دیواره هاى آتش (Firewall) چیستند؟





دیواره آتشین (Fire wall) سیستمى است بین کاربران یک شبکه محلى و یک شبکه بیرونى (مثل اینترنت) که ضمن نظارت بر دسترسى ها، در تمام سطوح، ورود و خروج اطلاعات راتحت نظر دارد. بر خلاف تصور عموم کاربرى این نرم افزارها صرفاً در جهت فیلترینگسایت ها نیست. براى آشنایى بیشتر با نرم افزارهاى دیواره هاى آتشین، آشنایى با طرزکار آنها شاید مفیدترین راه باشد. در وهله اول و به طور مختصر مى توان گفت بسته هاى TCP/IP قبل و پس از ورود به شبکه وارد دیواره آتش مى شوند و منتظر مى مانند تا طبقمعیارهاى امنیتى خاصى پردازش شوند. حاصل این پردازش احتمال وقوع سه حالت است:
۱- اجازه عبور بسته صادر مى شود.
۲- بسته حذف مى شود.
۳- بسته حذف مى شود وپیام مناسبى به مبدا ارسال بسته فرستاده مى شود.

ساختار و عملکرد با این توضیح، دیواره آتش محلى است براى ایست بازرسى بسته هاىاطلاعاتى به گونه اى که بسته ها براساس تابعى از قواعد امنیتى و حفاظتى پردازش شدهو براى آنها مجوز عبور یا عدم عبور صادر شود. همانطور که همه جا ایست بازرسى اعصابخردکن و وقت گیر است دیواره آتش نیز مى تواند به عنوان یک گلوگاه باعث بالا رفتنترافیک، تاخیر، ازدحام و بن بست شود. از آنجا که معمارى TCP/IP به صورت لایه لایهاست (شامل ۴ لایه: فیزیکى، شبکه، انتقال و کاربردى) و هر بسته براى ارسال یا دریافتباید از هر ۴ لایه عبور کند بنابراین براى حفاظت باید فیلدهاى مربوطه در هر لایهمورد بررسى قرار گیرند. بیشترین اهمیت در لایه هاى شبکه، انتقال و کاربرد است چونفیلد مربوط به لایه فیزیکى منحصر به فرد نیست و در طول مسیر عوض مى شود. پس به یکدیواره آتش چند لایه نیاز داریم. سیاست امنیتى یک شبکه مجموعه اى از قواعد حفاظتىاست که بنابر ماهیت شبکه در یکى از سه لایه دیواره آتش تعریف مى شوند. کارهایى کهدر هر لایه از دیواره آتش انجام مى شود عبارت است از:
۱- تعیین بسته هاى ممنوع (سیاه) و حذف آنها یا ارسال آنها به سیستم هاى مخصوص ردیابى (لایه اول دیوارهآتش)
۲- بستن برخى از پورت ها متعلق به برخى سرویس ها مثلTelnet، FTP و... (لایهدوم دیواره آتش)
۳- تحلیل برآیند متن یک صفحه وب یا نامه الکترونیکى یا .... (لایه سوم دیواره آتش)

 ••• در لایه اول فیلدهاى سرآیند بسته IP مورد تحلیل قرار مى گیرد: آدرس مبدأ: برخى از ماشین هاى داخل یا خارج شبکه حق ارسال بسته را ندارند، بنابراین بسته هاىآنها به محض ورود به دیواره آتش حذف مى شود. آدرس مقصد: برخى از ماشین هاى داخل یاخارج شبکه حق دریافت بسته را ندارند، بنابراین بسته هاى آنها به محض ورود به دیوارهآتش حذف مى شود. IP آدرس هاى غیرمجاز و مجاز براى ارسال و دریافت توسط مدیر مشخص مىشود. شماره شناسایى یک دیتا گرام تکه تکه شده: بسته هایى که تکه تکه شده اند یامتعلق به یک دیتا گرام خاص هستند حذف مى شوند. زمان حیات بسته: بسته هایى که بیش ازتعداد مشخصى مسیریاب را طى کرده اند حذف مى شوند. بقیه فیلدها: براساس صلاحدید مدیردیواره آتش قابل بررسى اند. بهترین خصوصیت لایه اول سادگى و سرعت آن است چرا که دراین لایه بسته ها به صورت مستقل از هم بررسى مى شوند و نیازى به بررسى لایه هاىقبلى و بعدى نیست. به همین دلیل امروزه مسیریاب هایى با قابلیت انجام وظایف لایهاول دیواره آتش عرضه شده اند که با دریافت بسته آنها را غربال کرده و به بسته هاىغیرمجاز اجازه عبور نمى دهند. با توجه به سرعت این لایه هر چه قوانین سختگیرانه ترىبراى عبور بسته ها از این لایه وضع شود بسته هاى مشکوک بیشترى حذف مى شوند و حجمپردازش کمترى به لایه هاى بالاتر اعمال مى شود.

••• در لایه دوم فیلدهاى سرآیند لایه انتقال بررسى مى شوند: شماره پورت پروسهمبدأ و مقصد: با توجه به این مسئله که شماره پورت هاى استاندارد شناخته شده اندممکن است مدیر دیواره آتش بخواهد مثلاً سرویس FTP فقط براى کاربران داخل شبکه وجودداشته باشد بنابراین دیواره آتش بسته هاى TCP با شماره پورت ۲۰ و ۲۱ که قصد ورود یاخروج از شبکه را داشته باشند حذف مى کند و یا پورت ۲۳ که مخصوص Telnet است اغلببسته است. یعنى بسته هایى که پورت مقصدشان ۲۳ است حذف مى شوند. کدهاى کنترلى: دیواره آتش با بررسى این کدها به ماهیت بسته پى مى برد و سیاست هاى لازم براى حفاظترا اعمال مى کند. مثلاً ممکن است دیواره آتش طورى تنظیم شده باشد که بسته هاى ورودىبا

/ 0 نظر / 6 بازدید