راه‌اندازی فایروال و کنترل مصرف اینترنت

مدیریت اینترنت در شبکه سازمان‌ها اهمیت ویژه‌ای دارد چراکه معمولاً یک کاربر عادی فیلم دانلود می‌کند و مدیران و کاربران، مشکل سرعت پائین اینترنت دارند و مدیران شبکه هم اگر ابزار مناسبی مثل اکانتینگ و مدیریت پهنای باند و … نداشته باشند معمولاً به عدم‌کفایت متهم می‌شوند. در اینجا دو ابزار خیلی خوب را معرفی می‌کنیم که می‌تواند در حل این مشکل کمک کند. کنترل پهنای باند مصرفی امروزه یکی از دغدغه‌های کاربران اینترنت محسوب می‌شود. به‌عنوان‌ مثال در یک شبکه کوچک در یک کتابخانه تمامی کاربران به اینترنت دسترسی دارند و می‌توانند به‌صورت آزاد از اینترنت فایل‌های موردنیاز خود را دانلود نمایند. حال اگر این شبکه کوچک دارای پهنای باند مشخصی به میزان معین در ماه باشد و همه کاربران بخواهند فایل‌های موردنیاز خود را به‌صورت گسترده دانلود کنند، در این موقع مسئول شبکه دچار مشکل می‌شود. برای کنترل پهنای باند در شبکه نرم‌افزارهای مختلفی وجود دارد.

دیوار آتش نام عمومی برنامه‌هایی است که از دستیابی غیرمجاز به یک رایانه یا شبکه جلوگیری می‌کنند. در برخی از این نرم‌افزارها، برنامه‌ها بدون اخذ مجوز قادر نخواهند بود از یک رایانه برای سایر رایانه‌ها، داده ارسال کنند. علاوه بر درگاه ورودی (Incoming)، درگاه‌های خروجی (Outgoing) هم کنترل می‌شوند. بسته‌های اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به‌وسیله فایروال متوقف می‌شوند. نوع دیگری از فایروال نیز وجود دارد که به آن فایروال معکوس می‌گویند. فایروال معکوس ترافیک خروجی شبکه را فیلتر می‌کند، برخلاف فایروال معمولی که ترافیک ورودی را فیلتر می‌کند. در عمل، فیلتر کردن برای هردوی این مسیرهای ورودی و خروجی، احتمالاً توسط دستگاه یا نرم‌افزار یکسانی انجام می‌شود. استفاده دیگر فایروال جلوگیری از ارتباط مستقیم یک سری از رایانه‌ها با دنیای خارج می‌باشد. هرچند فایروال بخش مهمی از سیستم امنیتی را تشکیل می‌دهد ولی طراحان به این نکته نیز توجه می‌ورزند که اکثر حملات از درون شبکه می‌آیند و نه از بیرون آن. فایروال از شبکه شما در برابر ترافیک ناخواسته و همچنین نفوذ دیگران به کامپیوتر شما حفاظت می‌کند. توابع اولیه یک فایروال به این صورت هستند که اجازه می‌دهند ترافیک خوب عبور کند و ترافیک بد را مسدود می‌کنند! مهم‌ترین قسمت یک فایروال ویژگی کنترل دستیابی آن است که بین ترافیک خوب و بد تمایز قائل می‌شود. وقتی آن را نصب می‌کنید فایروال بین کامپیوتر شما و اینترنت قرار می‌گیرد. فایروال به شما اجازه می‌دهد صفحات وب را ببینید و به آن‌ها دسترسی داشته باشید، فایل download کنید، چت کنید و …  درحالی‌که مطمئن هستید افراد دیگری که در اینترنت مشغول هستند نمی‌توانند به کامپیوتر شما دست‌درازی کنند. بعضی از فایروال‌ها نرم‌افزارهایی هستند که روی کامپیوتر اجرا می‌شوند اما فایروال‌های دیگر به‌صورت سخت‌افزاری ساخته‌شده‌اند و کل شبکه را از حمله مصون می‌کنند. نحوه عملکرد بسیاری از سیستم‌های فایروال این‌گونه ‌است که تمامی ارتباطات از طریق یک سرویس‌دهنده پروکسی به سمت فایروال هدایت‌شده و همین سرویس‌دهنده درباره امن بودن یا نبودن عبور یک پیام یا یک فایل از طریق شبکه تصمیم‌گیری می‌کند. این سیستم امنیتی معمولاً ترکیبی از سخت‌افزار و نرم‌افزار است. با توجه به ضرورت‌های استاندارد (ISMS & ۲۷۰۰۱ ISO ) فایروال‌ها جزء لاینفک شبکه‌های کامپیوتری قرارگرفته‌اند و یکی از دغدغه‌های اصلی مسئولین شبکه شده‌اند، در این میان با توجه به حساسیت هر سازمان لایه‌بندی و قدرت فایروال‌ها در نظر گرفته می‌شود. مثلاً در بانک‌ها به لحاظ اهمیت و ارزش اطلاعات فایروال‌ها جایگاه حساسی دارند و مسئولین شبکه بانک‌ها همواره دقت بسیاری را دراین‌ارتباط به خرج می‌دهند. در بین نرم‌افزارهای فایروال نرم‌افزار Thread Management Gateway 2010) TMG) برنامه‌ای است که به‌منظور حفاظت و امنیت شبکه در سیستم عامل ویندوز از سوی مایکروسافت ارائه‌شده است و مطرح‌ترین و قوی‌ترین نرم‌افزار موجود در بازار است که باقابلیت‌های فراوان خودکنترل کاملی بر شبکه خواهد داد. و از همه مهم‌تر ارتباط تنگاتنگی با اکتیو دایرکتوری نیز دارد.

 

 

 

فایروال یا دیوار آتش چیست؟

فایروال (Firewall) یا دیوار آتش به نرم‌افزارها یا سخت‌افزارهایی گفته می‌شود که از دسترسی‌های غیرمجاز به کامپیوتر فرد در یک شبکه یا اینترنت جلوگیری کرده و داده‌های ورودی و خروجی را کنترل می‌کند. درواقع کار فایروال بسیار شبیه به در خانه شماست. کسانی که مجوز ورود را دارند می‌توانند وارد خانه شوند و برعکس کسانی که حق ورود به خانه را ندارند، نمی‌توانند به آن وارد شوند (با این تفاوت که معمولاً در فایروال‌ها هر دو جهت ورودی و خروجی کنترل می‌شود).  یعنی فایروال به‌عنوان یک‌لایه امنیتی داده‌ها و ارتباطات را فیلتر می‌کند. دیوار آتش یکی از مهم‌ترین لایه‌های امنیتی شبکه‌های کامپیوتری است که وجود نداشتن آن موجب می‌شود هکرها و افراد خراب‌کار بدون وجود داشتن محدودیتی به شبکه وارد شده و کار خود را انجام دهند. یک فیلتر هوای خودرو را فرض کنید که از ترکیبات بسیار موجود در هوا، فقط اکسیژن را عبور می‌دهد حال‌آنکه اگر ذرات دیگر مانند گردوغبار نیز به داخل موتور وارد شوند، به آن آسیب خواهند رساند. بنابراین وجود یک فایروال (حتی اگر آنتی‌ویروس یا اینترنت سکیوریتی داشته باشید) برای همه کاربرانی که به یک شبکه وصل هستند یا از اینترنت استفاده می‌کنند، کاملاً ضروری است.

 

 

 

مشخصه‌های مهم یک فایروال قوی و مناسب عبارت‌اند از:

۱-  توانایی ثبت و اخطار : ثبت وقایع یکی از مشخصه‌های بسیار مهم یک فایروال به شمار  می‌شود و به مدیران شبکه این امکان را می‌دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می‌تواند با کمک اطلاعات ثبت ‌شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک‌روال ثبت مناسب، مدیر می‌تواند به‌راحتی به بخش‌های مهم از اطلاعات ثبت ‌شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.

۲-  بازدید حجم بالایی از بسته‌های اطلاعات : یکی از تست‌های یک فایروال، توانایی آن در بازدید حجم بالایی از بسته‌های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده‌ای که یک فایروال می‌تواند کنترل کند برای شبکه‌های مختلف متفاوت است اما یک فایروال قطعاً نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود. عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیت‌ها از طرف سرعت پردازنده و بهینه‌سازی کد نرم‌افزار بر کارایی فایروال تحمیل می‌شوند. عامل محدودکننده دیگر می‌تواند کارت‌های واسطی باشد که بر روی فایروال نصب می‌شوند. فایروالی که بعضی کارها مانند صدور اخطار، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت‌شده را به نرم‌افزارهای دیگر می‌سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.

۳-  سادگی پیکربندی : سادگی پیکربندی شامل امکان راه‌اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است. درواقع بسیاری از مشکلات امنیتی که دامن‌گیر شبکه‌ها می‌شود به پیکربندی غلط فایروال برمی‌گردد. لذا پیکربندی سریع و ساده یک فایروال، امکان بروز خطا را کم می‌کند. برای مثال امکان نمایش گرافیکی معماری شبکه  و یا ابزاری که بتواند سیاست‌های امنیتی را به پیکربندی ترجمه کند، برای یک فایروال بسیار مهم است.

۴-  امنیت و افزونگی فایروال : امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است. فایروالی که نتواند امنیت خود را تأمین کند، قطعاً اجازه ورود هکرها و مهاجمان را به سایر بخش‌های شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تأمین‌کننده امنیت فایروال و شبکه است :

الف- امنیت سیستم عامل فایروال : اگر نرم‌افزار فایروال بر روی سیستم عامل جداگانه‌ای کار می‌کند، نقاط ضعف امنیتی سیستم عامل، می‌تواند نقاط ضعف فایروال نیز به‌حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و به‌روزرسانی آن از نکات مهم در امنیت فایروال است.

ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزم های امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روش‌ها می‌تواند رمزنگاری را همراه با روش‌های مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذ گران تاب بیاورد.

5-  فیلترهای Stateful Packet  : این فیلترها بسیار باهوش‌تر از فیلترهای ساده هستند. آن‌ها تقریباً تمامی ترافیک ورودی را بلوکه می‌کنند اما می‌توانند به ماشین‌های پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آن‌ها این کار را با نگهداری رکورد اتصالاتی که ماشین‌های پشتشان در لایه انتقال ایجاد می‌کنند، انجام می‌دهند. این فیلترها، مکانیزم اصلی مورداستفاده جهت پیاده‌سازی فایروال در شبکه‌های مدرن هستند. این فیلترها می‌توانند رد پای اطلاعات مختلف را از طریق بسته‌هایی که در حال عبورند ثبت کنند. برای مثال شماره پورت‌های TCP و UDP مبدأ و مقصد، شماره ترتیب TCP و پرچم‌های TCP. بسیاری از فیلترهای جدید Stateful می‌توانند پروتکل‌های لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا می‌توانند اعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکل‌ها انجام دهند.

6-  فایروال‌های شخصی : فایروال‌های شخصی، فایروال‌هایی هستند که بر روی رایانه‌های شخصی نصب می‌شوند. آن‌ها برای مقابله با حملات شبکه‌ای طراحی‌شده‌اند. معمولاً از برنامه‌های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجادشده توسط این برنامه‌ها اجازه می‌دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش می‌دهد. از طرف دیگر از آنجایی‌که امروزه بسیاری از حملات از درون شبکه حفاظت‌شده انجام  می‌شوند، فایروال شبکه نمی‌تواند کاری برای آن‌ها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود. معمولاً نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب‌شده (همانند پروکسی) نیست.

 

 

 

نحوه پیکربندی بهینه یک فایروال به چه صورت است ؟ 

اکثر محصولات فایروال تجاری ( هم سخت‌افزاری و هم نرم‌افزاری ) دارای امکانات متعددی به‌منظور پیکربندی بهینه می‌باشند. با توجه به تنوع بسیار زیاد فایروال‌ها، می‌بایست به‌منظور پیکربندی بهینه آنان به مستندات ارائه‌شده، مراجعه تا مشخص گردد که آیا تنظیمات پیش‌فرض فایروال نیاز شما را تأمین می‌نماید یا خیر ؟ پس از پیکربندی یک فایروال یک سطح امنیتی و حفاظتی مناسب در خصوص ایمن‌سازی اطلاعات انجام‌ شده است. لازم است به این موضوع مهم اشاره گردد که پس از پیکربندی یک فایروال نمی‌بایست بر این باور باشیم که سیستم ما همواره ایمن خواهد بود. فایروال‌ها یک سطح مطلوب حفاظتی را ارائه می‌نمایند ولی هرگز عدم تهاجم به سیستم شمارا تضمین نخواهند کرد. استفاده از فایروال به همراه سایر امکانات حفاظتی نظیر نرم‌افزارهای آنتی‌ویروس و رعایت توصیه‌های ایمنی می‌تواند یک سطح مطلوب حفاظتی را برای شما و شبکه شما به دنبال داشته باشد . 

 

 

 

 

 

انواع فایروال ازلحاظ نحوه عملکرد

فایروال‌ها به سه نوع “لایه شبکه”، “لایه اپلیکیشن یا کاربردی” و “فایروال پراکسی” ازلحاظ نحوه عملکرد تقسیم می‌شوند که کاربر می‌تواند در یک‌زمان از همه‌یاهیچ کدام از آن‌ها استفاده کند.

 

 

 

دیوار آتش لایه شبکه یا فیلتر بسته‌ها:  (Network layer or packet filters)

فایروال‌های شبکه (Network Firewall) یا فیلتر بسته‌ها نوعی دیوار آتش هستند که تنها وظیفه‌ دارند تا با توجه به سربرگ (Header) پکت‌های TCP/IP و مقایسه معیارهای خود با اطلاعاتی نظیر آدرس IP فرستنده یا گیرنده، پورت انتقالی فرستنده یا گیرنده، زمان دریافت، نوع سرویس (ToS) و پارامترهای مشابه تصمیم به عبور دادن و مسیردهی بسته‌ها بگیرد یا آن‌ها را بلاک کند. فایروال لایه شبکه می‌تواند تا حداکثر چهار لایه ( از ۱ تا  ۴) از مدل OSI را فیلتر کند. از مرحله یک تا سوم که لایه فیزیکی تا شبکه است و لایه چهارم (انتقال) که برای فهمیدن پورت مقصد استفاده می‌کند. در این نوع، فایروال هیچ کاری به محتوای بسته‌های ارسالی یا دریافتی نداشته و فقط طبق سربرگ‌ها و هدرهای بسته‌ها تصمیم‌گیری می‌کند. مثلاً بسته‌هایی که فقط در هدر آن‌ها ذکرشده باشد که به پورت ۸۰ - پورت وب یا  HTTP -  فرستاده شوند را اجازه عبور دهد. این نوع فایروال‌ها معمولاً به دلیل این‌که مقایسات کلی را انجام نمی‌دهند، سرعت بسیار بالاتری نسبت به سایر دیوارهای آتش دارند. این‌گونه فایروال را تقریباً می‌توان در هر دستگاه شبکه‌ای مثل مسیریاب‌ها روترها، سوئیچ‌ها و … یافت.

 

 

 

 

 

فایروال لایه کاربرد (Application Firewall) :

فایروال‌های لایه کاربردی (Application Firewalls) می‌توانند کل یک بسته را آنالیز کنند که شامل سربرگ‌ها و محتوای آن است. برعکس فایروال لایه شبکه که به محتوا کاری نداشت، در این نوع فایروال فیلتر اصلی بر روی محتوای پکت‌ها داده اعمال می‌شود. بنابراین می‌توان گفت که این فایروال می‌تواند در تمامی لایه‌های مدلینگ OSI کار کند یعنی ۷ لایه. از لایه ۱ تا ۴ که عمل مسیریابی و انتقال انجام می‌شود و از لایه ۵ تا ۷ نیز که لایه محتوای داده‌هاست. به همین دلیل این نوع فایروال می‌تواند بسیار امن تر و قابل‌اعتمادتر باشد. فهمیدیم که هدرهای بسته‌ها چگونه بررسی می‌شوند حال به بررسی و فیلترینگ محتوای بسته‌ها می‌پردازیم. می‌دانیم که بخش اصلی پکت‌ها همان محتوای آن است پس این همان قسمت است که باید آنالیز شود. منظور از محتوای پکت‌ها همان داده‌هایی هستند که در حال انتقال‌اند مثلاً ممکن است داده‌های مربوط به یک فایل، صفحه اینترنتی، ایمیل و … باشد. این نوع فایروال‌ها قابلیت ایجاد معیارهای فیلترینگ دارند که محتوا و هدرهای بسته‌ها را طبق آن معیارها فیلتر کند. مثلاً فرض کنید که این داده‌ها خود آلوده باشند (یعنی فایلی که منتقل می‌شود ویروسی باشد) در اینجاست که برخی از فایروال‌های لایه کاربرد به بررسی و فیلتر کردن این داده‌ها می‌پردازد. ازجمله این فایروال‌های اسکنر می‌توان به بخشی از اینترنت سکیوریتی‌ها اشاره کرد. طبیعی است که چک کردن کل محتوای منتقل‌شده زمان‌بر است بنابراین سرعت کار این نوع فایروال‌ها نیز کند است.

 

 

 

فایروال‌های پراکسی (Proxies) :

سرورهای پراکسی نوعی رابط بین یک شبکه و یک شبکه دیگر یا یک کاربر و اینترنت است که برای مواردی نظیر حفظ امنیت، پنهان کردن هویت و … استفاده می‌شود. در واقع کاربر بجای این‌که درخواست خود را مستقیماً به یک شبکه یا یک سرور دیگر در اینترنت بفرستد و پاسخ آن را نیز مستقیماً دریافت کند، آن را به یک سرور به نام پراکسی فرستاده و سرور پراکسی آن بسته را به مقصد اصلی می‌رساند. در هنگام دریافت پاسخ نیز ابتدا به سرور پراکسی فرستاده‌شده و پراکسی در صورت نیاز پردازش‌هایی را بر روی آن انجام داده و به کاربر اصلی برمی‌گرداند. فایروال‌ پراکسی یا پروکسی (Proxy Firewalls)  نوعی از فایروال‌هاست که بر روی سرور پراکسی اجرا می‌شود و کاربر با وصل شدن به آن، درواقع به یک فایروال وصل شده است چون همه داده‌های ردوبدل شده از سرور پراکسی می‌گذرد و ما یک فایروال پراکسی بر روی آن نصب‌کرده‌ایم، داده‌ها در طول مسیر انتقال فیلتر خواهند شد. این نوع فایروال معایب خود را نیز دارد ازجمله آن‌که می‌توان داده‌ها را در طول مسیر بین پراکسی و کاربر یا پراکسی و اینترنت دزدید یا سایر حملات را بر روی آن عملی کرد. درصورتی‌که ارتباط بین کاربر و فایروال پراکسی رمزگذاری شده باشد، این احتمال به حداقل خود خواهد رسید.

 

 

 

 

چه نوع فایروال هائی وجود دارد ؟

فایروال‌ها به دو شکل  سخت‌افزاری ( خارجی ) و نرم‌افزاری ( داخلی )، ارائه می‌شوند  . با اینکه هر یک از مدل‌های فوق دارای مزایا و معایب خاص خود می‌باشند، تصمیم در خصوص استفاده از یک فایروال به‌مراتب مهم‌تر از تصمیم در خصوص نوع فایروال است .

فایروال‌های سخت‌افزاری : این نوع از فایروال‌ها که به آنان فایروال‌های شبکه نیز گفته می‌شود ، بین کامپیوتر شما (و یا شبکه) و کابل و یا خط DSL  قرار خواهند گرفت. تعداد زیادی از تولیدکنندگان و برخی از مراکز ISP دستگاه‌هایی با نام “روتر” را ارائه می‌دهند که دارای یک فایروال نیز می‌باشند. فایروال‌های سخت‌افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بوده و یک سطح مناسب حفاظتی را ارائه می‌نمایند ( امکان استفاده از آنان به‌منظور حفاظت یک دستگاه کامپیوتر نیز وجود خواهد داشت ). درصورتی‌که شما صرفاً دارای یک کامپیوتر پشت فایروال می‌باشید و یا این اطمینان رادارید که سایر کامپیوترهای موجود بر روی شبکه نسبت به نصب تمامی patch ها، بهنگام بوده و عاری از ویروس‌ها و یا کرم‌ها می‌باشند، ضرورتی به  استفاده از یک سطح اضافه حفاظتی (یک نرم‌افزار فایروال ) نخواهید داشت. فایروال‌های سخت‌افزاری، دستگاه‌های سخت‌افزاری مجزایی می‌باشند که دارای سیستم عامل اختصاصی خود می‌باشد. بنابراین به‌کارگیری آنان باعث ایجاد یک‌لایه دفاعی اضافه در مقابل تهاجمات می‌گردد. فایروال‌های سخت‌افزاری (Hardware Firewall) در قالب دستگاه‌های فیزیکی ارائه می‌شوند که به‌تنهایی و بدون نیاز به هیچ‌چیز اضافی (مثل سیستم عامل کامپیوتر فرد و …) می‌تواند داده‌ها را فیلتر کرده و عمل محافظت را انجام دهد. معمولاً در روترهایی که قدیمی نیستند، یک فایروال در آن‌ها تعبیه‌شده است که توسط ارزیابی هدر پکت‌ها این کار را انجام می‌دهد. برخلاف فایروال نرم‌افزاری، فایروال سخت‌افزاری می‌تواند بیش از یک کامپیوتر موجود در شبکه را محافظت کند چون هیچ وابستگی‌ای به کامپیوترهای شبکه نداشته و به تعداد پورت‌های آن می‌تواند کامپیوترهای شبکه را به‌وسیله یک فایروال سخت‌افزاری محافظت نمود. برای یک کاربر عادی، استفاده از فایروال نرم‌افزاری آن‌هم از فایروال‌های پیش‌فرض سیستم‌عامل می‌تواند کافی به نظر برسد اما استفاده از سایر فایروال‌های نرم‌افزاری را توصیه می‌کنیم. همچنین یک فایروال سخت‌افزاری به‌تنهایی نمی‌تواند لایه امنیتی قابل‌اعتمادی باشد به همین دلیل استفاده از فایروال‌های نرم‌افزاری را، اگرچه از نوع سخت‌افزاری نیز استفاده شود، پیشنهاد می‌کنیم.

 

 

 

 

فایروال‌های نرم‌افزاری : برخی از سیستم‌های عامل دارای یک فایروال تعبیه‌شده درون خود می‌باشند. درصورتی‌که سیستم عامل نصب‌شده بر روی کامپیوتر شما دارای ویژگی فوق می‌باشد، پیشنهاد می‌گردد که آن را فعال نموده تا یک سطح حفاظتی اضافی در خصوص ایمن‌سازی کامپیوتر و اطلاعات، ایجاد گردد. ( حتی اگر از یک فایروال خارجی یا سخت‌افزاری استفاده می‌نمایید ). درصورتی‌که سیستم عامل نصب‌شده بر روی کامپیوتر شما دارای یک فایروال تعبیه‌شده نمی‌باشد،  فایروال‌های نرم‌افزاری (Software Firewall) در قالب برنامه‌های قابل ‌نصب یا قابل ‌حمل برای سیستم عامل‌های مختلف مثل ویندوز، لینوکس، OS X و … ارائه‌شده و بهترین انتخاب برای کاربران خانگی است. این‌گونه فایروال‌ها را معمولاً به‌صورت تعبیه‌شده (Built-in) می‌توان در خود سیستم عامل‌ها پیدا کرد برای مثال در سیستم عامل ویندوز برنامه Windows Firewall (که به‌صورت پیش‌فرض فعال است) می‌تواند بیشتر نیازهای کاربران را تأمین کند اگرچه پیشنهاد می‌شود از سایر فایروال‌های نرم‌افزاری مانند Comodo یا Zone Alarm در کنار آن استفاده شود. از مهم‌ترین مزایای این‌گونه فایروال‌ها به نصب آسان آن (مثل یک برنامه ساده) و امکان پیکربندی و ایجاد Rule های متنوع موردنیاز اشاره کرد برای مثال می‌توان یک برنامه خاص را مجاز کرد و از اتصال یک برنامه دیگر به شبکه یا اینترنت جلوگیری کرد. همچنین کار با این فایروال‌ها بسیار ساده بوده و حتی کاربران مبتدی نیز می‌توانند با خیال راحت از آن‌ها استفاده کنند درحالی‌که نوع سخت‌افزاری فایروال‌ها نیاز به پیکربندی‌های دقیق‌تر دارند. اما عیب این فایروال این است به دلیل ماهیت نرم‌افزاری بودن، فقط کامپیوتری را محافظت خواهد نمود که بر روی آن نصب‌شده باشد و هیچ اختلالی در فایل‌های فایروال وجود نداشته باشد به همین دلیل برای یک شبکه که از چندین کامپیوتر تشکیل‌شده باشد، استفاده از فایروال سخت‌افزاری در کنار فایروال نرم‌افزاری پیشنهاد می‌شود.

 

 

 

 

به‌طورکلی فایروال سه عملکرد دارد که در زیر به آن‌ها خواهیم پرداخت :

 

 

Stateful Inspection Firewalls

آخرین بخش فایروال بر روی مفهوم Stateful Inspection تمرکز دارد. به‌منظور درک این واژه باید بدانید که Stateless firewall  به چه معنی است. Stateless Firewall تصمیمات را بر مبنای داده‌های ورودی مثل بسته‌های ورودی می‌گیرد و نه بر اساس هر نوع تصمیم‌های پیچیده‌ای . Stateful Inspection را با نام دیگر Statefull Packet Filtering هم می‌شناسند . اکثر دیوایس هایی که در شبکه به کار می‌روند، اطلاعات مربوط به داده‌های مسیریابی شده و استفاده‌شده در شبکه را بازرسی و ثبت نمی‌کنند. به همین دلیل پس‌ازآنکه یک بسته در شبکه عبور داده شد، بسته و مسیر آن فراموش می‌شود. در Stateful Inspetion با استفاده از جدولی که به‌منظور بازرسی داده‌ها استفاده می‌شود، رکوردهایی که در هر ارتباط به وجود می‌آید ثبت می‌شود. این امکان در تمام سطوح شبکه به وجود می‌آید و امنیت مضاعفی را به‌ویژه در پروتکل‌های بدون اتصال (Statless) مثل  User Datagram و ICMP  به وجود می‌آورد. این ویژگی پروسه را کمی پیچیده‌تر می‌کند و به همین دلیل می‌توان گفت که حمله‌های ناشی از Denial-of-Service چالش‌برانگیز است. زیرا تکنیک‌های طغیان شبکه به‌منظور ایجاد بار اضافی بر روی جدول بازرسی و درنهایت به‌طور مؤثر دلیل شات دان یا ریبوت شدن فایروال می‌شود. داده‌ها در یک ارتباط شبکه‌ای (چه اینترنت باشد چه یک شبکه محلی) دررفت و برگشت از محلی به نام دروازه (Gateway) عبور می‌کنند. فایروال‌ها برای بالاترین امنیت ممکن، در این قسمت قرار می‌گیرند. اگر مقیاس را کوچک‌تر کرده و یک کامپیوتر مستقل را در نظر بگیرید، فایروال درست بعد از درایور کارت شبکه قرار می‌گیرد بنابراین در هر دو حالت، همه داده‌های ورودی و خروجی از فایروال باید بگذرند. به‌عنوان‌مثال در یک شرکت بزرگ ، بیش از ۱۰۰ رایانه وجود دارد که باکارت شبکه به یکدیگر متصل هستند. این شبکه داخلی به‌وسیله یک یا چند خط ویژه به اینترنت متصل است. بدون استفاده از یک فایروال تمام رایانه‌ها و اطلاعات موجود در این شبکه برای شخص خارج از شبکه قابل‌دسترس است و اگر این شخص راه خود را بشناسد می‌تواند تک‌تک رایانه‌ها را بررسی و با آن‌ها ارتباط هوشمند برقرار کند. در این حالت اگر یک کارمند خطایی انجام دهد و یک حفره امنیتی ایجاد شود، هکرها می‌توانند وارد سیستم شوند و از این حفره سوءاستفاده کنند؛ اما با داشتن یک فایروال همه‌چیز متفاوت خواهد بود.
فایروال‌ها روی خطوطی که ارتباط اینترنتی برقرار می‌کنند، نصب می‌شوند و از یک سری قانون‌های امنیتی پیروی می‌کنند. به‌عنوان‌مثال یکی از قانون‌های امنیتی شرکت می‌تواند به‌این‌ترتیب باشد، از تمام ۵۰۰ رایانه موجود در شرکت فقط یکی اجازه دریافت صفحات FTP را دارد و فایروال باید مانع ارتباط دیگر رایانه‌ها از طریق FTP شود. این شرکت می‌تواند برای وب سرورها و سرورهای هوشمند و… همچنین قوانینی در نظر بگیرد. علاوه بر این شرکت می‌تواند شیوه اتصال کاربران و کارمندان به شبکه اینترنت را هم کنترل کند؛ به‌عنوان‌مثال اجازه ارسال فایل از شبکه به خارج را ندهد. در حقیقت با استفاده از فایروال یک شرکت می‌تواند شیوه استفاده از اینترنت را تعیین کند.

 

 

موقعیت‌یابی برای فایروال

محل و موقعیت نصب فایروال همانند انتخاب نوع صحیح فایروال و پیکربندی کامل آن، از اهمیت ویژه‌ای برخوردار است. نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارت‌اند از :

*موقعیت و محل نصب ازلحاظ توپولوژیکی : معمولاً مناسب به نظر می‌رسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم. این امر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال ازیک‌طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک می‌کند.

*قابلیت دسترسی و نواحی امنیتی : اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند، بهتر است آن‌ها را بعد از فایروال و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی و تنظیم فایروال جهت صدور اجازه به کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود با هک شدن شبکه داخلی. چون شما خود مسیر هکرها را در فایروال بازکرده‌اید. درحالی‌که با استفاده از ناحیه DMZ، سرورهای قابل‌دسترسی برای شبکه عمومی از شبکه خصوصی شما به‌طور فیزیکی جدا هستند، لذا اگر هکرها بتوانند به نحوی به این سرورها نفوذ کنند بازهم فایروال را پیش روی خوددارند.

*مسیریابی نامتقارن : بیشتر فایروال‌های مدرن سعی می‌کنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آن‌ها شبکه داخلی را به شبکه عمومی وصل کرده است، نگهداری کنند. این اطلاعات کمک می‌کنند تا تنها بسته‌های اطلاعاتی مجاز به شبکه خصوصی وارد شوند. درنتیجه حائز اهمیت است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصی از طریق یک فایروال باشد.

*فایروال‌های لایه‌ای : در شبکه‌های با درجه امنیتی بالا بهتر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشکلی روبرو شود، دومی به کار ادامه می‌دهد. معمولاً بهتر است دو یا چند فایروال مورداستفاده از شرکت‌های مختلفی باشند تا در صورت وجود یک اشکال نرم‌افزاری یا حفره امنیتی دریکی از آن‌ها ، سایرین بتوانند امنیت شبکه را تأمین کنند.

 

 

 

کارشناسان امنیت شرکت ایده پردازان شبکه گستر آریا با گذراندن دوره‌های آکادمیک در حوزه امنیت و با داشتن سوابق درخشان در این زمینه از مراحل ابتدایی اعم از مشاوره و انتخاب تا مرحله نصب و راه‌اندازی در کنار شما و همراه با شما می‌باشند. هدف ما این است که در دنیای ناامن و آشفته‌ی سایبری، امنیت و آرامش را برای شما به ارمغان بیاوریم. ما ادعا نمی‌کنیم که نهایت امنیت را به شما هدیه می‌دهیم ولی مطمئناً شما را به درجه‌ای می‌رسانیم که آسوده‌خاطر باشید. متخصصان ما در بخش امنیت سابقه نصب و راه‌اندازی انواع فایروال‌های سخت‌افزاری و نرم‌افزاری اعم از ISA و TMG و Cyberoam و FortiGate و .... را در سازمان بزرگ و کوچک دارند. ما نیازها را بر اساس نوع و درخواست شما مستند می‌کنیم و با آینده‌نگری متناسب با نوع سازمان / شرکت پیشنهادات لازم را ارائه می‌نماییم و در صورت تائید در فازهای خرید، شناسایی، پیاده‌سازی، مستندسازی و آموزش پروژه را پیاده‌سازی می‌نماییم .کارشناسان شرکت ایده پردازان شبکه گستر آریا معتقدند پیاده‌سازی و نصب تنها فازهای ابتدایی پروژه بوده و آموزش و بومی‌سازی یکی از اصول اصلی تحویل کار می‌باشد. ما در فاز طولانی و زمان‌بر کار فایروال شمارا رصد کرده و بر اساس نیازها اقدام به Tune رول‌های امنیتی می‌نماییم.