(http://njavan.com/forum/redirector.php?url=http%3A%2F%2Fwww.ramehr.com%2Fa rchives%2Fcategory%2Flearning%2Fnet-internet-disquisition)
مقاله ی پیش رو را جناب آقای محمد مهدی کسائیان برای نت پروف ارسال کرده اند و ما به نیابت از ایشان و البته با کمی ویرایش برای هماهنگ شدن با ساختار نتورک پروف، این مقاله را در سایت منتشر می کنیم. مقاله ای کامل در مورد فایروال است که بعد از انتشار به صورت قسمتی، در صورتی که از نظر حقوقی دچار مشکلی مانند کپی رایت نشود، حتما نسخه ی پی دی اف آن را نیز در سایت قرار خواهیم داد.

چکیده:
فایروال می تواند یک برنامه نرم افزاری و یا یک وسیله سخت افزاری باشد که مانند فیلتر از ورود اطلاعات ناخواسته به سیستم کامپیوتری و یا شبکه کامپیوتری جلوگیری کند. اگر بسته ای از اطلاعات توسط فیلترهای فایروال ، بسته ناخواسته تشخیص داده شود اجازه ورود به سیستم را نخواهد داشت.


اگر با نحوه جابجایی بسته های اطلاعات در شبکه آشنا باشید خواهید دید که چگونه یک فایروال می تواند از کامپیوتر حفاظت کند. تصور کنید در شرکتی کار می کنید که دارای ۵۰۰ کارمند است. شرکت مذکور دارای صدها کامپیوتر می باشد که توسط کارت شبکه به هم متصل اند و از طریق خطوط پرسرعت به اینترنت متصل می شوند. بدون مجهز بودن این شرکت به فایروال هر کس در اینترنت می تواند به تمام سیستم های موجود در شبکه دسترسی داشته باشد. و یا یک هکر حرفه ای می تواند به راحتی از طریق FTP و Telnet تمام کامپیوترهای آن شرکت را مورد بررسی قرار دهد. اگر یکی از کارمندان مرتکب اشتباهی شود و یک شکاف امنیتی در شبکه بوجود آورد، هکرها می توانند به کامپیوتر دست یابند و از آن شکاف نهایت استفاده را ببرند. اما با نصب فایروال مناسب می توان کاملا این موارد را بر طرف کرد.
اگر شرکت در هر یک از نقاط اتصال به اینترنت یک فایروال نصب کند و به اعمال و اجرای قوانین امنیتی بپردازد می تواند درصد هک شدن و تهدیدات را به میزان قابل توجهی کاهش دهد. برای روشن شدن موضوع به مثال زیر توجه کنید:
یکی از موارد امنیتی که در شرکت فرضی ممکن است اعمال شود کنترل ترافیک FTP است. چون در بین ۵۰۰ کامپیوتر موجود در شرکت تنها یکی از آنها مجاز به دریافت ترافیک FTP و پاسخ به درخواست های آن می باشد و درخواست ها نیز فقط مجازند با همان یک سیستم ( FTP Server ) ارتباط داشته باشند و نه با سیستم های دیگر. بنابراین شرکت می تواند از طریق فایروال قوانینی را وضع نماید تا کاربران راه دور فقط با همان یک سیستم ارتباط برقرار نماید. مانند آنچه برای FTP گفته شد را می توان برای دیگر سرورها از جمله Telnet Server , Web Server و غیره تعریف کرد. همچنین شرکت می تواند نحوه ارتباط کارکنان خود را به شبکه اینترنت و وب سایت های مختلف کنترل نماید.
Firewall به زبان ساده:

شاید بتوان Firewall یا به عبارتی سد امنیتی را چنین توضیح داد: مفهوم این سد امنیتی و نوع دفاعی که می کند ،خیلی شبیه قلعه ایست که اطراف قلعه خندق کنده باشند و هر کس بخواهد داخل قلعه بیاید باید خندق را دور بزند. و بالطبع اگر وارد شونده ماهری وجود داشته باشد می تواند مثلا با یک قلاب بپرد و به داخل قلعه بیاید و اگر ماهر نباشد داخل خندق می افتد . البته اگر داخل قلعه سگ پاسبان، دزدگیر، سنسورهای حساس و اینجور وسایل امنیتی باشند، به نگهبان قلعه خبر داده می شود که شخص مزاحم دارد وارد می شود و ممکن است جواهرات و طلا و اجناس قیمتی گم شوند و تکنیک بهتری برای حفاظت از آن باید بکار برند و با شخص مزاحم برخورد کنند .

البته این گونه حمله ها به قلعه بخشی از ماجراست، تهدید اصلی آن جاسوسانی هستند که در تاریکی شب پشت دیوارها مخفی می شوند و سد ها را بدون اینکه دیده شوند وشناسایی شوند پشت سد گذاشته اند و به هدفشان نزدیکترند. خوب حالا در این قلعه و با این سیستم امنیتی چه سیاست هایی را باید در پیش گرفت؟ تا کی باید به مردم اجازه داد در آن قلعه باشند .آیا به عنوان مثال کارهایی را برای ثبت خود به عنوان فرد مجاز، باید انجام دهند؟ بازرگانان و اهالی محلی شهر اجازه عبور و مرور در سوپر مارکت ها و کار در محوطه قلعه را دارند و می توانند کالاهای خود را بدست آورند یا تحویل دهند. در شب دروازه ها بسته می شوند و کالا ها داخل قلعه آورده می شوند معمولا بعد از یک بازرسی دقیق! (با این مقایسه سوپر مارکت حکم WEB server یا FTP server عمومی را دارند که برای دسترسی های عمومی با آنها وصل می شوید.
البته مواقعی هم پیش می آید که هیچ کس حق ورود را ندارد، فقط افراد مطمئن و کسانی مجوز عبور خاصی دارند می توانند وارد شوند که به این ترتیب حجم سنگینی از حمله ها بی اثر خواهند ماند. البته این یک قانون اجتماعی شده است که در همه جا، برج های بزرگ توسط پولداران سازنده ی آن، مستحکم و خوب و مطمئن ساخته می شود. به همین صورت در تجارت هم اگر بودجه کافی باشد می توان به خوبی از اطلاعات محافظت کرد. همچنان که سنگرهای دفاعی چند گانه در محافظت از قلعه کمک می کنند دیوار آتشین چندگانه در حفاظت از شبکه از دست نفوذگران (HACKERS) مفید است مثلا می توان مین ها یا سیم های حساس گذاشت تا اگر نگهبان قلعه هم خواب بود با ورود دزد با سر و صدا خبر دهد.

مروری بر قسمت قبل:
در قسمت قبل (http://www.networkprof.com/content/all-about-firewall-1/)، ابتدا با بیان یک مثال عینی، به توضیح نحوه فعالیت فایروال ها پرداختیم و در ادامه گفتیم که فایروال سیستمی است بین کاربران یک شبکه محلی و یک شبکه بیرونی مثل Internet که ضمن نظارت بر دسترسی ها، بر تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد و در واقع از شبکه های کامپیوتری محافظت می کند . این می تواند یک ابزار سخت افزاری باشد یا یک نرم افزار که روی یک کامپیوتر امن اجرا می شود. در هر حال باید رابط حداقل دو شبکه را داشته باشد . یکی شبکه ای که در آن می نشیند و باید از آن محافظت کند و دیگری یک شبکه بیرونی.
Firewall چه می کند؟
یک Firewall ترافیکی را که بین دو شبکه عبور می کند را امتحان و بررسی می کند تا ببیند آیا ملاقاتها طبق معیارهای خاصی صورت می گیرد یا نه. در واقع بسته های TCPIP قبل و بعد از ورود به شبکه وارد دیوار آتش می شوند و منتظر می مانند تا طبق معیارهای امنیتی خاصی پردازش شوند. حاصل این پردازش احتمال وقوع سه حالت است: و
1- اجازه عبور بسته داده می شود (Accept Mode )
2- بسته حذف می شود (Blocking Mode )
3- بسته حذف می شود وپیغام مناسب به مبدا ارسال بسته فرستاده می شود (Response Mode)
(به غیر از پیغام حذف بسته می توان عملیاتی نظیر اخطار، ردگیری و جلوگیری از ادامه استفاده از شبکه و توبیخ هم در نظر گرفت)
در حقیقت دیوار آتش محلی است برای ایست و بازرسی بسته های اطلاعاتی به گونه ای که بسته ها بر اساس تابعی از قواعد امنیتی و حفاظتی پردازش شده و برای آنها مجوز عبور یا عدم عبور صادر شود. اگر P مجموعه ای از بسته های ورودی به سیستم دیوار آتش در نظر گرفته شود و S مجموعه ای متناهی از قواعد امنیتی باشد داریم :
X=F(P,S)
F تابع عملکرد Firewall و X نتیجه بسته (شامل سه حالت Response,Accept و Blocking ) خواهد بود. همانطور که همه جا ایست و بازرسی وقت گیر و اعصاب خردکن است Firewall نیز می تواند به عنوان یک گلوگاه باعث بالا رفتن ترافیک، تاخیر و بن بست در شبکه شود. بن بست زمانی است که بسته ها آنقدر در حافظه دیوار آتش معطل می شوند تا طول عمرشان تمام شده و فرستنده اقدام به ارسال مجدد آنها کرده و این کار به طور متناوب تکرار شود.
به همین دلیل Firewall نیاز به طراحی صحیح و دقیق دارد تا از حالت گلوگاهی خارج شود. البته تاخیر درFirewall اجتناب ناپذیر است فقط باید به گونه ای باشد که بحران ایجاد نکند.
بیایید کمی جزئی تر به این مسئله نگاه کنیم، اگر از دیدگاه نظریه صف به یک دیوار آتش یا همان Firewall نگاه کنیم می توان تخمینی از تاخیر تحمیل شده به هر بسته را بدست آورد. معمولا تابع توزیع بسته ها را در شبکه های اطلاعاتی پوآسون در نظر می گیرند. فرض کنید λn متوسط انتقال بسته IP در واحد زمان از شبکه N به دیوار آتش و λm متوسط انتقال بسته در واحد زمان از شبکه M باشد.q را احتمال عبور بسته PM و r را احتمال عبور بسته PN فرض کنید.
(۱-q).λm+(1-r).λn = متوسط بسته های حذف شده
r.λn = متوسط انتقال بسته از دیوار آتش به M
q.λm = متوسط انتقال بسته از دیوار آتش به N
طبق نظریه صف اگر دیوار آتش بخواهد از نقش گلوگاهی خود بکاهد بایستی به گونه ای طراحی شود که نسبت متوسط خروجی بسته ها از دیوار آتش (u) به ورودی بسته ها (یعنی نسبت μ/λ) تا حد امکان زیاد باشد که این کار منوط به افزایش سرعت پردازش، داشتن حافظه کافی برای ذخیره بسته های پردازش نشده و هرچه سریع تر کردن تابع تصمیم گیری می باشد. مشکل زمانی حاد می شود که دیوار آتش مجبور باشد برای تصمیم گیری و اجازه عبور تعدادی از بسته ها را نگه دارد تا تصمیم گیری بر اساس مجموعه ای از بسته ها انجام شود. این نکته در ادامه آشکار تر خواهد شد.
Firewall چگونه کار می کند؟
دو متدولوژی در Firewall استفاده می شود. Firewall می تواند به تمام ترافیک اجازه عبور دهد تا اینکه به معیار مشخصی برسد یا اینکه به هیچ کس اجازه عبور ندهد مگر اینکه به معیار مشخصی برسد.
این معیارها از یک Firewall به Firewall دیگر تفاوت می کند. Firewall ها می توانند به محتوی داده حساس باشند یا آدرس مبدا و مقصد و شماره پورت و یا … تصمیم نهایی در مورد پذیرش یا رد بسته، بستگی به لایه شبکه ای دارد که روی آن کار می کند. Firewall ها روی لایه های مختلفی از شبکه سوار می شوند تا معیارهای مختلفی را برای محدود کردن ترافیک به کار برند. همانطور که می دانیم مدل شبکه OSI 7 لایه دارد. (لایه ۱ : لایه فیزیکی، لایه ۲: لایه پیوند داده ها، لایه ۳: لایه شبکه، لایه ۴ : لایه انتقال، لایه ۵: لایه جلسه، لایه۶: لایه ارائه (نمایش)،لایه ۷: لایه کاربرد)
و مدل شبکه اینترنت (لایه ۱ : واسط شبکه، لایه۲: لایه شبکه، لایه ۳: لایه انتقال، لایه۴: لایه کاربرد)
حال مختصر بپردازیم به اینکه Firewall چگونه کار می کند.