پاورپوینت دیوار آتشی

***2

مقدمه :

Firewall در فرهنگ کامپیوتر یعنی محافظت از شبکه های داخلی در مقابل شبکه های خطاکار . معمولا یک شبکه کامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبکه تولیدات شرکت را دارید که باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود که آیا واقعا نیاز به محافظت از یک شبکه داخلی داریم و سوال دیگر اینکه چگونه از طریق یFirewall در فرهنگ کامپیوتر یعنی محافظت از شبکه های داخلی در مقابل شبکه های خطاکار .

تعریف دیواره‌های آتش

دیواره‌های آتش یکی از مؤثرترین و مهمترین روشهای پیاده سازی "مصونیت شبکه" هستند و قادرند تا حد زیادی از دسترسی غیر مجاز دنیای بیرون به منابع داخلی جلوگیری کنند.دیواره‌های آتش، مانند خندق‌های دور قلعه‌های دوران قرون وسطی عمل می‌کنند. شکل 1 یکی از این قلعه‌ها را نشان می‌دهد. خندق دور قلعه باعث می‌شود نفوذ به قلعه مشکل باشد.

انجمن Network Computer Security Association) NCSA) تعریف زیر را از دیواره‌های آتش ارائه داده است."دیواره آتش یک سیستم یا ترکیبی از چندین سیستم است که یک سری محدودیت را بین دو یا چند شبکه اعمال می‌کند."در واقع یک دیواره آتش با محدودکردن دسترسی بین دو شبکه سعی می‌کند یکی را از دیگری محافظت کند. عموماً دیواره‌های آتش به منظور محافظت شبکه خصوصی ‌که به یک شبکه عمومی یا مشترک متصل است به کار گرفته می‌شوند. دیواره‌های آتش یک نقطه محدود کننده‌‌ را بین دو شبکه ایجاد می‌کند. 

***3

عملکرد دیواره‌ های آتش را می‌توان در سه جمله خلاصه کرد:

- آنها افراد را موقع ورود در یک نقطه کاملاً کنترل شده محدود می‌سازد.

- آنها از نزدیک شدن خرابکاران به منابع داخلی جلوگیری می‌کنند.

- آنها افراد را موقع خروج در یک نقطه کاملاً کنترل شده محدود می‌سازند.

در واقع این نقطه کاملاً کنترل شده در مثال قلعه‌های قرون وسطایی همان پل متحرکی است که تنها در مواقع ورود و خروج افراد مشخص بر روی خندق قرار می‌گیرد و در دیگر موارد بسته است و در نقش درب قلعه عمل می‌کند. دیواره آتش اغلب در نقطه‌ای ‌که شبکه ‌داخلی به شبکه خارجی متصل است قرار داده می‌شود (شکل 2). تمام ترافیکی که از سمت شبکه خارجی به شبکه داخلی وارد می‌‌شود و یا از شبکه داخلی به سمت شبکه خارجی، خارج می‌‌شود از دیواره آتش عبور می‌کند، به همین علت دیواره آتش فرصت و موقعیت مناسبی را داراست که تشخیص دهد آیا ترافیک عبوری مورد پذیرش هست یا خیر. اینکه چه ترافیکی مورد پذیرش هست به "سیاست امنیتی" (Security Policy)شبکه باز می‌گردد. سیاست های امنیتی تعیین می‌کنند که چه نوع ترافیک هایی مجوز ورود و یا خروج را دارا هستند. 

***4

می‌توان گفت یک دیواره آتش:

- یک جداساز است.

- یک محدودساز (Restrictor) است.

- یک آنالیز کننده (Analyzer) است.

یک دیواره آتش ممکن است:

- مسیریابی با چند لیست کنترل دسترسی باشد.

- نرم افزاری که روی یک PC یا یک سیستم Unix اجرا می شود، باشد.

- یک جعبه سخت افزاری اختصاصی باشد.

انواع پیچیده تر دیواره های آتش به صورت ترکیبی از چندین سیستم و راه حلهای Multi-computer و Multi-router پیاده سازی می‌شوند. شبکه های مختلف بسته به نیازهای امنیتی مختلف و هزینه ای که برای تأمین امنیت در نظر گرفته اند از دیواره‌های آتش مختلف و روشهای پیاده سازی مختلف آنها استفاده می‌کنند.

دیواره‌های آتش اگر چه ‌که از بروز مشکلات مختلف برای شبکه داخلی جلوگیری می‌کنند اما بدون اشکال و عیب نیستند. در مثال ذکر شده، افراد ماهرتر قادر خواهند بود از خندق با شنا عبور کنند و در یک فرصت مناسب هنگامی که پل باز است با لباس مبدل به قلعه وارد شوند. سؤال اینجاست که با وجود این اشکالات چرا دیواره‌های آتش مورد استفاده قرار می‌گیرند؟ در پاسخ باید گفت درست است که در حالات خاصی دیواره آتش نفوذ پذیر است و خرابکاران قادرند از آن عبور کنند، اما با این حال این ابزار از عبور بسیاری از خرابکاران جلوگیری می‌کند و موثرترین ابزار در کنترل دسترسی به شبکه به حساب می‌آید. در صورتی که هیچ خندقی وجود نداشته باشد ورود افراد غیر مجاز به قلعه بسیار آسانتر خواهد بود و آیا چون در حالات خاصی، افراد خاص ممکن است از خندق عبور کنند، هیچ خندقی وجود نداشته باشد؟ 

***5

در هر حال یک دیواره آتش قادر است در جهت بالا رفتن سطح امنیتی شبکه اقدامات مفیدی را انجام دهد. در ادامه مواردی که یک دیواره آتش قادر است انجام دهد و به امنیت شبکه کمک کند را مورد بررسی قرار می‌دهیم.

توانایی‌های دیواره‌های آتش

در این بخش توانایی‌های دیواره‌های آتش را مورد بررسی قرار می‌دهیم.

یک دیواره آتش می‌تواند اجرای تصمیمات امنیتی را در یک نقطه متمرکزکند: همانطورکه‌گفته شد، دیواره آتش یک نقطه محدود کننده بین دو شبکه است. تمام ترافیک به داخل و از خارج باید از این نقطه باریک عبورکند و راه دیگری برای عبور ترافیک وجود ندارد. بدین ترتیب دیواره آتش قابلیت اعمال کنترل شدیدی را دارا خواهد بود و می‌تواند با اعمال ابزار مختلف تأمین‌کننده امنیت در این نقطه سطح قابل قبولی از امنیت را تضمین کند. در واقع چون همه چیز در یک کانال ارتباطی قابل کنترل است می‌توان تصمیمات مختلفی را در ارتباط با امنیت شبکه گرفت و به اجرا در آوردن آنها را در یک نقطه متمرکز ساخت.

یک دیواره آتش می‌تواند سیاست امنیتی شبکه را به اجرا در آورد: می‌دانیم سرویس های مختلفی در شبکه‌ها وجود دارند و با گسترش اینترنت تنوع و تعداد آنها بسیار افزایش یافته است. اغلب این سرویسها ناامن هستند و هنگام استفاده و ارائه آنها باید دقت کرد. سیاست امنیتی شبکه‌های مختلف تعیین می‌کند که چه سرویسهایی در شبکه ارائه می‌شود و چه افرادی مجازند از این سرویسها استفاده کنند. دیواره‌های آتش قادرند با پاسبانی و کنترل سرویسهای مختلف تنها به سرویسهای مجاز تعریف شده در سیاست امنیتی اجازه عبور دهند و بدین ترتیب سیاست امنیتی شبکه را به اجرا در‌آورند