دیوار آتش

دیوار آتش (به انگلیسی: Firewall)، سپرواره،^[۱] یا فایروال نام عمومی برنامه‌هایی است که از دستیابی غیرمجاز به یک سیستم رایانه جلوگیری می‌کنند. در برخی از این نرم‌افزارها، برنامه‌ها بدون اخذ مجوز قادر نخواهند بود از یک رایانه برای سایر رایانه‌ها، داده ارسال کنند. به این گونه نرم‌افزارها، تارباروی دو طرفه گویند، زیرا علاوه بر درگاه ورودی (Incoming)، درگاه‌های خروجی (Outing) هم کنترل می‌شوند. بسته‌های اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله تاربارو متوقف می‌شوند.^[۲]^[۳] نوع دیگری از فایروال نیز وجود دارد که به آن فایروال معکوس می‌گویند. فایروال معکوس ترافیک خروجی شبکه را فیلتر می‌کند، برخلاف فایروال معمولی که ترافیک ورودی را فیلتر می‌کند. در عمل، فیلتر کردن برای هر دوی این مسیرهای ورودی و خروجی، احتمالاً توسط دستگاه یا نرم‌افزار یکسانی انجام می‌شود.^[۴]^[۵] فایروال‌ها صرفاً پورت‌های ضروری برای کاربران یا سایر برنامه‌های موجود در خارج از شبکه را در دسترس و قابل استفاده می‌کنند. برای افزایش ایمنی، سایر پورت‌ها غیرفعال می‌گردد تا امکان استفاده از آنان توسط هکرها وجود نداشته باشد. در برخی موارد و با توجه به نیاز یک برنامه می‌توان موقتاً تعدادی از پورت‌ها را فعال و پس از اتمام کار مجدداً آنان را غیرفعال نمود. اگر برای اتصال به اینترنت از وسیله‌ای مانند روتر بیسیم، دستگاهی که به شما امکان می‌دهد تا از اینترنت بیسیم استفاده کنید، داشته باشید احتمالاً هم‌اکنون نیز دیوار آتش دارید و نیازی به نصب جداگانهٔ آن بر روی سیستم در بسیاری از مواقع وجود ندارد.^[۶]

تاریخچه دیوار آتش[ویرایش]

نسل اول[ویرایش]

پکت‌فیلترها یا PFها اولین نوع از دیواره آتش هستند که در سال ۱۹۸۵ به وجود آمده‌اند که به عنوان packet filter یا «دیواره آتش پالایشگر بسته» نامیده می‌شود. ایده آن‌ها استفاده از امکانات نرم‌افزاری می‌باشد. پکت‌فیلتر ازجمله امکان غربال کردن است که با proxyها تفاوت بسیاری دارند که البته هریک دارای مزایا و معایبی هستند زیرا ما همواره مجبور به انتخاب بین کارایی و امنیت هستیم. از جمله مزیت پکت‌فیلتر استفاده از ابتدایی‌ترین روش یعنی اجازه عبور توسط TCP/IP و نوع فیلتر آن است. اطلاعات این فیلترها شامل آدرس. PORT است.^[۷]

مبنای کلیه سامانه‌های دیواره آتش هستند.
هر بسته ip را چک کرده (صرفنظر از محتوا) و بر اساس قواعد امنیتی دربارهٔ عبور تصمیم می‌گیرند.
قواعد بر اساس سرآیند ip و لایه انتقال تعریف می‌شوند.
تصفیه در هر دو جهت قابل اعمال است.
دسترسی به سرویس‌های قابل کنترل است.

مزایا و معایب[ویرایش]

مزیت[ویرایش]

سادگی و پنهانی از دید کاربران

معایب[ویرایش]

عدم پشتیبانی از احراز هویت
اعمال قواعد متناسب با برنامه مشکل است

دو سیاست پیش فرض می‌تواند وجود داشته باشد

Discard
Forward

نحوه تصفیه بسته‌ها در پکت‌فیلتر[ویرایش]

نوع پروتکل (ip,tcp,icmp)
آدرس آی‌پی مبدأ و مقصد
حالت ارتباط (پرچم‌ها SYN,ACK,RST)
زمان (فعال کردن سرویس در یک بازه زمانی خاص
واسط ورودی/خروجی

حملات وارده به پکت‌فیلتر[ویرایش]

جعل آدرس

فرستادن بسته از خارج با آدرس مبدأ داخلی جعلی (با هدف دسترسی به سرویس‌هایی که صرفاً آدرس IP مبدأ را برای دسترسی کنترل می‌نمایند)

تعیین مسیر توسط مبدأ

فرستنده مسیر انتقال بسته را مشخص و همراه آن می فرستدو بدین ترتیب فایروال را دور می‌زند.

بسته‌های آی‌پی قطعه قطعه شده

سرآیند بسته اصلی در بسته‌های کوچکتر شکسته می‌شود

امکانات دیوار آتش[ویرایش]

یکی از کاربردهای معمول فایروال واگذاری اختیار ویژه به گروهی خاص از کاربران جهت استفاده از یک منبع بوده، و همچنین بازداشتن کسانی که از خارج از گروه خواهان دسترسی به منبع هستند می‌باشد. استفاده دیگر فایروال جلوگیری از ارتباط مستقیم یک سری از رایانه‌ها با دنیای خارج می‌باشد.^[۲] هر چند فایروال بخش مهمی از سیستم امنیتی را تشکیل می‌دهد ولی طراحان به این نکته نیز توجه می‌ورزند که اکثر حملات از درون شبکه می‌آیند و نه از بیرون آن.^[۸]

نحوه عملکرد بسیاری از سیستم‌های فایروال اینگونه‌است تمامی ارتباطات از طریق یک سرویس دهنده پروکسی به سمت فایروال هدایت شده و همین سرویس دهنده دربارهٔ امن بودن یا نبودن عبور یک پیام یا یک فایل از طریق شبکه تصمیم‌گیری می‌کند.^[۲]

این سیستم امنیتی معمولاً ترکیبی از سخت‌افزار و نرم‌افزار است. با توجه به ضرورت‌های استاندارد (ISMS & ISO27001) فایروالها جزء لاینفک شبکه‌های کامپیوتری قرارگرفته‌اند و یکی از دغدغه‌های اصلی مسئولان شبکه شده‌اند، در این میان با توجه به حساسیت هر سازمان لایه بندی و قدرت فایروال‌ها در نظر گرفته می‌شود؛ مثلاً در بانک‌ها به لحاظ اهمیت و ارزش اطلاعات فایروال‌ها جایگاه حساسی دارند و مسئولان شبکه بانک‌ها همواره دقت بسیاری را در این ارتباط به خرج می‌دهند. برخی از شرکت‌های بزرگی که در این ارتباط با مهم‌ترین بانک‌های بین‌المللی همکاری دارند عبارت‌اند از Cisco, Juniper, Securepoint و…

انواع دیوار آتش[ویرایش]

سیستم‌های فایروال معمولاً به سه دسته عمومی تقسیم‌بندی می‌شوند. البته یک سیستم ممکن است ترکیبی از گونه‌های مختلف فایروال را هم‌زمان استفاده کند.^[۸]

تصفیه‌کننده بسته‌های اطلاعاتی (Packets)[ویرایش]

در این‌گونه سیستم‌ها بسته‌ها بر اساس قانون خاصی متوقف می‌شوند. این قانون می‌تواند بستگی به جهت حرکت بسته، پروتکل خاص استفاده شده، آدرس فرستنده، شماره پرت پرتکل (مثلاً در TCP/IP)، واسطه فیزیکی و غیره طراحی شده باشد. این‌گونه فایروال معمولاً در روتر(Router) انجام می‌شود. به عنوان مثالی معروف از Configurable access control lists یا ACLs در روترهای Cisco می‌توان نام برد.^[۸]

بازرسی‌کننده سطوح بالاتر شبکه[ویرایش]

اینگونه سیستم‌ها مانند تصفیه‌کننده بسته‌های اطلاعاتی بوده با این تفاوت که به دلیل آگاهی از تمامی لایه‌ها و سطوح مختلف در stack پروتکل هوشمندتر عمل می‌کنند. این‌گونه سیستم‌ها معمولاً حافظه دار بوده اجازه آن را می‌دهد که به یک بسته اطلاعاتی نه به صورت مجزا بلکه به عنوان بخشی از جریان داده‌ها نگاه کند.^[۸]

سرویس دهنده پروکسی[ویرایش]

یک یا چند سیستم که به نظر می‌آید که خدماتی را به خارج می‌دهند، ولی عملاً به عنوان پروکسی برای سیستم اصلی عمل می‌کنند؛ بنابراین سیستم خارجی مستقیماً به سیستم درونی وصل نشده و پروکسی بین آن‌ها قرار می‌گیرد. پیاده‌سازی آن‌ها می‌توانند در سطح مدار(سخت‌افزار) یا در سطح برنامه رایانه‌ای (نرم‌افزار) باشد.^[۸]

فایروال سخت افزاری[ویرایش]

فایروال سخت افزاری (Hardware Firewall) یک دستگاه امنیتی سخت افزاری است که برای محافظت از شبکه‌های کامپیوتری و دفاع در برابر حملات شبکه‌ای به کار می‌رود. فایروال های سخت افزاری دستگاه‌هایی هستند که به عنوان یک دیوار آتش در شبکه شما قرار می‌گیرند و به منظور جلوگیری از ورود تهدیدات به شبکه و یا خروج اطلاعات به خارج از شبکه استفاده می‌شوند. این فایروال‌ها از قطعات سخت‌افزاری تخصصی تشکیل شده‌اند که به صورت فیزیکی بر روی یک سرور یا دستگاه شبکه قرار می‌گیرند و برخلاف فایروال‌های نرم‌افزاری، به عنوان یک دستگاه مجزا از شبکه عمل می‌کنند.

معروف ترین فایروال های سخت افزاری[ویرایش]

در زیر لیستی از معروف ترین شرکت های تکنولوژی در دنیا که فایروال سخت افزاری تولید میکنند قرار داده شده است:

فایروال ایرانی^[۹][ویرایش]

یکی از الزامات مهم هر کشوری، توسعه نرم‌افزارهای زیربنایی و تخصصی است. فناوری اطلاعات، از صنایع بزرگی است که حوزه‌های مختلفی را شامل می‌شود که دو حوزه امنیت و شبکه اهمیت بیشتری نسبت به موارد دیگر دارد. شبکه و امنیت به دلیل این‌که زیربنای تمامی صنایع و زیرساخت‌ها را شکل می‌دهند، اهمیت خاصی دارند. به همین دلیل است که کشورهای مختلف سعی می‌کنند، محصولات بومی خود در این زمینه را توسعه دهند. یکی از محصولات مهم و کلیدی حوزه امنیت، دیوارآتش (Firewall) است که سد محکمی در برابر هکرها قرار می‌دهد و مانع از آن می‌شود تا هکرها به شبکه‌های مختلف نفوذ کرده و به سرقت اطلاعات بپردازند. تقریبا بیش از دو دهه است که شرکت‌های مختلفی در حوزه تولید محصولات امنیتی در کشور و ساخت دیوارهای آتش و محصولات UTM به فعالیت اشتغال دارند. محصولاتی که به واسطه قابلیت‌های کاربردی خوبی که ارائه می‌کنند قابل مقایسه با نمونه‌های خارجی هستند.

تاریخچه ساخت فایروال ایرانی[ویرایش]

کانون هماهنگی دانش، صنعت و بازار افتا در سال ۱۳۹۹ شمسی با مجوز معاونت علمی و فناوری ریاست جمهوری با هدف هم‌گرایی و تعامل بهتر شرکت‌های فعال در حوزه فناوری اطلاعات تاسیس شد. این کانون به منظور هم‌افزایی بهتر فعالان، دریافت پیشنهادها و راهکارهای نوین و کمک به شرکت‌های فعال در حوزه امنیت توانست در سال‌های گذشته بستری مناسبی برای حمایت از شرکت‌های فعال در زمینه ساخت راه‌های امنیتی پدید آورد. یکی از تلاش‌های خوب این کانون در زمینه ارتقا راه‌حل‌های امنیت کشور، پیشنهاد تولید محصول فایروال نسل بعد به شکل رقابتی بود. این پیشنهاد به دلیل کمبود برخی محصولات کاربردی در این حوزه مطرح شد تا فعالان صنعت افتا ترغیب شوند محصولات کارآمدی هم‌طراز با نمونه‌های خارجی را تولید و روانه بازار کنند.

به طور معمول، فایروال‌های نسل بعد در مقایسه با نمونه‌های سنتی مزایای شاخصی ارائه می‌کنند و باعث بهبود سطح امنیت زیرساخت‌ها می‌شوند. به طور معمول، شرکت‌های بزرگ و سازمان‌های دولتی به منظور مقابله با تهدیدات هکری مجبور به خرید فایروال‌هایی هستند که توانایی رصد فعالیت‌های مشکوک در سطح شبکه را داشته باشد. یکی از نگرانی‌های مهمی که پیرامون خرید فایروال‌های خارجی وجود دارد، عدم اطلاع از عملکرد داخلی آن‌ها است. به بیان دقیق‌تر، هنگامی که از یک محصول امنیتی خارجی استفاده می‌کنید، هیچ‌گاه متوجه نخواهید شد که نرم‌افزار در زمان اتصال به اینترنت چه اطلاعاتی را به دور از اطلاع شما ارسال می‌کند. علاوه بر این، برخی از محصولات خارجی در این حوزه کیفیت پایینی دارند و برخی به دلیل تحریم‌ها فاقد پشتیبانی‌ جامع هستند. به بیان دقیق‌تر، هزینه‌ای که برخی سازمان‌ها صرف امنیت می‌کنند به جای آن‌که باعث بهبود سطح امنیت شود و به ارتقای آن کمک کند خود تبدیل به تهدیدی جدی برای آن مجموعه می‌شود.

یکی از مشکلاتی که فایروال های داخلی با آن روبرو بودند، عدم اعتماد خریداران به آن‌ها بود. به طور معمول، برخی کارشناسان شبکه تمایل به خرید محصولات داخلی ندارند و بر این باور هستند که نیازهای آن‌ها را در همه ابعاد را برطرف نمی‌کنند. همین مسئله باعث شد تا به ابتکار کانون هماهنگی دانش، صنعت و بازار افتا شرکت‌های بیشتری تمایل پیدا کنند تا دست به ساخت فایروال بومی بزنند. در گذشته تلاش‌های مختلفی در زمینه ساخت محصولات امنیتی انجام شد، اما به دلیل فقدان بخش تحقیق و توسعه برخی از این محصولات به موفقیت چشم‌گیری دست پیدا نکردند و برخی نیز پیشرفت‌شان با کندی روبرو شد. این مسئله باعث شد تا سازمان‌های بزرگ مجبور به وارد کردن فایروال‌ها با هدف پاسخ‌گویی به نیازهای داخلی شوند. اکنون، شرایط تغییر پیدا کرده و فایروال های ایرانی حرف‌های زیادی برای گفتن دارند.

برندهای فایروال های ایرانی[ویرایش]

فایروال بومی DSGate
سامانه مدیریت یکپارچه تهدیدات آریادژ
فایروال نارین
سامانه مدیریت یکپارچه تهدیدات بومی APKGate
فایروال ایرانی میتا

فایروال اندروید ^[۱۰][ویرایش]

فایروال اندروید اپلیکیشنی است که به کاربران اجازه می دهد، دسترسی برنامه ها به اینترنت را کنترل نمایند. در واقع فایروال سپری نامرئی بین دستگاه اندرویدی شما و اینترنت می‌باشد، که می تواند تلاش های نفوذ توسط هکرها را شناسایی یا مسدود نماید. فایروال به صورت پیش فرض بر روی سیستم عامل اندروید وجود ندارد و برای استفاده از فایروال بر روی اندروید باید از اپلیکیشن های فایروال استفاده نمود.

منابع[ویرایش]

↑ مصوب فرهنگستان
↑ ^۲٫۰ ^۲٫۱ ^۲٫۲ Firewall, Britannica Concise Encyclopedia, لینک غیر مستقیم بایگانی‌شده در ۲ مارس ۲۰۰۷ توسط Wayback Machine
↑ کتاب سیستم‌عامل دو-رشته‌های فنی و حرفه‌ای-صفحه 153-سال1386- انتشارات مؤسسه فرهنگی فاطمی
↑ ویروس‌ها و بدافزارهای کامپیوتری. دکتر بابک بشری راد، دکتر آرش حبیبی لشکری. انتشارات ناقوس. ۱۳۹۱
↑ «فایروال چیست؟ معرفی انواع دیواره آتش + کاربرد و مزایا و معایب». https://tosinso.com. دریافت‌شده در ۲۰۲۳-۰۳-۱۳. پیوند خارجی در |وبگاه= وجود دارد (کمک)
↑ ایدکو.
↑ book:Physical & Logical Security Convergence - Powered By Enterprise Security Management
↑ ^۸٫۰ ^۸٫۱ ^۸٫۲ ^۸٫۳ ^۸٫۴ Mitch Moore, Todd Pritsky, Peter Southwick, Cliff Riggs, Telecommunications, McGraw-Hill Professional, p.476 - لینک
↑ «فایروال بومی چیست؟ معرفی فایروال ایرانی و انواع آن».
↑ «فایروال اندروید چیست؟ معرفی بهترین فایروال اندروید».

[1] مصوب فرهنگستان

[BritannicaC-2] ۲٫۰ ^۲٫۱ ^۲٫۲ Firewall, Britannica Concise Encyclopedia, لینک غیر مستقیم بایگانی‌شده در ۲ مارس ۲۰۰۷ توسط Wayback Machine

[3] کتاب سیستم‌عامل دو-رشته‌های فنی و حرفه‌ای-صفحه 153-سال1386- انتشارات مؤسسه فرهنگی فاطمی

[4] ویروس‌ها و بدافزارهای کامپیوتری. دکتر بابک بشری راد، دکتر آرش حبیبی لشکری. انتشارات ناقوس. ۱۳۹۱

[5] «فایروال چیست؟ معرفی انواع دیواره آتش + کاربرد و مزایا و معایب». https://tosinso.com. دریافت‌شده در ۲۰۲۳-۰۳-۱۳. پیوند خارجی در |وبگاه= وجود دارد (کمک)

[6] ایدکو.

[7] :Physical & Logical Security Convergence - Powered By Enterprise Security Management

[Tele476-8] ۸٫۰ ^۸٫۱ ^۸٫۲ ^۸٫۳ ^۸٫۴ Mitch Moore, Todd Pritsky, Peter Southwick, Cliff Riggs, Telecommunications, McGraw-Hill Professional, p.476 - لینک

[9] «فایروال بومی چیست؟ معرفی فایروال ایرانی و انواع آن».

[10] «فایروال اندروید چیست؟ معرفی بهترین فایروال اندروید».

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]

ن ب و بدافزار
بدافزارهای آلوده‌کننده	ویروس رایانه‌ای سیاهه ویروس‌های رایانه‌ای کرم رایانه‌ای فهرست کرم‌های رایانه‌ای Timeline of computer viruses and worms
مخفی‌کارها	اسب تروآ روت‌کیت بک‌دور رایانهٔ زامبی حمله مرد میانی Man-in-the-browser Man-in-the-mobile
برای کسب درآمد	Privacy-invasive software آگهی‌افزار جاسوس‌افزار بات‌نت کی‌لاگر Web threats Dialer جرم‌افزار ربات اینترنتی ترس‌افزار Rogue security software باج‌افزار
بر اساس سیستم‌عامل	بدافزار لینوکسی Palm OS viruses ویروس موبایل ویروس ماکرو Macintosh (old) viruses Mac OS X malware
محافظت	Anti-keylogger ضد ویروس امنیت مرورگر امنیت اینترنت موبایل سکوریتی امنیت شبکه Defensive computing دیوار آتش سامانه تشخیص نفوذ Data loss prevention software
روش‌های مقابله	نظارت بر رایانه و شبکه Operation: Bot Roast هانیپات Anti-Spyware Coalition