arezoo_66
شنبه 04 دی 1389, 10:57 صبح
http://64.130.220.65/Thumbnails/pics/1385/8/IT/wh120-46.jpg (http://isna.ir/ISNA/PicView.aspx?Pic=Pic-1671579-1&Lang=P)
اگر از اينترنت استفاده ميكنيد و در حين كار به اينترنت متصل هستيد حتما نام فايروال را شنيدهايد؛ شما ميتوانيد با استفاده از
*يك فايروال چه ميكند؟
يك فايروال يك برنامه يا يك وسيله سختافزاري است كه اطلاعاتي را كه از طريق اينترنت به شبكه يا كامپيوتر شما وارد و يا از آن خارج ميشود، بررسي و درصورت نياز فيلتر ميكند. اگر بستهاي كه در حال ورود به شبكه شماست بعنوان بسته فيلتري برچسب بخورد، ديگر اجازه ورود به شبكه شما را نخواهد داشت.
فايروال ميتواند قوانين امنيتي را پياده كند. براي مثال يكي از قوانين امنيتي يك شركت ميتواند اين باشد: از ميان 500 كامپيوتر اين شركت، فقط يكي حق دارد ترافيك FTP را دريافت كند. يك شركت ميتواند چنين قوانيني را براي سرورهاي FTP، سرورهاي وب، سرورهاي Telnet و مانند آن اختصاص داده و تعريف كند.
بهعلاوه يك شركت ميتواند در مورد نحوه اتصال كارمندان به وب سايتها و اينكه آيا فايلها مجوز خروج از شبكه شركت را دارند يا خير، كنترلهاي لازم را اعمال كند. يك فايروال كنترل مناسبي برروي نحوه استفاده كارمندان از شبكه ايجاد ميكند.
فايروالها با استفاده از چند روش ترافيك ورودي و خروجي شبكه را كنترل ميكنند.
*فيلتر كردن بستهها
بستههاي داده بر اساس مجموعه اي از فيلترها تحليل ميشوند. بسته هايي كه مجوز داشته باشند وارد شده و بقيه رد ميشوند.
* سرويس Proxy
اطلاعات دريافتي از اينترنت ابتدا توسط فايروال دريافت شده و سپس به سيستم درخواست كننده ارسال ميشوند و برعكس.
*تفتيش Stateful
روشي جديد كه محتويات هر بسته را بررسي نميكند و بهجاي آن، بخشهاي كليدي مشخصي از بستهها را با يك پايگاه داده مطمئن مقايسه ميكند. اطلاعاتي كه از درون فايروال به بيرون ميروند، از لحاظ برخي ويژگيها بررسي و كنترل شده و اطلاعات ورودي با اين ويژگيها مقايسه ميگردند. اگر تطابق معنا داري بين اين دو دسته وجود داشته باشد، آنگاه اطلاعات اجازه ورود را خواهند داشت و در غير اين صورت رد ميشوند.
انواع فايروال
فايروالهاي سختافزاري:
اين نوع فايروالها كه به آن فايروال شبكه نيز گفته ميشود، بين كامپيوتر (يا شبكه) شما و كابل يا خط DSL قرار ميگيرند. تعداد زيادي از توليدكنندگان و برخي از مراكز ISP، مسيريابهايي ارائه ميدهند كه داراي يك فايروال نيز ميباشند.
فايروالهاي نرمافزاري:
برخي از سيستمهاي عامل داراي يك فايروال دروني هستند كه همراه سيستم عامل به كاربران عرضه ميشود. در صورتي كه سيستم عامل نصب شده برروي كامپيوتر شما داراي ويژگي فوق است؛ پيشنهاد ميكنيم كه اين فايروال را فعال كنيد تا يك سطح حفاظتي اضافي براي سيستم شما ايجاد شود.
در صورتي كه سيستم عامل نصب شده برروي كامپيوتر شما داراي يك فايروال دروني نيست، ميتوانيد به تهيه يك فايروال نرمافزاري اقدام كنيد. بهتر است براي اطمينان بيشتر، به جاي نصب فايروال از طريق اينترنت، از CDها و DVDهاي ارائه دهنده نرمافزار فايروال استفاده كنيد.
- تنظيم فايروال
فايروالها قابل تنظيم هستند. اين بدان معناست كه شما ميتوانيد فيلترهايي را بر اساس شرايط و مسائل مختلف به فايروال خود اضافه كرده يا از آن حذف كنيد. برخي از اين تنظيمات از اين قرارند:
آدرس IP؛
هر سيستمي برروي اينترنت يك آدرس يكتا به نام آدرس IP دريافت ميكند. آدرس IP يك عدد 32 بيتي است كه از چهار قسمت كه با نقطه از هم جدا ميشوند تشكيل شده است.
نام دامنه؛
از آنجا كه به خاطر سپردن آدرس IP كار سختي است و اين آدرس گاهي تغيير ميكند، تمامي سرورهاي اينترنتي يك نام يكتاي تشكيل شده از حروف الفبا نيز دارند كه به آن نام دامنه گفته ميشود. براي مثال به خاطر سپردن نام www.certcc.ir بسيار راحتتر از به خاطر سپردن يك رشته عددي است. يك شركت ميتواند با استفاده از يك فايروال، تمامي دسترسيها به يك نام دامنه خاص را مسدود كرده يا تنها دسترسي به نامهاي دامنه خاصي را مجاز بداند.
پروتكلها؛
پروتكل عبارتست از يك روش خاص و از پيش تعريف شده براي برقراري ارتباط ميان دو سيستم كه هر يك از اين دو سيستم ميتوانند سختافزاري يا نرمافزاري باشند. براي مثال يكطرف اين ارتباط ميتواند يك مرورگر وب باشد و طرف ديگر نيز يك وب سرور.
پروتكلها معمولا متني هستند كه به سادگي نحوه ارتباط كلاينت و سرور را توضيح ميدهند. براي مثال http يك پروتكل وب است.
پورتها؛
هر سروري سرويسهاي خود را با استفاده از پورتهاي شماره دار، روي اينترنت در دسترس قرار ميدهد. در واقع به ازاي هر سرويس براي هر سرور يك پورت وجود دارد. براي مثال، اگر يك سيستم يك HTTP Server و يك FTP Server را اجرا كند، سرور HTTP نوعا روي پورت شماره 80 و سرور FTP روي پورت شماره 21 در دسترس قرار خواهند داشت. ممكن است لازم باشد يك شركت دسترسي به پورت شماره 21 را روي تمامي سيستمها ببندد و فقط يك سيستم مجوز دسترسي به اين پورت را داشته باشد.
كلمات و عبارات خاص؛
فايروال هر بسته اطلاعات را دقيقا با فيلتري كه تعيين شده است مقايسه و بررسي ميكند. براي مثال، شما ميتوانيد به فايروال دستور بدهيد كه هر بستهاي را كه كلمه "X rated" در آن قرار داشته باشد، مسدود كند. نكته كليدي در اينجا اين است كه فايروال بايد دقيقا به دنبال همين كلمه در بستهها بگردد. يعني كلمه "X-rated" با "X rated" هماهنگي و همخواني ندارد. شما ميتوانيد هر تعداد كلمه يا عبارتي كه لازم داريد را براي اين كار در نظر بگيريد.
برخي سيستمهاي عامل يك فايروال دروني دارند. يك فايروال نرمافزاري نيز ميتواند برروي سيستم خانگي شما كه به اينترنت متصل است نصب شود. به اين كامپيوتر «gateway» گفته ميشود، چراكه تنها نقطه ارتباط شبكه شما با اينترنت است.
يك فايروال سختافزاري، خود يك gateway محسوب ميشود. بهعنوان يك نمونه خوب از فايروالهاي سختافزاري ميتوان به برخي مسيريابها اشاره كرد.
اين مسيريابها يك كارت Ethernet و يك هاب دروني دارند. كامپيوترهاي شبكه شما به يك مسيرياب متصل ميشوند و اين مسيرياب نيز به يك مودم متصل است. شما مسيرياب را از طريق يك واسط كاربر مبتني بر وب تنظيم ميكنيد و ميتوانيد هر فيلتر يا تنظيمات ديگري را تعيين نماييد. فايروالهاي سختافزاري بسيار امن هستند و نسخههاي خانگي آن چندان گران نيستند.
*چرا امنيت از طريق فايروال؟
يكي از مهمترين و بهترين نكات در مورد فايروال اين است كه دسترسي به كامپيوترهاي داخل شبكه شما را از خارج شبكه متوقف ميسازد. راههاي مختلفي براي دسترسي به كامپيوترهاي ناامن و سوء استفاده از آنها وجود دارد كه ميتوان به موارد ذيل اشاره كرد، Login از راه دور، درهاي پشتي (Backdoor) برنامه، سرقت نشست SMTP، نقايص امنيتي سيستم عامل، انكار سرويس، بمبهاي ايميلي، هرزنامه و غيره.
فيلتر كردن برخي از موارد فهرست بالا با استفاده از فايروال سخت و در برخي موارد ناممكن است. با اينكه برخي فايروالها آنتي ويروس نيز دارند، ولي نصب آنتي ويروسهاي جداگانه روي تمامي سيستمهاي شبكه يك سرمايهگذاري با ارزش است.
سطح امنيتي كه شما در نظر ميگيريد مشخصكننده اين موضوع است كه چه تعداد از اين تهديدات ميتوانند توسط فايروال شما متوقف شوند. بالاترين سطح امنيت اين است كه همه چيز مسدود شود. اما واضح است كه چنين كاري فلسفه استفاده از اينترنت را بهطور كلي زير سوال ميبرد.
اما قانون معمول اين است كه ابتدا همه چيز را مسدود كنيد و سپس تصميم بگيريد كه چه نوع ترافيكهايي مجاز به عبور از فايروال شما هستند و آنها را باز كنيد.
يكي از كاركردهايي كه معمولا با فايروال همراه است Proxy Server است كه براي دسترسي به صفحات وب توسط ساير كامپيوترها مورد استفاده قرار ميگيرد. زماني كه كامپيوتر ديگري يك صفحه وب را درخواست ميكند، اين صفحه توسط Proxy Server بازيابي شده و سپس به كامپيوتر درخواست كننده ارسال ميشود.
تاثير شبكهاي اين كار اين است كه كامپيوتري كه آن صفحه وب را ميزباني ميكند هرگز بطور مستقيم با هيچ چيز روي شبكه شما (به جز Proxy Server) ارتباط برقرار نميكند. همچنين ميتوانند باعث كارآيي اتصال اينترنت شما گردند. اگر شما به يك صفحه روي يك وب سايت دسترسي پيدا كنيد، اين صفحه روي Proxy Server شما ذخيره ميشود.
اين بدان معناست كه دفعه بعد كه بخواهيد به آن صفحه مراجعه كنيد، بطور پيش فرض لازم نيست كه آن صفحه از روي وب سايت مذكور دريافت گردد. بلكه مستقيما از روي Proxy Server دريافت ميشود.
منبع : parseek.com
اگر از اينترنت استفاده ميكنيد و در حين كار به اينترنت متصل هستيد حتما نام فايروال را شنيدهايد؛ شما ميتوانيد با استفاده از
*يك فايروال چه ميكند؟
يك فايروال يك برنامه يا يك وسيله سختافزاري است كه اطلاعاتي را كه از طريق اينترنت به شبكه يا كامپيوتر شما وارد و يا از آن خارج ميشود، بررسي و درصورت نياز فيلتر ميكند. اگر بستهاي كه در حال ورود به شبكه شماست بعنوان بسته فيلتري برچسب بخورد، ديگر اجازه ورود به شبكه شما را نخواهد داشت.
فايروال ميتواند قوانين امنيتي را پياده كند. براي مثال يكي از قوانين امنيتي يك شركت ميتواند اين باشد: از ميان 500 كامپيوتر اين شركت، فقط يكي حق دارد ترافيك FTP را دريافت كند. يك شركت ميتواند چنين قوانيني را براي سرورهاي FTP، سرورهاي وب، سرورهاي Telnet و مانند آن اختصاص داده و تعريف كند.
بهعلاوه يك شركت ميتواند در مورد نحوه اتصال كارمندان به وب سايتها و اينكه آيا فايلها مجوز خروج از شبكه شركت را دارند يا خير، كنترلهاي لازم را اعمال كند. يك فايروال كنترل مناسبي برروي نحوه استفاده كارمندان از شبكه ايجاد ميكند.
فايروالها با استفاده از چند روش ترافيك ورودي و خروجي شبكه را كنترل ميكنند.
*فيلتر كردن بستهها
بستههاي داده بر اساس مجموعه اي از فيلترها تحليل ميشوند. بسته هايي كه مجوز داشته باشند وارد شده و بقيه رد ميشوند.
* سرويس Proxy
اطلاعات دريافتي از اينترنت ابتدا توسط فايروال دريافت شده و سپس به سيستم درخواست كننده ارسال ميشوند و برعكس.
*تفتيش Stateful
روشي جديد كه محتويات هر بسته را بررسي نميكند و بهجاي آن، بخشهاي كليدي مشخصي از بستهها را با يك پايگاه داده مطمئن مقايسه ميكند. اطلاعاتي كه از درون فايروال به بيرون ميروند، از لحاظ برخي ويژگيها بررسي و كنترل شده و اطلاعات ورودي با اين ويژگيها مقايسه ميگردند. اگر تطابق معنا داري بين اين دو دسته وجود داشته باشد، آنگاه اطلاعات اجازه ورود را خواهند داشت و در غير اين صورت رد ميشوند.
انواع فايروال
فايروالهاي سختافزاري:
اين نوع فايروالها كه به آن فايروال شبكه نيز گفته ميشود، بين كامپيوتر (يا شبكه) شما و كابل يا خط DSL قرار ميگيرند. تعداد زيادي از توليدكنندگان و برخي از مراكز ISP، مسيريابهايي ارائه ميدهند كه داراي يك فايروال نيز ميباشند.
فايروالهاي نرمافزاري:
برخي از سيستمهاي عامل داراي يك فايروال دروني هستند كه همراه سيستم عامل به كاربران عرضه ميشود. در صورتي كه سيستم عامل نصب شده برروي كامپيوتر شما داراي ويژگي فوق است؛ پيشنهاد ميكنيم كه اين فايروال را فعال كنيد تا يك سطح حفاظتي اضافي براي سيستم شما ايجاد شود.
در صورتي كه سيستم عامل نصب شده برروي كامپيوتر شما داراي يك فايروال دروني نيست، ميتوانيد به تهيه يك فايروال نرمافزاري اقدام كنيد. بهتر است براي اطمينان بيشتر، به جاي نصب فايروال از طريق اينترنت، از CDها و DVDهاي ارائه دهنده نرمافزار فايروال استفاده كنيد.
- تنظيم فايروال
فايروالها قابل تنظيم هستند. اين بدان معناست كه شما ميتوانيد فيلترهايي را بر اساس شرايط و مسائل مختلف به فايروال خود اضافه كرده يا از آن حذف كنيد. برخي از اين تنظيمات از اين قرارند:
آدرس IP؛
هر سيستمي برروي اينترنت يك آدرس يكتا به نام آدرس IP دريافت ميكند. آدرس IP يك عدد 32 بيتي است كه از چهار قسمت كه با نقطه از هم جدا ميشوند تشكيل شده است.
نام دامنه؛
از آنجا كه به خاطر سپردن آدرس IP كار سختي است و اين آدرس گاهي تغيير ميكند، تمامي سرورهاي اينترنتي يك نام يكتاي تشكيل شده از حروف الفبا نيز دارند كه به آن نام دامنه گفته ميشود. براي مثال به خاطر سپردن نام www.certcc.ir بسيار راحتتر از به خاطر سپردن يك رشته عددي است. يك شركت ميتواند با استفاده از يك فايروال، تمامي دسترسيها به يك نام دامنه خاص را مسدود كرده يا تنها دسترسي به نامهاي دامنه خاصي را مجاز بداند.
پروتكلها؛
پروتكل عبارتست از يك روش خاص و از پيش تعريف شده براي برقراري ارتباط ميان دو سيستم كه هر يك از اين دو سيستم ميتوانند سختافزاري يا نرمافزاري باشند. براي مثال يكطرف اين ارتباط ميتواند يك مرورگر وب باشد و طرف ديگر نيز يك وب سرور.
پروتكلها معمولا متني هستند كه به سادگي نحوه ارتباط كلاينت و سرور را توضيح ميدهند. براي مثال http يك پروتكل وب است.
پورتها؛
هر سروري سرويسهاي خود را با استفاده از پورتهاي شماره دار، روي اينترنت در دسترس قرار ميدهد. در واقع به ازاي هر سرويس براي هر سرور يك پورت وجود دارد. براي مثال، اگر يك سيستم يك HTTP Server و يك FTP Server را اجرا كند، سرور HTTP نوعا روي پورت شماره 80 و سرور FTP روي پورت شماره 21 در دسترس قرار خواهند داشت. ممكن است لازم باشد يك شركت دسترسي به پورت شماره 21 را روي تمامي سيستمها ببندد و فقط يك سيستم مجوز دسترسي به اين پورت را داشته باشد.
كلمات و عبارات خاص؛
فايروال هر بسته اطلاعات را دقيقا با فيلتري كه تعيين شده است مقايسه و بررسي ميكند. براي مثال، شما ميتوانيد به فايروال دستور بدهيد كه هر بستهاي را كه كلمه "X rated" در آن قرار داشته باشد، مسدود كند. نكته كليدي در اينجا اين است كه فايروال بايد دقيقا به دنبال همين كلمه در بستهها بگردد. يعني كلمه "X-rated" با "X rated" هماهنگي و همخواني ندارد. شما ميتوانيد هر تعداد كلمه يا عبارتي كه لازم داريد را براي اين كار در نظر بگيريد.
برخي سيستمهاي عامل يك فايروال دروني دارند. يك فايروال نرمافزاري نيز ميتواند برروي سيستم خانگي شما كه به اينترنت متصل است نصب شود. به اين كامپيوتر «gateway» گفته ميشود، چراكه تنها نقطه ارتباط شبكه شما با اينترنت است.
يك فايروال سختافزاري، خود يك gateway محسوب ميشود. بهعنوان يك نمونه خوب از فايروالهاي سختافزاري ميتوان به برخي مسيريابها اشاره كرد.
اين مسيريابها يك كارت Ethernet و يك هاب دروني دارند. كامپيوترهاي شبكه شما به يك مسيرياب متصل ميشوند و اين مسيرياب نيز به يك مودم متصل است. شما مسيرياب را از طريق يك واسط كاربر مبتني بر وب تنظيم ميكنيد و ميتوانيد هر فيلتر يا تنظيمات ديگري را تعيين نماييد. فايروالهاي سختافزاري بسيار امن هستند و نسخههاي خانگي آن چندان گران نيستند.
*چرا امنيت از طريق فايروال؟
يكي از مهمترين و بهترين نكات در مورد فايروال اين است كه دسترسي به كامپيوترهاي داخل شبكه شما را از خارج شبكه متوقف ميسازد. راههاي مختلفي براي دسترسي به كامپيوترهاي ناامن و سوء استفاده از آنها وجود دارد كه ميتوان به موارد ذيل اشاره كرد، Login از راه دور، درهاي پشتي (Backdoor) برنامه، سرقت نشست SMTP، نقايص امنيتي سيستم عامل، انكار سرويس، بمبهاي ايميلي، هرزنامه و غيره.
فيلتر كردن برخي از موارد فهرست بالا با استفاده از فايروال سخت و در برخي موارد ناممكن است. با اينكه برخي فايروالها آنتي ويروس نيز دارند، ولي نصب آنتي ويروسهاي جداگانه روي تمامي سيستمهاي شبكه يك سرمايهگذاري با ارزش است.
سطح امنيتي كه شما در نظر ميگيريد مشخصكننده اين موضوع است كه چه تعداد از اين تهديدات ميتوانند توسط فايروال شما متوقف شوند. بالاترين سطح امنيت اين است كه همه چيز مسدود شود. اما واضح است كه چنين كاري فلسفه استفاده از اينترنت را بهطور كلي زير سوال ميبرد.
اما قانون معمول اين است كه ابتدا همه چيز را مسدود كنيد و سپس تصميم بگيريد كه چه نوع ترافيكهايي مجاز به عبور از فايروال شما هستند و آنها را باز كنيد.
يكي از كاركردهايي كه معمولا با فايروال همراه است Proxy Server است كه براي دسترسي به صفحات وب توسط ساير كامپيوترها مورد استفاده قرار ميگيرد. زماني كه كامپيوتر ديگري يك صفحه وب را درخواست ميكند، اين صفحه توسط Proxy Server بازيابي شده و سپس به كامپيوتر درخواست كننده ارسال ميشود.
تاثير شبكهاي اين كار اين است كه كامپيوتري كه آن صفحه وب را ميزباني ميكند هرگز بطور مستقيم با هيچ چيز روي شبكه شما (به جز Proxy Server) ارتباط برقرار نميكند. همچنين ميتوانند باعث كارآيي اتصال اينترنت شما گردند. اگر شما به يك صفحه روي يك وب سايت دسترسي پيدا كنيد، اين صفحه روي Proxy Server شما ذخيره ميشود.
اين بدان معناست كه دفعه بعد كه بخواهيد به آن صفحه مراجعه كنيد، بطور پيش فرض لازم نيست كه آن صفحه از روي وب سايت مذكور دريافت گردد. بلكه مستقيما از روي Proxy Server دريافت ميشود.
منبع : parseek.com