سير تكامل تكنولوژي فايروالينگ
محور اصلي راهحلهاي موجود در طراحي امنيتي شبكههاي كامپيوتري مبتني بر استقرار يك دروازه امنيتي در جلوي جبهه ارتباط بين شبكهها، براي كنترل ترافيك عبوري بين شبكه ها ميباشد. دروازه امنيتي كه ميتواند در قالب نرمافزار و يا سخت افزار خاص اين نقش را برعهده بگيرد، تحت عنوان فايروال شناخته شده است. براي اينكه فايروال بتواند ارتباط دادهاي بين دو شبكه را كنترل نمايد، بايد نقش دروازه شبكه را داشته باشد. به عبارت ديگر اين محصول امنيتي بايد در محل دروازه شبكه و يا تلاقي شبكهها قرار گيرد.
معمولا براي جلوگيري از اجراي حملات از سوي ميزبان خارجي به كارگزارهاي داخلي سازمان از فايروال استفاده مي شود. اين كارگزارها عمدتاً به دليل استفاده از خدمات ناامنTCP / IP در معرض حمله قرار ميگيرند.
در يك محيط بدون فايروال، امنيت سازمان وابسته به امنيت تك تك ميزبانهاي موجود در داخل سازمان است. با افزايش تعداد ميزبانهاي سازمان، نگهداري آنها در يك سطح امنيتي مناسب، بسيار مشكل خواهد شد. علاوه بر اين، بسياري از حملات به دليل وجود خطاهاي ساده در پيكربندي ميزبانها و خدمات، و عدم آشنايي كافي كاربران ميزبانهاي داخلي به مسايل امنيتي ميتواند رخ بدهد.
فايروال با قرار گرفتن در مسير اتصال شبكه داخلي به اينترنت ميتواند امنيت متمركز، يكسان و قابل قبول براي كليه ميزبانهاي شبكه داخلي فراهم نمايد. همچنين اين دستگاه امنيتي ميتواند با جداسازي نواحي مختلف در شبكه داخلي، مكانيسمهاي امنيتي مناسبي براي ترافيك انتقالي بين نواحي را پشتيباني نمايد.
با توجه به تنوع قابليتهاي امنيتي كه در يك محصول فايروال ارايه مي شود، اين محصول به يكي از پركاربردترين محصولات امنيتي در شبكه هاي كامپيوتري تبديل شده است. به همين دليل در بسياري از سازمانها راهكارهاي امنيت شبكه را در يك فايروال خلاصه مي كنند .در واقع فايروال را ميتوان مهمترين راهكار امنيت در شبكه هاي كامپيوتري در نظر گرفت.
رشد تكاملي فايروال ها از اولين توليد اين محصولات تاكنون شامل توسعه مكانيسمهاي امنيتي، تنوع در مفاهيم مديريتي، بهبود پارامترهاي كارآيي آنها و همچنين تحول در تكنولوژيهاي سختافزاري ميباشد.
بنابراين ميتوان از هر چهار ديدگاه، اين رشد تكاملي را مورد بررسي قرار داد. البته ميتوان گفت آنچه كه بيشترين تاًثير را در رونق فايروال در طرح هاي امنيت شبكه داشته است، سير تكامل و افزايش قابليتهاي امنيتي در اين محصول ميباشد. در ادامه اين مقاله تكنولوژي فايروالها را از ديدگاه توسعه مكانيسمهاي امنيتي و همچنين تحول در تكنولوژيهاي سختافزاري بررسي ميكنيم.
در نسل دوم فايروالها، ميتوان بسته صافي حالتمند را به عنوان قلب يك فايروال در نظر گرفت كه بيشترين توسعه و تكنولوژي در آن خلاصه شده است. يكي از قابليتهاي ويژه ديگر در اين نسل از محصولات فايروال، امكان ترجمه آدرس و پورت جهت مخفيسازي همبندي شبكه ميباشد. همان طور كه گفته شد، حضور دروازههاي كاربرد در كنار بسته صافي حالتمند امكان بازرسي دقيقتري را براي جزئيات لايه كاربرد براي هر قرارداد مشخص فراهم ميكند.
در كنار قابليتهاي ارايه شده در نسل دوم فايروال، نياز به منابع سيستمي در سختافزار اين فايروالها نيز افزايش مييابد. بديهي است براي مديريت تعداد اتصالات همزمان بالا به صورت حالتمند، فايروال بايد اطلاعات حالت تمامي اين اتصالات را حفظ نمايد. بنابراين از ديدگاه حافظه و پردازش نيازمند منابع بيشتري نسبت به فايروالهاي نسل قبل ميباشد. البته رشد تكنولوژي سخت افزار در طول مدت تكامل نرمافزاري قابليتهاي امنيتي، نيازمنديهاي منابع سيستمي را پوشش داده است.
با رشد روزافزون تكنولوژي در زمينه سخت افزار و توان پردازشي، محصولات فايروال منابع كافي براي ارايه مكانيسمهاي امنيتي بيشتر در قالب يك سخت افزار را خواهند داشت. اين اتفاق در طول تكامل تمامي راهكارهاي نرم افزاري اتفاق افتاده است. در نسل سوم محصولات فايروال نيز قابليتهاي امنيتي جديدي به اين محصولات اضافه شده است. مهمترين قابليت امنيتي ارايه شده در نسل سوم سيستمهاي فايروال، شامل سرويس شبكه خصوصي مجازي (Virtual VPN Private Network ) ميباشد. به همين دليل اين نسل از فايروالها را محصولFirewall/VPN نيز مي نامند. البته در كنار اين قابليت امنيتي برخي از مكانيسمهاي امنيتي ديگر نظير مديريت پهناي باند و يا تشخيص هويت نيز در برخي از نمونه هاي اين محصولات ارايه شده است، ولي مكانيسم مشخص و اساسي امكان قرارگيري VPN در كنار يك محصول فايروال حالتمند ميباشد.
با تولد محصولات Firewall/VPN به سرعت اين تكنولوژي جايگزين دروازههاي VPN Gateway)) VPNشده است و به طور كلي هر شبكه كه نيازمند سرويسVPN باشد، امكان ارايه اين سرويس را به صورت يكپارچه در محصول فايروال بدست ميآورد. امكاناتي نظير يكپارچگي سياست امنيتي در فايروال وVPN ، امكان تعريف سياستهاي متنوع درVPN ، مديريت و پيكربندي ساده تر و همچنين كاهش تعداد تجهيزات امنيتيInLine ، از جمله مزاياي محصولات Firewall/VPN نسبت به نسل قبلي محصولات براي ارايه اين سرويسهاي امنيتي ميباشد. بايد توجه داشت كه كاهش تعداد تجهيزات امنيتي InLine در شبكه ميتواند مديريت شبكه را بسيار ساده تر نموده و همچنين مشكل خطاي نقطه متمركز (Single Point of Failure) را كاهش ميدهد. بديهي است زماني كه فايروال وVPN در قالب تجهيزات متفاوتي در شبكه مستقر شوند، بايد هر كدام از اين تجهيزات به صورتInLine در شبكه قرار گيرند و هر چه تعداد تجهيزاتInLine در شبكه افزايش يابد، ميزان خطاي نقطه متمركز نيز افزايش خواهد يافت. همچنين مفاهيم مديريتي نظير نظارت، سياست امنيتي، رويدادنگاري و دسترسپذيري بايد به صورت توزيع شده اعمال شوند كه منجر به افزايش هزينه مديريت خواهد شد.
در نسل بعدي از محصولات فايروالينگ، قابليت تشخيص و جلوگيري از حملات(Intrusion Prevention System) IPS ارايه شده است. نسل چهارم محصولات فايروال به دروازه امنيتي (Security Gateway) نيز معروف است. البته مكانيسمهايي نظير تشخيص هويت ترافيك، مديريت ترافيك و تصفيه محتوا به طور عميقتر از قابليتهاي ديگر دروازههاي امنيتي است كه معمولا در تمام اين محصولات ارايه شده است. ميتوان گفت كه يكي از دلايل اضافه شدن قابليت تشخيص و جلوگيري از حملات در فايروال، ارايه محصولاتIPS در كنارIDS ها ميباشد.
ايده جلوگيري از حملات در كنار عمليات تشخيص كه در محصولاتIDS ارايه ميشود نيازمند راهكارهاي مختلفي در شبكههاي كامپيوتري ميباشد. برخي از توليدكنندگان كه هر دو محصول فايروال وIDS را ارايه ميكردند، به دنبال طراحي پروتكلي براي ارسال نتايج تشخيص حملات به دستگاه فايروال بودهاند. همچنين تعداد ديگري از توليدكنندگان محصولات امنيتي بر روي توليد محصولIPS تمركز نمودند. اين محصول به صورت InLineو شبيه به يك فايروال در شبكه مستقر مي شود. بنابراين ايده توليد محصول تركيبي فايروال نسل سوم وIPS در محصول دروازه امنيتي ارايه شده است.
دروازههاي امنيتي علاوه بر افزايش مكانيسمهاي امنيتي، حيطه بازرسي ترافيك را تا سطح لايه كاربرد نيز گسترش دادهاند. بنابراين اين محصولات را ميتوان به عنوان يك راهكار امنيتي كامل در نظر گرفت. بديهي است كه افزايش منابع سيستمي، يكي از نيازمنديهاي اصلي براي گذر از فايروالهاي نسل سوم به سمت دروازههاي امنيتي است. بايد در نظر داشت كه مهمترين ايدهاي كه در محصولات دروازه امنيتي مطرح شد، يكپارچگي چندين مكانيسم امنيتي متنوع در يك محصول است. اين موضوع يك نوع تحول در محصولات امنيتي ميباشد كه خود منجر به ارايه محصولات ديگر در اين سير تكاملي شده است.
نسل اخير محصولات فايروال نيز ادامه ايده ارايه چندين مكانيسم امنيتي به صورت يكپارچه را دنبال ميكند. در اين نسل بازرسي ترافيك وارد محتواي داده لايه كاربرد ميشود و تهديدات امنيتي موجود در اين بخش را نيز پوشش ميدهد. اين نسل از محصولات فايروال، مديريت يكپارچه تهديدات و يا (Unified Threat Management) UTMناميده ميشود. تمايز محصولUTM نسبت به دروازه امنيتي در اين است كهUTM ها محتواي داده لايه كاربرد را از نظر امنيتي بازرسي ميكنند. اين بازرسي ميتواند در جهت كشف و پاكسازي ويروس، اسپم و يا محتواي آلوده باشد و يا اينكه برخي سياستهاي بازرسي محتوا را اعمال نمايد.
طبق گزارشي كه در سال 2005 توسطIDC ارايه شد، پيشبيني شده بود كه بازار محصولات فايروال از سال 2008 به بعد به سمت محصولاتUTM خواهد بود و رشد فروش محصولات نسل قبل منفي مي شود. در حال حاضر اين پيشبيني در دنيا و از جمله در ايران نيز به واقعيت پيوسته است. تعريف ارايه شده ازUTM در اين گزارش به اين صورت است كه UTMسختافزاري است كه به صورت يكپارچه قابليتهاي فايروال،VPN ، تشخيص و جلوگيري از حملات، مديريت ترافيك، آنتي اسپم، آنتي ويروس و كنترل محتوا را ارايه ميكند.
البته بازرسي ترافيك در محصولات فايروال، ميتواند بالاتر از محتواي داده لايه كاربرد نيز وارد شود. گرچه در پشته قراردادTCP/IP مفهومي بالاتر از لايه كاربرد وجود ندارد، ولي مفاهيمي نظير مديريت كليد نشست در يك برنامه كاربردي تحت وب، مديريت تشخيص هويت و مجازشناسي كاربران در برنامههاي كاربردي فراتر از لايه كاربرد ميباشند. بنابراين اين مفاهيم بالاتر از لايه كاربرد در نظر گرفته ميشوند. برخي از تجهيزات امنيتي نظير فايروال برنامه كاربردي تحت وب ((Web Application Firewall WAF ، فايروال (XML Firewall) XML و فايروال پايگاه داده (Database Firewall) از جمله محصولاتي هستند كه بازرسي را تا لايه بالاتر از كاربرد نيز انجام ميدهند.
با توجه به سير تكامل تكنولوژي فايروال، ميتوان به اين نتيجه رسيد كه تكامل در اين محصولات به سمت گسترش دامنه بازرسي در ترافيك عبوري شبكه ميباشد. بديهي است هر چه بازرسي در پشته شبكه به سمت بالاتر گسترش يابد، امنيت افزايش يافته و ترافيك، دقيقتر بازرسي ميشود. البته بايد توجه داشت كه براي گسترش بازرسي در لايههاي بالاتر پشته شبكه، نياز به منابع بيشتر سيستمي ضروري است.
- فايروال نرمافزاري
- فايروال سختافزاري
- فايروال نرمافزاري با دستگاه خاص منظوره
در ادامه انواع دستهبنديهاي فوق براي محصولات فايروال شرح داده ميشوند.
مشخصه يكسان در تمام محصولات فايروال نرمافزاري اين است كه آنها وابسته به سيستم عامل زيرين ميباشند و تمام محدوديتهاي اين سيستم عامل بر روي محصول نهايي نيز اعمال مي شود. در سطح يك محصول امنيتي ميتوان نكته مذكور را يك نقطه ضعف امنيتي دانست.
به طور كلي تمام فايروالهايي كه به همراه سيستم عاملهاي همه منظوره ارايه مي شوند، يك فايروال نرمافزاري ميباشند. همچنين برخي از محصولات تجاري نيز به عنوان فايروال شخصي و شبكهاي وجود دارند كه در رده محصولات صرفا نرمافزار توليد شدهاند.
مهمترين نگراني در محصولات نرمافزاري فايروال اين است كه آسيبپذيريهاي سيستم عامل به محصول نهايي منتقل ميشود و همچنين كارايي و عملكرد فايروال كاملا وابسته به يك سيستم عامل همه منظوره است. بنابراين نميتوان در مورد كارايي، عمليات و امنيت فايروالهاي نرمافزاري ارزيابي دقيقي را ارايه نمود. براي نمونه فايروالiptables در سيستم عامل لينوكس و همچنين فايروالPF در سيستم عامل FreeBSDكاملا نرمافزاري و البته فايروال شبكهاي هستند. جهت اعمال صحيح مكانيسمهاي امنيتي در محصولات نرمافزاري فايروال، طراحي اين محصولات در لايههاي مختلف معماري سيستم عامل انجام مي پذيرد. بنابراين قرارگيري چنين محصولي در يك ميزبان ميتواند منجر به تغييرات فراواني در سيستم عامل آن ميزبان گردد. همين موضوع ميتواند طراحي يك فايروال شخصي را، بيش از حد تصور وابسته به معماري يك سيستم عامل نمايد. براي نمونه هسته فايروال iptables در سيستم عامل لينوكس در كرنل اين سيستم عامل و در قالب برنامهNetfilter پيادهسازي شده است و لايه توصيف سياست امنيتي و برخي ديگر ماژولهاي آن در سطح كاربر قرار دارند.
مزيت اصلي استفاده از سختافزارهاي ASIC در اين است كه ميتوان برخي از عملياتي كه در محصول نقش گلوگاه را دارند را در داخل سختافزار اجرا نمود. بنابراين ميزان كارايي اين عمليات و در نتيجه كارايي كل محصول افزايش خواهد يافت. اين امكان ميتواند منجر به كاهش هزينه توليد محصول فايروال، در تعداد زياد شود. به عبارت ديگر سختافزار مورد نياز براي برآورده ساختن يك ميزان كارايي خاص با هزينه كمتري تامين ميشود؛ هر چند كه هزينه طراحي اوليه تكنولوژي بسيار بالا ميباشد. هزينه بالاي طراحي تكنولوژي در محصولات سختافزاري منجر به استفاده محدود از آن مي شود. بنابراين اين نوع محصولات تنها در برخي از گلوگاههاي خود از ASIC استفاده ميكنند. براي نمونه در محصول فايروال ميتوان مكانيسم بازرسي حالتمند را در داخل سختافزار اجرا نمود. به طور كلي مزيت عمده فايروالهاي سختافزاري در ميزان كارايي عمليات آنها ميباشد. اين محصولات معمولا نيازي به استفاده از سختافزارهاي شتابدهنده (Accelerator) ندارند و بهينه سازي اين شتابدهندهها را در قالب ماژول ASIC اجرا ميكنند. همانطور كه گفته شده تنها برخي از مكانيسمهاي اصلي در داخل سختافزار اجرا مي شوند و در نهايت مكانيسمهاي ديگر به صورت نرمافزاري پياده سازي خواهند شد. در اين مكانيسمها ميزان كارايي، شبيه به راهكارهاي نرمافزاري و يا راهكارهاي تركيبي براي توليد فايروال ميباشد.
با توجه به هزينه بالاي طراحي تكنولوژي ASIC و همچنين محدود بودن حوزه عملياتي اين تكنولوژي در چندين كشور پيشرفته، فايروالهاي سختافزاري عموما در شركتهاي آمريكايي توليد شدهاند. گرچه چندين شركت اروپايي نيز در تجارت توليد فايروال وارد شدهاند، ولي هيچ كدام از آنها محصولات فايروال سختافزاري توليد نكردهاند و توليدات اين شركتها عموما از نوع فايروال نرمافزاري با دستگاه خاص منظوره ميباشد.
به عبارت ديگر فايروالهاي تركيبي در قالب يك سيستم عامل همه منظوره ارايه نمي شوند و كل محصول در قالب يك سيستم عامل خاص براي اجراي عمليات فايروال توليد مي شود. اين سيستم عامل كه ميانافزار (Firmware) ناميده ميشود، به عنوان هسته نرمافزاري فايروال محسوب ميشود. همچنين ميانافزار فايروال قابل نصب بر روي هر نوع سختافزار همه منظوره نميباشد و معمولا توليدكنندگان اين نوع فايروال به نحوي ميانافزار را طراحي ميكنند كه تنها بر روي سختافزارهاي انتخاب شده قابل نصب و اجرا باشد. البته سختافزارهاي ويژهاي نيز با عنوان سختافزارهاي امنيتي وجود دارند كه توليدكنندگان فايروالهاي تركيبي از آنها استفاده ميكنند.
با توجه به اينكه هسته اصلي فايروالهاي تركيبي به صورت نرمافزاري و در قالب ميان افزار پياده سازي شده است، امكان بروز مشكلاتي براي استقرار اين محصولات در شبكههايي با گذردهي بالا وجود دارد. بنابراين توليدكنندگان اين محصولات از شتابدهندههاي سختافزاري براي ماژولهاي اصلي فايروال استفاده ميكنند. اين شتابدهندهها برخي از عملياتها را در پردازنده ويژه خود اجرا ميكنند و در نتيجه ميزان كارايي سيستم افزايش خواهد يافت.
منبع: نشريه دنياي کامپيوتر و ارتباطات ،شماره 80
/س
معمولا براي جلوگيري از اجراي حملات از سوي ميزبان خارجي به كارگزارهاي داخلي سازمان از فايروال استفاده مي شود. اين كارگزارها عمدتاً به دليل استفاده از خدمات ناامنTCP / IP در معرض حمله قرار ميگيرند.
در يك محيط بدون فايروال، امنيت سازمان وابسته به امنيت تك تك ميزبانهاي موجود در داخل سازمان است. با افزايش تعداد ميزبانهاي سازمان، نگهداري آنها در يك سطح امنيتي مناسب، بسيار مشكل خواهد شد. علاوه بر اين، بسياري از حملات به دليل وجود خطاهاي ساده در پيكربندي ميزبانها و خدمات، و عدم آشنايي كافي كاربران ميزبانهاي داخلي به مسايل امنيتي ميتواند رخ بدهد.
فايروال با قرار گرفتن در مسير اتصال شبكه داخلي به اينترنت ميتواند امنيت متمركز، يكسان و قابل قبول براي كليه ميزبانهاي شبكه داخلي فراهم نمايد. همچنين اين دستگاه امنيتي ميتواند با جداسازي نواحي مختلف در شبكه داخلي، مكانيسمهاي امنيتي مناسبي براي ترافيك انتقالي بين نواحي را پشتيباني نمايد.
با توجه به تنوع قابليتهاي امنيتي كه در يك محصول فايروال ارايه مي شود، اين محصول به يكي از پركاربردترين محصولات امنيتي در شبكه هاي كامپيوتري تبديل شده است. به همين دليل در بسياري از سازمانها راهكارهاي امنيت شبكه را در يك فايروال خلاصه مي كنند .در واقع فايروال را ميتوان مهمترين راهكار امنيت در شبكه هاي كامپيوتري در نظر گرفت.
رشد تكاملي فايروال ها از اولين توليد اين محصولات تاكنون شامل توسعه مكانيسمهاي امنيتي، تنوع در مفاهيم مديريتي، بهبود پارامترهاي كارآيي آنها و همچنين تحول در تكنولوژيهاي سختافزاري ميباشد.
بنابراين ميتوان از هر چهار ديدگاه، اين رشد تكاملي را مورد بررسي قرار داد. البته ميتوان گفت آنچه كه بيشترين تاًثير را در رونق فايروال در طرح هاي امنيت شبكه داشته است، سير تكامل و افزايش قابليتهاي امنيتي در اين محصول ميباشد. در ادامه اين مقاله تكنولوژي فايروالها را از ديدگاه توسعه مكانيسمهاي امنيتي و همچنين تحول در تكنولوژيهاي سختافزاري بررسي ميكنيم.
توسعه مكانيسم هاي امنيتي
در نسل دوم فايروالها، ميتوان بسته صافي حالتمند را به عنوان قلب يك فايروال در نظر گرفت كه بيشترين توسعه و تكنولوژي در آن خلاصه شده است. يكي از قابليتهاي ويژه ديگر در اين نسل از محصولات فايروال، امكان ترجمه آدرس و پورت جهت مخفيسازي همبندي شبكه ميباشد. همان طور كه گفته شد، حضور دروازههاي كاربرد در كنار بسته صافي حالتمند امكان بازرسي دقيقتري را براي جزئيات لايه كاربرد براي هر قرارداد مشخص فراهم ميكند.
در كنار قابليتهاي ارايه شده در نسل دوم فايروال، نياز به منابع سيستمي در سختافزار اين فايروالها نيز افزايش مييابد. بديهي است براي مديريت تعداد اتصالات همزمان بالا به صورت حالتمند، فايروال بايد اطلاعات حالت تمامي اين اتصالات را حفظ نمايد. بنابراين از ديدگاه حافظه و پردازش نيازمند منابع بيشتري نسبت به فايروالهاي نسل قبل ميباشد. البته رشد تكنولوژي سخت افزار در طول مدت تكامل نرمافزاري قابليتهاي امنيتي، نيازمنديهاي منابع سيستمي را پوشش داده است.
با رشد روزافزون تكنولوژي در زمينه سخت افزار و توان پردازشي، محصولات فايروال منابع كافي براي ارايه مكانيسمهاي امنيتي بيشتر در قالب يك سخت افزار را خواهند داشت. اين اتفاق در طول تكامل تمامي راهكارهاي نرم افزاري اتفاق افتاده است. در نسل سوم محصولات فايروال نيز قابليتهاي امنيتي جديدي به اين محصولات اضافه شده است. مهمترين قابليت امنيتي ارايه شده در نسل سوم سيستمهاي فايروال، شامل سرويس شبكه خصوصي مجازي (Virtual VPN Private Network ) ميباشد. به همين دليل اين نسل از فايروالها را محصولFirewall/VPN نيز مي نامند. البته در كنار اين قابليت امنيتي برخي از مكانيسمهاي امنيتي ديگر نظير مديريت پهناي باند و يا تشخيص هويت نيز در برخي از نمونه هاي اين محصولات ارايه شده است، ولي مكانيسم مشخص و اساسي امكان قرارگيري VPN در كنار يك محصول فايروال حالتمند ميباشد.
با تولد محصولات Firewall/VPN به سرعت اين تكنولوژي جايگزين دروازههاي VPN Gateway)) VPNشده است و به طور كلي هر شبكه كه نيازمند سرويسVPN باشد، امكان ارايه اين سرويس را به صورت يكپارچه در محصول فايروال بدست ميآورد. امكاناتي نظير يكپارچگي سياست امنيتي در فايروال وVPN ، امكان تعريف سياستهاي متنوع درVPN ، مديريت و پيكربندي ساده تر و همچنين كاهش تعداد تجهيزات امنيتيInLine ، از جمله مزاياي محصولات Firewall/VPN نسبت به نسل قبلي محصولات براي ارايه اين سرويسهاي امنيتي ميباشد. بايد توجه داشت كه كاهش تعداد تجهيزات امنيتي InLine در شبكه ميتواند مديريت شبكه را بسيار ساده تر نموده و همچنين مشكل خطاي نقطه متمركز (Single Point of Failure) را كاهش ميدهد. بديهي است زماني كه فايروال وVPN در قالب تجهيزات متفاوتي در شبكه مستقر شوند، بايد هر كدام از اين تجهيزات به صورتInLine در شبكه قرار گيرند و هر چه تعداد تجهيزاتInLine در شبكه افزايش يابد، ميزان خطاي نقطه متمركز نيز افزايش خواهد يافت. همچنين مفاهيم مديريتي نظير نظارت، سياست امنيتي، رويدادنگاري و دسترسپذيري بايد به صورت توزيع شده اعمال شوند كه منجر به افزايش هزينه مديريت خواهد شد.
در نسل بعدي از محصولات فايروالينگ، قابليت تشخيص و جلوگيري از حملات(Intrusion Prevention System) IPS ارايه شده است. نسل چهارم محصولات فايروال به دروازه امنيتي (Security Gateway) نيز معروف است. البته مكانيسمهايي نظير تشخيص هويت ترافيك، مديريت ترافيك و تصفيه محتوا به طور عميقتر از قابليتهاي ديگر دروازههاي امنيتي است كه معمولا در تمام اين محصولات ارايه شده است. ميتوان گفت كه يكي از دلايل اضافه شدن قابليت تشخيص و جلوگيري از حملات در فايروال، ارايه محصولاتIPS در كنارIDS ها ميباشد.
ايده جلوگيري از حملات در كنار عمليات تشخيص كه در محصولاتIDS ارايه ميشود نيازمند راهكارهاي مختلفي در شبكههاي كامپيوتري ميباشد. برخي از توليدكنندگان كه هر دو محصول فايروال وIDS را ارايه ميكردند، به دنبال طراحي پروتكلي براي ارسال نتايج تشخيص حملات به دستگاه فايروال بودهاند. همچنين تعداد ديگري از توليدكنندگان محصولات امنيتي بر روي توليد محصولIPS تمركز نمودند. اين محصول به صورت InLineو شبيه به يك فايروال در شبكه مستقر مي شود. بنابراين ايده توليد محصول تركيبي فايروال نسل سوم وIPS در محصول دروازه امنيتي ارايه شده است.
دروازههاي امنيتي علاوه بر افزايش مكانيسمهاي امنيتي، حيطه بازرسي ترافيك را تا سطح لايه كاربرد نيز گسترش دادهاند. بنابراين اين محصولات را ميتوان به عنوان يك راهكار امنيتي كامل در نظر گرفت. بديهي است كه افزايش منابع سيستمي، يكي از نيازمنديهاي اصلي براي گذر از فايروالهاي نسل سوم به سمت دروازههاي امنيتي است. بايد در نظر داشت كه مهمترين ايدهاي كه در محصولات دروازه امنيتي مطرح شد، يكپارچگي چندين مكانيسم امنيتي متنوع در يك محصول است. اين موضوع يك نوع تحول در محصولات امنيتي ميباشد كه خود منجر به ارايه محصولات ديگر در اين سير تكاملي شده است.
نسل اخير محصولات فايروال نيز ادامه ايده ارايه چندين مكانيسم امنيتي به صورت يكپارچه را دنبال ميكند. در اين نسل بازرسي ترافيك وارد محتواي داده لايه كاربرد ميشود و تهديدات امنيتي موجود در اين بخش را نيز پوشش ميدهد. اين نسل از محصولات فايروال، مديريت يكپارچه تهديدات و يا (Unified Threat Management) UTMناميده ميشود. تمايز محصولUTM نسبت به دروازه امنيتي در اين است كهUTM ها محتواي داده لايه كاربرد را از نظر امنيتي بازرسي ميكنند. اين بازرسي ميتواند در جهت كشف و پاكسازي ويروس، اسپم و يا محتواي آلوده باشد و يا اينكه برخي سياستهاي بازرسي محتوا را اعمال نمايد.
طبق گزارشي كه در سال 2005 توسطIDC ارايه شد، پيشبيني شده بود كه بازار محصولات فايروال از سال 2008 به بعد به سمت محصولاتUTM خواهد بود و رشد فروش محصولات نسل قبل منفي مي شود. در حال حاضر اين پيشبيني در دنيا و از جمله در ايران نيز به واقعيت پيوسته است. تعريف ارايه شده ازUTM در اين گزارش به اين صورت است كه UTMسختافزاري است كه به صورت يكپارچه قابليتهاي فايروال،VPN ، تشخيص و جلوگيري از حملات، مديريت ترافيك، آنتي اسپم، آنتي ويروس و كنترل محتوا را ارايه ميكند.
البته بازرسي ترافيك در محصولات فايروال، ميتواند بالاتر از محتواي داده لايه كاربرد نيز وارد شود. گرچه در پشته قراردادTCP/IP مفهومي بالاتر از لايه كاربرد وجود ندارد، ولي مفاهيمي نظير مديريت كليد نشست در يك برنامه كاربردي تحت وب، مديريت تشخيص هويت و مجازشناسي كاربران در برنامههاي كاربردي فراتر از لايه كاربرد ميباشند. بنابراين اين مفاهيم بالاتر از لايه كاربرد در نظر گرفته ميشوند. برخي از تجهيزات امنيتي نظير فايروال برنامه كاربردي تحت وب ((Web Application Firewall WAF ، فايروال (XML Firewall) XML و فايروال پايگاه داده (Database Firewall) از جمله محصولاتي هستند كه بازرسي را تا لايه بالاتر از كاربرد نيز انجام ميدهند.
با توجه به سير تكامل تكنولوژي فايروال، ميتوان به اين نتيجه رسيد كه تكامل در اين محصولات به سمت گسترش دامنه بازرسي در ترافيك عبوري شبكه ميباشد. بديهي است هر چه بازرسي در پشته شبكه به سمت بالاتر گسترش يابد، امنيت افزايش يافته و ترافيك، دقيقتر بازرسي ميشود. البته بايد توجه داشت كه براي گسترش بازرسي در لايههاي بالاتر پشته شبكه، نياز به منابع بيشتر سيستمي ضروري است.
تكنولوژي سختافزاري
- فايروال نرمافزاري
- فايروال سختافزاري
- فايروال نرمافزاري با دستگاه خاص منظوره
در ادامه انواع دستهبنديهاي فوق براي محصولات فايروال شرح داده ميشوند.
فايروال نرمافزاري
مشخصه يكسان در تمام محصولات فايروال نرمافزاري اين است كه آنها وابسته به سيستم عامل زيرين ميباشند و تمام محدوديتهاي اين سيستم عامل بر روي محصول نهايي نيز اعمال مي شود. در سطح يك محصول امنيتي ميتوان نكته مذكور را يك نقطه ضعف امنيتي دانست.
به طور كلي تمام فايروالهايي كه به همراه سيستم عاملهاي همه منظوره ارايه مي شوند، يك فايروال نرمافزاري ميباشند. همچنين برخي از محصولات تجاري نيز به عنوان فايروال شخصي و شبكهاي وجود دارند كه در رده محصولات صرفا نرمافزار توليد شدهاند.
مهمترين نگراني در محصولات نرمافزاري فايروال اين است كه آسيبپذيريهاي سيستم عامل به محصول نهايي منتقل ميشود و همچنين كارايي و عملكرد فايروال كاملا وابسته به يك سيستم عامل همه منظوره است. بنابراين نميتوان در مورد كارايي، عمليات و امنيت فايروالهاي نرمافزاري ارزيابي دقيقي را ارايه نمود. براي نمونه فايروالiptables در سيستم عامل لينوكس و همچنين فايروالPF در سيستم عامل FreeBSDكاملا نرمافزاري و البته فايروال شبكهاي هستند. جهت اعمال صحيح مكانيسمهاي امنيتي در محصولات نرمافزاري فايروال، طراحي اين محصولات در لايههاي مختلف معماري سيستم عامل انجام مي پذيرد. بنابراين قرارگيري چنين محصولي در يك ميزبان ميتواند منجر به تغييرات فراواني در سيستم عامل آن ميزبان گردد. همين موضوع ميتواند طراحي يك فايروال شخصي را، بيش از حد تصور وابسته به معماري يك سيستم عامل نمايد. براي نمونه هسته فايروال iptables در سيستم عامل لينوكس در كرنل اين سيستم عامل و در قالب برنامهNetfilter پيادهسازي شده است و لايه توصيف سياست امنيتي و برخي ديگر ماژولهاي آن در سطح كاربر قرار دارند.
فايروال سختافزاري
مزيت اصلي استفاده از سختافزارهاي ASIC در اين است كه ميتوان برخي از عملياتي كه در محصول نقش گلوگاه را دارند را در داخل سختافزار اجرا نمود. بنابراين ميزان كارايي اين عمليات و در نتيجه كارايي كل محصول افزايش خواهد يافت. اين امكان ميتواند منجر به كاهش هزينه توليد محصول فايروال، در تعداد زياد شود. به عبارت ديگر سختافزار مورد نياز براي برآورده ساختن يك ميزان كارايي خاص با هزينه كمتري تامين ميشود؛ هر چند كه هزينه طراحي اوليه تكنولوژي بسيار بالا ميباشد. هزينه بالاي طراحي تكنولوژي در محصولات سختافزاري منجر به استفاده محدود از آن مي شود. بنابراين اين نوع محصولات تنها در برخي از گلوگاههاي خود از ASIC استفاده ميكنند. براي نمونه در محصول فايروال ميتوان مكانيسم بازرسي حالتمند را در داخل سختافزار اجرا نمود. به طور كلي مزيت عمده فايروالهاي سختافزاري در ميزان كارايي عمليات آنها ميباشد. اين محصولات معمولا نيازي به استفاده از سختافزارهاي شتابدهنده (Accelerator) ندارند و بهينه سازي اين شتابدهندهها را در قالب ماژول ASIC اجرا ميكنند. همانطور كه گفته شده تنها برخي از مكانيسمهاي اصلي در داخل سختافزار اجرا مي شوند و در نهايت مكانيسمهاي ديگر به صورت نرمافزاري پياده سازي خواهند شد. در اين مكانيسمها ميزان كارايي، شبيه به راهكارهاي نرمافزاري و يا راهكارهاي تركيبي براي توليد فايروال ميباشد.
با توجه به هزينه بالاي طراحي تكنولوژي ASIC و همچنين محدود بودن حوزه عملياتي اين تكنولوژي در چندين كشور پيشرفته، فايروالهاي سختافزاري عموما در شركتهاي آمريكايي توليد شدهاند. گرچه چندين شركت اروپايي نيز در تجارت توليد فايروال وارد شدهاند، ولي هيچ كدام از آنها محصولات فايروال سختافزاري توليد نكردهاند و توليدات اين شركتها عموما از نوع فايروال نرمافزاري با دستگاه خاص منظوره ميباشد.
فايروال نرمافزاري با دستگاه خاص منظوره
به عبارت ديگر فايروالهاي تركيبي در قالب يك سيستم عامل همه منظوره ارايه نمي شوند و كل محصول در قالب يك سيستم عامل خاص براي اجراي عمليات فايروال توليد مي شود. اين سيستم عامل كه ميانافزار (Firmware) ناميده ميشود، به عنوان هسته نرمافزاري فايروال محسوب ميشود. همچنين ميانافزار فايروال قابل نصب بر روي هر نوع سختافزار همه منظوره نميباشد و معمولا توليدكنندگان اين نوع فايروال به نحوي ميانافزار را طراحي ميكنند كه تنها بر روي سختافزارهاي انتخاب شده قابل نصب و اجرا باشد. البته سختافزارهاي ويژهاي نيز با عنوان سختافزارهاي امنيتي وجود دارند كه توليدكنندگان فايروالهاي تركيبي از آنها استفاده ميكنند.
با توجه به اينكه هسته اصلي فايروالهاي تركيبي به صورت نرمافزاري و در قالب ميان افزار پياده سازي شده است، امكان بروز مشكلاتي براي استقرار اين محصولات در شبكههايي با گذردهي بالا وجود دارد. بنابراين توليدكنندگان اين محصولات از شتابدهندههاي سختافزاري براي ماژولهاي اصلي فايروال استفاده ميكنند. اين شتابدهندهها برخي از عملياتها را در پردازنده ويژه خود اجرا ميكنند و در نتيجه ميزان كارايي سيستم افزايش خواهد يافت.
منبع: نشريه دنياي کامپيوتر و ارتباطات ،شماره 80
/س
