بررسی فایروالها و نقش firewall در شبکه


مشاهده سایر پروژه های درس آمار>>>>>

بررسی فایروالها و نقش firewall در شبکه

HyperLink
قیمت: 50000 ریال - پنج هزار تومان
گروه: پروژه های درس آمار

تعداد صفحه: 184

فهرست مطالب
مقدمه 6
فصل اول: مشخصه های مهم فایروال های شبکه 10
مشخصه های مهم یک فایروال جهت ایجاد شبکه 11
توانایی ثبت و اخطار 11
بازدید حجم بالایی از بسته های اطلاعات 11
سادگی پیکربندی 12
امنیت و افزونگی فایروال 12
انواع فایروالها 13
فایروال های سخت افزاری 13
فایروال های نرم افزاری 14
انواع فایروال از لحاظ شیوه انجام کار 14
فایروالهای سطح مدار (Circuit-Level) 15
فایروالهای پروکسی سرور 15
فیلترهای Nosstateful packet 16
فیلترهای Stateful Packet 16
فایروالهای شخصی 17
فایروالهای لایه ای 17
فصل دوم: مزیت لایه های فایروال در شبکه 18
سیاستهای امنیتی فایروال در شبکه 20
لایه اول دیوار آتش 20
لایه دوم دیوار آتش 21
لایه سوم دیوار آتش 22
دیوار آتش مبتنی بر پراکسی (Proxy Based Firewall) 23
فصل سوم: بررسی کاربرد 5 فایروال در محیط شبکه 27
McAfee Internet Security Suite 30
Microsoft Windows Firewall 32
Symantec Norton Personal Firewall 2006 34
Trend Micro PC - Cillin Internet Security 2006 36
ZoneAlarm Internet Security Suite 6.5 38
فصل چهارم: نسل های متفاوت فايروال 41
روند شكل گيری فايروال ها 43
ايجاد يك منطقه استحفاظی ( security perimeter ) 44
شبكه های perimeter 45
کاربرد فایروالها درشبکه 48
شبكه های تائيد شده 48
شبكه های تائيد نشده 49
شبكه های ناشناخته 49
ارتباط بين شبكه های تائيد شده ، تائيد نشده و ناشناخته 50
نسل های متفاوت معماری فايروال ها 50
فصل پنجم: يک ضرورت اجتناب ناپذير در دنيای امنيت اطلاعات 54
NAT ( برگرفته از Network Address Translation ) 55
فيلترينگ پورت ها 56
ناحيه غيرنطامی ( Demilitarized Zone ) 58
فورواردينگ پورت ها 59
علل بروز مشكلات امنيتی 61
ضعف فناوری 61
ضعف پيكربندی 63
ضعف سياست ها 67
اصول اوليه استراتژی دفاع در عمق 69
دفاع در عمق چيست 70
استراتژی‌ دفاع در عمق  : موجوديت ها 70
استراتژی‌ دفاع در عمق  : ابزارها و مكانيزم ها 73
استراتژی‌ دفاع در عمق  : پياده سازی 74
جمع بندی 75
فصل ششم: کاربرد فایروال در  امنیت شبکه 76
فایروال چه چیزی نیست 77
فایروال با Packet filter تفاوت دارد 77
فایروال با Stateful packet filter تفاوت دارد 78
فصل هفتم: توپولوژی های فايروال 81
سناريوی اول : يک فايروال Dual-Homed 82
سناريوی دوم : يک شبکه Two-Legged به همراه قابليت استفاده از يک ناحيه DMZ 83
سناريوی سوم : فايروال Three-Legged 85
مقایسه تشخیص نفوذ و پیش گیری از نفوذ 86
تفاوت شکلی تشخیص با پیش گیری 86
تشخیص نفوذ 87
فصل هشتم: بررسی تاثیر فایروال بر امنیت شبکه های لایه بندی شده 88
افزودن به ضریب عملکرد هکرها 90
مدل امنیت لایه بندی شده 90
سطح ۱: امنیت پیرامون 91
فایروال 92
آنتی ویروس شبکه 92
VPN 93
انواع IPSec VPN 94
پیاده سازی Remote-Access Client IPSec 95
ساختار IPSec 96
ملاحظات 97
سطح ۲-  امنیت شبکه 97
مدیریت آسیب پذیری 99
تابعیت امنیتی کاربر انتهایی 99
کنترل دسترسی\تأیید هویت 100
سطح ۳-  امنیت میزبان 166
سطح ۴-  امنیت برنامه کاربردی 169
سطح ۵ -  امنیت دیتا 171
دفاع در مقابل تهدیدها و حملات معمول شبکه توسط فایروال 172
حفاظت توسط کلمه عبور: 174
سیاست های کلمه عبور 175
سیاست کنترل رمز کلمه عبور 177
فایروال ها 177
فیلترینگ پاکت 178
آدرس های IP : 179
مشخص کننده های پروتکل: 179
تکنیک ترجمه آدرس شبکه (NAT) 181
پروکسی سرورها 181
منابع و مواخذ 184
کتب و مجلات 184
آدرسهای اینترنتی 184

مقدمه
یک فایروال یک سرویس کارآمد جهت شبکه شما یا شبکه شما و اینترنت است که امنیت بالاتری را جهت کاربران اینترنت فراهم می کند و هم چنین می تواند بعنوان یک کش سرور هم استفاده شود که باعث بالا رفتن بازدهی سرور شما و سرعت آن در دسترسی به اینترنت می شود.
در صورت دستیابی سایرین به سیستم شما ، کامپیوتر شما دارای استعداد بمراتب بیشتری در مقابل انواع تهاجمات می باشد .  شما می توانید با استفاده و نصب یک فایروال ، محدودیت لازم در خصوص دستیابی به کامپیوتر و اطلاعات را فراهم نمائید.
 
فایروال( Firewall) یا دیواره آتشین درست مثل دیواره ای که مانع گسترش آتش از قسمتی به قسمت دیگر میشود عمل کرده و از هجوم انواع خطرات به شبکه محلی و کامپیوتر شما جلوگیری می کند . به زبان ساده فایروال یک برنامه می باشد که در محل اتصال شبکه شما به اینترنت قرار می گیرد و اطلاعاتی را که میان رایانه شما و اینترنت رد و بدل می شود را کنترل می کند. 
فرض کنید کامپیوتر و شبکه شما بدون استفاده از فایروال به شبکه وصل شود در این صورت هکرها می توانند با فرستادن برنامه هایی به رایانه شما به اطلاعات سیستم دسترسی پیدا کند و با تغییرات بر روی داده های آن کل سیستم رایانه و شبکه را مختل کنند و یا ویروس ها و نرم افزارهای جاسوسی ( Spy ware )که قبلا در مورد آن ها توضیح داده ایم بدون وجود فایروال به راحتی می توانند وارد رایانه شما شوند و باعث بروز مشکلات فراوان برای سیستم شما شوند . حال که اهمیت فایروال روشن شد به توضیح فایروال ویندوز xp می پردازیم . ویندوز xp دارای یک فایروال می باشد که شرایط لازم برای یک فایروال مناسب را دارا می باشد و برای فعال کردن آن وارد Control Panel شوید و گزينه Network Connections را انتخاب کنيد سپس برروي Dial-upConnection اينترنتي خود کليک راست کنید و گزينه Properties را انتخاب کنيد اینک در قسمت Advance گزينه Internet connection firewall را تيک بزنيد تا فایروال ویندوز شما فعال شود. 
فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.
مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:
1-  توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار  می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.
2-  بازدید حجم بالایی از بسته های اطلاعات: یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است. 
3-  سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه  و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است.
4-  امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است:
الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.
ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.

فصل اول: مشخصه های مهم فایروال های شبکه


مشخصه های مهم یک فایروال جهت ایجاد شبکه
مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از: 

توانایی ثبت و اخطار 
ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد. 

بازدید حجم بالایی از بسته های اطلاعات 
یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.  در صورت وجود بیش از یک کامپیوتر در شبکه ، پیشنهاد می گردد که حتی در صورتی که از یک فایروال سخت افزاری استفاده می شود ، از فایروال ویندوز XP نیز استفاده بعمل آید . فایروال های سخت افزاری عموما" ترافیک بین شبکه و اینترنت را کنترل نموده و نظارت خاصی بر روی ترافیک بین کامپیوترهای موجود در شبکه را انجام نخواهند داد . در صورت وجود یک برنامه مخرب بر روی یکی از کامپیوترهای موجود در شبکه ، شرایط و یا پتانسیل لارم برای گسترش و آلودگی سایر کامپیوترها فراهم می گردد. فایروال ویندوز XP علاوه بر حفاظت کامپیوتر شما در خصوص دستیابی غیرمجاز از طریق اینترنت ، نظارت و کنترل لازم در رابطه با دستیابی غیرمجاز توسط کامپیوترهای موجود در یک شبکه داخلی را نیز انجام خواهد داد. 

سادگی پیکربندی 
سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است. 

امنیت و افزونگی فایروال 
امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است: 

الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است. 

ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.

انواع فایروالها
فایروال ها به دو شکل  سخت افزاری ( خارجی ) و نرم افزاری ( داخلی ) ، ارائه می شوند  . با اینکه هر یک از مدل های فوق دارای مزایا و معایب خاص خود می باشند ، تصمیم در خصوص استفاده از یک فایروال بمراتب مهمتر از تصمیم در خصوص نوع فایروال است .
 
فایروال های سخت افزاری 
این نوع از فایروال ها که به آنان فایروال های شبکه نیز گفته می شود ، بین کامپیوتر شما (و یا شبکه) و کابل و یا خط DSL  قرار خواهند گرفت . تعداد زیادی از تولید کنندگان و برخی از مراکز ISP دستگاههائی با نام "روتر" را ارائه می دهند که دارای یک فایروال نیز می باشند . فایروال های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بوده و یک سطح مناسب حفاظتی را ارائه می نمایند( امکان استفاده از آنان به منظور حفاظت یک دستگاه کامپیوتر نیز وجود خواهد داشت ) . در صورتی که شما صرفا" دارای یک کامپیوتر پشت فایروال می باشید و یا این اطمینان را دارید که سایر کامپیوتر های موجود بر روی شبکه نسبت به نصب تمامی patch ها ، بهنگام بوده و عاری از ویروس ها و یا کرم ها می باشند ، ضرورتی به  استفاده از یک سطح اضافه حفاظتی (یک نرم افزار فایروال ) نخواهید داشت . فایروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سیستم عامل اختصاصی خود می باشد . بنابراین بکارگیری آنان باعث ایجاد یک لایه دفاعی اضافه در مقابل تهاجمات می گردد.

فایروال های نرم افزاری
برخی از سیستم های عامل دارای یک فایروال تعبیه شده درون خود می باشند . در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای ویژگی فوق می باشد ، پیشنهاد می گردد که آن را فعال نموده تا یک سطح حفاظتی اضافی در خصوص ایمن سازی کامپیوتر و اطلاعات ، ایجاد گردد .(حتی اگر از یک فایروال خارجی یا سخت افزاری استفاده می نمائید). در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای یک فایروال تعیبه شده نمی باشد ، می توان اقدام به تهیه یک فایروال نرم افزاری کرد . با توجه به عدم اطمینان لازم در خصوص دریافت نرم افزار از اینترنت با استفاده از یک کامپیوتر محافظت نشده ، پیشنهاد می گردد برای نصب فایروال از CD و یا DVD مربوطه استفاده گردد .

انواع فایروال از لحاظ شیوه انجام کار
انواع مختلف فایروال کم و بیش کارهایی را که اشاره کردیم ، انجام می دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروال می شود.بر این اساس فایروالها را به 5 گروه تقسیم می کنند. 
فایروالهای سطح مدار (Circuit-Level) 
این فایروالها به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP را با رایانه پشتشان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند.تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند. این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند. ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلها ( غیر از TCP) را نیز نمی دهند. 

فایروالهای پروکسی سرور 
فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد می پردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی پشتش را قطع می کند و خود به جای آنها درخواست را ارسال می کند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال می کند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین می کند. 
 
از آنجایی که این فایروالها پروتکلهای سطح کاربرد را می شناسند ، لذا می توانند بر مبنای این پروتکلها محدودیتهایی را ایجاد کنند. همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به کندی این فایروالها بیانجامد. همچنین از آنجایی که این فایروالها باید ترافیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالها را به کار بگیرد.هر برنامه جدیدی که بخواهد از این نوع فایروال عبور کند ، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد. 

فیلترهای Nosstateful packet 
این فیلترها روش کار ساده ای دارند. آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتکلهای لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلهای لایه انتقال مانند سرآیندهای TCP و UDP اتخاذ می شود. این فیلترها زمانی می توانند به خوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این فیلترها می توانند سریع باشند چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی درباره پروتکلهای لایه کاربرد ندارند. 

فیلترهای Stateful Packet 
این فیلترها بسیار باهوشتر از فیلترهای ساده هستند. آنها تقریبا تمامی ترافیک ورودی را بلوکه می کنند اما می توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنها این کار را با نگهداری رکورد اتصالاتی که ماشینهای پشتشان در لایه انتقال ایجاد می کنند، انجام می دهند.این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبکه های مدرن هستند.این فیلترها می توانند رد پای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدا و مقصد، شماره ترتیب TCP و پرچمهای TCP. بسیاری از فیلترهای جدید Stateful می توانند پروتکلهای لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا می تواننداعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکلها انجام دهند. 

فایروالهای شخصی 
فایروالهای شخصی ، فایروالهایی هستند که بر روی رایانه های شخصی نصب می شوند.آنها برای مقابله با حملات شبکه ای طراحی شده اند. معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش می دهد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده انجام می شوند ، فایروال شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود. معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروکسی) نیست. 

فایروالهای لایه ای 
در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشکلی روبرو شود، دومی به کار ادامه می دهد.معمولا بهتر است دو یا چند فایروال مورد استفاده از شرکتهای مختلفی باشند تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تامین کنند.

فصل دوم: مزیت لایه های فایروال در شبکه

دیوار آتش سیستمی سخت افزاری یا نرم افزاری است که بین کامپیوتر شما یا یک شبکه LAN و شبکه بیرونی (مثلا اینترنت) قرار گرفته و ضمن نظارت بر دسترسی به منابع resource سیستم ، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد. هر سازمان یا نهادی که بخواهد ورود و خروج اطلاعات شبکه خود را کنترل کند موظف است تمام ارتباطات مستقیم شبکه خود را با دنیای خارج قطع نموده و هر گونه ارتباط خارجی از طریق یک دروازه که دیوار آتش یا فیلتر نام دارد، انجام شود. 
 
قبل از تحلیل اجزای دیوار آتش عملکرد کلی و مشکلات استفاده از دیوار آتش را بررسی میکنیم. بسته های TCP و IP قبل از ورود یا خروج به شبکه ابتدا وارد دیوار آتش میشوند و منتظر میمانند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند. پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد :
1- اجازه عبور بسته صادر میشود (Accept Mode)
2- بسته حذف میشود (Blocking Mode)
3- بسته حذف شده و پاسخ مناسب به مبدا آن بسته داده شود (Response Mode)
غیر از حذف بسته میتوان عملیاتی نظیر ثبت، اخطار، ردگیری، جلوگیری از ادامه استفاده از شبکه و توبیخ هم در نظر گرفت. به مجموعه قواعد دیوار آتش سیاستهای امنیتی نیز گفته میشود.
قسمت اعظم کار یک دیوار آتش تحلیل فیلدهای اضافه شده در هر لایه و header هر بسته می باشد.

سیاستهای امنیتی فایروال در شبکه
سیاست امنیتی یک شبکه مجموعه ای متناهی از قواعد امنیتی است که بنابر ماهیتشان در یکی از لایه های دیوار آتش تعریف میشوند :
1- قواعد تعیین بسته های ممنوع (بسته های سیاه) در اولین لایه از دیوار آتش
2- قواعد بستن برخی از پورتها متعلق به سرویسهایی مثل Telnet یا FTP در لایه دوم
3- قواعد تحلیل header متن یک نامه الکترونیکی یا صفحه وب در لایه سوم

لایه اول دیوار آتش
لایه اول دیوار آتش بر اساس تحلیل بسته IP و فیلدهای header این بسته کار میکند و در این بسته فیلدهای زیر قابل نظارت و بررسی هستند :
1- آدرس مبدا : برخی از ماشینهای داخل و یا خارج شبکه با آدرس IP خاص حق ارسال بسته نداشته باشند و بسته هایآنها به محض ورود به دیوار آتش حذف شود.
2- آدرس مقصد : برخی از ماشینهای داخل و یا خارج شبکه با آدرس IP خاص حق دریافت بسته نداشته باشند و بسته های آنها به محض ورود به دیوار آتش حذف شود. (آدرس های IP غیر مجاز توسط مسئول دیوار آتش تعریف میشود.)
3- شماره شناسایی یک دیتاگرام قطعه قطعه شده (Identifier & Fragment Offset) : بسته هایی که قطعه قطعه شده اند یا متعلق به یک دیتاگرام خاص هستند باید حذف شوند.
4- شماره پروتکل : بسته هایی که متعلق به پروتکل خاصی در لایه بالاتر هستند میتوانند حذف شوند. یعنی بررسی اینکه بسته متعلق به چه پروتکلی است و آیا تحویل به آن پروتکل مجاز است یا خیر؟
5- زمان حیات بسته : بسته هایی که بیش از تعداد مشخصی مسیریاب را طی کرده اند مشکوک هستند و باید حذف شوند.
6- بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیوار آتش قابل بررسی هستند.
مهمترین خصوصیت لایه اول از دیوار آتش آنست که در این لایه بسته ها بطور مجزا و مستقل از هم بررسی میشوند و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یک بسته نیست. بهمین دلیل ساده ترین و سریع ترین تصمیم گیری در این لایه انجام میشود. امروزه برخی مسیریابها با امکان لایه اول دیوار آتش به بازار عرضه میشوند یعنی به غیر از مسیریابی وظیفه لایه اول یک دیوار آتش را هم انجام میدهند که به آنها مسیریابهای فیلترکننده بسته (Pocket Filtering Router ) گفته میشود. بنابراین مسیریاب قبل از اقدام به مسیریابی بر اساس جدولی بسته های IP را غربال میکند و تنظیم این جدول بر اساس نظر مسئول شبکه و برخی قواعد امنیتی انجام میگیرد.
با توجه به سزیع بودن این لایه هرچه درصد قواعد امنیتی در این لایه دقیقتر و سخت گیرانه تر باشند حجم پردازش در لایه های بالاتر کمتر و در عین حال احتمال نفوذ پایین تر خواهد بود ولی در مجموع بخاطر تنوع میلیاردی آدرسهای IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امکان پذیر خواهد بود و این ضعف در لایه های بالاتر باید جبران شود.

لایه دوم دیوار آتش
در این لایه از فیلدهای header لایه انتقال برای تحلیل بسته استفاده میشود. عمومی ترین فیلدهای بسته های لایه انتقال جهت بازرسی در دیوار آتش عبارتند از :
1- شماره پورت پروسه مبدا و مقصد : با توجه به آنکه پورتهای استاندارد شناخته شده هستند ممکن است مسئول یک دیوار آتش بخواهد سرویس ftp فقط در محیط شبکه محلی امکان پذیر باشد و برای تمام ماشینهای خارجی این امکان وجود نداشته باشد. بنابراین دیوار آتش میتواند بسته های TCP با شماره پورت های 20 و 21 (مربوط به ftp) که قصد ورود و خروج از شبکه را دارند ، حذف کند. یکی دیگر از سرویسهای خطرناک که ممکن است مورد سو استفاده قرار گیرد Telnet است که میتوان به راحتی پورت 23 را مسدود کرد. یعنی بسته هایی که مقصدشان شماره پورت 23 است حذف شوند.
2- فیلد شماره ترتیب و فیلد Acknowledgment : این دو فیلد نیز بنا بر قواعد تعریف شده توسط مسئول شبکه قابل استفاده هستند.
3- کدهای کنترلی (TCP code Bits) : دیوار آتش با بررسی این کدها ، به ماهیت آن بسته پی برده و سیاستهای لازم را بر روی آن اعمال میکند. بعنوان مثال یک دیوار آتش ممکن است بگونه ای تنظیم شود که تمام بسته هایی که از بیرون به شبکه وارد میشوند و دارای بیت SYN=1 هستند را حذف کند. بدین ترتیب هیچ ارتباط TCP از بیرون به درون شبکه برقرار نخواهد شد.
از مهمترین خصوصیات این لایه آنست که تمام تقاضا های برقراری ارتباط TCP بایستی از این لایه بگذرد و چون در ارتباط TCP ، تا مراحل " سه گانه اش" به اتمام نرسد انتقال داده امکان پذیر نیست لذا قبل از هر گونه مبادله داده دیوار آتش میتواند مانع برقراری هر ارتباط غیر مجاز شود. یعنی دیوار آتش میتواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نموده و در صورت قابل اطمینان نبودن مانع از برقراری ارتباط گردد. دیوار آتش این لایه نیاز به جدولی از شماره پورتهای غیر مجاز دارد.

 لایه سوم دیوار آتش
در این لایه حفاظت بر اساس نوع سرویس و برنامه کاربردی انجام میشود. یعنی با در نظر گرفتن پروتکل در لایه چهارم به تحلیل داده ها میپردازد. تعداد header ها در این لایه بسته به نوع سرویس بسیار متنوع و فراوان است. بنابراین در لایه سوم دیوار آتش برای هر سرویس مجزا (مانند وب، پست الکترونیک و...) باید یک سلسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش ها در لایه سوم زیاد است. توصیه موکد آنست که تمام سرویسهای غیر ضروری و شماره پورتهایی که مورد استفاده نیستند در لایه دوم مسدود شوند تا کار در لایه سوم کمتر باشد.
بعنوان مثال فرض کنید که موسسه ای اقتصادی، سرویس پست الکترونیک خود را دائر نموده ولی نگران فاش شدن برخی اطلاعات محرمانه است. در این حالت دیوار آتش در لایه سوم میتواند کمک کند تا برخی آدرسهای پست الکترونیکی مسدود شوند و در عین حال میتواند در متون نامه های رمز نشده به دنبال برخی از کلمات کلیدی حساس بگردد و متون رمز گذاری شده را در صورتی که موفق به رمزگشایی آن نشود حذف نماید.
 
بعنوان مثالی دیگر یک مرکز فرهنگی علاقمند استقبل از تحویل صفحه وب به کاربر درون آنرا از لحاظ وجود برخی از کلمات کلیدی بررسی نماید و اگر کلماتی که با معیارهای فرهنگی مطابقت ندارد درون صفحه یافت شد آن صفحه را حذف نماید.

دیوار آتش مبتنی بر پراکسی (Proxy Based Firewall)
فیلترها و دیوارهای آتش معمولی و Stateful فقط نقش ایست و بازرسی بسته ها را ایفا میکنند. هر گاه مجوز برقراری یک نشست صادر شد این نشست بین دو ماشین داخلی و خارجی بصورت مستقیم (انتها به انتها) برقرار خواهد شد . بدین معنا که بسته های ارسالی از طرفین پس از بررسی عینا تحویل آنها خواهد شد.
فیلترهای مبتنی بر پراکسی رفتاری کاملا متفاوت دارند:
وقتی ماشین مبدا تقاضای یک نشست (Session) مثل نشست FTP یا برقراری ارتباط TCP با سرویس دهنده وب را برای ماشین ارسال میکند فرایند زیر اتفاق میافتد:
پراکسی به نیابت از ماشین مبدا این نشست را برقرار میکند. یعنیطرف نشست دیوار آتش خواهد بود نه ماشین اصلی! سپس یک نشست مستقل بین دیوار آتش و ماشین مقصد برقرار میشود. پراکسی داده های مبدا را میگیرد ، سپس از طریق نشست دوم برای مقصد ارسال می نماید. بنابراین :
در دیوار آتش مبتنی بر پراکسی هیچ نشست مستقیم و رو در رویی بین مبدا و مقصد شکل نمی گیرد بلکه ارتباط آنها بوسیله یک ماشین واسط برقرار میشود. بدین نحو دیوار آتش قادر خواهد بود بر روی داده های مبادله شده در خلال نشست اعمال نفوذ کند. حال اگر نفوذگر بخواهد با ارسال بسته های کنترلی خاص مانند SYN-ACK که ظاهرا مجاز به نظر می آیند واکنش ماشین هدف را در شبکه داخلی ارزیابی کند در حقیقت واکنش دیوار آتش را مشاهده میکند و لذا نخواهد توانست از درون شبکه داخلی اطلاعات مهم و با ارزشی بدست بیاورد.
دیوار آتش مبتنی بر پراکسی در لایه سوم عمل میکند و قادر است حتی بر داده های ارسالی در لایه کاربرد مثل محتوای نامه های الکترونیکی یا صفحات وب نظارت کند.
دیوار آتش مبتنی بر پراکسی به حافظه نسبتا زیاد و CPU بسیار سریع نیازمندند و لذا نسبتا گران تمام میشوند. چون دیوار آتش مبتنی بر دیوار آتش باید تمام نشستهای بین ماشینهای درون و بیرون شبکهرا مدیریت و اجرا کند لذا گلوگاه شبکه محسوب میشود و هر گونه تاخیر یا اشکال در پیکربندی آن ، کل شبکه را با بحران جدی مواجه خواهد نمود. ممکن است از شما سوال شود که استفاده از کدام نوع دیوارهای آتش در شبکه ای که امنیت داده های آن حیاتی است منطقی تر و امن تر خواهد بود؟
اگر قرار باشد از دیوار آتش مبتنی بر پراکسی در شبکه استفاده شود اندکی از کارایی سرویس دهنده هایی که ترافیک بالا (مثل سرویس دهنده وب) دارند کاسته خواهد شد زیرا پراکسی یک گلوگاه در شبکه محسوب میشود. اگر سرویس دهنده ای را برای کل کاربران اینترنت پیکربندی کرده اید بهتر است در پشت یک دیوار آتش مبتنی بر پراکسی قرار نگیرد.
 
در طرف مقابل فیلترها و دیوارهای آتش معمولی سریعند ولیکن قابلیت اطمینان کمتری دارند و نمیتوان به آنها به عنوان حصار یک شبکه اطمینان نمود. در نتیجه بهترین پیشنهاد استفاده همزمان از هر دونوع دیوار آتش است. شبکههای متعلق به سازمانها یا موسسات تجاری در دو بخش سازماندهی و پیکربندی میشوند:
-بخش عمومی شبکه شامل سرویس دهنده وب ، پست الکترونیکی و FTP که به عموم کاربران اینترنت سرویس میدهد. این بخش اصطلاحا DMZ (بخش غیر محرمانه غیر نظامی!) نام دارد.
-بخش حصوصی یا محرمانه که صرفا با هدف سرویس دهی به اعضای آن سازمانیا موسسه پیاده سازی شده است.
بخش عمومی شبکه توسط یک فیلتر (معمولی یا هوشنمد) حفاظت میشود تا از کارایی سرویس دهنده آن کاسته نشود. شبکه داخلی در پشت یک دیوار آتش مبتنی بر پراکسی پنهان میشود تا ضمن غیر قابل نفوذ بودن با اینترنت در ارتباط باشد. در چنین ساختاری یک نفوذگر خارجی برای برقراری ارتباط بایک ماشین داخلی دو مانع عمده بر سر راه دارد : فیلتر و دیوار آتش مبتنی بر پراکسی. حال حتی اگر بتواند با مکانیزم های متداول از سد فیلتر بگذرد پشت دیوار آتش متوقف خواهد شد.
یک دیوار آتش کل ماشینها شبکه داخلی را حفاظت میکند. سوال مهم اینست که در محیطهای معمولی مانند ISP که هیچ دیوار آتش یا فیلتری نصب نشده و و ماشینهای اعضای شبکه بی حفاظ رها شده اند تکلیف کاربران بی گناه چیست؟!!
بسیاری از کاربران ISP که از مودمهای معمولی یا سریع (مثل سری xDSL) برای اتصال به شبکه اینترنت استفاده میکنند بدلیل عدم وجود یک سیستم امنیتی قدرتمند به دام نفوذگران بدخواه می افتند و داده هایشان سرقت میشود و یا مورد آزار و اذیت قرار میگیرند. اینگونه حوادث نادر نیست بلکه هر روز اتفاق می افتد. حال چگونه میتوان از این ماشینها حفاظت کرد؟
دیوار آتش شخصی (PersonalFirewall) یک ابزار نرم افزاری است که روی ماشین شما نصب میشود و ورود و خروج بسته ها به یا از ماشین را نظارت میکند و مانع دسترسی غیر مجاز به منابع شده و از داده ها حفاظت میکند.
در اکثر نسخه های لینوکس و همچنین در ویندوز اکس پی هنگام نصب ، یک دیوار آتش با یکسری قواعد پیش فرض و نسبتا مطمئن بر روی ماشین کاربر فعال شده و ترافیک بسته ها را نظارت میکند و حتی الامکان از دسترسی غیر مجاز به آن جلوگیری میکند. اگر کاربری بخواهد از ضریب تنظیمات امنیتی بالاتری بر خوردار شود باید سطوح امنیتی بالاتری را با پیکربندی فایروال در نظر بگیرد و یا از فایروالهای سخت افزاری علاوه بر فایروالهای ذکر شده استفاده نماید.

فصل سوم: بررسی کاربرد 5 فایروال در محیط شبکه
امروزه استفاده از فايروال‌هايي كه نه ‌تنها از شبکه در مقابل خطرات بيروني حفاظت مي‌كنند ، بلكه در مقابل تروجان‌ها و ويروس‌هايي كه از طريق ايميل‌ منتشر مي‌شوند و حتي در برابر حملا‌ت داخلي از كامپيوتر های درون شبکه ای دفاع مي‌كنند ، به امري الزامي تبديل شده است. تا جايي كه توصيه مي‌شود بدون داشتن فايروال ، شبکه خود را به هیچ وجه راه اندازی  نكنيد. علا‌وه بر اين‌ها، تغييرات ديگري هم اتفاق افتاده است.
 
در اين فصل پنج فايروال نرم‌افزاري كه با اقبال عمومي گسترده‌تري روبه‌رو بوده‌اند را به طور خلا‌صه بررسي كرده‌ايم. مسئله‌اي كه در هنگام بررسي امكانات آن‌ها و تفاوت بين نسخه‌هايي از يك فايروال خاص كه به صورت مجزا به فروش مي‌رسد و نسخه‌هايي كه در بسته‌هاي امنيتي و به همراه ساير نرم‌افزارهاي امنيتي ديگر توسط شركت سازنده به فروش مي‌رسد ، با آن روبه‌رو شديم بسيار بيش از حد انتظار بود. به طوري كه به يقين مي‌توان گفت كه هيچ تفاوتي به لحاظ وجود امكانات و قابليت‌ها در آن به طور چشمگيري احساس نمي‌شد.
در هنگام آزمايش، عمده‌ترين مشكلي كه در تمام فايروال‌ها ديده مي‌شد، عدم تطابق و سازگاري آن‌ها با ايجاد تغييرات در تنظيم Server  شبکه بود كه اغلب نيز دليل بروز چنين مشكلي را مي‌توان حفاظت شديد فايروال از حمله تهديدات بيروني دانست. همچنين مي‌توان تمام موارد آزمايش را به دو قسمت تقسيم كرد: آزمايش در مقابل نوع برخورد با تهديدات بيروني (با بهره‌گيري از نرم‌افزار Portscan در نشاني dslreport.com) و آزمايش در مقابل نوع برخورد با تهديدات داخلي و در نهايت شناسايي فايروالي كه بهترين عكس‌العمل را در مقابل اين نوع تهديدات و در كل در مواقع اضطرار از خود نشان مي‌دهد. 
نكته ديگر آن‌كه، با وجود تغييرات عمده، هم در نرم‌افزار و هم در سخت‌افزار Server  شبکه و سيستم‌عامل از گذشته تاكنون، باز هم مشكلا‌تي كه براي Server  ‌هاي شبکه  امروزي به وجود مي‌آيد تشابه زيادي با مشكلا‌ت گذشته دارد. 
البته اگر هنوز از ويندوز Advanced Server 2000 استفاده مي‌كنيد انتخاب‌هايتان براي نصب يك فايروال بسيار محدود خواهد بود (به طور مثال مي‌توانيد از فايروال Norton Personal Firewall و PC-Cillin Internet ecurity استفاده كنيد و از فايروال‌هايي چون مك‌آفي يا ZoneAlarm نمي‌توانيد استفاده كنيد.)
يكي ديگر از برنامه‌هايي كه در محیط شبکه براي آزمايش فايروال‌ها استفاده شد ، Atelier Web Firewall Tester نام دارد. اين برنامه از ترفندهاي بسيار موذيانه‌اي استفاده مي‌كند تا بتواند از درون Server  شبکه كه فايروال روي آن نصب شده است، راهي به دنياي بيرون باز كند. اين‌ كارها را نيز بيشتر با استفاده از Internet Explorer يا IE ActiveX انجام مي‌دهد. بنابراين مي‌توان روي فايروالي كه از پسِ حقه‌ها و ترفندهاي اين نرم‌افزار برآيد ، بيشتر حساب كرد.
قبل از بررسي فايروال‌ها بايد به اين نكته نيز توجه كرد كه نبايد اينگونه تصور كرد كه تنها نصب يك نرم‌افزار به نام فايروال مي‌تواند شبکه شما را از تمام تهديدات حفظ كند و يك Server  شبکه رويين تن و نفوذناپذير را برايتان بسازد ، بلكه تهديدات داخلي و خارجي به حدي متفاوت ، گوناگون و پيشرفته‌اند كه نمي‌توان از هيچ برنامه‌اي انتظار داشت كه بتواند در مقابل همه آن‌ها بايستد.



McAfee Internet Security Suite   
نام مك‌آفي بيشتر يادآور نرم‌افزارهاي ضدويروس اين شركت مي‌باشد، اما امروزه علا‌وه بر ضدويروس‌هاي اين شركت ، فايروال‌ها و نرم‌افزارهاي متعدد امنيت شبكه و حتي نمونه‌هاي پيشرفته نرم‌افزارهاي حفاظتي شبكه‌هاي بي‌سيم، محصولا‌ت ديگر اين شركت را شامل مي‌شوند. 
اولين مسئله‌اي كه در هنگام كار با اين برنامه احساس شد، سرعت اجراي برنامه بود. اين برنامه نسبت به فايروال‌هايي چون PC - Cillin و Zone Alarm در هنگام باز شدن و پاسخ‌دهي به اعمال كاربر، داراي سرعت پاييني بود. هنگامي كه برنامه اصلي را باز مي‌كنيد (مركز اصلي انجام فعاليت‌ها) بايد زمان زيادي منتظر باشيد تا اطلا‌عات مربوط به هر عنوان و بخش فراخواني و براي كار آماده شوند. البته اين مسئله را نمي‌توان جزء موارد بد به حساب آورد ، اما به هر صورت اين مسئله بسيار رنج‌آور است و شايد بتوان آن را مشابه نرم‌افزارهاي كندSymantec  قلمداد كرد.

در يك نگاه McAfee Internet Security Suite
توليدكننده: McAfee 
قيمت: 99/49 دلا‌ر 
 
در مجموع امكاناتي همانند ساير نرم‌افزارهاي مشابه را به كاربران شبکه ارائه مي‌كند، اما وجود ويژگي‌هاي هوشمندانه‌اي چون Site Advisor اين فايروال را از سايرين متمايز كرده است. مك‌آفي را بيشتر با برنامه‌هاي ضدويروس مي‌شناسيم، اما امروزه فايروال و ساير برنامه‌هاي امنيتي از محصولا‌ت ديگر اين شركت هستند.
در محیط شبکه اضافه كردن برنامه‌ها به فهرست block/allow كار چندان دشواري نيست. كافي است با كليك روي Add Allowed Program در فهرست McAfee's Program Permissions و انتخاب فايل‌هاي داراي پسوند EXE كار را به اتمام برسانيد. روال مشابهي را نيز براي اضافه كردن برنامه‌هاي ممنوعه بايد در پيش گيريد.
اگر يكي از برنامه‌هاي موجود در فهرست، در بانك اطلا‌عاتي آنلا‌ين McAfee Hacker Watch موجود باشد، مي‌توانيد با كليك روي آن در فهرست Permissions و سپس كليك روي Learn More، اطلا‌عات بيشتري در مورد آن نرم‌افزار به دست آوريد.
نتايج بررسي‌ها با استفاده از DSLReports خوب بود و فايروال توانست جلوي برنامه‌هايي را بگيرد كه مي‌خواستند به طور مستقيم به شبكه دسترسي داشته باشند. البته گاهي هنگامي كه حتي به وضوح برخي برنامه‌ها را مسدود مي‌كرديم ، باز هم فايروال رفتار درستي نداشت و به درستي جلوي آن‌ها را نمي‌گرفت.
يكي از امكاناتي كه به طور بسيار هوشمندانه‌اي در مك‌آفي مورد استفاده قرار گرفته است و به نظر مي‌رسد راه جديدي براي حفاظت از كاربران در مقابل تهديدات باشد، به كارگيري پلا‌گين‌هاي مخصوص مرورگر براي هر دو مرورگر IE و فايرفاكس با نام Site Advisor است. اين برنامه با بهره‌گيري از بانك اطلا‌عاتي جامع خود، از سايت‌هايي كه استفاده از آن‌ها مي‌تواند براي امنيت پي‌سي مشكل‌ساز باشد، به كاربر هنگام رجوع به چنين سايت‌هايي هشدار مي‌دهد و حتي گاهي از ديده شدن آن‌ها جلوگيري مي‌كند. 
(البته مي‌توانيد Advisor را به صورت جداگانه و رايگان دانلود كنيد) نكته‌اي كه هنگام استفاده از Site Advisor بايد به آن توجه شود اين است كه اين برنامه تنها هنگامي كه بخواهيد مستقيماً به سايت دسترسي داشته باشند، مفيد خواهد بود و اگر برنامه‌هاي ديگر يا كنترلرهاي ActiveX بخواهند به طور غيرمستقيم به سايت‌ها دسترسي داشته باشيد، Site Advisor ديگر كار چنداني براي شما نخواهد كرد. 
بخش‌هاي ديگر اين فايروال مثل System Guard از تحركات مشكوك ساير نرم‌افزارها در Server  شبکه جلوگيري مي‌كند. همچنين مشابه ساير فايروال‌ها ، بخشي نيز براي كنترل والدين بر فرزندانشان در نظر گرفته شده است و البته ويژگي بسيار جالبي كه در اين بخش با آن‌ برخورد خواهيد كرد، تحليل تصاوير يا Image analysis نام دارد كه در صورت فعال كردن آن، تصاوير از لحاظ محتوايي تحليل مي‌شوند و اگر مناسب تشخيص داده نشوند، از نمايش آن‌ها جلوگيري خواهد شد. البته با اين‌كه در هنگام استفاده، اين ويژگي به خوبي عمل مي‌كند ، در موارد نادري نيز تصاوير را اشتباه فيلتر مي‌كند كه با توجه به اين مشكل، فعال بودن هميشگي اين ويژگي‌ها پيشنهاد نمي‌شود.
Microsoft Windows Firewall
در مجموع تمركز بر حفاظت از پي‌سي در مقابل خطرات خارجي از بين ساير تهديدات دارد. فايروال ويندوز به قدري ساده و ابتدايي است كه نمي‌تواند امنيت مناسبي را براي شبکه شما فراهم كند.
 
بسياري از كاربران فقط از فايروال ويندوز استفاده مي‌كنند و تنها محافظ آن‌ها در مقابل تهديدات نيز همين فايروال است. در مورد عملكرد اين فايروال مي‌توان گفت كه‌اين فايروال امنيت را به قيمت محدودسازي به ارمغان مي‌آورد. يعني هر چه پي‌سي خود را محدودتر كنيد ، امنيت نيز افزايش مي‌يابد. 
با اين تفاسير، مسلم است كه نبايد خيلي به اين فايروال اعتماد كرد، چون اساساً داراي سيستم‌هاي دفاعي چنداني نيست.
به نظر مي‌رسد فايروال ويندوز  تنها يك Internet Connection Firewall باشد؛ چرا كه بيشترين توجه به اتصالا‌ت اينترنتي شده است. ولي با اين وجود حتي به صورت پيش‌فرض هم اين بخش فعال نيست.لا‌زم به ذكر  است كه كرم‌هايي چون Blaster و Sasser هر دو از اين ضعف فايروال استفاده كردند و توانستند از همين طريق به پي‌سي‌های موجود در شبکه نفوذ كنند.
بعد از آن مايكروسافت در اولين نسخه فايروال خود كه بعد از اين جريان انتشار يافت، همين نسخه‌اي كه اكنون در  Windows XP Service Pack2 ارائه شده است، اين ضعف را اصلا‌ح كرد و بنابراين اين بخش به طور پيش‌فرض فعال شد.مسئله عمده‌ ديگري كه فايروال ويندوز بر آن تمركز بيشتري دارد، مقابله با تهديدات بيروني است. مثل مقابله با كرم‌هايي كه در بالا‌ به آن‌ها اشاره شد، و اين‌كار را نيز از طريق محدودسازي كاركردها (مثل به اشتراك‌گذاري فايل و چاپگر در شبكه) كه مي‌توان با آن‌ها با جهان خارج ارتباط برقرار كرد صورت مي‌دهد. البته محدودسازي اينگونه موارد كاملا‌ً قابليت سفارشي‌سازي دارد و مي‌توانيد بنابر تشخيص خود برخي از آن‌ها را فعال كنيد و برخي ديگر را غيرفعال.با استفاده از DSLReport، فايروال ويندوز در مقابل حركات پنهاني اين برنامه (البته در مورد تهديداتي كه از بيرون آغاز مي‌شوند) عكس‌العمل مناسبي از خود نشان داد. اما همان‌طور كه انتظار مي‌رفت، فايروال ويندوز در مورد تحركاتي كه از داخل پي‌سي آغاز مي‌شدند، عكس‌العمل مناسبي از خود نشان نداد.
مسئله بسيار مهم ديگر كه اشاره به آن خالي از لطف نيست آن‌ است كه اين فايروال توانايي جلوگيري از دسترسي برنامه‌هايي كه از خارج از پي‌سي مي‌خواهند به آن دسترسي داشته باشند را ندارد. به عبارت ديگر، با اين فايروال حتي ‌امكان محدودسازي دسترسي ساير كاربران شبكه به پي‌سي شما وجود ندارد.
ويژگي مناسب ديگري كه در اين فايروال وجود دارد، اين است كه مي‌توان به سرعت تنظيمات آن را مطابق با انواع شبكه‌هايي كه معمولا‌ً كاربران نوت‌بوك با آن‌ها سروكار دارند، تغيير داد. به طور خلا‌صه شايد بتوان در مورد فايروال ويندوز گفت كه به عنوان يك فايروال هميشگي نبايد روي آن حساب كرد.

Symantec Norton Personal Firewall 2006 
از سال‌هاي گذشته يك حس بي‌اعتمادي و دل‌آزردگي نسبت به محصولا‌ت روميزي شركت سيمانتك در من وجود داشته است؛ آن هم عمدتاً به خاطر سنگيني و كند بودن محصولا‌ت اين شركت نسبت به ساير محصولا‌ت هم رده خود بوده است. 
 
اما Norton Personal Firewall 2006 را مي‌توانيد به صورت جداگانه يا به عنوان بخشي از بسته امنيتي شركت سيمانتك بر روی Server شبکه  خود نصب كنيد و نظرتان را تغيير دهيد. در واقع اين فايروال برنامه خوبي است ، اما وجود اينترفيس پيچيده‌اي كه حتي انجام كارهاي عادي نيز با آن بسيار سخت مي‌نمايد ، كمي بر سنگين بودن نرم‌افزار افزوده است. 
در مجموع بهترين انتخاب براي كاربراني است كه از ساير محصولا‌ت سيمانتك استفاده مي‌كنند. البته در مقايسه با محصولا‌ت هم قيمت خود، داراي امكانات كمتري است. Norton Personal Firewal برنامه خوبي است، اما اينترفيس پيچيده‌اي دارد.
همچنين مي‌توانيد براي استفاده از اين نوع برنامه‌ها به فايروال بگوييد كه اجازه دسترسي نامحدود به برنامه را به شما بدهد يا فايروال براساس نوع رفتار برنامه تصميماتي بگيرد و به شما اعلا‌م كند. همچنين تمام برنامه‌هاي پيشنهادي شركت سيمانتك و ساير برنامه‌هاي معتبر مثل فايرفاكس، سازگاري كاملي با اين فايروال دارند.
اگر فايروال را روي سطح امنيتي High تنظيم كنيد و از سايت‌هايي استفاده كنيد كه داراي اپلت‌هاي جاوا و كنترلرهاي ActiveX باشد، فايروال اين مسئله را مرتباً به كاربر گوشزد خواهد كرد. تا جايي كه شايد بهتر باشد فايروال را غيرفعال كنيد. اين اولين ويژگي‌اي بود كه من آن را غيرفعال كردم. نكته قابل توجه اين است كه تفاوت عمده بين سطح امنيتي High و (Medium (recommended در همين اعلا‌ن‌هاي خسته‌كننده است.
نكته ديگر آن‌كه، تنها آيتم قابل تنظيم در هر سطح تعيين مقدار مسدود كردن مواردي چون اپلت‌هاي جاوا، كنترلرهاي ActiveX، و وجود برخي تنظيمات كنترلرهاي دسترسي است. در صورتي كه در ساير فايروال‌ها بخش‌هاي متعددي هستند كه مستقل از سطح امنيتي تعيين شده به صورت دستي توسط كاربر قابل تنظيم هستند.  نكات مثبت ديگري نيز هستند كه مي‌توانيد آن‌ها را در Norton Personal Firewall پيدا كنيد. در مقايسه با فايروال‌هايي چون Zone Alarm و PC-Cillin مي‌توانيد مطمئن باشيد كه اطلا‌عات شخصي شما به گونه‌اي حفاظت مي‌شوند كه تحت هيچ شرايطي در يك اتصال ناامن جابه‌جا نخواهند شد. همچنين كاربران نوت‌بوك مي‌توانند با استفاده از امكانات متعدد تحت شبكه اين فايروال، به راحتي از شبكه‌هاي مورد نياز خود استفاده كنند. (در مجموع سيمانتك مي‌تواند به طور خودكار نوع شبكه‌اي كه مشغول استفاده از آن هستيد را تشخيص دهد و مطابق با نوع آن، تنظيمات مناسب را انجام دهد).
در انتها اگر محصولا‌ت سيمانتك را براي كار انتخاب كرده‌ايد، بايد بدانيد كه بزرگ‌ترين امتياز اين محصولا‌ت سازگاري با ساير نرم‌افزارهاي اين شركت است. اما اگر هنوز فايروالي را انتخاب نكرده‌ايد ، برنامه‌هاي ديگري هم براي شروع هستند.

Trend Micro PC - Cillin Internet Security 2006
در مجموع يكي از بهترين ضدويروس‌هايي است كه تا به حال براي پي‌سي ساخته شده است، به همراه يك فايروال و پشتيباني حفاظت از شبكه به همراه ساير ابزارهاي لا‌زم براي حفاظت ازServer شبکه  فايروال PC-Cillin مثل ضدويروس اين شركت سبك و سريع است.
 
فايروال PC-Cillin در واقع بخشي از مجموعه بزرگ‌تر امنيتي اين شركت است. شايد بتوان مهم‌ترين ويژگي اين بسته نرم‌افزاري را خلا‌صه بودن، مفيد بودن، در عين حال كامل بودن آن دانست.
در حالت پيش‌فرض اين فايروال به چهار Profile مجهز است: ارتباط مستقيم (Direct connection)، شبكه خانگي (Home Network)، شبكه اداره (Office Network) و شبكه بي‌سيم (Wireless Network). شما مي‌توانيد اجازه دهيد خود نرم‌افزار برحسب مورد، نوع شبكه‌اي كه از آن استفاده مي‌كنيد را به طور خودكار تشخيص دهد، يا مي‌توانيد برحسب نياز نوع آن را تعيين كنيد.در هر بخش مي‌توانيد با اختيارات كاملي كه به شما داده مي‌شود، تمام بخش‌هاي مورد نياز، از قبيل پورت‌ها، اجزاي سيستم،IPها، انواع پروتكل‌ها و موارد مشابه را تنظيم كنيد.
 نتايجي كه در آزمايش با DSLReport به دست آمد به حد كافي راضي‌كننده بود. اما در آزمايش با Atelier، اين فايروال شكست خورد، حتي هنگامي كه به طور صريح به فايروال گفتيم كه از دسترسي اين برنامه به شبكه جلوگيري كند، باز هم فايروال كاري از پيش نبرد.
اگر پي‌سي‌اي كه مشغول كار با آن هستند در يك شبكه بي‌سيم كار مي‌كند (مثل مسيرياب‌هاي خانگي با هر دو اتصال سيم و بي‌سيم) و در مورد حفاظت از اين شبكه دچار سردرگمي هستيد، مي‌توانيد با استفاده از آيتم Wi-Fiفايروال PC-Cillin مشكل خود را حل كنيد. اين آيتم حتي در اين صورت كه يك پي‌سي ناشناس سعي كند به شبكه متصل شود، به كاربران اخطار مي‌دهد.
 
امروزه بسياري از برنامه‌هاي امنيتي، علا‌وه بر داشتنِ امكانات معمول خود، از امكاناتي چون anti-fraud و anti-phishing به خوبي پشتيباني مي‌كنند. فايروال PC-cillin نيز از اين امر مستثني نيست و ويژگي‌اي دارد كه از ارسال رمزنگاري نشده اطلا‌عات شخصي مثل كلمات عبور يا شماره كارت‌هاي اعتباري (و در كل هر نوع داده‌اي كه كاربر نخواهد در يك فضاي آزاد تبادل داشته باشد) جلوگيري مي‌كند. 
البته به اين نكته نيز توجه داشته باشيد كه براي استفاده از چنين امكاناتي، بايد مدت زماني وقت صرف كنيد تاPC-cillin را تنظيم كنيد؛ چرا كه به طور خودكار اين اتفاقات برايتان نخواهد افتاد. همچنين مي‌توانيد PC-Cillin را به گونه‌اي تنظيم كنيد تا از ديده شدن سايت‌هاي مشكل‌ساز جلوگيري كند. اما نكته‌اي كه بايد در اين زمينه به آن توجه كرد آن است كه مي‌توانيد ضوابط و معيارهايي كه فايروال براي تشخيص مشكل‌ساز بودن سايت‌ها از آن استفاده مي كند را ويرايش و حتي تنظيم كنيد كه مي‌توان اين مسئله را يك نقطه ضعف براي اين فايروال به حساب آورد.
علا‌وه‌بر تمام اين مسائل، ويژگي جالب توجه ديگر PC-Cillin اين است كه به طور خودكار در مورد بروزرساني ويندوز و حتي آفيس جست‌وجو مي‌كند و در صورت نياز، وصله‌هاي امنيتي مورد نياز را دريافت و نصب مي‌نمايد و اين ، جداي از بروزرساني خودكار ويندوز و آفيس مي‌باشد.

ZoneAlarm Internet Security Suite 6.5
با توجه به اين‌كه اين فايروال به طور رايگان هم توزيع مي‌شود، اين برنامه در نوع خود جزء شناخته‌شده‌ترين  فايروال‌ها توسط كاربران است. دليلي كه نام اين فايروال ZoneAlarm شده است شايد اين باشد كه اين فايروال اين قابليت را دارد كه شبكه را به چند منطقه كاري تقسيم كند و كاربر مي‌تواند متناسب با هر بخش قواعد كاري متفاوتي را تعريف كند. به طور مثال مي‌تواند براي يك بخش از شبكه قابليت به اشتراك‌گذاري فايل و چاپگر را فعال و براي بخشي ديگر غيرفعال نمايد.
 
در مجموع اگر نسخه رايگان اين مجموعه شما را راضي نمي‌كند، بايد از نسخه‌هاي تكميلي استفاده كنيد؛ چراكه اغلب امكانات مهم و با اهميت يك فايروال در اين نسخه وجود دارند.
Zone Alarm مي‌تواند انتخاب خوبي بري كاربراني باشد كه مي‌خواهند از فايروال خوب و البته رايگان استفاده كنند. 
از آن‌جايي كه نسخه پايه ZA رايگان است و البته فاقد امكانات ضميمه و اضافي، من همواره پيشنهاد مي‌كنم كه اين فايروال مي‌تواند اولين انتخاب كاربراني باشد كه مي‌خواهند از فايروالي بهتر از فايروال ويندوز استفاده كنند.البته لا‌زم به ذكر است كه بعدها براي بروزرساني اين فايروال و دريافت ساير الحاقيات، بايد هزينه مربوط را بپردازيد. 
(در مورد ساير فايروال‌ها نيز لا‌زم به ذكر است كه مي‌توانيد نسخه trial را به صورت رايگان دريافت كنيد، اما اين نسخه يا محدود شده است يا داراي محدوديت زماني است) دو نسخه مهم بروز شده است.
 
 اين فايروال ZoneAlarm Pro (سي دلا‌ر) و نسخه ديگر كه داراي امكانات بسيار بيشتري است ZoneAlarm Internet Security Suit (چهل و نه دلا‌ر) نام دارد كه به خوبي از امكاناتي چون ضدويروس و ضدجاسوس‌افزار پشتيباني مي‌كند. هر كدام از اين دو نسخه قابليت يك سال بروزرساني به صورت رايگان را نيز دارند. 
ZA يكي از اولين فايروال‌هايي است كه نه تنها حملا‌ت ورودي را بلوكه مي‌كند، بلكه حتي جلوي دسترسي برنامه‌هاي داخلي به جهان خارج را (توسط اتصالا‌ت ناشناس) مي‌گيرد.در آزمايش نسخه رايگان ZA با Atelier اين فايروال نتوانست بعضي از پورت‌هاي باز شده توسط اين برنامه را ببندد. حتي هنگامي كه به طور ويژه فايروال را به گونه‌اي تنظيم كرديم كه جلوي دسترسي به شبكه را بگيرد، باز هم بخش‌هايي باز بود و Atelier توانست به شبكه دسترسي داشته باشد. 
اما نسخه Pro و Suite فايروال رفتار بهتري از خود نشان دادند. هنگامي كه ZA را در سطح امنيتي Stealth تنظيم كرديم (بالا‌ترين سطح امنيتي ممكن)، در آزمايش با DSLReports نتيجه قابل قبولي دريافت كرديم.
اگر به پي‌سي شما حمله شد يا از برنامه‌هاي مشكوك استفاده كرديد، برنامه اصلي ZA با يك علا‌مت هشدار قرمزرنگ به شما اعلا‌م خطر خواهد كرد. استفاده از اينترفيس كاملا‌ً راحت و ساده است؛ چراكه كاملا‌ً منطقي طراحي شده است. البته ممكن است به خاطر تعداد زياد آيتم‌هاي قابل تنظيم در بخش Advanced Option كمي سردرگمي برايتان ايجاد شود؛ چرا كه در اين بخش آيتم‌ها كمي غيرواضح و البته حرفه‌اي چيده شده‌اند.
بايد بگويم كه در نسخه رايگان ZA بسياري از امكانات نسخه‌هاي تكميلي و البته پولي، وجود ندارد. البته يك ويژگي مناسبي كه مي‌توانيد آن را در نسخه‌هاي تكميلي ZA بيابيد، پشتيباني و حفاظت از شبكه‌هاي بي‌سيم و پيام فوري و ايميل‌هاي مبتني بر وب و همچنين موتور ضد اسپم Mail Frontier مي‌باشد.

فصل چهارم: نسل های متفاوت فايروال

در دنيای امروز اكثر بنگاه های تجاری بر اين اعتقاد هستند كه دستيابی به اينترنت برای حضور فعال ، موثر و رقابتی در عرصه جهانی امری حياتی و الزامی است . با اين كه مزايای اتصال به اينترنت كاملا" مشهود و قابل توجه است ، در اين رابطه تهديدات و خطراتی نيز وجود دارد . به عنوان نمونه ، زمانی كه يك بنگاه تجاری شبكه خصوصی خود را به اينترنت متصل می نمايد ، اين موضوع صرفا" به اين معنی نخواهد بود كه وی امكان دستيابی كاركنان خود به اطلاعات و منابع خارج از سازمان را فراهم نموده است . سازمان فوق ، همچنين اين امكان را فراهم نموده است كه كاربران خارجی ( كاربران خارج از سازمان ) نيز بتوانند به اطلاعات شخصی و خصوصی سازمان دسترسی داشته باشند .
هر بنگاه تجاری كه در انديشه اتصال به اينترنت است مجبور خواهد بود كه با مسائل مربوط به امنيت شبكه نيز سرو كار داشته باشد .
 
در ساليان اخير فناوری های مختلفی به منظور تامين نظر بنگاه های تجاری در جهت افزايش امنيت و استفاده از مزايای متعدد اتصال به اينترنت ايجاد شده است . فناوری های فوق امكان نگهداری ، محرمانگی ، يكپارچگی و در دسترس بودن اطلاعات خصوصی و منابع شبكه را فراهم می نمايند . اكثر اين تلاش ها با تمركز بر روی فناوری های مختلف فايروال انجام شده است .
فايروال ، يك نقطه دفاعی بين دو شبكه را ايجاد و يك شبكه را در مقابل شبكه ديگر محافظت می نمايد. 
معمولا" يك فايروال ، شبكه خصوصی يك سازمان را از يك شبكه عمومی كه به آن متصل است محافظت می نمايد . يك فايروال می تواند بسادگی يك روتر باشد كه بسته های اطلاعاتی را فيلتر می نمايد و يا پيچيده نظير استفاده از چندين روتر و كامپيوتر كه سرويس های فيلترينگ بسته های اطلاعاتی و پراكسی سطح برنامه را ارائه می نمايند .

روند شكل گيری فايروال ها
فناوری فايروال جوان است ولی به سرعت به سمت تكامل و رشد حركت می نمايد . اولين نسل معماری فايروال قدمتی به اندازه روتر دارد و اولين مرتبه در سال 1985 مطرح گرديد. به اين نوع فايروال ها ، فايروال های packet filter گفته می شود . اولين مقاله ای كه نحوه عملكرد فايروال های packet filter را تشريح می كرد تا سال 1988 ارائه نگردبد و در نهايت توسط Jeff Mogul از شركت DEC ( برگرفته از Digital Equipment Corporation ) انتشار يافت .
در فاصله بين سال های 1989 و 1990 ، Dave Presotto و Howard Trickey از آزمايشگاه AT&T Bell نسل دوم معماری فايروال ها را معرفی كردند كه از آن با نام فايروال های circuit level نام برده می شود . آنان همچنين اولين مدل كاری از نسل سوم معماری فايروال ها را كه به آن application layer گفته می شود، پياده سازی كردند . آنان هيچگونه مقاله ای كه اين معماری را تشريح و يا محصولی كه بر اساس اين معماری پياده سازی شده باشد را ارائه نكردند .
در اواخر سال 1989 و اوايل سال 1990 بطور همزمان و مستقل كار مطالعاتی بر روی نسل سوم معماری فايروال ها توسط كارشناسان متعددی در امريكا انجام شد . در فاصله سال های 1990 تا 1991 اولين مقالاتی كه معماری فايروال های application layer را تشريح می كرد ، توسط Marcus Ranum و Bill Cheswick از آزمايشگاه AT&T Bell ارائه گرديد . ماحصل تلاش Marcus Ranum ارائه اولين محصول تجاری با نام SEAL توسط شركت DEC بود .
در سال 1991 ، Bill Cheswick و Steve Bellovin تحقيق بر روی فيلترينگ پويای بسته های اطلاعاتی را آغاز و بر اساس معماری طراحی شده يك محصول داخلی را در لابراتور Bell پياده سازی نمودند. اين محصول هرگز جنبه تجاری پيدا نكرد و ارائه نگرديد . در سال 1992 ، Bob Braden و Annette DeSchon در موسسه علوم اطلاعات USC شروع به تحقيق مستقل بر روی فايروال های فيلترينگ پويای بسته های اطلاعاتی برای سيستمی با نام Visas كردند . اولين محصول تجاری بر اساس معماری نسل چهارم در سال 1994 توسط شركت Check Point Software ارائه گرديد .
در سال 1996 ، Scott Wiegel در شركت Global Internet Software Group يك لی اوت اوليه برای نسل پنجم معماری فايروال ها كه به آن Kernel Proxy گفته می شود ، ارائه گرديد . اولين محصول تجاری بر اساس اين معماری در سال 1997 با نام Cisco Centri Firewall به بازار عرضه گرديد.

ايجاد يك منطقه استحفاظی ( security perimeter )
در زمان تعريف يك سياست امنيتی برای شبكه می بايست رويه هائی به منظور حفاظت شبكه ، محتويات آن و نحوه استفاده كاربران از منابع موجود به دقت تعريف گردد . سياست های امنيتی شبكه دارای يك نقش كليدی در تاكيد و انجام سياست های امنيتی تعريف شده در يك سازمان می باشند.
سياست امنيتی شبكه بر روی كنترل ترافيك و استفاده از آن تاكيد دارد و در آن به مواردی همچون منابع شبكه و تهديدات مرتبط با هر يك ، استفاده ايمن از منابع شبكه ، مسئوليت كاربران و مديران سيستم و رويه های لازم به منظور برخورد با مسائل و مشكلات ايجاد شده به دليل عدم رعايت مسائل امنيتی اشاره می گردد . سياست های امنيتی بر روی نقاط حساس درون شبكه اعمال خواهد شد . به اين نقاط و يا محدودهای استراتژيك، perimeter گفته می شود .

شبكه های perimeter
برای ايجاد مجموعه ای از شبكه های perimeter ، می بايست پس از انتخاب شبكه هائی كه قصد حفاظت از آنها را داريم ، مكانيزم های امنيتی لازم به منظور حفاظت شبكه را تعريف نمائيم . برای داشتن يك شبكه حفاظت شده ايمن ، فايروال می بايست به عنوان gateway تمامی ارتباطات بين شبكه های تائيد شده (trusted ) ، تائيد نشده (untrusted) و ناشناخته (unknown) در نظر گرفته شود . 
 
هر شبكه می تواند شامل چندين شبكه perimeter درون خود باشد . اين شبكه ها عبارتند از :
*outermost perimeter ( شبكه های بيرونی )
*internal perimeters ( شبكه های داخلی )
*innermost perimeter ( شبكه های درونی )
شكل زير ارتباط بين سه نوع شبكه perimeter فوق را نشان می دهد . با توجه به منابعی كه قصد حفاظت از آنها را در يك شبكه داريم ، ممكن است از چندين internal perimeters استفاده گردد .
 
توجه داشته باشيد كه به منظور حفاظت از منابع و سرمايه های ارزشمند موجود بر روی يك شبكه می توان چندين نقطه دفاعی را ايجاد نمود . با لايه بندی شبكه های perimeter می توان بررسی چندگانه امنيتی از ترافيك شبكه را به منظور حفاظت در مقابل عمليات غيرمجازی كه از درون شبكه شما سرچشمه می گيرد انجام داد . 
در واقع ، شبكه های outermost perimeter محل جداسازی منابعی است كه توسط شما كنترل می گردد با منابعی كه شما بر روی آنها كنترل و نظارتی نداريد. معمولا" در اين نقطه از يك روتر استفاده می شود تا شبكه خصوصی يك سازمان را از ساير شبكه ها جدا نمايد .
 
شبكه های Internal perimeter محدوده های اضافه تری را در مكان هائی كه شما دارای مكانيزم های امنيتی ديگری نظير فايروال های اينترانت و روترهای فيلترينگ می باشيد ، ارائه می نمايند .
شكل زير ،‌ دو شبكه perimeter درون يك شبكه را نشان می دهد . در اين شبكه يك شبكه outermost perimeter و يك شبكه Internal perimeter ايجاد و برای حفاظت آنها از روترهای داخلی ، خارجی و سرويس دهنده فايروال استفاده شده است .
استقرار فايروال بين روتر داخلی و خارجی يك سطح امنيتی اضافه اندك به منظور حفاظت در مقابل حملات در هر سمت را ارائه می نمايد . اين كار ميزان ترافيكی را كه فايروال می بايست بررسی نمايد بطرز محسوسی كاهش داده و متعاقب آن كارآئی فايروال افزايش خواهد يافت.
از ديد كاربران موجود بر روی يك شبكه خارجی ، سرويس دهنده فايروال امكان دستيابی به تمامی كامپيوترهای قابل دسترس در شبكه تائيد شده ( trusted ) را فراهم می نمايد . در واقع ، فايروال يك نقطه دفاعی به منظور بررسی تمامی ارتباطات بين دو شبكه را ايجاد می نمايد.
با توجه به روش پردازش و توزيع بسته های اطلاعاتی در اترنت ، می توان كارآئی فايروال های شلوغ را با استقرار روترهای فيلترينگ پشت سرويس دهنده فايروال بهبود داد (نظير آنچه كه در شكل فوق نشان داده شده است ). بنابراين بديهی است كه كارآئی بهبود پيدا خواهد كرد ، چراكه فايروال تنها مجبور به پردازش آندسته از بسته های اطلاعاتی خواهد بود كه عازم سرويس دهنده فايروال می باشند . در صورتی كه از يك روتر فيلترينگ پشت سر سرويس دهنده فايروال استفاده نگردد ، فايروال می بايست هر بسته اطلاعاتی را كه بر روی subnet توزيع می گردد پردازش نمايد (حتی اگر بسته اطلاعاتی عازم يك هاست داخلی ديگر باشد).
شبكه های outermost perimeter غيرايمن ترين ناحيه در زيرساخت شبكه شما می باشند . معمولا" اين ناحيه برای روترها ، سرويس دهندگان فايروال و سرويس دهندگان اينترنت عمومی نظير HTTP,FTP رزو شده می باشند . دستيابی به اين ناحيه با سهولت بيشتری انجام خواهد شد ، بنابراين طبيعی است كه احتمال تهاجم در اين ناحيه بيش از ساير نواحی باشد .اطلاعات حساس سازمان ها كه دارای كاربرد داخلی است نمی بايست بر روی شبكه های outermost perimeter قرار داده شود . اعتقاد به اين اصل احتياطی و پيشگيرانه ، باعث می شود كه اطلاعات حساس شما در معرض خرابی و يا سرقت قرار نگيرند .
توجه داشته باشيد كه به منظور ايجاد شبكه های internal perimeter می توان از چندين فايروال داخلی استفاده نمود . استفاده از فايروال های داخلی به شما اجازه می دهد كه دستيابی به منابع مشترك موجود در شبكه را محدود نمائيد. در بخش بعد پس از معرفی شبكه های تائيد شده ، تائيد نشده و ناشناخته به بررسی نسل های متفاوت معماری فايروال ها خواهيم پرداخت.

کاربرد فایروالها درشبکه
در دنيای امنيت اطلاعات ، به هر گونه دستگاهی كه باعث پيشگيری از مبادله اطلاعات بين دو شبكه ( به عنوان نمونه يك شبكه خصوصی و يك شبكه عمومی ) می گردد ، فايروال گفته می شود . فايروال ممكن است يك سيستم كامپيوتری جداگانه ، يك سرويس در حال اجراء بر روی روتر و يا يك سرويس دهنده و يا شبكه ای مشتمل بر مجموعه ای از دستگاه های مختص اين كار باشد.
زمانی كه شما شبكه خصوصی سازمان خود و يا كامپيوتر خود را به اينترنت متصل می نمائيد ، در واقع بطور فيزيكی شبكه و يا كامپيوتر خود را به هزاران شبكه ناشناخته و تمامی كاربران آنان متصل نموده ايد .ايجاد چنين ارتباطاتی با لحاظ نمودن مسائل امنيتی می تواند دنيای جديدی به منظور استفاده از برنامه های مفيد و ساير اطلاعات ارزشمند را برای ما ايجاد نمايد .
*هر شخصی كه مسئوليت مديريت يك شبكه خصوصی را برعهده دارد و می خواهد آن را به يك شبكه عمومی متصل نمايد ، می بايست از يك فايروال استفاده نمايد .
*هر شخصی كه كامپيوتر خود را از طريق يك مودم به اينترنت متصل می نمايد ، می بايست از يك نرم افزار فايروال شخصی استفاده نمايد . 

شبكه های تائيد شده
شبكه های تائيد شده به شبكه های درون حوزه امنيتی شبكه (security perimeter) شما اطلاق می گردد . شبكه های فوق توسط فرد و يا افرادی درون سازمان شما مديريت و حفاظت می گردند . در زمان پيكربندی يك فايروال ، با صراحت و به كمك آداپتورهای كارت شبكه مشخص می گردد كه چه نوع شبكه هائی به سرويس دهنده فايروال متصل شده اند . پس از پيكربندی اوليه ، شبكه های تائيد شده شامل سرويس دهنده فايروال و تمامی شبكه های پشت سر آن می باشند . در اين رابطه يك استثناء وجود دارد كه مربوط به شبكه های VPN (برگرفته از virtual private networks ) می باشد . اين نوع شبكه ها ، شبكه های تائيد شده ای هستند كه داده را از طريق زيرساخت يك شبكه تائيد نشده ارسال می نمايند . بسته های اطلاعاتی كه بر روی VPN حركت می نمايند ، در واقع بسته های اطلاعاتی می باشند كه از درون شبكه internal perimeter سرچشمه گرفته اند . برای مبادله اطلاعاتی كه از يك VPN سرچشمه می گيرند ، می بايست از مكانيزم های امنيتی خاصی استفاده شود تا مشخص گردد كدام سرويس دهنده فايروال قادر به تائيد منبع ترافيك ، يكپارچگی داده و ساير اصول امنيتی مورد نظر در خصوص ترافيك شبكه بر اساس اصول امنيتی مشابه بكار گرفته شده در شبكه های تائيد شده می باشد .
 

برچسبها:

مشاهده سایر پروژه های درس آمار>>>>>
HyperLink