دیوار آتش
دیوار آتش (به انگلیسی: Firewall)، سپرواره،[۱] یا فایروال نام عمومی برنامههایی است که از دستیابی غیرمجاز به یک سیستم رایانه جلوگیری میکنند. در برخی از این نرمافزارها، برنامهها بدون اخذ مجوز قادر نخواهند بود از یک رایانه برای سایر رایانهها، داده ارسال کنند. به این گونه نرمافزارها، تارباروی دو طرفه گویند، زیرا علاوه بر درگاه ورودی (Incoming)، درگاههای خروجی (Outing) هم کنترل میشوند. بستههای اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله تاربارو متوقف میشوند.[۲][۳] نوع دیگری از فایروال نیز وجود دارد که به آن فایروال معکوس میگویند. فایروال معکوس ترافیک خروجی شبکه را فیلتر میکند، برخلاف فایروال معمولی که ترافیک ورودی را فیلتر میکند. در عمل، فیلتر کردن برای هر دوی این مسیرهای ورودی و خروجی، احتمالاً توسط دستگاه یا نرمافزار یکسانی انجام میشود.[۴][۵] فایروالها صرفاً پورتهای ضروری برای کاربران یا سایر برنامههای موجود در خارج از شبکه را در دسترس و قابل استفاده میکنند. برای افزایش ایمنی، سایر پورتها غیرفعال میگردد تا امکان استفاده از آنان توسط هکرها وجود نداشته باشد. در برخی موارد و با توجه به نیاز یک برنامه میتوان موقتاً تعدادی از پورتها را فعال و پس از اتمام کار مجدداً آنان را غیرفعال نمود. اگر برای اتصال به اینترنت از وسیلهای مانند روتر بیسیم، دستگاهی که به شما امکان میدهد تا از اینترنت بیسیم استفاده کنید، داشته باشید احتمالاً هماکنون نیز دیوار آتش دارید و نیازی به نصب جداگانهٔ آن بر روی سیستم در بسیاری از مواقع وجود ندارد.[۶]
تاریخچه دیوار آتش
[ویرایش]نسل اول
[ویرایش]پکتفیلترها یا PFها اولین نوع از دیواره آتش هستند که در سال ۱۹۸۵ به وجود آمدهاند که به عنوان packet filter یا «دیواره آتش پالایشگر بسته» نامیده میشود. ایده آنها استفاده از امکانات نرمافزاری میباشد. پکتفیلتر ازجمله امکان غربال کردن است که با proxyها تفاوت بسیاری دارند که البته هریک دارای مزایا و معایبی هستند زیرا ما همواره مجبور به انتخاب بین کارایی و امنیت هستیم. از جمله مزیت پکتفیلتر استفاده از ابتداییترین روش یعنی اجازه عبور توسط TCP/IP و نوع فیلتر آن است. اطلاعات این فیلترها شامل آدرس. PORT است.[۷]
- مبنای کلیه سامانههای دیواره آتش هستند.
- هر بسته ip را چک کرده (صرفنظر از محتوا) و بر اساس قواعد امنیتی دربارهٔ عبور تصمیم میگیرند.
- قواعد بر اساس سرآیند ip و لایه انتقال تعریف میشوند.
- تصفیه در هر دو جهت قابل اعمال است.
- دسترسی به سرویسهای قابل کنترل است.
مزایا و معایب
[ویرایش]مزیت
[ویرایش]- سادگی و پنهانی از دید کاربران
معایب
[ویرایش]- عدم پشتیبانی از احراز هویت
- اعمال قواعد متناسب با برنامه مشکل است
دو سیاست پیش فرض میتواند وجود داشته باشد
- Discard
- Forward
نحوه تصفیه بستهها در پکتفیلتر
[ویرایش]- نوع پروتکل (ip,tcp,icmp)
- آدرس آیپی مبدأ و مقصد
- حالت ارتباط (پرچمها SYN,ACK,RST)
- زمان (فعال کردن سرویس در یک بازه زمانی خاص
- واسط ورودی/خروجی
حملات وارده به پکتفیلتر
[ویرایش]- جعل آدرس
- فرستادن بسته از خارج با آدرس مبدأ داخلی جعلی (با هدف دسترسی به سرویسهایی که صرفاً آدرس IP مبدأ را برای دسترسی کنترل مینمایند)
- تعیین مسیر توسط مبدأ
- فرستنده مسیر انتقال بسته را مشخص و همراه آن می فرستدو بدین ترتیب فایروال را دور میزند.
- بستههای آیپی قطعه قطعه شده
- سرآیند بسته اصلی در بستههای کوچکتر شکسته میشود
امکانات دیوار آتش
[ویرایش]یکی از کاربردهای معمول فایروال واگذاری اختیار ویژه به گروهی خاص از کاربران جهت استفاده از یک منبع بوده، و همچنین بازداشتن کسانی که از خارج از گروه خواهان دسترسی به منبع هستند میباشد. استفاده دیگر فایروال جلوگیری از ارتباط مستقیم یک سری از رایانهها با دنیای خارج میباشد.[۲] هر چند فایروال بخش مهمی از سیستم امنیتی را تشکیل میدهد ولی طراحان به این نکته نیز توجه میورزند که اکثر حملات از درون شبکه میآیند و نه از بیرون آن.[۸]
نحوه عملکرد بسیاری از سیستمهای فایروال اینگونهاست تمامی ارتباطات از طریق یک سرویس دهنده پروکسی به سمت فایروال هدایت شده و همین سرویس دهنده دربارهٔ امن بودن یا نبودن عبور یک پیام یا یک فایل از طریق شبکه تصمیمگیری میکند.[۲]
این سیستم امنیتی معمولاً ترکیبی از سختافزار و نرمافزار است. با توجه به ضرورتهای استاندارد (ISMS & ISO27001) فایروالها جزء لاینفک شبکههای کامپیوتری قرارگرفتهاند و یکی از دغدغههای اصلی مسئولان شبکه شدهاند، در این میان با توجه به حساسیت هر سازمان لایه بندی و قدرت فایروالها در نظر گرفته میشود؛ مثلاً در بانکها به لحاظ اهمیت و ارزش اطلاعات فایروالها جایگاه حساسی دارند و مسئولان شبکه بانکها همواره دقت بسیاری را در این ارتباط به خرج میدهند. برخی از شرکتهای بزرگی که در این ارتباط با مهمترین بانکهای بینالمللی همکاری دارند عبارتاند از Cisco, Juniper, Securepoint و…
انواع دیوار آتش
[ویرایش]سیستمهای فایروال معمولاً به سه دسته عمومی تقسیمبندی میشوند. البته یک سیستم ممکن است ترکیبی از گونههای مختلف فایروال را همزمان استفاده کند.[۸]
تصفیهکننده بستههای اطلاعاتی (Packets)
[ویرایش]در اینگونه سیستمها بستهها بر اساس قانون خاصی متوقف میشوند. این قانون میتواند بستگی به جهت حرکت بسته، پروتکل خاص استفاده شده، آدرس فرستنده، شماره پرت پرتکل (مثلاً در TCP/IP)، واسطه فیزیکی و غیره طراحی شده باشد. اینگونه فایروال معمولاً در روتر(Router) انجام میشود. به عنوان مثالی معروف از Configurable access control lists یا ACLs در روترهای Cisco میتوان نام برد.[۸]
بازرسیکننده سطوح بالاتر شبکه
[ویرایش]اینگونه سیستمها مانند تصفیهکننده بستههای اطلاعاتی بوده با این تفاوت که به دلیل آگاهی از تمامی لایهها و سطوح مختلف در stack پروتکل هوشمندتر عمل میکنند. اینگونه سیستمها معمولاً حافظه دار بوده اجازه آن را میدهد که به یک بسته اطلاعاتی نه به صورت مجزا بلکه به عنوان بخشی از جریان دادهها نگاه کند.[۸]
سرویس دهنده پروکسی
[ویرایش]یک یا چند سیستم که به نظر میآید که خدماتی را به خارج میدهند، ولی عملاً به عنوان پروکسی برای سیستم اصلی عمل میکنند؛ بنابراین سیستم خارجی مستقیماً به سیستم درونی وصل نشده و پروکسی بین آنها قرار میگیرد. پیادهسازی آنها میتوانند در سطح مدار(سختافزار) یا در سطح برنامه رایانهای (نرمافزار) باشد.[۸]
فایروال سخت افزاری
[ویرایش]فایروال سخت افزاری (Hardware Firewall) یک دستگاه امنیتی سخت افزاری است که برای محافظت از شبکههای کامپیوتری و دفاع در برابر حملات شبکهای به کار میرود. فایروال های سخت افزاری دستگاههایی هستند که به عنوان یک دیوار آتش در شبکه شما قرار میگیرند و به منظور جلوگیری از ورود تهدیدات به شبکه و یا خروج اطلاعات به خارج از شبکه استفاده میشوند. این فایروالها از قطعات سختافزاری تخصصی تشکیل شدهاند که به صورت فیزیکی بر روی یک سرور یا دستگاه شبکه قرار میگیرند و برخلاف فایروالهای نرمافزاری، به عنوان یک دستگاه مجزا از شبکه عمل میکنند.
معروف ترین فایروال های سخت افزاری
[ویرایش]در زیر لیستی از معروف ترین شرکت های تکنولوژی در دنیا که فایروال سخت افزاری تولید میکنند قرار داده شده است:
یکی از الزامات مهم هر کشوری، توسعه نرمافزارهای زیربنایی و تخصصی است. فناوری اطلاعات، از صنایع بزرگی است که حوزههای مختلفی را شامل میشود که دو حوزه امنیت و شبکه اهمیت بیشتری نسبت به موارد دیگر دارد. شبکه و امنیت به دلیل اینکه زیربنای تمامی صنایع و زیرساختها را شکل میدهند، اهمیت خاصی دارند. به همین دلیل است که کشورهای مختلف سعی میکنند، محصولات بومی خود در این زمینه را توسعه دهند. یکی از محصولات مهم و کلیدی حوزه امنیت، دیوارآتش (Firewall) است که سد محکمی در برابر هکرها قرار میدهد و مانع از آن میشود تا هکرها به شبکههای مختلف نفوذ کرده و به سرقت اطلاعات بپردازند. تقریبا بیش از دو دهه است که شرکتهای مختلفی در حوزه تولید محصولات امنیتی در کشور و ساخت دیوارهای آتش و محصولات UTM به فعالیت اشتغال دارند. محصولاتی که به واسطه قابلیتهای کاربردی خوبی که ارائه میکنند قابل مقایسه با نمونههای خارجی هستند.
تاریخچه ساخت فایروال ایرانی
[ویرایش]کانون هماهنگی دانش، صنعت و بازار افتا در سال ۱۳۹۹ شمسی با مجوز معاونت علمی و فناوری ریاست جمهوری با هدف همگرایی و تعامل بهتر شرکتهای فعال در حوزه فناوری اطلاعات تاسیس شد. این کانون به منظور همافزایی بهتر فعالان، دریافت پیشنهادها و راهکارهای نوین و کمک به شرکتهای فعال در حوزه امنیت توانست در سالهای گذشته بستری مناسبی برای حمایت از شرکتهای فعال در زمینه ساخت راههای امنیتی پدید آورد. یکی از تلاشهای خوب این کانون در زمینه ارتقا راهحلهای امنیت کشور، پیشنهاد تولید محصول فایروال نسل بعد به شکل رقابتی بود. این پیشنهاد به دلیل کمبود برخی محصولات کاربردی در این حوزه مطرح شد تا فعالان صنعت افتا ترغیب شوند محصولات کارآمدی همطراز با نمونههای خارجی را تولید و روانه بازار کنند.
به طور معمول، فایروالهای نسل بعد در مقایسه با نمونههای سنتی مزایای شاخصی ارائه میکنند و باعث بهبود سطح امنیت زیرساختها میشوند. به طور معمول، شرکتهای بزرگ و سازمانهای دولتی به منظور مقابله با تهدیدات هکری مجبور به خرید فایروالهایی هستند که توانایی رصد فعالیتهای مشکوک در سطح شبکه را داشته باشد. یکی از نگرانیهای مهمی که پیرامون خرید فایروالهای خارجی وجود دارد، عدم اطلاع از عملکرد داخلی آنها است. به بیان دقیقتر، هنگامی که از یک محصول امنیتی خارجی استفاده میکنید، هیچگاه متوجه نخواهید شد که نرمافزار در زمان اتصال به اینترنت چه اطلاعاتی را به دور از اطلاع شما ارسال میکند. علاوه بر این، برخی از محصولات خارجی در این حوزه کیفیت پایینی دارند و برخی به دلیل تحریمها فاقد پشتیبانی جامع هستند. به بیان دقیقتر، هزینهای که برخی سازمانها صرف امنیت میکنند به جای آنکه باعث بهبود سطح امنیت شود و به ارتقای آن کمک کند خود تبدیل به تهدیدی جدی برای آن مجموعه میشود.
یکی از مشکلاتی که فایروال های داخلی با آن روبرو بودند، عدم اعتماد خریداران به آنها بود. به طور معمول، برخی کارشناسان شبکه تمایل به خرید محصولات داخلی ندارند و بر این باور هستند که نیازهای آنها را در همه ابعاد را برطرف نمیکنند. همین مسئله باعث شد تا به ابتکار کانون هماهنگی دانش، صنعت و بازار افتا شرکتهای بیشتری تمایل پیدا کنند تا دست به ساخت فایروال بومی بزنند. در گذشته تلاشهای مختلفی در زمینه ساخت محصولات امنیتی انجام شد، اما به دلیل فقدان بخش تحقیق و توسعه برخی از این محصولات به موفقیت چشمگیری دست پیدا نکردند و برخی نیز پیشرفتشان با کندی روبرو شد. این مسئله باعث شد تا سازمانهای بزرگ مجبور به وارد کردن فایروالها با هدف پاسخگویی به نیازهای داخلی شوند. اکنون، شرایط تغییر پیدا کرده و فایروال های ایرانی حرفهای زیادی برای گفتن دارند.
برندهای فایروال های ایرانی
[ویرایش]- فایروال بومی DSGate
- سامانه مدیریت یکپارچه تهدیدات آریادژ
- فایروال نارین
- سامانه مدیریت یکپارچه تهدیدات بومی APKGate
- فایروال ایرانی میتا
فایروال اندروید اپلیکیشنی است که به کاربران اجازه می دهد، دسترسی برنامه ها به اینترنت را کنترل نمایند. در واقع فایروال سپری نامرئی بین دستگاه اندرویدی شما و اینترنت میباشد، که می تواند تلاش های نفوذ توسط هکرها را شناسایی یا مسدود نماید. فایروال به صورت پیش فرض بر روی سیستم عامل اندروید وجود ندارد و برای استفاده از فایروال بر روی اندروید باید از اپلیکیشن های فایروال استفاده نمود.
منابع
[ویرایش]- ↑ مصوب فرهنگستان
- ↑ ۲٫۰ ۲٫۱ ۲٫۲ Firewall, Britannica Concise Encyclopedia, لینک غیر مستقیم بایگانیشده در ۲ مارس ۲۰۰۷ توسط Wayback Machine
- ↑ کتاب سیستمعامل دو-رشتههای فنی و حرفهای-صفحه 153-سال1386- انتشارات مؤسسه فرهنگی فاطمی
- ↑ ویروسها و بدافزارهای کامپیوتری. دکتر بابک بشری راد، دکتر آرش حبیبی لشکری. انتشارات ناقوس. ۱۳۹۱
- ↑ «فایروال چیست؟ معرفی انواع دیواره آتش + کاربرد و مزایا و معایب». https://tosinso.com. دریافتشده در ۲۰۲۳-۰۳-۱۳. پیوند خارجی در
|وبگاه=
وجود دارد (کمک) - ↑ ایدکو.
- ↑ book:Physical & Logical Security Convergence - Powered By Enterprise Security Management
- ↑ ۸٫۰ ۸٫۱ ۸٫۲ ۸٫۳ ۸٫۴ Mitch Moore, Todd Pritsky, Peter Southwick, Cliff Riggs, Telecommunications, McGraw-Hill Professional, p.476 - لینک
- ↑ «فایروال بومی چیست؟ معرفی فایروال ایرانی و انواع آن».
- ↑ «فایروال اندروید چیست؟ معرفی بهترین فایروال اندروید».