ParvanehDesigner
یک شنبه 28 فروردین 1384, 13:19 عصر
من یک مشکلی دارم، من نمی توانم یک دیواره آتش مناسب برای سرور ویندوزم پیدا کنم. در اصل وقتی افراد در این باره از من پرسش می کنند جواب مناسبی برای آنها ندارم.
اگر چه در حال حاضر بیشتر سرور های ما پشت دیواره آتش می باشند، اما من علاقمندم که یک حفاظت دیگر در خود سرور داشته باشم.
به نظر می رسد که این راه حل می تواند کافی باشد. من صبورانه منتظر یک شخص با استعداد هستم که دیواره آتش ویندوز را با تمام خصوصیات به من معرفی کند تا من از توضیحات اضافه خودداری کنم زیرا که راه درست آن است که به سمت لینوکس با IPTable بروم. اما این انتظار بیهوده است. گاهی اوقات من فکر می کردم که آخرین راه حل برای دیواره آتش ویندوز را پیدا کرده ام ولی بعد از مدتی می دیدم که اشتباه می کرده ام و راههای دیگر را امتحان می کردم.
مطمئنا ما فیلتر کننده های TCP/IP داریم که واقعا سریع می باشد. اما بسیار محدود است و فقط برای بسیاری از ترافیک های ابتدایی ورودی کاربرد دارد. اگرشما از فیلتر کننده های TCP/IP استفاده کنید شما نیاز دارید که محافظت از لایه های دیگر را به طور اضافه نیز داشته باشید.
IPSec نیز است. فقط شما یک مرتبه بین قاعده ها، مجموعه قاعده ها، فیلترها و مجموعه فیلتر های مختلف، دسته بندی ایجاد می کنید. شما حتی می توانید از یک رابط کاربر و یا از اسکریپت های مختلف استفاده کنید ولی هر دو آنها گیج کننده هستند. به هر جهت وقتی که شما تمام این کارها را انجام دهید و در شبکه خود اجرا کنید مشاهده خواهید کرد که شبکه شما کندتر از قبل شده است. زیرا که IPSec به همراه فیلترینگ بسته ها، شبکه را تا حدود 10% - 15% کند می کند. راستی یک چیز دیگر هم وجود دارد که باعث می شود من از IPSec متنفر شوم: رویدادهای آن توسط ثبت وقایع ویندوز(Windows Eventlog ) ، ثبت می گردد. یعنی شما نیاز دارید که روی تک تک رویدادها کلیک کنید تا مشخصات و خصوصیات آن را مشاهده کنید و یا آن را به فرمتی دیگر در آورید. همین موضوع کافی است که من از هر دوی آنها فرار کنم.
http://sgnec.net/admin/images/arts/firewall.jpg
دیواره آتش ارتباطات اینترنت ویندوز (ICF) تا حدودی بهتر است و با قاعده ها به طور قابل انعطاف تری برخورد می کند. وقتی ویندوز 2003 با SP1 عرضه شد حتی دیواره آتش بهتر نیز شد. واقعا باید اعتراف کرد که دیواره آتش ویندوز یک پیشرفت بزرگ محسوب می شود و جالب آنکه حتی از Group Policy ها نیز پشتیبانی می کند. متاسفانه دیواره آتش ویندوز به شما اجازه نمی دهد که روی ترافیک بیرونی هیچ قاعده ای داشته باشید. به علاوه نیاز دارد که مدیریت ارتباطات دسترسی ها از راه دور و همچنین سرویس های تلفنی روشن شوند. مثلا هنگامی که من نیاز به یک میل سرور و سرور وب امن دارم من نیازی به آنها ندارم.
RAS چطور ؟ شاید بدانید که آن نیز قابلیت های فیلتر کردن بسته ها را دارد و در حقیقت یک API خوبی برای ابزارهای دیگر دارد که می توانند این کار را انجام دهند. اما این فیلترها به شما اجازه نمی دهند که در سطح پایین تر مانند فیلترینگ ICMP فیلتر ها را اعمال کنید بنابراین این هم به نظر مفید نمی رسد.
دیواره های آتش شخصی مناسب و کاربردی نیز وجود دارد که واقعا برای کامپیوترهای رومیزی بسیار مناسب و کارا می باشد اما هیچکدام برای ویندوز سرور کارایی مناسب را ندارند. برخی از آنها از بقیه بهترند ولی باز هم تمامی آنها مشکلات خاص خود را دارند. مشکلاتی از قبیل ضعف در فایل های ثبت وقایع، قابلیت های پیکربندی محدود، کند بودن و بدتر از همه آنکه در هنگام بار بالا صفحه آبی خطای ویندوز را نمایش می دهند!
مشکل دیواره های آتش شخصی این است که آنها باید با محیط ویندوز مجتمع شوند. راههای زیادی برای جلوگیری کردن از بسته ها در ویندوز وجود دارد اما هر کدام از آنها ضعف و زیانهای خودشان را دارند و تمامی این راهها به طور ضعیفی نیز مستند شده اند. بیشتر آنها نیاز دارند که با توابع بخش هسته ویندوز کار کنند و برای برخی از ابزارها نیز احتیاج به نوشتن درایور است. تمامی آنها کار می کنند، اما اگر اطمینان از این بود که صفحه آبی خطای ویندوز نمایش داده نمی شود خیلی بهتر بود ولی خودتان امتحان کنید، سرورهای ما اغلب با بار بالا مواجهه می شوند و شما در استفاده از یک دیواره آتش با صفحه آبی به طور متناوب مواجهه می شوید. مشکل دیگر این برنامه ها این است که در برخورد با برنامه های دیگر با مشکل مواجهه می شوند. از همه مهمتر به دلیل اینکه این برنامه ها با برخی توابع نوشته می شوند که ممکن است بعد از نصب سرویس پک ها و hotfix ها ممکن است تغییر کند و مسایل بیشمار دیگری نیز وجود دارد.
دیواره های آتش شخصی نیز برای ویندوز های سروری که بدون مراقبت هستند نیز به خوبی کار نمی کنند و هرکدام از آنها نیز برای بیشتر ترافیک های شبکه نیاز به اجازه کاربر دارند که این موضوع برای ویندوزهای سرور به طور بدیهی کار نمی کنند و برخی نیز به صورت یک برنامه مقیم در حافظه می باشند که حتی از Terminal Services نیز قابل دسترس نیستند!
آخرین تلاش من برای نصب یک دیواره آتش ویندوز سرور برنامه ISA 2004 مایکروسافت می باشد. خیلی جالب آنکه این برنامه به خوبی کار می کند. هسته محافظ آن به خوبی یک دیواره آتش شخصی کار می کند به علاوه آنکه در تعریف قاعده ها نیز به خوبی عمل می کند. فقط یک مشکل بزرگ وجود دارد : برنامه ISA 2004 خیلی گرانتر از خود ویندوز سرور است و این کار را کمی مشکل می کند.
به نظر شما من باید چه کار کنم؟ آخرین کاری که کردم خرید یک دیواره آتش سخت افزاری کوچک بود!
البته زیاد هم ناامید نباشید. مایکروسافت روی یک سرویس فیلترینگ بسته ها(Windows Filtering Platform) در ویندوز لانگهورن کار می کند که در آینده منتشر خواهد شد. WFP یک موتور فیلترینگ بسته ها در سطح سیستم عامل می باشد. شرکت های ثانوی فقط کافی است که برنامه های خود را پیکربندی کنند و روی قاعده ها کار کنند. WFP روی بسته ها در لایه های مختلف پشته جدید TCP/IP دسترسی ایجاد می کند و همین امر باعث پشتیبانی از فیلترینگ بعد از رمزنگاری بسته ها می شود و حتی از IPSec نیز پشتیبانی می کند. WFP آوازیست که از دور خوش است و در حال حاضر به درد من نمی خورد.
شما فکر می کنید که پاسخ آن ساده است ولی اینگونه نیست و من هنوز مات و مبهوتم که برای دیواره آتش ویندوز سرور خود چه راه حلی را پیدا کنم؟ راه حلی که هنوز وجود ندارد.
منبع : SecurityFocus
مترجم : امیر حسین شریفی
ناشر : مهندسی شبکه همکاران سیستم (مشورت)
اگر چه در حال حاضر بیشتر سرور های ما پشت دیواره آتش می باشند، اما من علاقمندم که یک حفاظت دیگر در خود سرور داشته باشم.
به نظر می رسد که این راه حل می تواند کافی باشد. من صبورانه منتظر یک شخص با استعداد هستم که دیواره آتش ویندوز را با تمام خصوصیات به من معرفی کند تا من از توضیحات اضافه خودداری کنم زیرا که راه درست آن است که به سمت لینوکس با IPTable بروم. اما این انتظار بیهوده است. گاهی اوقات من فکر می کردم که آخرین راه حل برای دیواره آتش ویندوز را پیدا کرده ام ولی بعد از مدتی می دیدم که اشتباه می کرده ام و راههای دیگر را امتحان می کردم.
مطمئنا ما فیلتر کننده های TCP/IP داریم که واقعا سریع می باشد. اما بسیار محدود است و فقط برای بسیاری از ترافیک های ابتدایی ورودی کاربرد دارد. اگرشما از فیلتر کننده های TCP/IP استفاده کنید شما نیاز دارید که محافظت از لایه های دیگر را به طور اضافه نیز داشته باشید.
IPSec نیز است. فقط شما یک مرتبه بین قاعده ها، مجموعه قاعده ها، فیلترها و مجموعه فیلتر های مختلف، دسته بندی ایجاد می کنید. شما حتی می توانید از یک رابط کاربر و یا از اسکریپت های مختلف استفاده کنید ولی هر دو آنها گیج کننده هستند. به هر جهت وقتی که شما تمام این کارها را انجام دهید و در شبکه خود اجرا کنید مشاهده خواهید کرد که شبکه شما کندتر از قبل شده است. زیرا که IPSec به همراه فیلترینگ بسته ها، شبکه را تا حدود 10% - 15% کند می کند. راستی یک چیز دیگر هم وجود دارد که باعث می شود من از IPSec متنفر شوم: رویدادهای آن توسط ثبت وقایع ویندوز(Windows Eventlog ) ، ثبت می گردد. یعنی شما نیاز دارید که روی تک تک رویدادها کلیک کنید تا مشخصات و خصوصیات آن را مشاهده کنید و یا آن را به فرمتی دیگر در آورید. همین موضوع کافی است که من از هر دوی آنها فرار کنم.
http://sgnec.net/admin/images/arts/firewall.jpg
دیواره آتش ارتباطات اینترنت ویندوز (ICF) تا حدودی بهتر است و با قاعده ها به طور قابل انعطاف تری برخورد می کند. وقتی ویندوز 2003 با SP1 عرضه شد حتی دیواره آتش بهتر نیز شد. واقعا باید اعتراف کرد که دیواره آتش ویندوز یک پیشرفت بزرگ محسوب می شود و جالب آنکه حتی از Group Policy ها نیز پشتیبانی می کند. متاسفانه دیواره آتش ویندوز به شما اجازه نمی دهد که روی ترافیک بیرونی هیچ قاعده ای داشته باشید. به علاوه نیاز دارد که مدیریت ارتباطات دسترسی ها از راه دور و همچنین سرویس های تلفنی روشن شوند. مثلا هنگامی که من نیاز به یک میل سرور و سرور وب امن دارم من نیازی به آنها ندارم.
RAS چطور ؟ شاید بدانید که آن نیز قابلیت های فیلتر کردن بسته ها را دارد و در حقیقت یک API خوبی برای ابزارهای دیگر دارد که می توانند این کار را انجام دهند. اما این فیلترها به شما اجازه نمی دهند که در سطح پایین تر مانند فیلترینگ ICMP فیلتر ها را اعمال کنید بنابراین این هم به نظر مفید نمی رسد.
دیواره های آتش شخصی مناسب و کاربردی نیز وجود دارد که واقعا برای کامپیوترهای رومیزی بسیار مناسب و کارا می باشد اما هیچکدام برای ویندوز سرور کارایی مناسب را ندارند. برخی از آنها از بقیه بهترند ولی باز هم تمامی آنها مشکلات خاص خود را دارند. مشکلاتی از قبیل ضعف در فایل های ثبت وقایع، قابلیت های پیکربندی محدود، کند بودن و بدتر از همه آنکه در هنگام بار بالا صفحه آبی خطای ویندوز را نمایش می دهند!
مشکل دیواره های آتش شخصی این است که آنها باید با محیط ویندوز مجتمع شوند. راههای زیادی برای جلوگیری کردن از بسته ها در ویندوز وجود دارد اما هر کدام از آنها ضعف و زیانهای خودشان را دارند و تمامی این راهها به طور ضعیفی نیز مستند شده اند. بیشتر آنها نیاز دارند که با توابع بخش هسته ویندوز کار کنند و برای برخی از ابزارها نیز احتیاج به نوشتن درایور است. تمامی آنها کار می کنند، اما اگر اطمینان از این بود که صفحه آبی خطای ویندوز نمایش داده نمی شود خیلی بهتر بود ولی خودتان امتحان کنید، سرورهای ما اغلب با بار بالا مواجهه می شوند و شما در استفاده از یک دیواره آتش با صفحه آبی به طور متناوب مواجهه می شوید. مشکل دیگر این برنامه ها این است که در برخورد با برنامه های دیگر با مشکل مواجهه می شوند. از همه مهمتر به دلیل اینکه این برنامه ها با برخی توابع نوشته می شوند که ممکن است بعد از نصب سرویس پک ها و hotfix ها ممکن است تغییر کند و مسایل بیشمار دیگری نیز وجود دارد.
دیواره های آتش شخصی نیز برای ویندوز های سروری که بدون مراقبت هستند نیز به خوبی کار نمی کنند و هرکدام از آنها نیز برای بیشتر ترافیک های شبکه نیاز به اجازه کاربر دارند که این موضوع برای ویندوزهای سرور به طور بدیهی کار نمی کنند و برخی نیز به صورت یک برنامه مقیم در حافظه می باشند که حتی از Terminal Services نیز قابل دسترس نیستند!
آخرین تلاش من برای نصب یک دیواره آتش ویندوز سرور برنامه ISA 2004 مایکروسافت می باشد. خیلی جالب آنکه این برنامه به خوبی کار می کند. هسته محافظ آن به خوبی یک دیواره آتش شخصی کار می کند به علاوه آنکه در تعریف قاعده ها نیز به خوبی عمل می کند. فقط یک مشکل بزرگ وجود دارد : برنامه ISA 2004 خیلی گرانتر از خود ویندوز سرور است و این کار را کمی مشکل می کند.
به نظر شما من باید چه کار کنم؟ آخرین کاری که کردم خرید یک دیواره آتش سخت افزاری کوچک بود!
البته زیاد هم ناامید نباشید. مایکروسافت روی یک سرویس فیلترینگ بسته ها(Windows Filtering Platform) در ویندوز لانگهورن کار می کند که در آینده منتشر خواهد شد. WFP یک موتور فیلترینگ بسته ها در سطح سیستم عامل می باشد. شرکت های ثانوی فقط کافی است که برنامه های خود را پیکربندی کنند و روی قاعده ها کار کنند. WFP روی بسته ها در لایه های مختلف پشته جدید TCP/IP دسترسی ایجاد می کند و همین امر باعث پشتیبانی از فیلترینگ بعد از رمزنگاری بسته ها می شود و حتی از IPSec نیز پشتیبانی می کند. WFP آوازیست که از دور خوش است و در حال حاضر به درد من نمی خورد.
شما فکر می کنید که پاسخ آن ساده است ولی اینگونه نیست و من هنوز مات و مبهوتم که برای دیواره آتش ویندوز سرور خود چه راه حلی را پیدا کنم؟ راه حلی که هنوز وجود ندارد.
منبع : SecurityFocus
مترجم : امیر حسین شریفی
ناشر : مهندسی شبکه همکاران سیستم (مشورت)