دیواره‌های آتش (Firewall) چیستند؟

*دیواره‌های آتش (Firewall) چیستند؟

دیواره آتشین (Fire wall) سیستمی‌است بین كاربران یك شبكه محلی و یك شبكه بیرونی (مثل اینترنت) كه ضمن نظارت بر دسترسی‌ها، در تمام سطوح، ورود و خروج اطلاعات را تحت نظر دارد.

     بر خلاف تصور عموم كاربری این نرم افزارها صرفاً در جهت فیلترینگ سایت‌ها نیست. برای آشنایی بیشتر با نرم افزارهای دیواره‌های آتشین، آشنایی با طرز كار آنها شاید مفیدترین راه باشد. در وهله اول و به طور مختصر می‌توان گفت بسته‌های TCP/IP قبل و پس از ورود به شبكه وارد دیواره آتش می‌شوند و منتظر می‌مانند تا طبق معیارهای امنیتی خاصی پردازش شوند. حاصل این پردازش احتمال وقوع سه حالت است: ۱- اجازه عبور بسته صادر می‌شود. ۲- بسته حذف می‌شود.۳- بسته حذف می‌شود و پیام مناسبی به مبدا ارسال بسته فرستاده می‌شود.

* ساختار و عملكرد

  با این توضیح، دیواره آتش محلی است برای ایست بازرسی بسته‌های اطلاعاتی به گونه ای كه بسته‌ها براساس تابعی از قواعد امنیتی و حفاظتی پردازش شده و برای آنها مجوز عبور یا عدم عبور صادر شود. همانطور كه همه جا ایست بازرسی اعصاب خردكن و وقت گیر است دیواره آتش نیز می‌تواند به عنوان یك گلوگاه باعث بالا رفتن ترافیك، تاخیر، ازدحام و بن بست شود. از آنجا كه معماریTCP/IP به صورت لایه لایه است (شامل ۴ لایه: فیزیكی، شبكه، انتقال و كاربردی) و هر بسته برای ارسال یا دریافت باید از هر ۴ لایه عبور كند بنابراین برای حفاظت باید فیلدهای مربوطه در هر لایه مورد بررسی قرار گیرند. بیشترین اهمیت در لایه‌های شبكه، انتقال و كاربرد است چون فیلد مربوط به لایه فیزیكی منحصر به فرد نیست و در طول مسیر عوض می‌شود. پس به یك دیواره آتش چند لایه نیاز داریم. سیاست امنیتی یك شبكه مجموعه‌ای از قواعد حفاظتی است كه بنابر ماهیت شبكه در یكی از سه لایه دیواره آتش تعریف می‌شوند. كارهایی كه در هر لایه از دیواره آتش انجام می‌شود عبارت است از: ۱- تعیین بسته‌های ممنوع (سیاه) و حذف آنها یا ارسال آنها به سیستم‌های مخصوص ردیابی (لایه اول دیواره آتش) ۲- بستن برخی از پورت‌ها متعلق به برخی سرویس‌ها مثلTelnet، FTP و... (لایه دوم دیواره آتش) ۳- تحلیل برآیند متن یك صفحه وب یا نامه الكترونیكی یا .... (لایه سوم دیواره آتش)

در لایه اول فیلدهای سرآیند بسته IP مورد تحلیل قرار می‌گیرد.

 آدرس مبدا: برخی از ماشین‌های داخل یا خارج شبكه حق ارسال بسته را ندارند، بنابراین بسته‌های آنها به محض ورود به دیواره آتش حذف می‌شود. آدرس مقصد: برخی از ماشین‌های داخل یا خارج شبكه حق دریافت بسته را ندارند، بنابراین بسته‌های آنها به محض ورود به دیواره آتش حذف می‌شود. IP آدرس‌های غیرمجاز و مجاز برای ارسال و دریافت توسط مدیر مشخص می‌شود. شماره شناسایی یك دیتا گرام تكه تكه شده: بسته‌هایی كه تكه تكه شده اند یا متعلق به یك دیتا گرام خاص هستند حذف می‌شوند.

 زمان حیات بسته: بسته‌هایی كه بیش از تعداد مشخصی مسیریاب را طی كرده‌اند حذف می‌شوند.

بقیه فیلدها: براساس صلاحدید مدیر دیواره آتش قابل بررسی‌اند. بهترین خصوصیت لایه اول سادگی و سرعت آن است چرا كه در این لایه بسته‌ها به صورت مستقل از هم بررسی می‌شوند و نیازی به بررسی لایه‌های قبلی و بعدی نیست. به همین دلیل امروزه مسیریاب‌هایی با قابلیت انجام وظایف لایه اول دیواره آتش عرضه شده‌اند كه با دریافت بسته آنها را غربال كرده و به بسته‌های غیرمجاز اجازه عبور نمی‌دهند. با توجه به سرعت این لایه هر چه قوانین سختگیرانه تری برای عبور بسته‌ها از این لایه وضع شود بسته‌های مشكوك بیشتری حذف می‌شوند و حجم پردازش كمتری به لایه‌های بالاتر اعمال می‌شود.

در لایه دوم فیلدهای سرآیند لایه انتقال بررسی می‌شوند.

شماره پورت پروسه مبدا و مقصد: با توجه به این مساله كه شماره پورت‌های استاندارد شناخته شده‌اند ممكن است مدیر دیواره آتش بخواهد مثلاً سرویس FTP فقط برای كاربران داخل شبكه وجود داشته باشد بنابراین دیواره آتش بسته‌های TCP با شماره پورت ۲۰ و ۲۱ كه قصد ورود یا خروج از شبكه را داشته باشند حذف می‌كند و یا پورت ۲۳ كه مخصوصTelnet است اغلب بسته است. یعنی بسته‌هایی كه پورت مقصدشان ۲۳ است حذف می‌شوند. كدهای كنترلی: دیواره آتش با بررسی این كدها به ماهیت بسته پی می‌برد و سیاست‌های لازم برای حفاظت را اعمال می‌كند. مثلاً ممكن است دیواره آتش طوری تنظیم شده باشد كه بسته‌های ورودی باSYN=1 را حذف كند. بنابراین هیچ ارتباط TCP از بیرون با شبكه برقرار نمی‌شود. فیلد شماره ترتیب و:Acknowledgement  بنابر قواعد تعریف شده توسط مدیر شبكه قابل بررسی‌اند. در این لایه دیواره آتش با بررسی تقاضای ارتباط با لایه TCP، تقاضاهای غیرمجاز را حذف می‌كند. در این مرحله دیواره آتش نیاز به جدولی از شماره پورت‌های غیرمجاز دارد. هر چه قوانین سخت‌گیرانه تری برای عبور بسته‌ها از این لایه وضع شود و پورت‌های بیشتری بسته شوند بسته‌های مشكوك بیشتری حذف می‌شوند و حجم پردازش كمتری به لایه سوم اعمال می‌شود.

در لایه سوم حفاظت براساس نوع سرویس و برنامه كاربردی صورت می‌گیرد.

 در این لایه برای هر برنامه كاربردی یك سری پردازش‌های مجزا صورت می‌گیرد. بنابراین در این مرحله حجم پردازش‌ها زیاد است. مثلاً فرض كنید برخی از اطلاعات پست الكترونیكی شما محرمانه است و شما نگران فاش شدن آنها هستید. در اینجا دیواره آتش به كمك شما می‌آید و برخی آدرس‌های الكترونیكی مشكوك را بلوكه می‌كند، در متون نامه‌ها به دنبال برخی كلمات حساس می‌گردد و متون رمزگذاری شده‌ای را كه نتواند ترجمه كند حذف می‌كند. و اگر بخواهید صفحاتی كه در آنها كلمات كلیدی ناخوشایند شما هست، حذف می‌كند و اجازه دریافت این صفحات به شما یا شبكه شما را نمی‌دهد.

انواع دیواره‌های آتش دیواره‌های آتش هوشمند: امروزه حملات هكرها تكنیكی و هوشمند شده است به نحوی كه با دیواره‌های آتش و فیلترهای معمولی كه مشخصاتشان برای همه روشن است نمی‌توان با آنها مقابله كرد. بنابراین باید با استفاده از دیواره‌های آتش و فیلترهای هوشمند با آنها مواجه شد. از آنجا كه دیواره‌های آتش با استفاده از حذف بسته‌ها و بستن پورت‌های حساس از شبكه محافظت می‌كنند و چون دیواره‌های آتش بخشی از ترافیك بسته‌ها را به داخل شبكه هدایت می‌كنند (چرا كه در غیر این صورت ارتباط ما با دنیای خارج از شبكه قطع می‌شود) بنابراین هكرها می‌توانند با استفاده از بسته‌های مصنوعی مجاز و شناسایی پورت‌های باز به شبكه حمله كنند. بر همین اساس هكرها ابتدا بسته‌هایی ظاهراً مجاز را به سمت شبكه ارسال می‌كنند. یك فیلتر معمولی اجازه عبور بسته را می‌دهد و كامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را می‌دهد. بنابراین هكر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن كامپیوتر هدف اطمینان حاصل می‌كند. برای جلوگیری از آن نوع نفوذها دیواره آتش باید به آن بسته‌هایی اجازه عبور دهد كه با درخواست قبلی ارسال شده‌اند. حال با داشتن دیواره آتشی كه بتواند ترافیك خروجی شبكه را برای چند ثانیه در حافظه خود حفظ كرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد می‌توانیم از دریافت بسته‌های بدون درخواست جلوگیری كنیم. مشكل این فیلترها زمان پردازش و حافظه بالایی است كه نیاز دارند. اما در عوض ضریب اطمینان امنیت شبكه را افزایش می‌دهند.

 دیواره‌های آتش مبتنی بر پروكسی: دیواره‌های آتش هوشمند فقط نقش ایست بازرسی را ایفا می‌كنند و با ایجاد ارتباط بین كامپیوترهای داخل و خارج شبكه كاری از پیش نمی‌برد. اما دیواره‌های آتش مبتنی بر پروكسی پس از ایجاد ارتباط فعالیت خود را آغاز می‌كند. در این هنگام دیواره‌های آتش مبتنی بر پروكسی مانند یك واسطه عمل می‌كند، به نحوی كه ارتباط بین طرفین به صورت غیرمستقیم صورت می‌گیرد. این دیواره‌های آتش در لایه سوم دیواره آتش عمل می‌كنند، بنابراین می‌توانند بر داده‌های ارسالی در لایه كاربرد نیز نظارت داشته باشند. دیواره‌های آتش مبتنی بر پروكسی باعث ایجاد دو ارتباط می‌شود: ۱ - ارتباط بین مبدا و پروكسی ۲ - ارتباط بین پروكسی و مقصد.

حال اگر هكر بخواهد ماشین هدف در داخل شبكه را مورد ارزیابی قرار دهد در حقیقت پروكسی را مورد ارزیابی قرار داده است و نمی‌تواند از داخل شبكه اطلاعات مهمی‌به دست آورد. دیواره‌های آتش مبتنی بر پروكسی به حافظه بالا و CPU بسیار سریع نیاز دارند و از آنجایی كه دیواره‌های آتش مبتنی بر پروكسی باید تمام نشست‌ها را مدیریت كنند گلوگاه شبكه محسوب می‌شوند. پس هرگونه اشكال در آنها باعث ایجاد اختلال در شبكه می‌شود. اما بهترین پیشنهاد برای شبكه‌های كامپیوتری استفاده همزمان از هر دو نوع دیواره آتش است. با استفاده از پروكسی به تنهایی بارترافیكی زیادی بر پروكسی وارد می‌شود. با استفاده از دیواره‌های هوشمند نیز همانگونه كه قبلاً تشریح شد به تنهایی باعث ایجاد دیواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع دیواره آتش به صورت همزمان هم بار ترافیكی پروكسی با حذف بسته‌های مشكوك توسط دیواره آتش هوشمند كاهش پیدا می‌كند و هم با ایجاد ارتباط واسط توسط پروكسی از خطرات احتمالی پس از ایجاد ارتباط جلوگیری می‌شود.

  * روش Packet Filtering

نرم افزار ديواره آتش Desktop Firewall به روش Packet Filtering تمام ترافيك ورودي و خروجي شبكه را بازرسي و كنترل مي كند. نرم افزار از قواعد و قوانيني كه مدير و سرپرست شبكه تعريف كرده و همچنين قواعدي كه نرم افزار خود بطور هوشمندانه فرا گرفته، براي اين منظور استفاده مي كند.

روش Packet Filtering نرم افزار دیواره آتش Desktop Firewall را قادر می سازد تا از دریافت ترافيك مشكوك و غير مجاز توسط كاربر شود و همچنين اجازه نمي دهد كه هيچ كامپيوتري در شبكه تبديل به پايگاهي براي ارسال ترافيك غير مجاز به ديگر كاربران گردد. نرم افزار دیواره آتش Desktop Firewall بيش از 120 پروتكل IP را پشتيباني مي كند. بعلاوه مي توان براي پروتكل هاي غير IP نيز قواعد و قوانين مورد نياز را تعريف كرد.

 *  روش Application Filtering

نرم افزار ديواره آتش Desktop Firewall به روش Aplication Filtering تمام نرم افزارهای کاربردی را که در شبکه ترافیک ايجاد مي كنند، كنترل مي كند. با نظارت بر درگاه ها (Port) و پروتكل هايي كه هر نرم افزار کاربردی مورد استفاده قرار مي دهد، مي توان مانع از ايجاد و عبور ترافيك هاي غير مجاز در شبكه شد.

*  نظارت بر نرم افزارهاي كاربردي

نرم افزار ديواره آتش Desktop Firewall با نظارت و كنترل بر اجراي نرم افزارهاي كاربردي قادر است مانع از اجراي نرم افزارهاي غيرمجاز شود و همچنين اجازه اجراي برنامه هاي غيرمجازي كه خود را به نرم افزارهاي كاربردي مجاز وابسته ميكنند، ندهد. نرم افزار ديواره آتش Desktop Firewall به فهرستي از نرم افزارهاي مجاز دسترسي دارد كه بر اساس آن بر عملكرد نرم افزار ها نظارت مي كند. اين فهرست در اختيار مدير شبكه است تا بر حسب نياز تغييراتي در آن دهد. با استفاده از اين فهرست، مي توان مانع از نصب و اجرا شدن نرم افزارهاي متفرقه و غيرمجاز توسط كاربران بر روي كامپيوترهاي موسسه خود شد.

فن آوري Intrusion Detection كه در ديواره آتش Desktop Firewall بكار رفته، اين نرم افزار را قادر مي سازد تا در ترافيك عادي شبكه، علائم و فعاليت هاي مشكوك و مخرب را تشخيص دهد. به محض شناسايي علائم يك حمله در ترافيك ورودي و يا خروجي شبكه، حمله متوقف شده و علاوه بر ثبت واقعه، هشدار به افراد تعيين شده، ارسال ميگردد.

*قرنطينه كاربران خطر ساز

هر كامپيوتري كه سعي دارد به شبكه وصل شود، ابتدا توسط ابزار مدیریت ضد ویروس (e-Policy) بر اساس اطلاعاتي كه نرم افزار ديواره آتش Desktop Firewall ارسال ميكند، كنترل و بررسي مي شود. در صورتيكه، کامپیوتر داراي نرم افزار ضد ويروس قديمي و يا غير فعال باشد، اجازه دسترسي به شبكه نخواهد داشت.

*سازگاري با VPN

نرم افزار ديواره آتش Desktop Firewall به نحوي طراحي شده است كه با اغلب نرم افزارهاي VPN) Virtual Private Network) سازگاري داشته و امنيت اين شبكه ها را تقويت كند.