نسل های متفاوت فايروال ( بخش اول )
در دنيای امروز اكثر بنگاه های تجاری بر اين اعتقاد هستند كه دستيابی به اينترنت برای حضور فعال ، موثر و رقابتی در عرصه جهانی امری حياتی و الزامی است . با اين كه مزايای اتصال به اينترنت كاملا" مشهود و قابل توجه است ، در اين رابطه تهديدات و خطراتی نيز وجود دارد . به عنوان نمونه ، زمانی كه يك بنگاه تجاری شبكه خصوصی خود را به اينترنت متصل می نمايد ، اين موضوع صرفا" به اين معنی نخواهد بود كه وی امكان دستيابی كاركنان خود به اطلاعات و منابع خارج از سازمان را فراهم نموده است . سازمان فوق ، همچنين اين امكان را فراهم نموده است كه كاربران خارجی ( كاربران خارج از سازمان ) نيز بتوانند به اطلاعات شخصی و خصوصی سازمان دسترسی داشته باشند .
هر بنگاه تجاری كه در انديشه اتصال به اينترنت است مجبور خواهد بود كه با مسائل مربوط به امنيت شبكه نيز سرو كار داشته باشد .
در ساليان اخير فناوری های مختلفی به منظور تامين نظر بنگاه های تجاری در جهت افزايش امنيت و استفاده از مزايای متعدد اتصال به اينترنت ايجاد شده است . فناوری های فوق امكان نگهداری ، محرمانگی ، يكپارچگی و در دسترس بودن اطلاعات خصوصی و منابع شبكه را فراهم می نمايند . اكثر اين تلاش ها با تمركز بر روی فناوری های مختلف فايروال انجام شده است .
معمولا" يك فايروال ، شبكه خصوصی يك سازمان را از يك شبكه عمومی كه به آن متصل است محافظت می نمايد . يك فايروال می تواند بسادگی يك روتر باشد كه بسته های اطلاعاتی را فيلتر می نمايد و يا پيچيده نظير استفاده از چندين روتر و كامپيوتر كه سرويس های فيلترينگ بسته های اطلاعاتی و پراكسی سطح برنامه را ارائه می نمايند .
در فاصله بين سال های 1989 و 1990 ، Dave Presotto و Howard Trickey از آزمايشگاه AT&T Bell نسل دوم معماری فايروال ها را معرفی كردند كه از آن با نام فايروال های circuit level نام برده می شود . آنان همچنين اولين مدل كاری از نسل سوم معماری فايروال ها را كه به آن application layer گفته می شود، پياده سازی كردند . آنان هيچگونه مقاله ای كه اين معماری را تشريح و يا محصولی كه بر اساس اين معماری پياده سازی شده باشد را ارائه نكردند .
در اواخر سال 1989 و اوايل سال 1990 بطور همزمان و مستقل كار مطالعاتی بر روی نسل سوم معماری فايروال ها توسط كارشناسان متعددی در امريكا انجام شد . در فاصله سال های 1990 تا 1991 اولين مقالاتی كه معماری فايروال های application layer را تشريح می كرد ، توسط Marcus Ranum و Bill Cheswick از آزمايشگاه AT&T Bell ارائه گرديد . ماحصل تلاش Marcus Ranum ارائه اولين محصول تجاری با نام SEAL توسط شركت DEC بود .
در سال 1991 ، Bill Cheswick و Steve Bellovin تحقيق بر روی فيلترينگ پويای بسته های اطلاعاتی را آغاز و بر اساس معماری طراحی شده يك محصول داخلی را در لابراتور Bell پياده سازی نمودند. اين محصول هرگز جنبه تجاری پيدا نكرد و ارائه نگرديد . در سال 1992 ، Bob Braden و Annette DeSchon در موسسه علوم اطلاعات USC شروع به تحقيق مستقل بر روی فايروال های فيلترينگ پويای بسته های اطلاعاتی برای سيستمی با نام Visas كردند . اولين محصول تجاری بر اساس معماری نسل چهارم در سال 1994 توسط شركت Check Point Software ارائه گرديد .
در سال 1996 ، Scott Wiegel در شركت Global Internet Software Group يك لی اوت اوليه برای نسل پنجم معماری فايروال ها كه به آن Kernel Proxy گفته می شود ، ارائه گرديد . اولين محصول تجاری بر اساس اين معماری در سال 1997 با نام Cisco Centri Firewall به بازار عرضه گرديد.
سياست امنيتی شبكه بر روی كنترل ترافيك و استفاده از آن تاكيد دارد و در آن به مواردی همچون منابع شبكه و تهديدات مرتبط با هر يك ، استفاده ايمن از منابع شبكه ، مسئوليت كاربران و مديران سيستم و رويه های لازم به منظور برخورد با مسائل و مشكلات ايجاد شده به دليل عدم رعايت مسائل امنيتی اشاره می گردد . سياست های امنيتی بر روی نقاط حساس درون شبكه اعمال خواهد شد . به اين نقاط و يا محدودهای استراتژيك، perimeter گفته می شود .
هر شبكه می تواند شامل چندين شبكه perimeter درون خود باشد . اين شبكه ها عبارتند از :
• outermost perimeter ( شبكه های بيرونی )
• internal perimeters ( شبكه های داخلی )
• innermost perimeter ( شبكه های درونی )
شكل زير ارتباط بين سه نوع شبكه perimeter فوق را نشان می دهد . با توجه به منابعی كه قصد حفاظت از آنها را در يك شبكه داريم ، ممكن است از چندين internal perimeters استفاده گردد .
توجه داشته باشيد كه به منظور حفاظت از منابع و سرمايه های ارزشمند موجود بر روی يك شبكه می توان چندين نقطه دفاعی را ايجاد نمود . با لايه بندی شبكه های perimeter می توان بررسی چندگانه امنيتی از ترافيك شبكه را به منظور حفاظت در مقابل عمليات غيرمجازی كه از درون شبكه شما سرچشمه می گيرد انجام داد .
در واقع ، شبكه های outermost perimeter محل جداسازی منابعی است كه توسط شما كنترل می گردد با منابعی كه شما بر روی آنها كنترل و نظارتی نداريد. معمولا" در اين نقطه از يك روتر استفاده می شود تا شبكه خصوصی يك سازمان را از ساير شبكه ها جدا نمايد .
شبكه های Internal perimeter محدوده های اضافه تری را در مكان هائی كه شما دارای مكانيزم های امنيتی ديگری نظير فايروال های اينترانت و روترهای فيلترينگ می باشيد ، ارائه می نمايند .
شكل زير ، دو شبكه perimeter درون يك شبكه را نشان می دهد . در اين شبكه يك شبكه outermost perimeter و يك شبكه Internal perimeter ايجاد و برای حفاظت آنها از روترهای داخلی ، خارجی و سرويس دهنده فايروال استفاده شده است .
استقرار فايروال بين روتر داخلی و خارجی يك سطح امنيتی اضافه اندك به منظور حفاظت در مقابل حملات در هر سمت را ارائه می نمايد . اين كار ميزان ترافيكی را كه فايروال می بايست بررسی نمايد بطرز محسوسی كاهش داده و متعاقب آن كارآئی فايروال افزايش خواهد يافت .
از ديد كاربران موجود بر روی يك شبكه خارجی ، سرويس دهنده فايروال امكان دستيابی به تمامی كامپيوترهای قابل دسترس در شبكه تائيد شده ( trusted ) را فراهم می نمايد . در واقع ، فايروال يك نقطه دفاعی به منظور بررسی تمامی ارتباطات بين دو شبكه را ايجاد می نمايد .
با توجه به روش پردازش و توزيع بسته های اطلاعاتی در اترنت ، می توان كارآئی فايروال های شلوغ را با استقرار روترهای فيلترينگ پشت سرويس دهنده فايروال بهبود داد (نظير آنچه كه در شكل فوق نشان داده شده است ). بنابراين بديهی است كه كارآئی بهبود پيدا خواهد كرد ، چراكه فايروال تنها مجبور به پردازش آندسته از بسته های اطلاعاتی خواهد بود كه عازم سرويس دهنده فايروال می باشند . در صورتی كه از يك روتر فيلترينگ پشت سر سرويس دهنده فايروال استفاده نگردد ، فايروال می بايست هر بسته اطلاعاتی را كه بر روی subnet توزيع می گردد پردازش نمايد (حتی اگر بسته اطلاعاتی عازم يك هاست داخلی ديگر باشد).
شبكه های outermost perimeter غيرايمن ترين ناحيه در زيرساخت شبكه شما می باشند . معمولا" اين ناحيه برای روترها ، سرويس دهندگان فايروال و سرويس دهندگان اينترنت عمومی نظير HTTP,FTP رزو شده می باشند . دستيابی به اين ناحيه با سهولت بيشتری انجام خواهد شد ، بنابراين طبيعی است كه احتمال تهاجم در اين ناحيه بيش از ساير نواحی باشد .اطلاعات حساس سازمان ها كه دارای كاربرد داخلی است نمی بايست بر روی شبكه های outermost perimeter قرار داده شود . اعتقاد به اين اصل احتياطی و پيشگيرانه ، باعث می شود كه اطلاعات حساس شما در معرض خرابی و يا سرقت قرار نگيرند .
توجه داشته باشيد كه به منظور ايجاد شبكه های internal perimeter می توان از چندين فايروال داخلی استفاده نمود . استفاده از فايروال های داخلی به شما اجازه می دهد كه دستيابی به منابع مشترك موجود در شبكه را محدود نمائيد.
در بخش بعد پس از معرفی شبكه های تائيد شده ، تائيد نشده و ناشناخته به بررسی نسل های متفاوت معماری فايروال ها خواهيم پرداخت .
هر بنگاه تجاری كه در انديشه اتصال به اينترنت است مجبور خواهد بود كه با مسائل مربوط به امنيت شبكه نيز سرو كار داشته باشد .
در ساليان اخير فناوری های مختلفی به منظور تامين نظر بنگاه های تجاری در جهت افزايش امنيت و استفاده از مزايای متعدد اتصال به اينترنت ايجاد شده است . فناوری های فوق امكان نگهداری ، محرمانگی ، يكپارچگی و در دسترس بودن اطلاعات خصوصی و منابع شبكه را فراهم می نمايند . اكثر اين تلاش ها با تمركز بر روی فناوری های مختلف فايروال انجام شده است .
فايروال ، يك نقطه دفاعی بين دو شبكه را ايجاد |
روند شكل گيری فايروال ها
در فاصله بين سال های 1989 و 1990 ، Dave Presotto و Howard Trickey از آزمايشگاه AT&T Bell نسل دوم معماری فايروال ها را معرفی كردند كه از آن با نام فايروال های circuit level نام برده می شود . آنان همچنين اولين مدل كاری از نسل سوم معماری فايروال ها را كه به آن application layer گفته می شود، پياده سازی كردند . آنان هيچگونه مقاله ای كه اين معماری را تشريح و يا محصولی كه بر اساس اين معماری پياده سازی شده باشد را ارائه نكردند .
در اواخر سال 1989 و اوايل سال 1990 بطور همزمان و مستقل كار مطالعاتی بر روی نسل سوم معماری فايروال ها توسط كارشناسان متعددی در امريكا انجام شد . در فاصله سال های 1990 تا 1991 اولين مقالاتی كه معماری فايروال های application layer را تشريح می كرد ، توسط Marcus Ranum و Bill Cheswick از آزمايشگاه AT&T Bell ارائه گرديد . ماحصل تلاش Marcus Ranum ارائه اولين محصول تجاری با نام SEAL توسط شركت DEC بود .
در سال 1991 ، Bill Cheswick و Steve Bellovin تحقيق بر روی فيلترينگ پويای بسته های اطلاعاتی را آغاز و بر اساس معماری طراحی شده يك محصول داخلی را در لابراتور Bell پياده سازی نمودند. اين محصول هرگز جنبه تجاری پيدا نكرد و ارائه نگرديد . در سال 1992 ، Bob Braden و Annette DeSchon در موسسه علوم اطلاعات USC شروع به تحقيق مستقل بر روی فايروال های فيلترينگ پويای بسته های اطلاعاتی برای سيستمی با نام Visas كردند . اولين محصول تجاری بر اساس معماری نسل چهارم در سال 1994 توسط شركت Check Point Software ارائه گرديد .
در سال 1996 ، Scott Wiegel در شركت Global Internet Software Group يك لی اوت اوليه برای نسل پنجم معماری فايروال ها كه به آن Kernel Proxy گفته می شود ، ارائه گرديد . اولين محصول تجاری بر اساس اين معماری در سال 1997 با نام Cisco Centri Firewall به بازار عرضه گرديد.
ايجاد يك منطقه استحفاظی ( security perimeter )
سياست امنيتی شبكه بر روی كنترل ترافيك و استفاده از آن تاكيد دارد و در آن به مواردی همچون منابع شبكه و تهديدات مرتبط با هر يك ، استفاده ايمن از منابع شبكه ، مسئوليت كاربران و مديران سيستم و رويه های لازم به منظور برخورد با مسائل و مشكلات ايجاد شده به دليل عدم رعايت مسائل امنيتی اشاره می گردد . سياست های امنيتی بر روی نقاط حساس درون شبكه اعمال خواهد شد . به اين نقاط و يا محدودهای استراتژيك، perimeter گفته می شود .
شبكه های perimeter
هر شبكه می تواند شامل چندين شبكه perimeter درون خود باشد . اين شبكه ها عبارتند از :
• outermost perimeter ( شبكه های بيرونی )
• internal perimeters ( شبكه های داخلی )
• innermost perimeter ( شبكه های درونی )
شكل زير ارتباط بين سه نوع شبكه perimeter فوق را نشان می دهد . با توجه به منابعی كه قصد حفاظت از آنها را در يك شبكه داريم ، ممكن است از چندين internal perimeters استفاده گردد .
توجه داشته باشيد كه به منظور حفاظت از منابع و سرمايه های ارزشمند موجود بر روی يك شبكه می توان چندين نقطه دفاعی را ايجاد نمود . با لايه بندی شبكه های perimeter می توان بررسی چندگانه امنيتی از ترافيك شبكه را به منظور حفاظت در مقابل عمليات غيرمجازی كه از درون شبكه شما سرچشمه می گيرد انجام داد .
در واقع ، شبكه های outermost perimeter محل جداسازی منابعی است كه توسط شما كنترل می گردد با منابعی كه شما بر روی آنها كنترل و نظارتی نداريد. معمولا" در اين نقطه از يك روتر استفاده می شود تا شبكه خصوصی يك سازمان را از ساير شبكه ها جدا نمايد .
شبكه های Internal perimeter محدوده های اضافه تری را در مكان هائی كه شما دارای مكانيزم های امنيتی ديگری نظير فايروال های اينترانت و روترهای فيلترينگ می باشيد ، ارائه می نمايند .
شكل زير ، دو شبكه perimeter درون يك شبكه را نشان می دهد . در اين شبكه يك شبكه outermost perimeter و يك شبكه Internal perimeter ايجاد و برای حفاظت آنها از روترهای داخلی ، خارجی و سرويس دهنده فايروال استفاده شده است .
استقرار فايروال بين روتر داخلی و خارجی يك سطح امنيتی اضافه اندك به منظور حفاظت در مقابل حملات در هر سمت را ارائه می نمايد . اين كار ميزان ترافيكی را كه فايروال می بايست بررسی نمايد بطرز محسوسی كاهش داده و متعاقب آن كارآئی فايروال افزايش خواهد يافت .
از ديد كاربران موجود بر روی يك شبكه خارجی ، سرويس دهنده فايروال امكان دستيابی به تمامی كامپيوترهای قابل دسترس در شبكه تائيد شده ( trusted ) را فراهم می نمايد . در واقع ، فايروال يك نقطه دفاعی به منظور بررسی تمامی ارتباطات بين دو شبكه را ايجاد می نمايد .
با توجه به روش پردازش و توزيع بسته های اطلاعاتی در اترنت ، می توان كارآئی فايروال های شلوغ را با استقرار روترهای فيلترينگ پشت سرويس دهنده فايروال بهبود داد (نظير آنچه كه در شكل فوق نشان داده شده است ). بنابراين بديهی است كه كارآئی بهبود پيدا خواهد كرد ، چراكه فايروال تنها مجبور به پردازش آندسته از بسته های اطلاعاتی خواهد بود كه عازم سرويس دهنده فايروال می باشند . در صورتی كه از يك روتر فيلترينگ پشت سر سرويس دهنده فايروال استفاده نگردد ، فايروال می بايست هر بسته اطلاعاتی را كه بر روی subnet توزيع می گردد پردازش نمايد (حتی اگر بسته اطلاعاتی عازم يك هاست داخلی ديگر باشد).
شبكه های outermost perimeter غيرايمن ترين ناحيه در زيرساخت شبكه شما می باشند . معمولا" اين ناحيه برای روترها ، سرويس دهندگان فايروال و سرويس دهندگان اينترنت عمومی نظير HTTP,FTP رزو شده می باشند . دستيابی به اين ناحيه با سهولت بيشتری انجام خواهد شد ، بنابراين طبيعی است كه احتمال تهاجم در اين ناحيه بيش از ساير نواحی باشد .اطلاعات حساس سازمان ها كه دارای كاربرد داخلی است نمی بايست بر روی شبكه های outermost perimeter قرار داده شود . اعتقاد به اين اصل احتياطی و پيشگيرانه ، باعث می شود كه اطلاعات حساس شما در معرض خرابی و يا سرقت قرار نگيرند .
توجه داشته باشيد كه به منظور ايجاد شبكه های internal perimeter می توان از چندين فايروال داخلی استفاده نمود . استفاده از فايروال های داخلی به شما اجازه می دهد كه دستيابی به منابع مشترك موجود در شبكه را محدود نمائيد.
در بخش بعد پس از معرفی شبكه های تائيد شده ، تائيد نشده و ناشناخته به بررسی نسل های متفاوت معماری فايروال ها خواهيم پرداخت .
