دیوار آتش
از ویکیپدیا، دانشنامهٔ آزاد.
![]() |
پیشنهاد شده است که این مقاله یا بخش با فایروال ادغام گردد. (بحث). |
دیوار آتش (FireWall) دیوار آتش سیستمی است که در بین کاربران یک شبکه محلی و شبکه جهانی قرار میگیرد و ضمن نظارت بر دسترسیها در تمام سطوح ورود و خروج اطلاعات راتحت نظر دارد. در این ساختار هر سازمان یا نهادی که بخواهد ورود و خروج اطلاعات را کنترلکند موظف است تمام ارتباطات مستقیم شبکه داخلی خود را با دنیای خارج قطع کرده و هرگونه ارتباط خارجی از طریق یک دروازه که دیوارآتش یا فیلتر نام دارد انجامشود. بستههای TCP وIPقبل از ورود به شبکه یا خروج ازآن ابتدا وارد دیواره آتش میشوند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند.بعد از تحلیل بسته ۳ اتفاق میافتد:
اجازه عبور بسته داده میشود.Accept Mode بسته حذف میگردد.Blocking Mode بسته حذف شده و پاسخ مناسب به مبدا فرستاده میشود.Response Mode همانطورکه همه جا عملیات ایست و بازرسی وقتگیر و اعصاب خردکن است دیوار آتش هم میتواند منجر به بالا رفتن ترافیک و تاخیر و نهایتآ بنبست در شبکه شود.به همین دلیل دیوارآتش نیاز به طراحی دقیق و صحیح دارد. مشخصههای مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتاند از:
۱- توانایی ثبت و اخطار: ثبت وقایع یکی از مشخصههای بسیار مهم یک فایروال به شمار میشود و به مدیران شبکه این امکان را میدهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه میتواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب، مدیر میتواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیداکند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.
۲- بازدید حجم بالایی از بستههای اطلاعات: یکی از تستهای یک فایروال، توانایی آن در بازدید حجم بالایی از بستههای اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم دادهای که یک فایروال میتواند کنترل کند برای شبکههای مختلف متفاوت است اما یک فایروال قطعآ نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینهسازی کد نرمافزار بر کارایی فایروال تحمیل میشوند. عامل محدودکننده دیگر میتواند کارتهای واسطی باشد که بر روی فایروال نصب میشوند. فایروالی که بعضی کارها مانند صدور اخطار، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر میسپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.
۳- سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکههای میشود به پیکربندی غلط فایروال بر میگردد. لذا پیکربندی سریع و ساده یک فایروال، امکان بروز خطا را کم میکند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند، برای یک فایروال بسیار مهم است.
۴- امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تأمین کند، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهدداد. امنیت در دو بخش از فایروال، تأمین کننده امنیت فایروال و شبکه است:
الف- امنیت سیستم عامل فایروال: اگر نرمافزار فایروال بر روی سیستم عامل جداگانهای کار میکند، نقاط ضعف امنیتی سیستم عامل، میتواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.
ب- دسترسی امن به فایروال جهت مقاصد مدیریتی: یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها میتواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.
يكي از اساسي ترين سئوالاتي كه در ذهن استفاده كننده گان از ديوار آتش به وجود مي آيد اين است كه آيا ديوار آتش سخت افزاري بهتر است يا نرم افزاري؟ به همين منظور برخي از عوامل مقايسه اي را در زير آورده ايم:
Decision Factors Description Flexibility Updating for latest vulnerabilities and patches is easier with software-based firewalls. Extensibility Many hardware firewalls only allow for limited customizability. Choice of Vendors Software firewalls allow you to choose from hardware for a wide variety of needs, and there is no reliance on single vendor for additional hardware. Costs Price for hardware firewalls may be High. Software firewalls take advantage of low CPU costs. The hardware can be easily upgraded and old hardware can be repurposed. Complexity Hardware firewalls are often less complex.
[ویرایش] منبع
نفوذ گری در شبکه وروشهای مقابله.مهندس احسان ملکیان.دانشگاه تهران http://www.ircert.com/articles/Firewall.htm
گرفته شده از «http://fa.wikipedia.org/wiki/%DA%A9%D8%A7%D8%B1%D8%A8%D8%B1:Linux»