آبجی
24th July 2009, 05:11 PM
Firewall چیست؟
وقتي قرار باشد از يك ساختمان و وسايل داخل آن محافظت كنيم، اولين كاري كه انجام می دهيم، كنترل مبادي ورود و خروج ساختمان است. به بيان ديگر فقط به افراد منتخبي ، اجازه وارد شدن (و يا خارج شدن) از ساختمان را می دهيم. معيار انتخاب افراد براي كسي كه مامور كنترل ورود و خروج است بايستي در چارچوب يك خط مشي امنيتي، از قبل مشخص باشد.
در مورد شبكههاي كامپيوتري نيز بطور مشخص، همين روال را پيش می گيريم. يعني مرزهاي شبكه داخلي خود را كنترل ميكنيم. منظور از مرز شبكه، لبه تماس شبكه داخلي با شبكه(هاي) خارجي نظير اينترنت، شبكه يكي از شعب سازمان و يا شبكه يك سازمان ديگر است.
براي كنترل اين مرزها از Firewall استفاده ميشود
با پيادهسازي تكنيكهاي Packet Filtering، بخشي از وظايف يك Firewall را می توان به Router(هاي) لب مرز واگذار كرد. ولي Routerها به تنهايي قادر به انجام كل وظايف يك Firewall نيستند و استفاده از Firewallها امري اجتناب ناپذير است. دليل ناكافي بودن Packet Filtering در Router لب مرز دو چيز است: يكي اينكه اصولا" تمامي تكنيكهايي كه در Firewallها پياده سازي ميشوند، در Router قابل اجرا نيست و گذشته از آن، اصل دفاع لايه به لايه (يا دفاع در عمق) ميگويد كه محافظت بايستي در بيش از يك لايه انجام شود. (مانند دژهاي قديمي كه با لايههاي مختلف (خندق، دروازه اصلي، دروازههاي فرعي، برجها و ...) از آنها محافظت ميشد.
Router لب مرز، ترافيك را در سطح IP كنترل می كند. اين Router اولين لايه دفاعي شبكه محسوب ميشود. همانطور كه مشاهده ميشود در اين Router فقط به كاربراني از اينترنت اجازه عبور داده مي شود كه متقاضي يكي از سرويسهاي وب، پست الكترونيك و يا DNS باشند.
در هر شكل ناحيه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در اين ناحيه سرورهايي را قرار ميدهيم كه بايستي از اينترنت ديده شوند مانند Web Server، E-Mail Server و DNS Server. اگر بخواهيم DMZ را با يك مثال روشنتر توصيف كنيم، بايستي بگوييم كه DMZ مانند نمايشگاه و فروشگاه يك شركت است كه تقريبا" به همه اجازه داده ميشود به داخل آن بيايند و از محصولات ما ديدن كنند، اصولا" نمايشگاه به همين منظور ايجاد شده، فلسفه وجودي Web Server اين است كه از اينترنت ديده شود.
ناحيه ديگري كه در شبكهها وجود دارد، ناحيه Private Network است. هيچ بستهاي از طريق اينترنت اجازه ورود به ناحيه اختصاصي شبكه ما را ندارد مگر آنكه يكي از طرف يكي از كاربران داخلي درخواست شده باشد.
پس در سادهترين شكل، شبكه ما از سه ناحيه Public Network، DMZ و Private Network تشكيل شده و در مرز هر كدام از اين نواحي بايستي تمهيدات كنترلي اتخاذ كرده و عبور و مرور بستههاي اطلاعاتي را كنترل كنيم. در ادامه مقاله از اين سه بخش تحت عناوين Internat، DMZ و LAN نام خواهيم برد.
ممكن است علاوه بر سه ناحيه فوق، در ناحيه LAN، بخشي داشته باشيم كه از نظر حساسيت در سطح بالاتري نسبت به ساير LAN باشد. اين ناحيه، ناحيهايست كه سرورهاي حساس شبكه مانند سرور مالي و يا فايل سرور بخش تحقيق و توسعه قرارداد. براي اين ناحيه لازم است Firewall مجزايي پياده سازي شود. اين Firewall لايهاي است كه به لايههاي امنيتي اضافه شده و دسترسي غير مجاز به اين ناحيه را مشكلتر ميكند.
نتيجه گيري:
برای تامين امنيت يك شبكه، Firewall اولين چيزی است كه بايستی پياده سازی شود. نكته حائز اهميت آنكه، نصب يك Firewall در شبكه به تنهايی امنيت آن شبكه را تامين نخواهد كرد، آنچه مهمتر است، تعريف قواعد كنترل (Rules) و اعمال تنظيمات اوليه و همچنين مهمتر از آن به روزرسانی قواعد برمبنای تكنيكهای نفوذ و حملات جديد است.
وقتي قرار باشد از يك ساختمان و وسايل داخل آن محافظت كنيم، اولين كاري كه انجام می دهيم، كنترل مبادي ورود و خروج ساختمان است. به بيان ديگر فقط به افراد منتخبي ، اجازه وارد شدن (و يا خارج شدن) از ساختمان را می دهيم. معيار انتخاب افراد براي كسي كه مامور كنترل ورود و خروج است بايستي در چارچوب يك خط مشي امنيتي، از قبل مشخص باشد.
در مورد شبكههاي كامپيوتري نيز بطور مشخص، همين روال را پيش می گيريم. يعني مرزهاي شبكه داخلي خود را كنترل ميكنيم. منظور از مرز شبكه، لبه تماس شبكه داخلي با شبكه(هاي) خارجي نظير اينترنت، شبكه يكي از شعب سازمان و يا شبكه يك سازمان ديگر است.
براي كنترل اين مرزها از Firewall استفاده ميشود
با پيادهسازي تكنيكهاي Packet Filtering، بخشي از وظايف يك Firewall را می توان به Router(هاي) لب مرز واگذار كرد. ولي Routerها به تنهايي قادر به انجام كل وظايف يك Firewall نيستند و استفاده از Firewallها امري اجتناب ناپذير است. دليل ناكافي بودن Packet Filtering در Router لب مرز دو چيز است: يكي اينكه اصولا" تمامي تكنيكهايي كه در Firewallها پياده سازي ميشوند، در Router قابل اجرا نيست و گذشته از آن، اصل دفاع لايه به لايه (يا دفاع در عمق) ميگويد كه محافظت بايستي در بيش از يك لايه انجام شود. (مانند دژهاي قديمي كه با لايههاي مختلف (خندق، دروازه اصلي، دروازههاي فرعي، برجها و ...) از آنها محافظت ميشد.
Router لب مرز، ترافيك را در سطح IP كنترل می كند. اين Router اولين لايه دفاعي شبكه محسوب ميشود. همانطور كه مشاهده ميشود در اين Router فقط به كاربراني از اينترنت اجازه عبور داده مي شود كه متقاضي يكي از سرويسهاي وب، پست الكترونيك و يا DNS باشند.
در هر شكل ناحيه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در اين ناحيه سرورهايي را قرار ميدهيم كه بايستي از اينترنت ديده شوند مانند Web Server، E-Mail Server و DNS Server. اگر بخواهيم DMZ را با يك مثال روشنتر توصيف كنيم، بايستي بگوييم كه DMZ مانند نمايشگاه و فروشگاه يك شركت است كه تقريبا" به همه اجازه داده ميشود به داخل آن بيايند و از محصولات ما ديدن كنند، اصولا" نمايشگاه به همين منظور ايجاد شده، فلسفه وجودي Web Server اين است كه از اينترنت ديده شود.
ناحيه ديگري كه در شبكهها وجود دارد، ناحيه Private Network است. هيچ بستهاي از طريق اينترنت اجازه ورود به ناحيه اختصاصي شبكه ما را ندارد مگر آنكه يكي از طرف يكي از كاربران داخلي درخواست شده باشد.
پس در سادهترين شكل، شبكه ما از سه ناحيه Public Network، DMZ و Private Network تشكيل شده و در مرز هر كدام از اين نواحي بايستي تمهيدات كنترلي اتخاذ كرده و عبور و مرور بستههاي اطلاعاتي را كنترل كنيم. در ادامه مقاله از اين سه بخش تحت عناوين Internat، DMZ و LAN نام خواهيم برد.
ممكن است علاوه بر سه ناحيه فوق، در ناحيه LAN، بخشي داشته باشيم كه از نظر حساسيت در سطح بالاتري نسبت به ساير LAN باشد. اين ناحيه، ناحيهايست كه سرورهاي حساس شبكه مانند سرور مالي و يا فايل سرور بخش تحقيق و توسعه قرارداد. براي اين ناحيه لازم است Firewall مجزايي پياده سازي شود. اين Firewall لايهاي است كه به لايههاي امنيتي اضافه شده و دسترسي غير مجاز به اين ناحيه را مشكلتر ميكند.
نتيجه گيري:
برای تامين امنيت يك شبكه، Firewall اولين چيزی است كه بايستی پياده سازی شود. نكته حائز اهميت آنكه، نصب يك Firewall در شبكه به تنهايی امنيت آن شبكه را تامين نخواهد كرد، آنچه مهمتر است، تعريف قواعد كنترل (Rules) و اعمال تنظيمات اوليه و همچنين مهمتر از آن به روزرسانی قواعد برمبنای تكنيكهای نفوذ و حملات جديد است.