توضیح درباره نرم افزار فایروال
تبهای اولیه
Firewall بر اساس سیاست امنیتی، دسترسی به یک شبکه را کنترل میکند.
علاوه بر این معمولا Firewall برای ترجمه آدرس یک شبکه نیز به کار گرفته میشود.
Firewall مناسب و قوی جهت ایجاد یک شبکه امن مشخصههایی مثل: ۱- توانایی ثبت و اخطار، ۲- بازدید حجم بالایی از بستههای اطلاعات، ۳- سادگی پیکر بندی، ۴- امنیت و افزونگی Firewall را داراست.
حالا به توضیح مختصری از این ویژگیها میپردازیم.
توانایی ثبت و اخطار: ثبت وقایع یکی از مشخصههای بسیار مهم یک Firewall است و به مدیران شبکه این امکان را میدهد که انجام حملات را کنترل کنند.
مدیر شبکه میتواند با کمک اطلاعات ثبت شده، ترافیک ایجاد شده توسط کاربران مجاز را کنترل کند. در یک روال ثبت مناسب، مدیر به راحتی میتواند به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند.
یک Firewall خوب علاوه بر ثبت وقایع در شرایط بحرانی، مدیر شبکه را از وقایع مطلع میکند و اخطار میفرستد.
بازدید از حجم بالایی از بستههای اطلاعات؛ یکی از تستهای یک Firewall، توانایی آن در بازدید حجم بالایی از بستههای اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است.
یک Firewall حجم دادهای که میتواند کنترل کند در شبکههای مختلف متفاوت است اما نباید قطعا به یک گلوگاه شبکه تبدیل شود.
عوامل مختلفی در سرعت پردازش اطلاعات توسط Firewall نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی Firewall تحمیل میشوند.
کارتهای واسطی که بر روی Firewall نصب میشود میتواند عامل محدود کننده دیگری باشد.
Firewall بعضی کارها مثل صدور اخطار، کنترل دسترسی مبنی بر Url و بررسی وقایع ثبت شده را به نرم افزارهای دیگر میسپارد از سرعت و کارایی بالاتر و بهتری برخوردار است.
سادگی پیکر بندی: امکان راه اندازی سریع Firewall و مشاهده سریع خطاها و مشکلات است. در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکهها میشود به پیکر بندی غلط Firewall بر میگردد. یک پیکربندی سریع و ساده، امکان بروز خطا را کم میکند.
برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزاری که بتواند سیاستهای امنیتی را پیکر بندی ترجمه کند، برای یک Firewall بسیار مهم است.
امنیت و افزونگی Firewall:
امنیت Firewall خود یکی از نکات مهم در یک شبکه امن است. Firewall که نتواند خود را تامین کند، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد.
Firewall در دوبخش تامین کننده امنیت شبکه است.
الف) امنیت سیستم عامل Firewall:
اگر نرم افزار Firewall بر روی سیستم عامل جداگانهای کار میکند، نقاط ضعف امنیتی سیستم عامل میتواند نقاط ضعف Firewall به حساب بیاید. بنابراین امنیت و استحکام کامل Firewall و بروز رسانی آن از نکات مهم در امنیت Firewall است.
ب) دسترسی امن به Firewall جهت مقاصد مدیریتی:
یک Firewall باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرید. این روشها میتواند رمز نگاری همراه با روشنهای مناسب تعیین هویت به کار گیرد تا بتواند در مقابل نفوذ گران تاب بیاورد.
Firewallها به انواع مختلفی تقسیم میشوند که به معرفی آنها میپردازیم:
١- فایروالھای سطح مدار (Circuit-Level):
این فایروالھا به عنوان یک رله برای ارتباطات TCP عمل میکنند.
آنھا ارتباطTCP را با رایانه پشتشان قطع میکنند و خود به جای آن رایانه به پاسخگویی اولیه میپردازند. تنھا پس از برقراری ارتباط است که اجازه میدھند تا داده به سمت رایانه مقصد جریان پیدا کند و تنھا به بسته ھای دادهای مرتبط اجازه عبور میدھند.
این نوع از فایروالھا ھیچ داده درون بسته ھای اطلاعات را مورد بررسی قرار نمیدھند و لذا سرعت خوبی دارند.
ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلھا (غیر ازTCP) را نیزنمی دھند.
٢- فایروالھای پروکسی سرور: فایروالھای پروکسی سرور به بررسی بسته ھای اطلاعات در لایه کاربرد میپردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه ھای کاربردی پشتش را قطع میکند و خود به جای آنھا درخواست را ارسال میکند. نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه ھای کاربردی ارسال میکند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورھا و برنامه ھای کاربردی خارجی امنیت بالایی را تامین می کند. از آنجایی که این فایروالھا پروتکلھای سطح کاربرد ر ا میشناسند، لذا میتوانند بر مبنای این پروتکلھا محدودیتھایی را ایجاد کنند. ھمچنین آنھا میتوانند با بررسی محتوای بسته ھای دادهای به ایجاد محدودیتھای لازم بپردازند. البته این سطح بررسی میتواند به کندی این فایروالھا بیانجامد. ھمچنین از آنجایی که این فایروالھا باید ترافیک ورودی و اطلاعات
برنامه ھای کاربردی کاربر انتھایی را پردازش کند، کارایی آنھا بیشتر کاھش مییابد. اغلب اوقات پروکسی سرورھا از دید کاربر انتھایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالھا را به کار بگیرد.
ھر برنامه جدیدی که بخواھد از این نوع فایروال عبور کند، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد.
٣- فیلترھای Nosstateful packet:
این فیلترھا روش کار سادهای دارند. آنھا بر مسیر یک شبکه مینشینند و با استفاده از مجموعهای از قواعد، به بعضی بسته ھا اجازه عبور میدھند و بعضی دیگر را بلوکه میکنند. این تصمیمھا با توجه به اطلاعات آدرس دھی موجود در پروتکلھای شبکه مانندIP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلھای لایه انتقال مانند سرآیندھای UDP و TCP اتخاذ میشود. این فیلترھا زمانی میتوانند به خوبی عمل کنند که فھم خوبی از کاربرد سرویسھای مورد نیاز شبکه جھت محافظت داشته باشند. ھمچنین این فیلترھا میتوانند سریع باشند چون ھمانند پروکسی ھا عمل نمیکنند و اطلاعاتی درباره پروتکلھای لایه کاربرد ندارند.
۴- فیلترھای Stateful Packet:
این فیلترھا بسیار باھوشتر از فیلترھای ساده ھستند. آنھا تقریبا تمامی ترافیک ورودی را بلوکه میکنند اما میتوانند به ماشینھای پشتشان اجازه بدھند تا به پاسخگویی بپردازند. آنھا این کار ر ا با نگھداری رکورد اتصالاتی که ماشینھای پشتشان در لایه انتقال ایجاد میکنند، انجام میدھند. این فیلترھا، مکانیزم اصلی مورد استفاده جھت پیاده سازی فایروال در شبکه ھای مدرن ھستند. این فیلترھا میتوانند رد پای اطلاعات مختلف را از طریق بسته ھایی که در حال عبور ند ثبت کنند.
برای مثال شماره پورت ھایTCP وUDP مبدا و مقصد، شماره ترتیب TCP و پرچمھای TCP. بسیاری از فیلترھای جدید Stateful میتوانند پروتکلھای لایه کاربرد مانندHTTP و FTP را تشخیص دھند و لذا میتواننداعمال کنترل دسترسی را با توجه به نیازھا و سرعت این پروتکلھا انجام دھند.
۵- فایروالھای شخصی: فایروالھای شخصی، فایروالھایی ھستند که بر روی رایانه ھای شخصی نصب میشوند. آنھا برای مقابله با حملات شبکهای طراحی شدهاند. معمولا از برنامه ھای در حال اجرا در ماشین آگاھی دارند و تنھا به ارتباطات ایجاد شده توسط این برنامه ھا اجازه میدھند که به کار بپردازند نصب یک فایروال شخصی بر روی یکPCبسیار مفید است زیرا سطح امنیت پیشنھادی توسط فایروال شبکه را افزایش میدھد.
از طرف دیگر از آنجایی کهامروزه بسیاری از حملات از درون شبکه حفاظت شده انجام میشوند، فایروال شبکه نمیتواند کاری برای آنھا انجام دھد و لذا یک فایروال شخصی بسیار مفید خواھد بود. معمولا نیازیبه تغییر برنامه جھت عبور از فایروال شخصی نصب شده (ھمانند پروکسی) نیست
موقعیت یابی برای فایروال
محل و موقعیت نصب فایروال ھمانند انتخاب نوع صحیح فایروال و پیکربندی کامل آن، از اھمیت ویژهای
برخوردار است. نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از: موقعیت و محل نصب از لحاظ توپولوژیکی: معمولا مناسب به نظر میرسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم. این امر به ایجاد بھترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال از یک طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک میکند.
قابلیت دسترسی و نواحی امنیتی: اگر سرورھایی وجود دارند که باید برای شبکه عمومی در دسترس باشند، بھتر است آنھا را بعد از فایروال و در ناحیه DMZ قرار دھید.
قرار دادن این سرورھا در شبکه خصوصی وتنظیم فایروال جھت صدور اجازه به کاربران خارجی برای دسترسی به این سرورھا برابر خواھد بود با ھک شدن شبکه داخلی. چون شما خود مسیر
ھکرھا را در فایروال باز کردهاید. درحالی که با استفاده از ناحیهDMZ سرورھای قابل دسترسی برای شبکه عمومی از شبکه خصوصی، شما بطور فیزیکی جدا ھستند، لذا اگر ھکرھا بتوانند به نحوی به
این سرورھا نفوذ کنند بازھم فایروال را پیش روی خود دارند.
مسیریابی نامتقارن: بیشتر فایروالھای مدرن سعی میکنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنھا شبکه داخلی را به شبکه عمومی وصل کرده است، نگھداری کنند. این اطلاعات کمک میکنند تا تنھا بسته ھای اطلاعاتیمجاز به شبکه خصوصی وارد شوند. در نتیجه حائز اھمیت
است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصیاز طریق یک فایروال باشد.
فایروالھای لایهای: در شبکه ھای با درجه امنیتی بالا بھتر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشکلی روبرو شود، دومی به کار ادامه میدھد. معمولا بھتر است دو یا چند
فایروال مورد استفاده از شرکتھای مختلفی باشند تا در صورت وجود یک اشکال نرم افزاری یا حفره
امنیتی در یکی از آنھا، سایرین بتوانند امنیت شبکه را تامین کنند.
فایروال یک برنامه و یا دستگاه سخت افزاری است که با تمرکز بر روی شبکه و اتصال اینترنت ، تسهیلات لازم در جهت عدم دستیابی کاربران غیرمجاز به شبکه و یا کامپیوتر شما را ارائه می نماید. فایروال ها این اطمینان را ایجاد می نمایند که صرفا" پورت های ضروری برای کاربران و یا سایر برنامه های موجود در خارج از شبکه در دسترس و قابل استفاده می باشد. به منظور افزایش ایمنی ، سایر پورت ها غیرفعال می گردد تا امکان سوء استفاده از آنان توسط مهاجمان وجود نداشته باشد . در برخی موارد و با توجه به نیاز یک برنامه می توان موقتا" تعدادی از پورت ها را فعال و پس از اتمام کار مجددا" آنان را غیرفعال نمود . بخاطر داشته باشید که به موازات افزایش تعداد پورت های فعال ، امنیت کاهش پیدا می نماید .
فایروال های نرم افزاری ، برنامه هائی هستند که پس از اجراء ، تمامی ترافیک به درون کامپیوتر را کنترل می نمایند( برخی از فایروال ها علاوه بر کنترل ترافیک ورودی ، ترافیک خروجی را نیز کنترل می نمایند) . فایروال ارائه شده به همراه ویندوز XP ، نمونه ای در این زمینه است . فایروال های نرم افزاری توسط شرکت های متعددی تاکنون طراحی و پیاده سازی شده است . تعداد زیادی از اینگونه فایروال ها، صرفا" نظاره گر ترافیک بین شبکه داخلی و اینترنت بوده و ترافیک بین کامپیوترهای موجود در یک شبکه داخلی را کنترل نمی نمایند .
نحوه استفاده از فایروال ویندوز
امروزه از اینترنت در ابعاد گسترده و با اهدافی مختلف استفاده بعمل می آید . یکی از نکات قابل توجه اینترنت ، تنوع استفاده کنندگان آن در رده های سنی مختلف و مشاغل گوناگون است. در سالیان اخیر و به موازات رشد چشمگیر استفاده از اینترنت خصوصا" توسط کاربران خانگی ، مشاهده شده است به محض شیوع یک ویروس و یا کرم جدید ، اغلب قربانیان را کاربرانی تشکیل می دهند که فاقد مهارت های لازم در جهت استفاده ایمن از اینترنت بوده و دارای یک سطح حفاظتی مناسب نمی باشند . کاربران اینترنت همواره در تیررس مهاجمان بوده و همیشه امکان بروز حملات وجود خواهد داشت .
برای استفاده ایمن از اینترنت ، می بایست اقدامات متعددی را انجام داد . قطعا" استفاده از فایروال یکی از اقدامات اولیه و در عین حال بسیار مهم در این زمینه است . استفاده از اینترنت بدون بکارگیری یک فایروال ، نظیر بازنگهداشتن درب ورودی یک ساختمان است که هر لحظه ممکن است افراد غیرمجاز از فرصت ایجاد شده برای ورود به ساختمان استفاده نمایند . با نصب و استفاده از یک فایروال ، ضریب مقاومت و ایمنی کاربران در مقابل انواع حملات افزایش خواهد یافت .
شرکت مایکروسافت اخیرا" Service Pack 2 ویندوز XP را عرضه نموده است ( نسخه های Professional و Home ) . یکی از ویژگی های مهم SP2 ، نصب پیش فرض یک فایروال است.
فایروال ویندوز XP که از آن با نام ( ICF ( Internet Connection Firewall نیز یاد می گردد به صورت پیش فرض ، فعال می گردد. پس از فعال شدن فایروال ، شاهد بروز تغییراتی گسترده در رابطه با عملکرد ویندوز بوده و ممکن است برخی برنامه ها ، ابزارها و یا سرویس ها در زمان اجراء با مشکلاتی مواجه گردند (بلاک شدن برخی از پورت های استفاده شده توسط برنامه ها و یا سایر ابزارهای کاربردی ) .
در این مطلب قصد داریم به بررسی نحوه استفاده از فایروال ویندوز XP پرداخته و به برخی از سوالات متداول در این زمینه پاسخ دهیم . احازه دهید قبل از هر چیز با فایروال ها و جایگاه آنان در استفاده ایمن از شبکه های کامپیوتری ( اینترانت ، اینترنت ) بیشتر آشنا شویم .
فایروال
فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.
مشخصه های مهم یک فایروال
مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:
1. توانایی ثبت و اخطار
ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.
2. بازدید حجم بالایی از بسته های اطلاعات
یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.
3. سادگی پیکربندی
سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است.
4. امنیت و افزونگی فایروال
امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است:
الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.
ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.
انواع فایروال
انواع مختلف فایروال کم و بیش کارهایی را که اشاره کردیم ، انجام می دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروال می شود.بر این اساس فایروالها را به 5 گروه تقسیم می کنند.
1. فایروالهای سطح مدار (Circuit-Level)
این فایروالها به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP را با رایانه پشتشان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند.تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند. این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند. ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلها ( غیر از TCP) را نیز نمی دهند.
2. فایروالهای پروکسی سرور
فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد می پردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی پشتش را قطع می کند و خود به جای آنها درخواست را ارسال می کند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال می کند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین می کند. از آنجایی که این فایروالها پروتکلهای سطح کاربرد را می شناسند ، لذا می توانند بر مبنای این پروتکلها محدودیتهایی را ایجاد کنند. همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به کندی این فایروالها بیانجامد. همچنین از آنجایی که این فایروالها باید ترافیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالها را به کار بگیرد.هر برنامه جدیدی که بخواهد از این نوع فایروال عبور کند ، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد.
3. فیلترهای Nosstateful packet
این فیلترها روش کار ساده ای دارند. آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتکلهای لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلهای لایه انتقال مانند سرآیندهای TCP و UDP اتخاذ می شود. این فیلترها زمانی می توانند به خوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این فیلترها می توانند سریع باشند چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی درباره پروتکلهای لایه کاربرد ندارند.
4. فیلترهای ٍStateful Packet
این فیلترها بسیار باهوشتر از فیلترهای ساده هستند. آنها تقریبا تمامی ترافیک ورودی را بلوکه می کنند اما می توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنها این کار را با نگهداری رکورد اتصالاتی که ماشینهای پشتشان در لایه انتقال ایجاد می کنند، انجام می دهند.این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبکه های مدرن هستند.این فیلترها می توانند رد پای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدا و مقصد، شماره ترتیب TCP و پرچمهای TCP. بسیاری از فیلترهای جدید Stateful می توانند پروتکلهای لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا می تواننداعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکلها انجام دهند.
5. فایروالهای شخصی
فایروالهای شخصی ، فایروالهایی هستند که بر روی رایانه های شخصی نصب می شوند.آنها برای مقابله با حملات شبکه ای طراحی شده اند. معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش می دهد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده انجام می شوند ، فایروال شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود. معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروکسی) نیست.
موقعیت یابی برای فایروال
محل و موقعیت نصب فایروال همانند انتخاب نوع صحیح فایروال و پیکربندی کامل آن ، از اهمیت ویژه ای برخوردار است. نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از :
موقعیت و محل نصب از لحاظ توپولوژیکی
معمولا مناسب به نظر می رسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم. این امر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال از یک طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.
قابلیت دسترسی و نواحی امنیتی
اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از فایروال و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی وتنظیم فایروال جهت صدور اجازه به کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود با هک شدن شبکه داخلی. چون شما خود مسیر هکرها را در فایروال باز کرده اید. در حالی که با استفاده از ناحیه DMZ ، سرورهای قابل دسترسی برای شبکه عمومی از شبکه خصوصی شما بطور فیزیکی جدا هستند، لذا اگر هکرها بتوانند به نحوی به این سرورها نفوذ کنند بازهم فایروال را پیش روی خود دارند.
مسیریابی نامتقارن
بیشتر فایروالهای مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنها شبکه داخلی را به شبکه عمومی وصل کرده است، نگهداری کنند. این اطلاعات کمک می کنند تا تنها بسته های اطلاعاتی مجاز به شبکه خصوصی وارد شوند. در نتیجه حائز اهمیت است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصی از طریق یک فایروال باشد.
فایروالهای لایهای
در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشکلی روبرو شود، دومی به کار ادامه می دهد.معمولا بهتر است دو یا چند فایروال مورد استفاده از شرکتهای مختلفی باشند تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تامین کنند.
فایروال چه کار می کند ؟
فایروال ها حفاظت لازم در مقابل مهاجمان خارجی را ایجاد و یک لایه و یا پوسته حفاظتی پیرامون کامپیوتر و یا شبکه را در مقابل کدهای مخرب و یا ترافیک غیرضروری اینترنت ، ارائه می نمایند . با بکارگیری فایروال ها ، امکان بلاک نمودن داده از مکانی خاص فراهم می گردد . امکانات ارائه شده توسط یک فایروال برای کاربرانی که همواره به اینترنت متصل و از امکاناتی نظیر DSL و یا مودم های کابلی استفاده می نمایند ، بسیار حیاتی و مهم می باشد.
چه نوع فایروال هائی وجود دارد ؟
فایروال ها به دو شکل سخت افزاری ( خارجی ) و نرم افزاری ( داخلی ) ، ارائه می شوند . با اینکه هر یک از مدل های فوق دارای مزایا و معایب خاص خود می باشند ، تصمیم در خصوص استفاده از یک فایروال بمراتب مهمتر از تصمیم در خصوص نوع فایروال است .
• فایروال های سخت افزاری:
این نوع از فایروال ها که به آنان فایروال های شبکه نیز گفته می شود ، بین کامپیوتر شما (و یا شبکه) و کابل و یا خط DSL قرار خواهند گرفت . تعداد زیادی از تولید کنندگان و برخی از مراکز ISP دستگاههائی با نام "روتر" را ارائه می دهند که دارای یک فایروال نیز می باشند . فایروال های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بوده و یک سطح مناسب حفاظتی را ارائه می نمایند( امکان استفاده از آنان به منظور حفاظت یک دستگاه کامپیوتر نیز وجود خواهد داشت ) . در صورتی که شما صرفا" دارای یک کامپیوتر پشت فایروال می باشید و یا این اطمینان را دارید که سایر کامپیوتر های موجود بر روی شبکه نسبت به نصب تمامی patch ها ، بهنگام بوده و عاری از ویروس ها و یا کرم ها می باشند ، ضرورتی به استفاده از یک سطح اضافه حفاظتی (یک نرم افزار فایروال ) نخواهید داشت . فایروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سیستم عامل اختصاصی خود می باشد . بنابراین بکارگیری آنان باعث ایجاد یک لایه دفاعی اضافه در مقابل تهاجمات می گردد .
• فایروال های نرم افزاری :
برخی از سیستم های عامل دارای یک فایروال تعبیه شده درون خود می باشند . در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای ویژگی فوق می باشد ، پیشنهاد می گردد که آن را فعال نموده تا یک سطح حفاظتی اضافی در خصوص ایمن سازی کامپیوتر و اطلاعات ، ایجاد گردد .(حتی اگر از یک فایروال خارجی یا سخت افزاری استفاده می نمائید). در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای یک فایروال تعیبه شده نمی باشد ، می توان اقدام به تهیه یک فایروال نرم افزاری کرد . با توجه به عدم اطمینان لازم در خصوص دریافت نرم افزار از اینترنت با استفاده از یک کامپیوتر محافظت نشده ، پیشنهاد می گردد برای نصب فایروال از CD و یا DVD مربوطه استفاده گردد .
نحوه پیکربندی بهینه یک فایروال به چه صورت است ؟
اکثر محصولات فایروال تجاری ( هم سخت افزاری و هم نرم افزاری ) دارای امکانات متعددی بمنظور پیکربندی بهینه می باشند . با توجه به تنوع بسیار زیاد فایروال ها ، می بایست به منظور پیکربندی بهینه آنان به مستندات ارائه شده ، مراجعه تا مشخص گردد که آیا تنظمیات پیش فرض فایروال نیاز شما را تامین می نماید یا خیر ؟ . پس از پیکربندی یک فایروال یک سطح امنیتی و حفاظتی مناسب در خصوص ایمن سازی اطلاعات انجام شده است . لازم است به این موضوع مهم اشاره گردد که پس از پیکربندی یک فایروال نمی بایست بر این باور باشیم که سیستم ما همواره ایمن خواهد بود . فایروال ها یک سطح مطلوب حفاظتی را ارائه می نمایند ولی هرگز عدم تهاجم به سیستم شما را تضمین نخواهند کرد . استفاده از فایروال به همراه سایر امکانات حفاظتی نظیر نرم افزارهای آنتی ویروس و رعایت توصیه های ایمنی می تواند یک سطح مطلوب حفاظتی را برای شما و شبکه شما بدنبال داشته باشد .
ضرورت استفاده از فایروال
یک سیستم بدون وجود یک فایروال ، در مقابل مجموعه ای گسترده از برنامه های مخرب آسیپ پذیر است و در برخی موارد صرفا" پس از گذشت چندین دقیقه از اتصال به اینترنت ، آلوده خواهد شد . در صورتی که تدابیر و مراقبت لازم در خصوص حفاظت از سیستم انجام نگردد ، ممکن است کامپیوتر شما توسط برنامه هائی که به صورت تصادفی آدرس های اینترنت را پویش می نمایند ، شناسائی شده و با استفاده از پورت های فعال اقدام به تخریب و یا سوء استفاده از اطلاعات گردد .
بخاطر داشته باشید با این که استفاده از فایروال ها به عنوان یک عنصر حیاتی در ایمن سازی محیط های عملیاتی مطرح می باشند ولی تمامی داستان ایمن سازی به این عنصر ختم نمی شود و می بایست از سایر امکانات و یا سیاست های امنیتی خاصی نیز تبعیت گردد . باز نکردن فایل های ضمیمه همراه یک Email قبل از حصول اطمینان از سالم بودن آنان ، پیشگیری از برنامه های جاسوسی معروف به Spyware و یا نصب برنامه های Plug-ins که با طرح یک پرسش از شما مجوز نصب را دریافت خواهند داشت ، نمونه هائی از سایر اقدامات لازم در این زمینه است .
فایروال ها قادر به غیرفعال نمودن ویروس ها و کرم های موجود بر روی سیستم نبوده و همچنین نمی توانند نامه های الکترونیکی مخرب به همراه ضمائم آلوده را شناسائی و بلاک نمایند . به منظور افزایش ضریب ایمنی و مقاومت در مقابل انواع حملات ، می بایست اقدامات متعدد دیگری صورت پذیرد :
نصب و بهنگام نگهداشتن یک برنامه آنتی ویروس
استفاده از ویندوز Upadate ( برطرف نمودن نقاط آسیب پذیر ویندوز و سرویس های مربوطه )
استفاده از برنامه های تشخیص Spyware
نصب Plug-ins از سایت های تائید شده
نحوه فعال نمودن فایروال در ویندوز XP
در صورت نصب SP2 ویندوز XP ، فایروال به صورت پیش فرض فعال می گردد . برخی از مدیران شبکه و یا افرادی که اقدام به نصب نرم افزار می نمایند ، ممکن است آن را غیرفعال کرده باشند .
برای آگاهی از وضعیت فایروال از پنجره Security Center استفاده می شود . بدین منظور مراحل زیر را دنبال می نمائیم :