چهار شنبه 17 شهريور 1389

درباره ما :: ارتباط با ما :: مناقصه ها :: مقاله ها :: اخبار :: برندهای برتر :: کتاب باماک

تخصص و زمینه فعالیت :


نمونه : نوت بوک ، سخت افزار ، ماشینهای اداری و ....

+ مشاهده آرشیو مقاله ها

Firewall چيست؟

Firewall چيست؟ وقتي قرار باشد از يك ساختمان و وسايل داخل آن محافظت كنيم، اولين كاري كه انجام می دهيم، كنترل مبادي ورود و خروج ساختمان است .
به بيان ديگر فقط به افراد منتخبي ، اجازه وارد شدن (و يا خارج شدن) از ساختمان را می دهيم .
معيار انتخاب افراد براي كسي كه مامور كنترل ورود و خروج است بايستي در چارچوب يك خط مشي امنيتي، از قبل مشخص باشد .
در مورد شبكه*هاي كامپيوتري نيز بطور مشخص، همين روال را پيش می گيريم .
يعني مرزهاي شبكه داخلي خود را كنترل مي*كنيم .
منظور از مرز شبكه، لبه تماس شبكه داخلي با شبكه(هاي) خارجي نظير اينترنت، شبكه يكي از شعب سازمان و يا شبكه يك سازمان ديگر است .
براي كنترل اين مرزها از Firewall استفاده ميشود با پياده*سازي تكنيك*هاي Packet Filtering، بخشي از وظايف يك Firewall را می توان به Router(هاي) لب مرز واگذار كرد .
ولي Routerها به تنهايي قادر به انجام كل وظايف يك Firewall نيستند و استفاده از Firewallها امري اجتناب ناپذير است .
دليل ناكافي بودن Packet Filtering در Router لب مرز دو چيز است: يكي اينكه اصولا" تمامي تكنيك*هايي كه در Firewallها پياده سازي مي*شوند، در Router قابل اجرا نيست و گذشته از آن، اصل دفاع لايه به لايه (يا دفاع در عمق) ميگويد كه محافظت بايستي در بيش از يك لايه انجام شود .
(مانند دژهاي قديمي كه با لايه*هاي مختلف (خندق، دروازه اصلي، دروازه*هاي فرعي، برجها و .
.
.
) از آنها محافظت مي*شد .
در شكل*هاي زير يك نمونه از پياده سازي Firewallها را مشاهده می كنيد .
------------------------------------------------------------------------------- در شكل*هاي فوق، Router لب مرز، ترافيك را در سطح IP كنترل می كند .
اين Router اولين لايه دفاعي شبكه محسوب مي*شود .
همانطور كه مشاهده مي*شود در اين Router فقط به كاربراني از اينترنت اجازه عبور داده مي* شود كه متقاضي يكي از سرويس*هاي وب، پست الكترونيك و يا DNS باشند .
در هر شكل ناحيه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در اين ناحيه سرورهايي را قرار ميدهيم كه بايستي از اينترنت ديده شوند مانند Web Server، E-Mail Server و DNS Server .
اگر بخواهيم DMZ را با يك مثال روشنتر توصيف كنيم، بايستي بگوييم كه DMZ مانند نمايشگاه و فروشگاه يك شركت است كه تقريبا" به همه اجازه داده مي*شود به داخل آن بيايند و از محصولات ما ديدن كنند، اصولا" نمايشگاه به همين منظور ايجاد شده، فلسفه وجودي Web Server اين است كه از اينترنت ديده شود .
ناحيه ديگري كه در شبكه*ها وجود دارد، ناحيه Private Network است .
هيچ بسته*اي از طريق اينترنت اجازه ورود به ناحيه اختصاصي شبكه ما را ندارد مگر آنكه يكي از طرف يكي از كاربران داخلي درخواست شده باشد .
پس در ساده*ترين شكل، شبكه ما از سه ناحيه Public Network، DMZ و Private Network تشكيل شده و در مرز هر كدام از اين نواحي بايستي تمهيدات كنترلي اتخاذ كرده و عبور و مرور بسته*هاي اطلاعاتي را كنترل كنيم .
در ادامه مقاله از اين سه بخش تحت عناوين Internat، DMZ و LAN نام خواهيم برد .
ممكن است علاوه بر سه ناحيه فوق، در ناحيه LAN، بخشي داشته باشيم كه از نظر حساسيت در سطح بالاتري نسبت به ساير LAN باشد .
اين ناحيه، ناحيه*ايست كه سرورهاي حساس شبكه مانند سرور مالي و يا فايل سرور بخش تحقيق و توسعه قرارداد .
براي اين ناحيه لازم است Firewall مجزايي پياده سازي شود .
اين Firewall لايه*اي است كه به لايه*هاي امنيتي اضافه شده و دسترسي غير مجاز به اين ناحيه را مشكل*تر مي*كند: ---------------------------------------------------------------------- به شكل زير توجه كنيد: (Routerها با R و Firewallها با F مشخص شده اند) همانطور كه ملاحظه مي*كنيد، R1 و R2 بعنوان Routerهاي لب مرز شبكه*ها را از اينترنت جدا كرده*اند .
در كل مجموعه، يك DMZ داريم كه با F1 از بقيه مجموعه جدا شده است .
F3 و F5 دو وظيفه بعهده دارند، يكي مرز بين اينترنت و LANهاي مربوط به خود را كنترل ميكنند، و ديگر اينكه ارتباط بين دو LAN را كنترل مي*كنند اين ارتباط ممكن است Lease Line، Wireless و يا يك زوج سيم مسي باشد .
اين Firewalها با پشتيباني از سرويس VPN، ارتباط داخلي امني را بين دفترمركزي و شعبه برقرار ميكنند .
اما F2 و F4 نيز در شرايط مشابهي هستند، اين دو وظيفه جدا سازي منطقه حساس را از بقيه LAN بر عهده دارند و علاوه برآن F2 دو Subnet موجود در شبكه دفتر مركزي را نيز از هم جدا ميكند .
جداسازي Subnetها از هم در راستاي محدود كردن حملات احتمالي است .
اگر به نحوي يكي از Subnetها مورد حمله واقع شد، (مثلا" با Wormي كه از طريق e-mail و يا حتي از طريق ديسكت و CD وارد آن شده) اين آلودگي به همان Subnet محدود شده و ساير بخشهاي شبكه ايمن باقي بمانند .
نتيجه گيري: ديديم كه برای تامين امنيت يك شبكه، Firewall اولين چيزی است كه بايستی پياده سازی شود .
نكته حائز اهميت آنكه، نصب يك Firewall در شبكه به تنهايی امنيت آن شبكه را تامين نخواهد كرد، آنچه مهمتر است، تعريف قواعد كنترل (Rules) و اعمال تنظيمات اوليه و همچنين مهمتر از آن به روزرسانی قواعد برمبنای تكنيكهای نفوذ و حملات جديد است .