبور نمى دهند. با توجه به سرعت این لایه هر چه قوانین سختگیرانه ترى براى عبور بسته ها از این لایه وضع شود بسته هاى مشكوك بیشترى حذف مى شوند و حجم پردازش كمترى به لایه هاى بالاتر اعمال مى شود.

در لایه دوم فیلدهاى سرآیند لایه انتقال بررسى مى شوند:

شماره پورت پروسه مبدأ و مقصد: با توجه به این مسئله كه شماره پورت هاى استاندارد شناخته شده اند ممكن است مدیر دیواره آتش بخواهد مثلاً سرویس FTP فقط براى كاربران داخل شبكه وجود داشته باشد بنابراین دیواره آتش بسته هاى TCP با شماره پورت ?? و ?? كه قصد ورود یا خروج از شبكه را داشته باشند حذف مى كند و یا پورت ?? كه مخصوص Telnet است اغلب بسته است. یعنى بسته هایى كه پورت مقصدشان ?? است حذف مى شوند.

كدهاى كنترلى: دیواره آتش با بررسى این كدها به ماهیت بسته پى مى برد و سیاست هاى لازم براى حفاظت را اعمال مى كند. مثلاً ممكن است دیواره آتش طورى تنظیم شده باشد كه بسته هاى ورودى با SYN=1 را حذف كند. بنابراین هیچ ارتباط TCP از بیرون با شبكه برقرار نمى شود.

فیلد شماره ترتیب و :Acknowledgement بنابر قواعد تعریف شده توسط مدیر شبكه قابل بررسى اند. در این لایه دیواره آتش با بررسى تقاضاى ارتباط با لایه TCP، تقاضاهاى غیرمجاز را حذف مى كند. در این مرحله دیواره آتش نیاز به جدولى از شماره پورت هاى غیرمجاز دارد. هر چه قوانین سخت گیرانه ترى براى عبور بسته ها از این لایه وضع شود و پورت هاى بیشترى بسته شوند بسته هاى مشكوك بیشترى حذف مى شوند و حجم پردازش كمترى به لایه سوم اعمال مى شود.

در لایه سوم حفاظت براساس نوع سرویس و برنامه كاربردى صورت مى گیرد:

در این لایه براى هر برنامه كاربردى یك سرى پردازش هاى مجزا صورت مى گیرد. بنابراین در این مرحله حجم پردازش ها زیاد است. مثلاً فرض كنید برخى از اطلاعات پست الكترونیكى شما محرمانه است و شما نگران فاش شدن آنها هستید. در اینجا دیواره آتش به كمك شما مى آید و برخى آدرس هاى الكترونیكى مشكوك را بلوكه مى كند، در متون نامه ها به دنبال برخى كلمات حساس مى گردد و متون رمزگذارى شده اى كه نتواند ترجمه كند را حذف مى كند. یا مى خواهید صفحاتى كه در آنها كلمات كلیدى ناخوشایند شما هست را حذف كند و اجازه دریافت این صفحات به شما یا شبكه شما را ندهد.

• انواع دیواره هاى آتش دیواره هاى آتش هوشمند:

امروزه حملات هكرها تكنیكى و هوشمند شده است به نحوى كه با دیواره هاى آتش و فیلترهاى معمولى كه مشخصاتشان براى همه روشن است نمى توان با آنها مقابله كرد. بنابراین باید با استفاده از دیواره هاى آتش و فیلترهاى هوشمند با آنها مواجه شد. از آنجا كه دیواره هاى آتش با استفاده از حذف بسته ها و بستن پورت هاى حساس از شبكه محافظت مى كنند و چون دیواره هاى آتش بخشى از ترافیك بسته ها را به داخل شبكه هدایت مى كنند، (چرا كه در غیر این صورت ارتباط ما با دنیاى خارج از شبكه قطع مى شود)، بنابراین هكرها مى توانند با استفاده از بسته هاى مصنوعى مجاز و شناسایى پورت هاى باز به شبكه حمله كنند. بر همین اساس هكرها ابتدا بسته هایى ظاهراً مجاز را به سمت شبكه ارسال مى كنند. یك فیلتر معمولى اجازه عبور بسته را مى دهد و كامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را مى دهد. بنابراین هكر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن كامپیوتر هدف اطمینان حاصل مى كند. براى جلوگیرى از آن نوع نفوذها دیواره آتش باید به آن بسته هایى اجازه عبور دهد كه با درخواست قبلى ارسال شده اند. حال با داشتن دیواره آتشى كه بتواند ترافیك خروجى شبكه را براى چند ثانیه در حافظه خود حفظ كرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد مى توانیم از دریافت بسته هاى بدون درخواست جلوگیرى كنیم. مشكل این فیلترها زمان پردازش و حافظه بالایى است كه نیاز دارند. اما در عوض ضریب اطمینان امنیت شبكه را افزایش مى دهند. دیواره هاى آتش مبتنى بر پروكسى: دیواره هاى آتش هوشمند فقط نقش ایست بازرسى را ایفا مى كنند و با ایجاد ارتباط بین كامپیوترهاى داخل و خارج شبكه كارى از پیش نمى برد. اما دیواره هاى آتش مبتنى بر پروكسى پس از ایجاد ارتباط فعالیت خود را آغاز مى كند. در این هنگام دیواره هاى آتش مبتنى بر پروكسى مانند یك واسطه عمل مى كند، به نحوى كه ارتباط بین طرفین به صورت غیرمستقیم صورت مى گیرد. این دیواره هاى آتش در لایه سوم دیواره آتش عمل مى كنند، بنابراین مى توانند بر داده هاى ارسالى در لایه كاربرد نیز نظارت داشته باشند. دیواره هاى آتش مبتنى بر پروكسى باعث ایجاد دو ارتباط مى شود: ? - ارتباط بین مبدا و پروكسى ? - ارتباط بین پروكسى و مقصد حال اگر هكر بخواهد ماشین هدف در داخل شبكه را مورد ارزیابى قرار دهد در حقیقت پروكسى را مورد ارزیابى قرار داده است و نمى تواند از داخل شبكه اطلاعات مهمى به دست آورد. دیواره هاى آتش مبتنى بر پروكسى به حافظه بالا و CPU بسیار سریع نیاز دارند و از آنجایى كه دیواره هاى آتش مبتنى بر پروكسى باید تمام نشست ها را مدیریت كنند گلوگاه شبكه محسوب مى شوند. پس هرگونه اشكال در آنها باعث ایجاد اختلال در شبكه مى شود. اما بهترین پیشنهاد براى شبكه هاى كامپیوترى استفاده همزمان از هر دو نوع دیواره آتش است. با استفاده از پروكسى به تنهایى بارترافیكى زیادى بر پروكسى وارد مى شود. با استفاده از دیواره هاى هوشمند نیز همانگونه كه قبلاً تشریح شد به تنهایى باعث ایجاد دیواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع دیواره آتش به صورت همزمان هم بار ترافیكى پروكسى با حذف بسته هاى مشكوك توسط دیواره آتش هوشمند كاهش پیدا مى كند و هم با ایجاد ارتباط واسط توسط پروكسى از خطرات احتمالى پس از ایجاد ارتباط جلوگیرى مى شود.


نوشته شده در : دوشنبه 1 آذر 1389  توسط : حیدر دریس.    نظرات() .

Nathanael
پنجشنبه 4 مرداد 1397 01:34 ق.ظ
Have you ever thought about adding a little bit more than just
your articles? I mean, what you say is important and everything.
Nevertheless just imagine if you added some great
pictures or video clips to give your posts more, "pop"!
Your content is excellent but with pics and videos, this site could
definitely be one of the most beneficial in its niche.
Wonderful blog!
davie
یکشنبه 3 تیر 1397 04:22 ب.ظ
Tһanks a bunch for sharing tһіs with all fklks yοu really recognise whаt you're talking about!
Bookmarked. Kindly additionally visit mʏ web site =). Wе can һave a link altfernate contract beetween սs
Kan Ik Viagra Kopen Bij De Drogist
شنبه 2 تیر 1397 01:10 ب.ظ
Ꮋi, ɑll is gіng nicely here and ofcourse eѵery
օne is sharing information, tһat's genuinely excellent,
kеep upp writing.
lawton
جمعه 25 خرداد 1397 02:47 ق.ظ
There іs definately a ɡreat deal to learn about his subject.
І really ⅼike alⅼ of tһe points yߋu һave mɑdе.
Stone Jana
چهارشنبه 23 خرداد 1397 05:37 ب.ظ
Hi tһere, Ι check yopur blog ᧐n ɑ regular
basis. Your humoristic style iѕ awesome, keesp up tһe ɡood
work!
Trina
سه شنبه 25 اردیبهشت 1397 08:20 ق.ظ
Hmm iss anyone eose having problems with the images on this blog loading?
I'm tryinmg to determine if its a problem on myy end
or if it's the blog. Any suggestions would be greatly appreciated.
Lincoln
یکشنبه 23 اردیبهشت 1397 07:30 ب.ظ
If you would like to obtain a good ddeal
from this article then you hqve to apply such techniques to your won web site.
eye lash
شنبه 22 اردیبهشت 1397 03:11 ق.ظ
Thiis is a topic that is close to my heart... Best wishes!
Where are your contact details though?
choc
دوشنبه 10 اردیبهشت 1397 08:40 ب.ظ
You really make it seem really easy together with your presentation however I
to find this matter to be actually one thing which I think I
would never understand. It seems too complicated and very
large for me. I am having a look ahead in your subsequent
publish, I will attempt to get the dangle of it!
depforce
شنبه 1 اردیبهشت 1397 01:08 ق.ظ
I am extremely impressed with ypur writing skiols aand akso with tthe layout on your blog.

Is tjis a paiod tueme or did yyou customize it yourself?
Anywa kwep uup thhe nice quality writing, it's rare tto see a nice blig llike this oone
nowadays.
Buy generic cialis
یکشنبه 19 فروردین 1397 02:41 ق.ظ

You actually revealed it wonderfully!
only best offers cialis use cialis generika purchasing cialis on the internet generic cialis at walmart dosagem ideal cialis cialis lilly tadalafi cialis generico en mexico cialis lowest price cialis 30 day sample cialis efficacit
Online cialis
جمعه 3 فروردین 1397 05:55 ق.ظ

Appreciate it. Quite a lot of forum posts!

brand cialis nl cialis for daily use warnings for cialis tadalafil 20 mg cialis sans ordonnance cialis patent expiration when will generic cialis be available acheter du cialis a geneve cialis pills cialis dosage amounts
working livejasmin credit hack
جمعه 4 اسفند 1396 06:15 ق.ظ
با درود! توصیه های بسیار مفید در این مقاله!
این تغییرات کوچکی است که تغییرات قابل توجهی را ایجاد می کند.
تشکر فراوان برای به اشتراک گذاری!
Nintendo Switch Giveaway
جمعه 24 آذر 1396 05:38 ب.ظ
با تشکر از شما برای به اشتراک گذاشتن اطلاعات خود. من واقعا از تلاش های شما قدردانی می کنم
در انتظار نوبت های نوشتن بعدی شما یک بار دیگر تشکر می کنم.
imvu free credits
دوشنبه 13 آذر 1396 06:08 ب.ظ
من می خواهم از تلاش های شما در این وب سایت پنهان کنم.

من امیدوارم از همان پست های پست بالا پست های شما نیز استفاده کنید.
در واقع، توانایی نوشتن خلاق شما تشویق شده است
من خودم، وب سایت شخصی خود را در حال حاضر؛)
supplemental medicare plans
جمعه 3 آذر 1396 07:09 ب.ظ
مطمئنا چیز زیادی در مورد این موضوع یاد می گیرید. من دوست دارم
تمام نقاطی که شما ساخته اید
std testing price
شنبه 13 آبان 1396 11:08 ب.ظ
هی اونجا! من می توانستم سوگند یاد کنم که من قبل از این در سایت حضور داشته ام اما پس از بررسی
از طریق برخی از پست متوجه شدم که این برای من تازه است.

با این حال، من کاملا خوشحالم که پیدا کردم
آن و من علامت گذاری به عنوان کتاب و چک کردن اغلب!
best psychic reading
چهارشنبه 10 آبان 1396 10:11 ب.ظ
برادر من توصیه کرد که من این وب سایت را دوست دارم
او کاملا درست بود. این پست واقعا روزم را ساخت.
شما نمیتوانید به سادگی تصور کنید که چقدر زمان برای این اطلاعات صرف شده بودم! با تشکر!
best psychic mediums
چهارشنبه 10 آبان 1396 08:45 ب.ظ
برای هر کسی چه حسی دارد، محتویات موجود در این وب سایت واقعا عالی است برای دانش مردم، خوب
نگه داشتن همکاران خوب کار.
feet problems
شنبه 18 شهریور 1396 04:13 ق.ظ
I’m not that much of a online reader to be honest
but your blogs really nice, keep it up! I'll go ahead and bookmark your website
to come back later on. Cheers
Foot Complaints
شنبه 14 مرداد 1396 02:17 ق.ظ
Wow that was strange. I just wrote an very long comment but after I clicked submit my comment didn't appear.
Grrrr... well I'm not writing all that over again. Regardless,
just wanted to say great blog!
william7hoffman.exteen.com
جمعه 13 مرداد 1396 06:57 ب.ظ
Hurrah! Finally I got a website from where I can genuinely obtain useful data regarding my
study and knowledge.
Kyle
جمعه 16 تیر 1396 07:04 ب.ظ
I used to be able to find good information from
your articles.
std testing near me
سه شنبه 26 اردیبهشت 1396 05:52 ق.ظ
بسیار چلیپا از خود نوشتن در حالی که صدایی دلنشین در آیا نه حل و فصل خوب با من پس از برخی از زمان.

جایی درون جملات شما موفق به من مؤمن
متاسفانه فقط برای کوتاه در حالی که.
من با این حال مشکل خود را با
فراز در مفروضات و شما ممکن است را سادگی
به کمک پر کسانی که معافیت. اگر شما که می توانید انجام من خواهد
مطمئنا بود مجذوب.
Lucie
دوشنبه 25 اردیبهشت 1396 04:36 ب.ظ
No matter if some one searches for his necessary thing, therefore he/she
needs to be available that in detail, therefore that thing
is maintained over here.
manicure
چهارشنبه 23 فروردین 1396 07:57 ق.ظ
The other day, while I was at work, my cousin stole my iPad and tested to see if it can survive a 40 foot drop,
just so she can be a youtube sensation. My apple
ipad is now broken and she has 83 views. I know this is completely off topic but I had to share it with someone!
manicure
دوشنبه 21 فروردین 1396 06:20 ب.ظ
Hi, I think your site might be having browser compatibility issues.
When I look at your blog in Chrome, it looks fine but when opening in Internet Explorer,
it has some overlapping. I just wanted to give you a quick heads
up! Other then that, terrific blog!
manicure
دوشنبه 21 فروردین 1396 07:48 ق.ظ
Good respond in return of this difficulty with solid arguments and telling the
whole thing on the topic of that.
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر