فایروال چیست و چگونه كار می كند؟
چهارشنبه 25 خرداد 1390 4:00 PM
|
فایروال چیست و چگونه كار می كند؟ |
|
Stateful فایروال بیشتر كنترل و تست بسته های اطلاعاتی از لایه 4 به پایین را انجام می دهد. همچنین سیستم پیشرفته بازرسی را نیز جهت كنترل بسته های مورد نیاز لایه 7 ارائه می دهد. اگر بسته اطلاعاتی مجوز عبور از فایروال را دریافت نماید، اجازه عبور به این بسته داده شده و یك ركورد به جدول وضعیت(State Table) اضافه می شود. از این به بعد ارتباط هایی كه از این ركورد انتقال پیدا می كنند بدون چك كردن لایه 7 گذر داده می شوند و فقط بسته هایی كه لازم است تا اطلاعات آنها كه شامل آدرس مبداء و مقصد و پورت Tcp/Udp می باشند چك شود با این جدول كنترل خواهند شد تا صحت آنها تایید شود. این روش كارآیی فایروال را افزایش خواهد داد چرا كه فقط بسته های اطلاعاتی كه مقدار دهی شده باشند میبایست پردازش شوند. چون این فایروالها برای فیلتر كردن از اصول مشابه استفاده می كنند، دستورات لایه 7 را در یك ارتباط در نظر نمی گیرند درصورتی كه پروكسی فایروال ها این كار را انجام می دهند. ناتوانی فایروال ها، در كنترل كردن ارتباطات لایه 7 نقطه ضعفی است كه در برابر پروكسی ها دارند در صورتیكه مزیت آنها كنترل دامنه وسیعی از پروتكل ها(در مقایسه با پروكسی ها كه محدوده كمتری از پروتكل های لایه 7 را پشتیبانی می كنند) و سرعت بالای آنها می باشد و می توانند بهترین انتخاب برای محافظت از شبكه باشند. فایروال به منزله نقطه كنترلی شبكه می باشد. از خصوصیات نقطه كنترلی یكی بودن و قابل كنترل بودن آن است. در این نقطه كاهش ترافیك ورودی و خروجی را خواهیم داشت، درست مانند دستگاه فلز یاب فرودگاه كه افراد می بایست نفر به نفر از آن عبور كنند و همین امر باعث كندی در مراحل انتقال مسافران خواهد بود. فایروال نقش دستگاه فلزیاب را روی شبكه ایفا می كند، به این ترتیب كه تمامی ترافیك خروجی و ورودی به شبكه می بایست توسط آن بازرسی شود و مزیت دیگر علاوه بركنترل، ثبت ورود و خروجها و دریافت گزارش می باشد. در این قسمت مفهوم Defense-in-Depth یا دفاع در عمق را به خوبی می توان دریافت. در مثال فوق اگر شخص خرابكار از بازرسی اول فرودگاه با موفقیت عبور كند در بازرسی های بعدی كه به منزله فایروال می باشد و تا رسیدن به هواپیما قرار دارد، متوقف خواهد شد. دفاع در عمق یعنی دفاع لایه به لایه و قرار دادن عنصر مهم اطلاعاتی در مركز لایه.(بحث دفاع در عمق در مقاله های بعدی بیشتر توضیح داده خواهد شد.) Stateful فایروال دارای یك جدول وضعیت است بطوری كه با اولین ارتباط كه از داخل فایروال می گذرد این جدول ایجاد شده و ركوردی در این جدول ثبت می شود كه حاوی اطلاعات زیادی از جمله آدرس مبدا و مقصد، پورت استفاده شده، Flag ها،Sequenceهاو... می باشد. این اطلاعات می بایست تا حدی دقیق و مشخص آورده شود كه از ایجاد ترافیك توسط هكرها كه مجوز ورود آنها را به شبكه میسر می سازد، جلوگیری نماید. نمونه ای از Stateful فایروال ها، فایروال های مبتنی بر Netfilter/IPtabels می باشند |
|
چیست ؟ |
نرم افزاری است كه در یك شبكه حد واسط بین اینترنت و كاربران واقع می شود. فلسفه ایجاد Proxy Server قراردادن یك خط اینترنت در اختیار تعداد بیش از یك نفر استفاده كننده در یك شبكه بوده است ولی بعدها امكانات و قابلیتهایی به Proxy Server افزوده شد كه كاربرد آن را فراتر از به اشتراك نهادن خطوط اینترنت كرد . بطور كلی Proxy Server ها در چند مورد كلی استفاده می شوند .
یك كاربرد Proxy Server ها ، همان به اشتراك گذاشتن یك خط اینترنت برای چند كاربر است كه باعث كاهش هزینه و كنترل كاربران و همچنین ایجاد امنیت بیشتر می شود . كاربرد دوم Proxy Serverها ، در سایتهای اینترنتی به عنوان Firewall می باشد . كاربرد سوم كه امروزه از آن بسیار استفاده می شود ، Caching اطلاعات است .
با توجه به گران بودن هزینه استفاده از اینترنت و محدود بودن پهنای باند ارتباطی برای ارسال و دریافت اطلاعات ، معمولا" نمی توان به اطلاعات مورد نظر در زمان كم و با سرعت مطلوب دست یافت . امكان Caching اطلاعات ، برای كمك به رفع این مشكل در نظر گرفته شده است .
Proxy Server ، سایتهایی را كه بیشتر به آنها مراجعه می شود را دریك حافظه جداگانه نگاه می دارد. به این ترتیب برای مراجعه مجدد به آنها نیازی به ارتباط از طریق اینترنت نیست بلكه به همان حافظه مخصوص رجوع خواهد شد .
این امر باعث می گردد از یك طرف زمان دسترسی به اطلاعات كمتر شده و از سوی دیگر چون اطلاعات از اینترنت دریافت نمی شود ، پهنای باند محدود موجود با اطلاعات تكراری اشغال نشود . بخصوص آنكه معمولا" تغییرات در یك Website محدود به یك یا دو صفحه می باشد و گرفتن اطلاعات از اینترنت بدون Caching به معنای گرفتن كل سایت می باشد حال آنكه با استفاده از Proxy Server و امكان Caching اطلاعات ، میتوان تنها صفحات تغییر كرده را دریافت كرد . ویژگیهای Proxy Server ویژگی اول : با استفاده از Proxy Server می توان از اكثر پروتكلهای موجود در شبكه های محلی در محدوده نرم افزارهای كاربردی در شبكه های LAN مرتبط با اینترنت استفاده كرد . Proxy Server پروتكلهای پر كاربرد شبكه های محلی مانند IPX/SPX (مورد استفاده در شبكه های ناول) ، NETBEUI (مورد استفاده در شبكه های LAN با تعداد كاربران كم) و TCP/IP (مورد استفاده در شبكه های Intranet) را پشتیبانی می كند.
با این ترتیب برای اینكه بتوان از یك نرم افزار كاربردی شبكه LAN كه مثلا" با پروتكل IPX/SPX روی ناول نوشته شده ، روی اینترنت استفاده كرد نیازی نیست كه قسمتهای مربوط به ارتباط با شبكه كه از Function Call های API استفاده كرده را به Function Call های TCP/IP تغییر داد بلكه Proxy Server خود این تغییرات را انجام داده و می توان به راحتی از نرم افزاری كه تا كنون تحت یك شبكه LAN با ناول كار می كرده است را در شبكه ای كه مستقیما" به اینترنت متصل است ، استفاده كرد . همین ویژگی درباره سرویسهای اینترنت مانند , FTP , Telnet , Gopher , IRC RealAudio , Pop3 و . . . وجود دارد . به این معنا كه هنگام پیاده سازی برنامه با یك سرویس یا پروتكل خاص ، محدودیتی نبوده و كدی در برنامه برای ایجاد هماهنگی نوشته نمی شود .
ویژگی دوم : با Cache كردن اطلاعاتی كه بیشتر استفاده می شوند و با بروز نگاه داشتن آنها ، قابلیت سرویسهای اینترنت نمایان تر شده و مقدار قابل توجهی در پهنای باند ارتباطی صرفه جویی می گردد.
ویژگی سوم : Proxy Server امكانات ویژه ای برای ایجاد امنیت در شبكه دارد . معمولا" در شبكه ها دو دسته امنیت اطلاعاتی مد نظر است . یكی آنكه همه كاربران شبكه نتوانند از همه سایتها استفاده كنند و دیگر آنكه هر كسی نتواند از روی اینترنت به اطلاعات شبكه دسترسی پیدا كند . با استفاده ازProxy Server نیازی نیست كه هر Client بطور مستقیم به اینترنت وصل شود در ضمن از دسترسی غیرمجاز به شبكه داخلی جلوگیری می شود . همچنین می توان با استفاده از SSL (Secure Sockets Layers) امكان رمز كردن داده ها را نیز فراهم آورد.
ویژگی چهارم : Proxy Server بعنوان نرم افزاری كه می تواند با سیستم عامل شما مجتمع شود و همچنین با IIS (Internet Information Server) سازگار می باشد، استفاده می گردد. خدمات Proxy Server Proxy Server سه سرویس در اختیار كاربران خود قرار می دهد:
1-Web Proxy Service : این سرویس برای Web Publishing یا همان ایجاد Web Site های مختلف درشبكه LAN مفید می باشد . برای این منظور قابلیت مهم Reverse Proxing در نظر گرفته شده است . Reverse Proxing امكان شبیه سازی محیط اینترنت درمحیط داخل می باشد. به این ترتیب فرد بدون ایجاد ارتباط فیزیكی با اینترنت می تواند برنامه خود را همچنان كه در محیط اینترنت عمل خواهد كرد، تست كرده و مورد استفاده قرا دهد. این قابلیت در بالا بردن سرعت و كاهش هزینه تولید نرم افزارهای كاربردی تحت اینترنت موثر است.
2-Winsock Proxy Service : منظور، امكان استفاده از API Callهای Winsock در Windows است . در Windows ، Function Call های مورد استفاده در سرویسهای اینترنت مانند Telnet ، FTP ، Gopher و . . . ، تحت عنوان Winsock Protocols معرفی شده اند. در حقیقت برای استفاده از این سرویسها در نرم افزارهای كاربردی نیازی نیست كه برنامه نویس چگونگی استفاده از این سرویسها را پیش بینی كند.
3-Socks Proxy Service : این سرویس، سرویس Socks 4.3a را پشتیبانی می كند كه در واقع زیر مجموعه ای از Winsock می باشد و امكان استفاده از Http 1.02 و بالاتر را فراهم می كند. به این ترتیب می توان در طراحی Website خارج از Firewall ، Security ایجاد كرد. معیارهای موثر در انتخاب
Proxy Server 1- سخت افزار مورد نیاز : برای هر چه بهتر شدن توانمندیهای Proxy Server ، باید سخت افزار آن توانایی تحمل بار مورد انتظار را داشته باشد .
2- نوع رسانه فیزیكی برای ارتباط با اینترنت : راه حلهای مختلفی برای اتصال به شبكه اینترنت وجود دارد . ساده ترین راه ، استفاده از مودم و خطوط آنالوگ می باشد . راه دیگر استفاده از ISDN و خطوط دیجیتال است كه هم احتیاج به تبدیل اطلاعات از آنالوگ به دیجیتال و برعكس در ارسال و دریافت اطلاعات ندارد و هم از سرعت بالاتری برخوردار است . روش دیگر استفاده از خط های T1/E1 با ظرفیت انتقال گیگا بایت می باشد . پیشنهاد می شود كه در شبكه های با كمتر از 250 كاربر از ISDN و از 250 كاربر به بالا از T1/E1 استفاده شود . ( البته در ایران به علت عدم وجود خطوط ISDN و كمبود خطوط T1/E1 این استانداردها كمتر قابل پیاده سازی هستند. )
3- هزینه ارتباط با اینترنت : دو عامل موثر در هزینه اتصال به اینترنت ، پهنای باند و مانایی ارتباط می باشد . هر چه مرورگرهای اینترنتی بیشتر و زمان استفاده بیشتر باشد ، هزینه بالاتر خواهد بود . با توجه به اینكه Proxy Server می تواند با Caching اطلاعات این موارد را بهبود بخشد ، بررسی این عامل می تواند در تعیین تعداد Proxy های مورد استفاده موثر باشد .
4- نوع و نحوه مدیریت سایت : این عامل نیز در تعیین تعداد Proxyها موثر است . مثلا" اگر در شبكه ای مشكل راهبری وجود داشته باشد ، با اضافه كردن تعداد Proxyها ، مشكل راهبری نیز بیشتر خواهد شد .
5- پروتكل های مورد استفاده : Proxy Server ها معمولا" از پروتكلهای TCP/IP و یا IPX/SPX برای ارتباط با Client ها استفاده می كنند . بنابراین برای استفاده از Proxy باید یكی از این پروتكل ها را در شبكه استفاده كرد . پیشنهاد می شود در شبكه های كوچك با توجه به تعداد كاربرها Proxy Server و Web Server روی یك كامپیوتر تعبیه شوند و در شبكه های متوسط یا بزرگ تعدادserver Proxyها بیش از یكی باشد .
***به بهشت نمی روم اگر مــــــادرم آنجا نباشد***
آنگاه که تنها شدی و در جست جوی یک تکیه گاه مطمئن هستی ، بر من توکل نما . نمل/79
