فایروال چیست ؟

فایروال

فایروال به عنوان یک وسیله کنترل دستیابی به شبکه است که به منظور جلوگیری از ورود هر نوع تر افیک به جز بخشی از آن که مجوز عبور دارد، طراحی شده است . معمولاً یک فایروال، در لبه های اتصال شبکه خصوصی یک سازمان به دیگر شبکه ها یا در ورودی/خروجی شبکه سرویس دهنده های سازمان قرار می گیرد. فایروال ها میتوانند به نحوی پیکربندی شوند که برای عبور ترافیک بر اساس نوع سرویس، آدرس IP مبدأ و مقصد و ... مجوز صادر کنند.

معرفی انواع فایروال

Packet filter  این نوع فایروال ها، دستگاه های شبکه ای ساده ای هستند که با بررسی هدر هر بسته اطلاعاتی ورودی/خروجی، عملیات فیلترینگ را انجام می دهند . در این فایروال ها، فیلترینگ بسته های اطلاعاتی بر اساس مقادیر موجود در هدر یک بسته اطلاعاتی انجام و در خصوص پذیرش یا عدم پذیرش آن تصمیم گرفته می شود . این نوع فایروال ها را می توان براساس آدرس های IP ،نوع بسته اطلاعاتی، شماره پورت درخواستی و سایر عناصر اطلاعاتی موجود در بسته اطلاعاتی پیکربندی کرد. فایروالهای فوق در سطح لایه شبکه کار می کنند (نیم نگاهی هم به هدر لایه حمل دارند).

Circuit level  فایروال های سطح مدار :

این فایروالها به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP  را با رایانه پشت سرشان قطع می کنند و خود به جای آن رایانه به پاسخ گویی اولیه می پردازند. تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته ها ی داده ای مرتبط اجازه عبور این فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند؛ بنابراین سرعت خوبی دارند. ضمناً امکان ایجاد محدودیت بر روی سایر پروتکل ها (غیر از TCP ) را نیز نمی دهند. تأکید این نکته ضروری است که این فایروال ها در قالب فرایند Handshaking3Way امکان اعمال سیاست های امنیتی را دارند. فایروال های سطح مدار وضعیت هر ارتباط ایجاد شده بین سیستم ها ی داخلی و خارجی را با استفاده از یک جدول وضعیت نگهداری میکنند. این جداول ، وضعیت هر بسته اطلاعاتی مبادله شده (اینکه کدام ایستگاه و در چه زمانی اقدام به ارسال اطلاعات کرده است ) را در خود نگهداری میکنند. در فایروال های فوق می توان امکان ورود بسته های اطلاعاتی به درون شبکه را صرفاً در اختیار آن دسته از بسته های اطلاعاتی گذاشت که در پاسخ به درخواست یک Host داخلی دریافت شده اند. در صورت دریافت بسته ها ی اطلاعاتی و عدم وجود اطلاعات مربوط به وضعیت آنان در جدول وضعیت، از لیست های کنترل دستیابی برای تشخیص امکان ارسال بسته های اطلاعاتی استفاده می شود. این فایروال ها در بالاتر از لایه transport کار می کنند.

 Application Gateways :

درباره عملکرد این فایروال ها که به آنها فایروال های پراکسی سرور (Proxy Server Gateway)نیز گفته می شود؛ در فصل قبل در قسمت پراکسی اشاراتی شد. در این فایروال ها بررسی بسته های اطلاعات در لایه کاربرد صورت می گیرد. یک پراکسی سرور درخواست ارائه شده توسط برنامه های کاربردی قبلی را قطع می کند و خود به جای آنها درخواست را ارسال می کند. نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال می کند.این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی از ضریب امنیت بالایی را برخوردار است . از آنجایی که این فایروالها تعدادی از پروتکل های سطح کاربرد را می شناسند؛ لذا می توانند بر مبنای این پروتکل ها محدودیت هایی را ایجاد کنند .

به عنوان مثال یک پراکسی فایروال FTP ،فقط پروتکل FTP را درک کرده و میتواند تصمیم بگیرد که آیا ترافیک در حال جریان، مطابق پروتکل بوده و با در نظرگرفتن قوانین دیواره آتش مجاز به عبور است یا نه؛ همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیت های لازم بپردازند. البته این سطح بررسی می تواند منجر به کندی این فایروالها شود. همچنین از آنجایی که این فایروال ها باید تر افیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها باز هم کاهش می یابد . اغلب اوقات پراکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتواند از فایروال ها استفاده کند . هر برنامه جدیدی که بخواهد از این فایروال عبور کند، باید تغییراتی را در پشت پروتکل فایروال ایجاد کند . فایروال های پراکسی برای اکثر پروتکل های رایج مانند HTTP,SMTP,FTP,DNS تعریف می شوند این نوع فایروال ها برای پروتکل ها ی خاصی پیاده سازی شده و در سطح لایه application اقدام به بررسی و اتخاذ تصمیم در خصوص یک بسته اطلاعاتی می کنند.