دیوار آتش

از ویکی‌پدیا، دانشنامهٔ آزاد.

Image:Merge-arrows.svg

پیشنهاد شده است که این مقاله یا بخش با فایروال ادغام گردد. (بحث).

دیوار آتش (FireWall) دیوار آتش سیستمی است که در بین کاربران یک شبکه محلی و شبکه جهانی قرار می‌‌گیرد و ضمن نظارت بر دسترسی‌ها در تمام سطوح ورود و خروج اطلاعات راتحت نظر دارد. در این ساختار هر سازمان یا نهادی که بخواهد ورود و خروج اطلاعات را کنترل‌کند موظف است تمام ارتباطات مستقیم شبکه داخلی خود را با دنیای خارج قطع کرده و هرگونه ارتباط خارجی از طریق یک دروازه که دیوارآتش یا فیلتر نام دارد انجام‌شود. بسته‌های TCP وIPقبل از ورود به شبکه یا خروج ازآن ابتدا وارد دیواره آتش می‌شوند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند.بعد از تحلیل بسته ۳ اتفاق می‌‌افتد:

اجازه عبور بسته داده می‌شود.Accept Mode بسته حذف می‌گردد.Blocking Mode بسته حذف شده و پاسخ مناسب به مبدا فرستاده می‌شود.Response Mode همانطورکه همه جا عملیات ایست و بازرسی وقت‌گیر و اعصاب خردکن است دیوار آتش هم می‌تواند منجر به بالا رفتن ترافیک و تاخیر و نهایتآ بن‌بست در شبکه شود.به همین دلیل دیوارآتش نیاز به طراحی دقیق و صحیح دارد. مشخصه‌های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارت‌اند از:

۱- توانایی ثبت و اخطار: ثبت وقایع یکی از مشخصه‌های بسیار مهم یک فایروال به شمار می‌شود و به مدیران شبکه این امکان را می‌دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می‌‌تواند با کمک اطلاعات ثبت‌ شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب، مدیر می‌تواند براحتی به بخش‌های مهم از اطلاعات ثبت شده دسترسی پیداکند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.

۲- بازدید حجم بالایی از بسته‌های اطلاعات: یکی از تست‌های یک فایروال، توانایی آن در بازدید حجم بالایی از بسته‌های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده‌ای که یک فایروال می‌‌تواند کنترل کند برای شبکه‌های مختلف متفاوت است اما یک فایروال قطعآ نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه‌سازی کد نرم‌افزار بر کارایی فایروال تحمیل می‌شوند. عامل محدودکننده دیگر می‌‌تواند کارتهای واسطی باشد که بر روی فایروال نصب می‌شوند. فایروالی که بعضی کارها مانند صدور اخطار، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می‌سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.

۳- سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه‌های می‌شود به پیکربندی غلط فایروال بر می‌گردد. لذا پیکربندی سریع و ساده یک فایروال، امکان بروز خطا را کم می‌کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند، برای یک فایروال بسیار مهم است.

۴- امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تأمین کند، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخش‌های شبکه نیز خواهدداد. امنیت در دو بخش از فایروال، تأمین کننده امنیت فایروال و شبکه است:

الف- امنیت سیستم عامل فایروال: اگر ‌نرم‌افزار فایروال بر روی سیستم عامل جداگانه‌ای کار می‌کند، نقاط ضعف امنیتی سیستم عامل، می‌تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.

ب- دسترسی امن به فایروال جهت مقاصد مدیریتی: یک فایروال باید مکانیزم‌های امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می‌تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.

يكي از اساسي ترين سئوالاتي كه در ذهن استفاده كننده گان از ديوار آتش به وجود مي آيد اين است كه آيا ديوار آتش سخت افزاري بهتر است يا نرم افزاري؟ به همين منظور برخي از عوامل مقايسه اي را در زير آورده ايم:

Decision Factors Description Flexibility Updating for latest vulnerabilities and patches is easier with software-based firewalls. Extensibility Many hardware firewalls only allow for limited customizability. Choice of Vendors Software firewalls allow you to choose from hardware for a wide variety of needs, and there is no reliance on single vendor for additional hardware. Costs Price for hardware firewalls may be High. Software firewalls take advantage of low CPU costs. The hardware can be easily upgraded and old hardware can be repurposed. Complexity Hardware firewalls are often less complex.


[ویرایش] منبع

نفوذ گری در شبکه وروشهای مقابله.مهندس احسان ملکیان.دانشگاه تهران http://www.ircert.com/articles/Firewall.htm

گرفته شده از «http://fa.wikipedia.org/wiki/%DA%A9%D8%A7%D8%B1%D8%A8%D8%B1:Linux»