همه چیز درباره فایروال

اگر از اینترنت استفاده می کنید، و بخصوص اگر در یک شرکت بزرگ کار می کنید که در حین کار به اینترنت متصل هستید حتما نام فایروال را شنیده اید. شما می توانید با استفاده از فایروال از شبکه خود در مقابل وب سایتهای خرابکار و هکرها محافظت نمایید. یک فایروال در حقیقت حصاری است که نیروهای خرابکار را از شما دور نگه می دارد. به همین دلیل به آن فایروال (دیوار آتش) گفته می شود. کار این حصار شبیه یک دیوار آتش فیزیکی است که از گسترش آتش از یک ناحیه به ناحیه دیگر جلوگیری می کند. در این مقاله اطلاعات بیشتری راجع به فایروالها، نحوه کار آنها، و خطراتی که در مقابل آن از شما محافظت می کنند بدست خواهید آورد.

1- یک فایروال چه می کند؟

یک فایروال یک برنامه یا یک وسیله سخت افزاری است که اطلاعاتی را که از طریق اینترنت به شبکه یا کامپیوتر شما وارد و یا از آن خارج می شود، بررسی و درصورت نیاز فیلتر می کند. اگر بسته ای که در حال ورود به شبکه شماست بعنوان بسته فیلتری برچسب بخورد، دیگر اجازه ورود به شبکه شما را نخواهد داشت. فرض کنید که شما در شرکتی با 500 کارمند کار می کنید. این شرکت چند صد کامپیوتر دارد که از طریق کارت شبکه به هم متصلند. همچنین این شرکت از یک یا چند اتصال به اینترنت استفاده می کند. بدون استفاده از فایروال تمامی این کامپیوترها از طریق اینترنت برای هرکسی قابل دسترسی هستند. هر فردی خارج از شبکه شما که می داند چه کاری باید انجام دهد، می تواند با این کامپیوترها اتصال FTP، telnet و غیره برقرار کند. اگر یکی از کارمندان اشتباهی مرتکب شده و یک حفره امنیتی را باز بگذارد، هکرها می توانند به سیستم او وارد شده و از حفره امنیتی موجود سوء استفاده نمایند. اما در مقابل با استفاده از یک فایروال، اتفاق کاملا متفاوتی رخ می دهد. شرکت در سر راه هر اتصالی به اینترنت یک فایروال قرار می دهد. فایروال می تواند قوانین امنیتی را پیاده کند. برای مثال یکی از قوانین امنیتی یک شرکت می تواند این باشد: از میان 500 کامپیوتر این شرکت، فقط یکی حق دارد ترافیک FTP را دریافت نماید. یک شرکت می تواند چنین قوانینی را برای سرورهای FTP، سرورهای وب، سرورهای Telnet و مانند آن اختصاص داده و تعریف نماید. بعلاوه یک شرکت می تواند در مورد نحوه اتصال کارمندان به وب سایتها و اینکه آیا فایلها مجوز خروج از شبکه شرکت را دارند یا خیر، کنترلهای لازم را اعمال نماید. یک فایروال کنترل مناسبی بر روی نحوه استفاده کارمندان از شبکه ایجاد می کند. فایروالها با استفاده از حداقل یکی از روشهای زیر، ترافیک ورودی و خروجی شبکه را کنترل می کنند:

• فیلتر کردن بسته ها
  بسته های داده بر اساس مجموعه ای از فیلترها تحلیل می شوند. بسته هایی که مجوز داشته باشند وارد شده و بقیه رد می شوند.
• سرویس Proxy
  اطلاعات دریافتی از اینترنت ابتدا توسط فایروال دریافت شده و سپس به سیستم درخواست کننده ارسال می شوند و برعکس.
• تفتیش Stateful
  روشی جدید که محتویات هر بسته را بررسی نمی کند و به جای آن، بخشهای کلیدی مشخصی از بسته ها را با یک پایگاه داده مطمئن مقایسه می نماید. اطلاعاتی که از درون فایروال به بیرون می روند، از لحاظ برخی ویژگیها بررسی و کنترل شده و اطلاعات ورودی با این ویژگیها مقایسه می گردند. اگر تطابق معنا داری بین این دو دسته وجود داشته باشد، آنگاه اطلاعات اجازه ورود را خواهند داشت و در غیر اینصورت رد می شوند.

2- انواع فایروال

• فایروالهای سخت افزاری:
  
  این نوع فایروالها که به آن فایروال شبکه نیز گفته می شود، بین کامپیوتر (یا شبکه) شما و کابل یا خط DSL قرار می گیرند. تعداد زیادی از تولید کنندگان و برخی از مراکز ISP، مسیریابهایی ارائه می دهند که دارای یک فایروال نیز می باشند. فایروالهای سخت افزاری معمولا در مواردی که قصد حفاظت از چندین کامپیوتر را داشته باشید مفید بوده و یک سطح حفاظتی مناسب را ارائه می نمایند (بدیهی است که امکان استفاده از این فایروالها به منظور حفاظت از یک دستگاه کامپیوتر نیز وجود دارد). در صورتی که شما صرفا یک کامپیوتر پشت فایروال قرار داده اید و یا این اطمینان را دارید که سایر کامپیوتر های موجود بر روی شبکه، از لحاظ نصب تمامی اصلاحیه ها به روز بوده و عاری از هرگونه بدافزاری می باشند، نیازی به استفاده از یک نرم افزار فایروال نخواهید داشت. فایروالهای سخت افزاری، دستگاههای سخت افزاری مجزائی هستند که دارای سیستم عامل اختصاصی خود می باشند و استفاده از آنها باعث ایجاد یک لایه دفاعی اضافه در مقابل تهاجمات می گردد.
• فایروالهای نرم افزاری:
  
  برخی از سیستم عاملها دارای یک فایروال درونی هستند که همراه سیستم عامل به کاربران عرضه می شود. در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای ویژگی فوق می باشد، پیشنهاد می کنیم که این فایروال را فعال کنید تا یک سطح حفاظتی اضافی برای سیستم شما ایجاد گردد (حتی اگر از یک فایروال خارجی یا سخت افزاری استفاده می کنید، باز هم فایروال سیستم عامل خود را فعال نمایید). در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای یک فایروال درونی نیست، می توانید اقدام به تهیه یک فایروال نرم افزاری نمایید. بهتر است برای اطمینان بیشتر، به جای نصب فایروال از طریق اینترنت، از CD ها و DVD های ارائه دهنده نرم افزار فایروال استفاده کنید.

3- تنظیم فایروال

فایروالها قابل تنظیم هستند. این بدان معناست که شما می توانید فیلترهایی را بر اساس شرایط و مسائل مختلف به فایروال خود اضافه کرده یا از آن حذف نمایید. برخی از این تنظیمات از این قرارند:

• آدرس IP
  
  هر سیستمی روی اینترنت یک آدرس یکتا به نام آدرس IP دریافت می کند. آدرس IP یک عدد 32 بیتی است که از چهار قسمت که با نقطه از هم جدا می شوند تشکیل شده است. برای مثال یک آدرس IP نوعی می تواند به این شکل باشد: 192.168.0.120. اگر یک آدرس IP خاص در خارج از شبکه شرکت فایلهای زیادی را از یکی از سرورهای شرکت دریافت می کند، فایروال می تواند تمام ترافیک مرتبط با آن آدرس IP خاص را مسدود نماید.
• نام دامنه
  
  از آنجاییکه به خاطر سپردن آدرس IP کار سختی است و این آدرس گاهی تغییر می کند، تمامی سرورهای اینترنتی یک نام یکتای تشکیل شده از حروف الفبا نیز دارند که به آن نام دامنه گفته می شود. برای مثال به خاطر سپردن نام www.certcc.ir بسیار راحتتر از به خاطر سپردن یک رشته عددی است. یک شرکت می تواند با استفاده از یک فایروال، تمامی دسترسیها به یک نام دامنه خاص را مسدود کرده یا تنها دسترسی به نامهای دامنه خاصی را مجاز بداند.
• پروتکلها
  
  پروتکل عبارتست از یک روش خاص و از پیش تعریف شده برای برقراری ارتباط میان دو سیستم که هر یک از این دو سیستم می توانند سخت افزاری یا نرم افزاری باشند. برای مثال یکطرف این ارتباط می تواند یک مرورگر وب باشد و طرف دیگر نیز یک وب سرور. پروتکلها معمولا متنی هستند که به سادگی نحوه ارتباط کلاینت و سرور را توضیح می دهند. برای مثال http یک پروتکل وب است. برخی پروتکلهای معمول که می توانید فیلترهای فایروال را برای آن تنظیم نمایید عبارتند از:
  1. IP (Internet Protocol): سیستم اصلی انتقال اطلاعات روی اینترنت
  2. TCP (Transmission Control Protocol): برای شکستن و دوباره ساختن اطلاعات منتقل شده روی اینترنت استفاده می شود.
  3. HTTP (Hyper Text Transfer Protocol): مورد استفاده برای صفحات وب
  4. FTP (File Transfer Protocol): مورد استفاده برای انتقال (ارسال و دریافت) فایله
  5. UDP (User Datagram Protocol): مورد استفاده برای اطلاعاتی که نیاز به پاسخ ندارند مانند جریان صوت یا ویدئو
  6. ICMP (Internet Control Message Protocol): مورد استفاده توسط مسیریابها برای تبادل اطلاعات با مسیریابهای دیگر
  7. SMTP (Simple Mail Transport Protocol): مورد استفاده برای ارسال اطلاعات مبتنی بر متن (ایمیل)
  8. SNMP (Simple Network Management Protocol): مورد استفاده برای جمع آوری اطلاعات سیستم از یک کامپیوتر راه دور
  9. Telnet: مورد استفاده برای انجام دستورات روی یک کامپیوتر از راه دور
  ممکن است لازم باشد که یک شرکت فقط یک یا دو سیستم را برای مدیریت یک پروتکل خاص انتخاب و تنظیم نماید و سایر سیستمها را از آن پروتکل منع کند.
• پورتها
  
  هر سروری سرویسهای خود را با استفاده از پورتهای شماره دار، روی اینترنت در دسترس قرار می دهد. در واقع به ازای هر سرویس برای هر سرور یک پورت وجود دارد. برای مثال، اگر یک سیستم یک HTTP Server و یک FTP Server را اجرا کند، سرور HTTP نوعا روی پورت شماره 80 و سرور FTP روی پورت شماره 21 در دسترس قرار خواهند داشت. ممکن است لازم باشد یک شرکت دسترسی به پورت شماره 21 را روی تمامی سیستمها ببندد و فقط یک سیستم مجوز دسترسی به این پورت را داشته باشد.
• کلمات و عبارات خاص
  
  فایروال هر بسته اطلاعات را دقیقا با فیلتری که تعیین شده است مقایسه و بررسی می کند. برای مثال، شما می توانید به فایروال دستور بدهید که هر بسته ای را که کلمه "X rated" در آن قرار داشته باشد مسدود نماید. نکته کلیدی در اینجا این است که فایروال باید دقیقا به دنبال همین کلمه در بسته ها بگردد. یعنی کلمه "X-rated" با "X rated" هماهنگی و همخوانی ندارد. شما می توانید هر تعداد کلمه یا عبارتی که لازم دارید را برای این کار در نظر بگیرید.
  
  برخی سیستم عاملها یک فایروال درونی دارند. یک فایروال نرم افزاری نیز می تواند روی سیستم خانگی شما که به اینترنت متصل است نصب گردد. به این کامپیوتر «gateway» گفته می شود، چرا که تنها نقطه ارتباط شبکه شما با اینترنت است. یک فایروال سخت افزاری، خود یک gateway محسوب می شود. بعنوان یک نمونه خوب از فایروالهای سخت افزاری می توان به برخی مسیریابها اشاره کرد. این مسیریابها یک کارت Ethernet و یک هاب درونی دارند. کامپیوترهای شبکه شما به یک مسیریاب متصل می شوند و این مسیریاب نیز به یک مودم متصل است. شما مسیریاب را از طریق یک واسط کاربر مبتنی بر وب تنظیم می کنید و می توانید هر فیلتر یا تنظیمات دیگری را تعیین نمایید. فایروالهای سخت افزاری بسیار امن هستند و نسخه های خانگی آن چندان گران نیستند. چنین فایروالی را که شامل یک مسیریاب، فایروال و هاب Ethernet برای اتصالات پهن باند است، می توان با حدود 100 دلار خریداری کرد.

4- چرا امنیت از طریق فایروال؟

یکی از مهمترین و بهترین نکات در مورد فایروال این است که دسترسی به کامپیوترهای داخل شبکه شما را از خارج شبکه متوقف می سازد. راههای مختلفی برای دسترسی به کامپیوترهای ناامن و سوء استفاده از آنها وجود دارد که می توان به موارد ذیل اشاره کرد:

• Login از راه دور
• درهای پشتی (Backdoor) برنامه ه
• سرقت نشست SMTP
• نقایص امنیتی سیستم عامل
• انکار سرویس
• بمبهای ایمیلی
• ماکروه
• ویروسه
• هرزنامه
• تغییر مسیر بمبه
• مسیریابی منبع

فیلتر کردن برخی از موارد فهرست بالا با استفاده از فایروال سخت و در برخی موارد ناممکن است. با اینکه برخی فایروالها آنتی ویروس نیز دارند، ولی نصب آنتی ویروسهای جداگانه روی تمامی سیستمهای شبکه یک سرمایه گذاری با ارزش است. سطح امنیتی که شما در نظر می گیرید مشخص کننده این موضوع است که چه تعداد از این تهدیدات می توانند توسط فایروال شما متوقف گردند. بالاترین سطح امنیت این است که همه چیز مسدود شود. اما واضح است که چنین کاری فلسفه استفاده از اینترنت را بطور کلی زیر سوال می برد. اما قانون معمول این است که ابتدا همه چیز را مسدود کنید و سپس تصمیم بگیرید که چه نوع ترافیکهایی مجاز به عبور از فایروال شما هستند و آنها را باز نمایید. شما همچنین می توانید ترافیکی را که از فایروال عبور می کند محدود نمایید تا فقط انواع خاصی از اطلاعات مانند ایمیلها اجازه عبور داشته باشند. داشتن یک مدیر شبکه خوب که نیازها را درک کرده و بر اساس آن نوع اطلاعات مجاز را مشخص نماید بسیار کمک کننده است. برای اغلب ما بهترین کار این است که با تنظیمات پیش فرض فایروال در این مورد کار کنیم، مگر اینکه دلیل مشخصی برای تغییر آن داشته باشیم.

5- Proxy Server ها و DMZ

یکی از کارکردهایی که معمولا با فایروال همراه است Proxy Server می باشد. Proxy Server برای دسترسی به صفحات وب توسط سایر کامپیوترها مورد استفاده قرار می گیرد. زمانیکه کامپیوتر دیگری یک صفحه وب را درخواست می کند، این صفحه توسط Proxy Server بازیابی شده و سپس به کامپیوتر درخواست کننده ارسال می شود. تاثیر شبکه ای این کار این است که کامپیوتری که آن صفحه وب را میزبانی می کند هرگز بطور مستقیم با هیچ چیز روی شبکه شما (به جز Proxy Server) ارتباط برقرار نمی کند. Proxy Server ها همچنین می توانند باعث کارآیی اتصال اینترنت شما گردند. اگر شما به یک صفحه روی یک وب سایت دسترسی پیدا کنید، این صفحه روی Proxy Server شما ذخیره می شود. این بدان معناست که دفعه بعد که بخواهید به آن صفحه مراجعه نمایید، بطور پیش فرض لازم نیست که آن صفحه از روی وب سایت مذکور دریافت گردد. بلکه مستقیما از روی Proxy Server دریافت می شود. البته گاهی اوقات نیز ممکن است شما بخواهید که کاربرانی از راه دور به برخی چیزها در شبکه شما دسترسی داشته باشند. در این مورد می توان به وب سایت و تجارت آنلاین اشاره کرد. در چنین شرایطی یک DMZ (محدوده غیر نظامی) می تواند به شما کمک کند. این محدوده به محدوده خارج از فایروال گفته می شود. DMZ را می توان به حیاط خانه تشبیه کرد که به شما تعلق دارد و ممکن است چیزهایی را نیز در آنجا قرار دهید. اما قطعا شما تمامی وسایل با ارزش خود را داخل خانه نگهداری می کنید. ایجاد و راه اندازی یک DMZ بسیار ساده است. اگر شما چندین کامپیوتر داشته باشید، می توانید یکی از کامپیوترها را بین فایروال و اتصال اینترنت قرار دهید. اغلب فایروالهای نرم افزاری به شما اجازه می دهند که فولدری را روی کامپیوتر gateway به DMZ اختصاص دهید.
مقالات مرتبط:
چگونه یک فایروال مناسب انتخاب کنیم؟

منابع:

http://www.us-cert.gov/

http://howstuffworks.com/