فراخوانی ...
فایروال نسخه چاپی RSS
  • سه‌شنبه 28 شهریور 1391 ساعت 11:01

    فایروال فرض کنید وضع مالیتان رو به راه شده است و چند کامپیوتر خریداری کرده‌اید و حالا تصمیم دارید آنها را به هم شبکه کنید. این شبکه قطعاً مزایایی را به دنبال خواهد داشت. مثلاً می‌توانید فایل‌هایتان را به اشتراک بگذارید، از سخت‌افزار مشترک استفاده کنید و... در حین بستن شبکه اولین سوالی که برایتان پیش می‌آید این است که آیا می‌خواهید سطح دسترسی همه‌ی کامپیوترهای شبکه به فایل‌های موجود بر روی سرور شبکه یکسان باشد؟ آیا می‌خواهید همه‌ی آنها به طور یکسان به سخت‌افزارهای مشترک دسترسی داشته باشند؟ مسئله ی دوم این است که با وجود شبکه شدن کامپیوترها، باز هم می‌توان حالتی را بوجود آورد که هر کامپیوتر بتواند مستقیماً به اینترنت متصل شود و فایل‌هایی را از روی شبکه‌تان بر روی اینترنت upload کند و یا فایل‌هایی را از اینترنت دانلود کرده و بر روی شبکه قرار دهد. واضح است که در این حالت سه مسئله‌ی اساسی رخ می‌دهد. اول اینکه فایل‌هایی که از اینترنت به شبکه منتقل می‌شوند قابل اعتماد نیستند و ممکن است آلوده به انواع و اقسام کرم‌ها، ویروس‌ها، تروجان‌ها و... باشند. دوم اینکه ممکن است فایل‌هایی که بر روی اینترنت آپلود می‌شوند اسناد بسیار مهمی باشند و کاربری که آنها را بر روی اینترنت قرار می‌دهد، قصد سویی را در ذهن داشته باشد. و سوم اینکه با هر اتصالی که به اینترنت صورت می‌گیرد خطر حمله و نفوذ هکرها به شبکه وجود دارد. حال سوال مهمی که به ذهن می‌رسد این است که برای غلبه بر مشکلات فوق چه باید کرد؟ آیا باید قید اتصال کامپیوترهای شبکه به اینترنت را بزنیم؟ البته این هم یک راه‌حل است ولی همیشه عملی نیست و موارد بسیاری را می توان در نظر گرفت که دسترسی کامپیوترهای شبکه به اینترنت امری کاملا ضروری است؛ مثلاً همین شبکه‌ی دانشگاه خودمان. علاوه بر این تعیین سطح دسترسی افراد مختلف به فایل‌های سرور و سخت‌افزارهای مشترک را چه کنیم؟ مثلاً در شبکه‌ی دانشگاه دانشجوها نباید به همه‌ی فایل‌های سرور دانشگاه دسترسی داشته باشند و نیز افرادی که شارژ پرینت ندارند نباید از پرینتر به اشتراک گذاشته شده استفاده کنند. راه‌حل منطقی که توسط متخصصان کامپیوتر ارائه می‌شود استفاده از فایروال هاست. البته لفظ فایروال پیش از اینکه پای به دنیای کامپیوتر بگذارد توسط کارگران ساختمانی و مهندسان معمار و عمران استفاده می‌شد و به دیواری از جنس آجر و ساروج اطلاق می‌شد که گرد نقاط آتش‌خیز ساختمان کشیده می‌شد تا در حین بروز آتش‌سوزی، آتش را در دل خود به دام بیندازد و به این ترتیب سایر نقاط ساختمان از خطر آتش‌سوزی در امان بمانند. در دنیای کامپیوتر فایروال یک سیستم سخت‌افزاری یا نرم‌افزاری و یا ترکیبی از هر دوی آنهاست که اطلاعات ارسالی از اینترنت به شبکه یا از شبکه به اینترنت را فیلتر می‌کند و نیز قابلیت‌هایی جهت ایجاد محدودیت برای کاربران شبکه دارد. در واقع این سیستم مثل لایه یا دیواری محافظ است که بین شبکه ما (که اصطلاحا trusted network گفته می‌شود) و شبکه‌ی خارجی مثل اینترنت (که اصطلاحاً untrusted network گفته می‌شود) قرار می‌گیرد و تمام بسته‌هایی که روی کانال ارتباطی قرار داده می‌شود را طبق معیارهای حفاظتی خاصی که توسط مدیر شبکه تنظیم می‌شود پردازش می‌کند. به این معیارها قانون‌های امنیتی نیز گفته می‌شود. قوانینی از قبیل چگونگی ارایه‌ی سرویس‌هایی مثل FTP به کامپیوترهای شبکه (مثلاً فقط به تعداد خاصی از کامپیوترهای شبکه اجازه‌ی استفاده از این سرویس را بدهیم)، عدم اجازه‌ی ارسال فایل از شبکه به بیرون آن، سفارشی کردن سرویس‌دهی بر اساس آدرس‌های IP، نام، پروتکل، پورت و... . پس از پردازش هر بسته یکی از سه حالت زیر رخ می دهد: 1) اجازه‌ی عبور برای بسته صادر می شود (Accept mode) 2) بسته حذف می شود (Blocking mode) 3) بسته حذف شده و پاسخ لازم به مبدا بسته ارسال می‌شود (Response mode) اساساً در انتقال اطلاعات از یک کامپیوتر به کامپیوتر دیگر، اطلاعات ارسالی به بسته‌های کوچکی تقسیم می شوند ( packet ها) و در کامپیوتر فرستنده از لایه‌های مختلفی عبور می‌کنند و در هر لایه یک سری سربار (header) یا فیلد به آنها افزوده می‌شود. این کار برای مقاصدی خاص مانند رعایت ترتیب ارسال بسته‌ها، تعیین مکان مبدا و مقصد بسته‌ها، تعیین نوع سرویس درخواستی، خطایابی و... صورت می‌گیرد. در کامپیوتر مقصد این سرفایل ها بررسی شده و بسته‌ی ارسالی با پیمودن مسیر عکس در لایه‌ها در کامپیوتر مقصد، دریافت می‌شود. قسمت عمده‌ی پردازشی که فایروال‌ها بر روی بسته‌ها انجام می‌دهند بر روی همین Headerها صورت می‌گیرد تا معلوم شود که آیا این فیلدها با قواعد امنیتی که فایروال با آنها تنظیم شده مطابقت دارند یا نه. اما فایروال در کجای شبکه قرار می‌گیرد؟ پاسخ این است که سه استاندارد برای محل فایروال در شبکه تعریف شده است: 1- جلوی سرور: این حالت مثل این است که سرور را بدون هیچ امنیتی در اینترنت قرار داده باشیم و لذا سرور کاملا ناامن خواهد بود(شکل1). ولی اگر هکری از ضعف سرور استفاده کرده و موفق به نفوذ شود، به کامپیوترهای شبکه راهی نخواهد داشت و عملاً به دیواره‌ای آتشین بر خواهد خورد و برای دسترسی به کامپیوترهای شبکه باید فایروال را بشکند. به علاوه در این حالت می توانید سطح دسترسی کامپیوترهای شبکه را نیز تنظیم کنید. 2- پشت سرور: در این حالت سرور در محدوده‌ی ایمن فایروال قرار می گیرد و لذا از دسترسی مستقیم در امان خواهد بود(شکل2). ولی چنان چه هکری بتواند دیواره آتش را بشکند به راحتی می تواند به سرور و سایر کامپیوترهای شبکه دسترسی داشته باشد. البته ضعف این حالت این است که کامپیوترهای شبکه اجازه ی این را دارند که هر کاری را روی سرور انجام دهند. 3- پشت و جلوی سرور: در واقع این حالت ترکیبی از دو حالت قبل است که در آن هم سرور و هم کامپیوترهای شبکه در امنیت مناسبی قرار خواهند گرفت(شکل3). این حالت از لحاظ امنیتی بهترین حالت را ایجاد می‌کند و البته هزینه‌ آن به خاطر استفاده از دو فایروال نسبت به حالتهای قبلی بالاتر است. فایروال‌ها براساس نحوه‌ی فیلترینگی که انجام می‌دهند به پنج دسته کلی تقسیم می شوند: نسل اول – فایروال های فیلتر کنندهی Packet: این نسل از فایروال‌ها اساساً بسیار ساده عمل می‌کنند و وقتی که بسته‌ای می‌خواهد از خارج به شبکه راه پیدا کند و یا بلعکس، Header را چک کرده و آن را بر اساس قوانین امنیتی فیلتر می‌کند. این کار در لایه سوم در مدل OSI یعنی لایه‌ی شبکه صورت می‌گیرد. نسل دوم – فایروال‌های Application: این نسل که بیشتر به پروکسی‌سرور مشهور است برای ارائه‌ی سرویس‌های درخواستی کاربر از نرم‌افزاری ویژه استفاده می‌کند. به عنوان مثال اگر کاربری خارجی قصد بازدید صفحه‌ای خاص از سرور ما را داشته باشد، پروکسی سرور به جای آنکه اجازه‌ی دسترسی مستقیم به سرور را به او بدهد خودش به عنوان یک واسطه عمل کرده و به سرور متصل شده و سرویس درخواستی را به کاربر ارائه می‌دهد. به این ترتیب سرور از دسترسی مستقیم و در نتیجه خطرات احتمالی در امان می‌ماند. همان طور که واضح است این کار نیاز به زمان دارد و لذا سرعت سرویس‌دهی پایین می‌آید. برای غلبه بر این مشکل، پروکسی سرور دارای یک حافظه‌ی cache است که همواره آخرین سرویس‌های درخواستی را در خود نگاه می‌دارد تا برای تقاضاهای بعدی نیاز به رجوع به سرور نداشته باشد. نسل سوم- فایروال‌های تفتیش وضعیت (State Inspection): این نسل رد پای هر ارتباطی از خارج به داخل شبکه یا از داخل به خارج آن را در جدولی موسوم به جدول وضعیت ذخیره می‌کند. این جدول اطلاعات دقیق سرویس درخواستی را در خود نگاه می‌دارد و هنگام ارسال بسته‌ها، آنها را با این اطلاعات مقایسه می‌کند؛ چنانچه همه‌ی موارد رعایت شده باشند بسته اجازه‌ی ورود می‌یابد و در غیر اینصورت از ورود آنها جلوگیری خواهد شد. البته این کار نیاز به پردازش زیادی دارد و معمولاً سرعت شبکه را کاهش می‌دهد. نسل چهارم- فیلترینگ پویای Packetها: این نسل فقط به بسته‌هایی با مبدا و مقصد و آدرس پورت خاص اجازه‌ی ورود می‌دهد. این فایروال‌ها کارکردهای پروتکل‌ها را می‌شناسند و درگاه‌ها را براساس Headerهای بسته‌ها باز و بسته می‌کنند. نسل پنجم- Kernel Proxy: این نسل که Kernel ویندوز NT است بسته‌ها را در لایه‌های مختلف ارزیابی می‌کند و سطح امنیتی نسبتاً عالی ایجاد می‌کند که البته نحوه‌ی کار آن در این مقاله نمی‌گنجد. تنظیم فایروال ها: فایروال‌ها را می‌توان براساس نیاز و سطح امنیتی مورد نظر نصب و تنظیم کرد. این کار در دو سطح انجام می‌شود. سطح اول در هنگام پیکربندی کلی شبکه صورت می‌گیرد؛ همان گونه که در سه شکل فوق نشان داده شد سه نوع پیکربندی می‌توان داشت و سه سطح امنیتی را بدست آورد. سطح دوم مربوط به تنظیمات خود فایروال است که اصطلاحاً آن را سفارشی کردن فایروال می‌گوییم و در واقع همان تعیین قوانین امنیتی برحسب نیاز است که چگونگی فیلترینگ را توصیف می‌کنند. مهمترین این قوانین شامل موارد زیر است: - آدرس IP: IP یک عدد 32 بیتی است که به صورت چهار عدد ده‌دهی که با نقطه از هم جدا می‌شوند نشان داده می‌شود. در واقع این عدد آدرس استاندارد هر کامپیوتر یا سخت‌افزار دیگری است که در شبکه حضور دارد. علت اینکه سخت‌افزارهای شبکه را با این عدد معرفی می‌کنیم این است که هر کامپیوتری زبان خاص خود را دارد و لذا نیاز به یک سیستم نام‌گذاری استاندارد و مشترک داریم که در آن سیستم، کامپیوترها بتوانند همدیگر را بشناسند. (درست مانند سیستم نامگذاری ترکیبات آلی و نام‌دهی بین المللی آنها). در صورتی که یک کامپیوتر موجود در شبکه فایل‌های زیادی را از سرور بخواهد ترافیک و حجم عملیات سرور را افزایش می‌دهد و در نتیجه کارکرد شبکه را مختل می‌کند. برای غلبه بر این مشکل می‌توان IP آن را یافت و از فایروال خواست تا ترافیک آن را بلاک کند. - اسامی دامنه‌ها: هر IP می تواند یک اسم در زبان انسانی داشته باشد که اصطلاحاً آن را اسم دامنه‌ی آن IP می گوییم (همان گونه که هر نام آیوپاک در شیمی یک نام در هر زبان انسانی دارد). به عنوان مثال آدرس IP مثل 216.27.61.137 دارای اسم دامنه‌ی www.irib.com است. استفاده از اسامی دامنه‌ها به دو منظور صورت می‌گیرد. یکی به خاطر سپردن ساده‌تر آنها نسبت به IPشان و دوم احتمال تغییر یافتن IP است. تصور کنید که مجبور بودید به جای آدرس سایت ها IP آن ها را حفظ می کردید! تازه بدتر اینکه پس از مدتی ممکن بود این IPها عوض می‌شد! واضح است که فایروال می‌تواند به جای بلاک کردن یک IP، اسم دامنه‌ی آن را بلاک کند. - پروتکل‌ها: پروتکل‌ها در واقع قوانینی هستند که برای نحوه‌ی ارتباط بین دو عنصر وضع می‌شوند. بحث پروتکل منحصر به دنیای کامپیوتر نیست و حتی ارتباط ما انسان ها نیز پروتکل‌های خاص خود را دارد؛ مثلا اول به همدیگر سلام می‌کنیم، با زبان مشترکی حرف می‌زنیم و هزاران قاعده‌ی دیگر که در هنگام صحبت کردن رعایت می‌کنیم. در اینترنت پروتکل‌های زیادی وجود دارد که برای مقاصدی خاص بوجود آمده‌اند، برخی از مهم‌ترین آنها به این شرحند: • IP: مهمترین سرویس ارائه‌ی اطلاعات است که بقیه پروتکل‌ها براساس آن طراحی شده‌اند • HTTP: پروتکلی که برای امور مربوط به صفحات web استفاده می‌شود. • FTP: پروتکلی است برای دریافت و ارسال فایل‌ها. • UDP: پروتکلی جهت ارسال و دریافت اطلاعاتی که چندان نیازی به اطمینان از صحت ارسال آن‌ها نداریم و سرعت ارسال آنها مهمتر است. مثلاً ارسال داده‌های صوتی و تصویری. • ICMD: این پروتکل در انتقال اطلاعات در Routerها استفاده می‌شود. • SMTP: پروتکلی است جهت ارسال email. • SNMP: برای جمع‌آوری اطلاعات از کامپیوترهای دوردست استفاده می‌شود. • TELNET: پروتکلی است که به کمک آن می‌توان دستوراتی را در کامپیوترهای دور اجرا کرد. شاید تصمیم داشته باشید در شبکه‌ فقط کامپیوترهای خاصی اجازه‌ی استفاده از پروتکل‌های ویژه‌ای را داشته باشند. مثلاً می‌خواهید کامپیوتر x از ارسال و دریافت email محروم باشد یا فقط کامیپیوتر y اجازه‌ی بازدید از صفحات وب را داشته باشد. در اینصورت می‌توان در تنظیمات فایروال شبکه، پروتکل SMTP را برای کامپیوتر x و پروتکل HTTP را برای همه‌ی کامپیوترها به جز کامپیوتر y مسدود کرد. - لغات یا عبارت های ویژه: فایروال‌ها می‌توانند در هر بسته‌ی اطلاعاتی جستجو کرده و اسامی یا اصطلاحات خاص را پیدا کرده و در صورت وجود آن اطلاعات، بسته اطلاعاتی را بلاک کنند. مثلاً هرجا کلمه‌ی ball وجود داشته باشد از ارسال یا دریافت آن جلوگیری کند. - ویروس‌ها: فایروال‌ها می‌توانند برنامه‌های آلوده به ویروس‌های آشنا را شناسایی و ردیابی کنند. علی آجریان – حمید شرافت مراجع: - Why Do You Need a Firewall? By Dummies publishing - Advance Firewalls by Yingjie Jiang - www.ipnetsecurity.com - www.shabgard.org - www.fa.vikipedi.org - www.iritn.com - www.semeng.net



    مقاله| اجتماعی
    نام منبع: مجله علمی و دانشجویی فرامتن
    شماره مطلب: 454
    دفعات دیده شده: 2147 | آخرین مشاهده: 4 ساعت پیش
مرتبط
  • نشریات علمی


     رشته نام نشریه اعتبار سردبیر مهندسی برق انرژی ایران  کمیته ملی انرژی ج.ا.ا علمی  ترویجی سید محمد صادقزاده پردازش علائم و داده ها  موسسه فرهنگی و هنری پردازش علائم هوشمند علمی  پژوهشی احمد اکبری رادار دانشگاه جامع امام حسین(ع) …
    صفحات داخلی | اجتماعی | دوشنبه 5 خرداد 1393
  • ان ال پی چیست و چه فوایدی دارد؟

    ان ال پی چیست و چه فوایدی دارد؟
    " ان ال پی " علم و هنر رسیدن به کمال و موفقیت است و از مطالعه اشخاصی که در زمینه های مختلف به نتایج چشمگیر رسیده اند حاصل شده است. ان ال پی کاربردی است . مجموعه ای از الگوها ، مهارتها و شیوه هایی است برای درست اندیشیدن و درست رفتار کردن. هدف ان ال پی مفید و موثر واقع شدن است. …
    دانستنی و سرگرمی | اجتماعی | چهارشنبه 25 دی 1392
  • پذیرش دانشجوی ارشد در دوره های مجازی دانشگاه علم و صنعت

    پذیرش دانشجوی ارشد در دوره های مجازی دانشگاه علم و صنعت
    مسئول دانشکده مجازی دانشکده علم و صنعت گفت: دانشگاه علم و صنعت ایران برای نیمسال دوم سال تحصیلی 93- 92 به شیوه الکترونیکی در مقطع کارشناسی ارشد دانشجو می پذیرد.
    خبر | اجتماعی | شنبه 7 دی 1392
  • نکته هایی در مورد تکنیک های بهبود حافظه

    نکته هایی در مورد تکنیک های بهبود حافظه
     این مقاله  برگرفته از مرکز خدمات دانش آموزی LWTC  است و حاوی نکته هایی در مورد تکنیک های بهبود حافظه  به شرح زیر  است  :  یادگیری و حافظه نقش خواب و رژیم غذایی رابطه خواب و مغز اصول و مبانی حافظه بهبود حافظه اهمیت مرور و بازخوانی یادگیری و حافظه …
    دانستنی و سرگرمی | اجتماعی | دوشنبه 27 آبان 1392
  • بررسی مفهوم کارافرینی اجتماعی


    روجر. ال. مارتین Roger L.Martin سلی اوزبرگ  Sally Osverg مترجم: فاطمه فرهنگ خواه مرکز بررسی خلاقیت های اجتماعی دانشگاه استنفوردبهار 2007کــــــــــــــــارآفرینی اجتماعی رشد قابل ملاحظه ای از نظر دانش، سرمایه و توجه داشته است. اما در کنار این محبوبیت روزافزون، اطمینان کمتری در …
    صفحات داخلی | اجتماعی | شنبه 27 مهر 1392