نسل های متفاوت فايروال ( بخش اول )

در دنيای امروز اكثر بنگاه های تجاری بر اين اعتقاد هستند كه دستيابی به اينترنت برای حضور فعال ، موثر و رقابتی در عرصه جهانی امری حياتی و الزامی است . با اين كه مزايای اتصال به اينترنت كاملا" مشهود و قابل توجه است ، در اين رابطه تهديدات و خطراتی نيز وجود دارد . به عنوان نمونه ، زمانی كه يك بنگاه تجاری شبكه خصوصی خود را به اينترنت متصل می نمايد ، اين موضوع صرفا" به اين معنی نخواهد بود كه وی امكان دستيابی كاركنان خود به اطلاعات و منابع خارج از سازمان
يکشنبه، 4 اسفند 1387
تخمین زمان مطالعه:
موارد بیشتر برای شما
نسل های متفاوت فايروال ( بخش اول )
نسل های متفاوت فايروال ( بخش اول )
نسل های متفاوت فايروال ( بخش اول )

در دنيای امروز اكثر بنگاه های تجاری بر اين اعتقاد هستند كه دستيابی به اينترنت برای حضور فعال ، موثر و رقابتی در عرصه جهانی امری حياتی و الزامی است . با اين كه مزايای اتصال به اينترنت كاملا" مشهود و قابل توجه است ، در اين رابطه تهديدات و خطراتی نيز وجود دارد . به عنوان نمونه ، زمانی كه يك بنگاه تجاری شبكه خصوصی خود را به اينترنت متصل می نمايد ، اين موضوع صرفا" به اين معنی نخواهد بود كه وی امكان دستيابی كاركنان خود به اطلاعات و منابع خارج از سازمان را فراهم نموده است . سازمان فوق ، همچنين اين امكان را فراهم نموده است كه كاربران خارجی ( كاربران خارج از سازمان ) نيز بتوانند به اطلاعات شخصی و خصوصی سازمان دسترسی داشته باشند .
هر بنگاه تجاری كه در انديشه اتصال به اينترنت است مجبور خواهد بود كه با مسائل مربوط به امنيت شبكه نيز سرو كار داشته باشد .
در ساليان اخير فناوری های مختلفی به منظور تامين نظر بنگاه های تجاری در جهت افزايش امنيت و استفاده از مزايای متعدد اتصال به اينترنت ايجاد شده است . فناوری های فوق امكان نگهداری ، محرمانگی ، يكپارچگی و در دسترس بودن اطلاعات خصوصی و منابع شبكه را فراهم می نمايند . اكثر اين تلاش ها با تمركز بر روی فناوری های مختلف فايروال انجام شده است .

 فايروال ، يك نقطه دفاعی بين دو شبكه را ايجاد
 و
 يك شبكه را در مقابل شبكه ديگر محافظت می نمايد 

معمولا" يك فايروال ، شبكه خصوصی يك سازمان را از يك شبكه عمومی كه به آن متصل است محافظت می نمايد . يك فايروال می تواند بسادگی يك روتر باشد كه بسته های اطلاعاتی را فيلتر می نمايد و يا پيچيده نظير استفاده از چندين روتر و كامپيوتر كه سرويس های فيلترينگ بسته های اطلاعاتی و پراكسی سطح برنامه را ارائه می نمايند .

روند شكل گيری فايروال ها

فناوری فايروال جوان است ولی به سرعت به سمت تكامل و رشد حركت می نمايد . اولين نسل معماری فايروال قدمتی به اندازه روتر دارد و اولين مرتبه در سال 1985 مطرح گرديد. به اين نوع فايروال ها ، فايروال های packet filter گفته می شود . اولين مقاله ای كه نحوه عملكرد فايروال های packet filter را تشريح می كرد تا سال 1988 ارائه نگردبد و در نهايت توسط Jeff Mogul از شركت DEC ( برگرفته از Digital Equipment Corporation ) انتشار يافت .
در فاصله بين سال های 1989 و 1990 ، Dave Presotto و Howard Trickey از آزمايشگاه AT&T Bell نسل دوم معماری فايروال ها را معرفی كردند كه از آن با نام فايروال های circuit level نام برده می شود . آنان همچنين اولين مدل كاری از نسل سوم معماری فايروال ها را كه به آن application layer گفته می شود، پياده سازی كردند . آنان هيچگونه مقاله ای كه اين معماری را تشريح و يا محصولی كه بر اساس اين معماری پياده سازی شده باشد را ارائه نكردند .
در اواخر سال 1989 و اوايل سال 1990 بطور همزمان و مستقل كار مطالعاتی بر روی نسل سوم معماری فايروال ها توسط كارشناسان متعددی در امريكا انجام شد . در فاصله سال های 1990 تا 1991 اولين مقالاتی كه معماری فايروال های application layer را تشريح می كرد ، توسط Marcus Ranum و Bill Cheswick از آزمايشگاه AT&T Bell ارائه گرديد . ماحصل تلاش Marcus Ranum ارائه اولين محصول تجاری با نام SEAL توسط شركت DEC بود .
در سال 1991 ، Bill Cheswick و Steve Bellovin تحقيق بر روی فيلترينگ پويای بسته های اطلاعاتی را آغاز و بر اساس معماری طراحی شده يك محصول داخلی را در لابراتور Bell پياده سازی نمودند. اين محصول هرگز جنبه تجاری پيدا نكرد و ارائه نگرديد . در سال 1992 ، Bob Braden و Annette DeSchon در موسسه علوم اطلاعات USC شروع به تحقيق مستقل بر روی فايروال های فيلترينگ پويای بسته های اطلاعاتی برای سيستمی با نام Visas كردند . اولين محصول تجاری بر اساس معماری نسل چهارم در سال 1994 توسط شركت Check Point Software ارائه گرديد .
در سال 1996 ، Scott Wiegel در شركت Global Internet Software Group يك لی اوت اوليه برای نسل پنجم معماری فايروال ها كه به آن Kernel Proxy گفته می شود ، ارائه گرديد . اولين محصول تجاری بر اساس اين معماری در سال 1997 با نام Cisco Centri Firewall به بازار عرضه گرديد.

ايجاد يك منطقه استحفاظی ( security perimeter )

در زمان تعريف يك سياست امنيتی برای شبكه می بايست رويه هائی به منظور حفاظت شبكه ، محتويات آن و نحوه استفاده كاربران از منابع موجود به دقت تعريف گردد . سياست های امنيتی شبكه دارای يك نقش كليدی در تاكيد و انجام سياست های امنيتی تعريف شده در يك سازمان می باشند.
سياست امنيتی شبكه بر روی كنترل ترافيك و استفاده از آن تاكيد دارد و در آن به مواردی همچون منابع شبكه و تهديدات مرتبط با هر يك ، استفاده ايمن از منابع شبكه ، مسئوليت كاربران و مديران سيستم و رويه های لازم به منظور برخورد با مسائل و مشكلات ايجاد شده به دليل عدم رعايت مسائل امنيتی اشاره می گردد . سياست های امنيتی بر روی نقاط حساس درون شبكه اعمال خواهد شد . به اين نقاط و يا محدودهای استراتژيك، perimeter گفته می شود .

شبكه های perimeter

برای ايجاد مجموعه ای از شبكه های perimeter ، می بايست پس از انتخاب شبكه هائی كه قصد حفاظت از آنها را داريم ، مكانيزم های امنيتی لازم به منظور حفاظت شبكه را تعريف نمائيم . برای داشتن يك شبكه حفاظت شده ايمن ، فايروال می بايست به عنوان gateway تمامی ارتباطات بين شبكه های تائيد شده (trusted ) ، تائيد نشده (untrusted) و ناشناخته (unknown) در نظر گرفته شود .
هر شبكه می تواند شامل چندين شبكه perimeter درون خود باشد . اين شبكه ها عبارتند از :
• outermost perimeter ( شبكه های بيرونی )
• internal perimeters ( شبكه های داخلی )
• innermost perimeter ( شبكه های درونی )
شكل زير ارتباط بين سه نوع شبكه perimeter فوق را نشان می دهد . با توجه به منابعی كه قصد حفاظت از آنها را در يك شبكه داريم ، ممكن است از چندين internal perimeters استفاده گردد .
توجه داشته باشيد كه به منظور حفاظت از منابع و سرمايه های ارزشمند موجود بر روی يك شبكه می توان چندين نقطه دفاعی را ايجاد نمود . با لايه بندی شبكه های perimeter می توان بررسی چندگانه امنيتی از ترافيك شبكه را به منظور حفاظت در مقابل عمليات غيرمجازی كه از درون شبكه شما سرچشمه می گيرد انجام داد .
در واقع ، شبكه های outermost perimeter محل جداسازی منابعی است كه توسط شما كنترل می گردد با منابعی كه شما بر روی آنها كنترل و نظارتی نداريد. معمولا" در اين نقطه از يك روتر استفاده می شود تا شبكه خصوصی يك سازمان را از ساير شبكه ها جدا نمايد .
شبكه های Internal perimeter محدوده های اضافه تری را در مكان هائی كه شما دارای مكانيزم های امنيتی ديگری نظير فايروال های اينترانت و روترهای فيلترينگ می باشيد ، ارائه می نمايند .
شكل زير ،‌ دو شبكه perimeter درون يك شبكه را نشان می دهد . در اين شبكه يك شبكه outermost perimeter و يك شبكه Internal perimeter ايجاد و برای حفاظت آنها از روترهای داخلی ، خارجی و سرويس دهنده فايروال استفاده شده است .
استقرار فايروال بين روتر داخلی و خارجی يك سطح امنيتی اضافه اندك به منظور حفاظت در مقابل حملات در هر سمت را ارائه می نمايد . اين كار ميزان ترافيكی را كه فايروال می بايست بررسی نمايد بطرز محسوسی كاهش داده و متعاقب آن كارآئی فايروال افزايش خواهد يافت .
از ديد كاربران موجود بر روی يك شبكه خارجی ، سرويس دهنده فايروال امكان دستيابی به تمامی كامپيوترهای قابل دسترس در شبكه تائيد شده ( trusted ) را فراهم می نمايد . در واقع ، فايروال يك نقطه دفاعی به منظور بررسی تمامی ارتباطات بين دو شبكه را ايجاد می نمايد .
با توجه به روش پردازش و توزيع بسته های اطلاعاتی در اترنت ، می توان كارآئی فايروال های شلوغ را با استقرار روترهای فيلترينگ پشت سرويس دهنده فايروال بهبود داد (نظير آنچه كه در شكل فوق نشان داده شده است ). بنابراين بديهی است كه كارآئی بهبود پيدا خواهد كرد ، چراكه فايروال تنها مجبور به پردازش آندسته از بسته های اطلاعاتی خواهد بود كه عازم سرويس دهنده فايروال می باشند . در صورتی كه از يك روتر فيلترينگ پشت سر سرويس دهنده فايروال استفاده نگردد ، فايروال می بايست هر بسته اطلاعاتی را كه بر روی subnet توزيع می گردد پردازش نمايد (حتی اگر بسته اطلاعاتی عازم يك هاست داخلی ديگر باشد).
شبكه های outermost perimeter غيرايمن ترين ناحيه در زيرساخت شبكه شما می باشند . معمولا" اين ناحيه برای روترها ، سرويس دهندگان فايروال و سرويس دهندگان اينترنت عمومی نظير HTTP,FTP رزو شده می باشند . دستيابی به اين ناحيه با سهولت بيشتری انجام خواهد شد ، بنابراين طبيعی است كه احتمال تهاجم در اين ناحيه بيش از ساير نواحی باشد .اطلاعات حساس سازمان ها كه دارای كاربرد داخلی است نمی بايست بر روی شبكه های outermost perimeter قرار داده شود . اعتقاد به اين اصل احتياطی و پيشگيرانه ، باعث می شود كه اطلاعات حساس شما در معرض خرابی و يا سرقت قرار نگيرند .
توجه داشته باشيد كه به منظور ايجاد شبكه های internal perimeter می توان از چندين فايروال داخلی استفاده نمود . استفاده از فايروال های داخلی به شما اجازه می دهد كه دستيابی به منابع مشترك موجود در شبكه را محدود نمائيد.
در بخش بعد پس از معرفی شبكه های تائيد شده ، تائيد نشده و ناشناخته به بررسی نسل های متفاوت معماری فايروال ها خواهيم پرداخت .




نظرات کاربران
ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط
موارد بیشتر برای شما
خطر تخریب یکی از بزرگترین مساجد دوران قاجار
play_arrow
خطر تخریب یکی از بزرگترین مساجد دوران قاجار
رستوران‌های که به سیب‌زمینی می‌گویند "فرنچ فرایز"
play_arrow
رستوران‌های که به سیب‌زمینی می‌گویند "فرنچ فرایز"
ربات انسان‌نمای پیشرفته چینی معرفی شد
play_arrow
ربات انسان‌نمای پیشرفته چینی معرفی شد
حادثه برای دختر وزنه‌بردار ایران
play_arrow
حادثه برای دختر وزنه‌بردار ایران
رکورد طولانی‌ترین پرش اسکی شکسته شد
play_arrow
رکورد طولانی‌ترین پرش اسکی شکسته شد
بازدید نیروهای امنیتی ایران از مقرهای گروهک دموکرات در کردستان عراق
play_arrow
بازدید نیروهای امنیتی ایران از مقرهای گروهک دموکرات در کردستان عراق
حملات خمپاره‌ای گردان های قدس علیه صهیونیست‌ها
play_arrow
حملات خمپاره‌ای گردان های قدس علیه صهیونیست‌ها
تصاویر جدید از شکست سامانه دفاعی اسرائیل در برابر موشک یمنی
play_arrow
تصاویر جدید از شکست سامانه دفاعی اسرائیل در برابر موشک یمنی
لحظه هجوم خودرو به میان جمعیت در آلمان(۱۵+)
play_arrow
لحظه هجوم خودرو به میان جمعیت در آلمان(۱۵+)
هشدار افسر بازنشسته ارتش آمریکا به اسرائیل درباره اقدام علیه تاسیسات هسته‌ای ایران
play_arrow
هشدار افسر بازنشسته ارتش آمریکا به اسرائیل درباره اقدام علیه تاسیسات هسته‌ای ایران
سرقت بزرگ
play_arrow
سرقت بزرگ
تصاویر دیده نشده از یحیی سنوار، اسماعیل هنیه و صالح العاروری
play_arrow
تصاویر دیده نشده از یحیی سنوار، اسماعیل هنیه و صالح العاروری
جزئیات الزام بیمه‌ها به پرداخت خسارت افت قیمت
play_arrow
جزئیات الزام بیمه‌ها به پرداخت خسارت افت قیمت
ما به بشار اسد توصیه‌های زیادی کردیم اما او از شنیدن آن‌ها امتناع کرد
play_arrow
ما به بشار اسد توصیه‌های زیادی کردیم اما او از شنیدن آن‌ها امتناع کرد
دوبله زنده سریال خاطره‌انگیز جومونگ پس از یک دهه در شبکه سه
play_arrow
دوبله زنده سریال خاطره‌انگیز جومونگ پس از یک دهه در شبکه سه