• صفحه اصلی
  • محصولات
    • سامانه فایروال / UTM
      • فایروال P1 Enterprise
      • فایروال P1 Pro
      • فایروال P1-Basic
    • سامانه های اکانتینگ و احراز هویت
      • سامانه اکانتینگ
      • هات اسپات P-HS100
    • سامانه دسترسی سازمانی
      • سامانه ی دور کاری سازمانی (PAM)
    • سامانه APN Security Gateway
      • سامانه APN Security Gateway
    • کش سرور
      • کش سرور—-RCS Pro
    • نرم افزارهای امنیتی
      • Port Information
      • IP Calculator
      • Pavan Configurator
      • نرم افزار Ip Information
    • نرم افزار های سازمانی
      • نرم افزارهای سازمانی
    • Web Application Firewall (WAF)
  • خدمات
    • انجام تست نفوذ و ارزیابی امنیتی
      • انجام تست نفوذ و ارزیابی امنیتی
      • تست نفوذ و ارزیابی امنیتی شبکه
      • ارزیابی امنیتی سامانه های تحت وب
      • ارزیابی امنیتی شبکه و اتوماسیون صنعتی
      • تست نفوذ نرم افزار موبایل
      • استعلام گواهی ارزیابی امنیت محصول
    • مشاوره واکنش به رخدادهای امنیتی با پاوان CSIRT
    • مشاوره و راه اندازی مرکز عملیات امنیت ( SOC )
    • بازیابی از بحران و تداوم کسب و کار
    • خدمات مدیریت وصله ها و بروزرسانی امنیتی
    • خدمات شبکه با رویکرد پدافند غیر عامل
    • طراحی نرم افزار و وب سایت
    • اجرای طرح های مطالعاتی و تحقیقاتی
  • مقالات آموزشی
    • اخبار تست نفوذ و آسیب پذیری ها
    • امنیت شبکه
    • اخبار امنیت شبکه و اطلاعات
    • آموزش امنیت سایبری
    • تازه های شبکه
  • پاوان
    • درباره شرکت
    • تماس با ما
    • قوانین و مقررات
    • همکاری با ما
    • گزارش خطا

فایروال چیست؟ درباره انواع فایروال ها

بهمن 29, 1394آموزش امنیت سایبری, امنیت شبکهبدون دیدگاهپاوان

فایروال چیست؟
فایروال یا دیواره آتش یک سیستم نرم‌افزاری یا سخت افزاری است که ترافیک های وارد شده و خارج شده از یک درگاه یا Gateway رو آنالیز می کند و مبنی بر نوع قوانین و سیاست هایی که برای آن تعیین می شود، اجازه(Allow) یا عدم اجازه(Deny) ورود یا خروج اطلاعات از این درگاه رو صادر میکنه.
هدفعمده آنها نیز مشخصاً‌ امن کردن شبکه و اعمال محدودیت بر درگاه‌های ورودی یا خروجیه که چه بسته هایی از آن خرج و یا به آن وارد شوند.
پیشرفت و نوع فایروال‌ها سه نسل رو طی کرده است :
نسل اول فایروال‌ها یا FirstGeneration که وظیفه Packet Filtering‌ را دارند.
همانگونه که در مدل OSI مطرح شده است می توان گفت که بحث Packet روی لایه سوم این مدل مطرح می شود.در واقع این نسل از فایروال‌ها تا لایه سوم مدل OSI می توانستند اطلاعات رو کنترل و آنالیز کنند و با توجه به اطلاعاتی که بدست می آید و قوانینی که برای این فایروال مشخص می شود، به فیلتر کردن Packet ها و البته Frame ها (لایه 2) می پردازند.
حالا یک ایراد مطرح می شود؟ و آن اینکه این فایروال State یک Packet را شناسایی نمی کند. به عنوان مثال نمی تواند در حوضه که این ورودی مربوط به یک Connection جدید است یا یک Connection که قبلاً‌ وجود داشته است شناسایی داشته باشد . بدین معنی که شناسایی فقط مربوط به حوضه منبع(Source) و مقصد ِ(Destination) می شود و دلیل ورود و خروج براش مهم نیست!
برای درک بهتر این قضیه رو یک مثال ساده را از از پروتکل و کانکشن ftp مطرح می کنیم و مشکل‌ساز شدن این سری از فایروال ها را می بینیم:

ارتباط FTP Active یک ارتباط به صورت زیر می باشد:

1 – کلاینت درخواست رو به سمت سرور FTP فرستاده و یک Concetion ایجاد می کند (برای مثال از پورت 1026 خود به پورت 21 سرور)
2 – سرور به conccetion کلاینت جواب می دهد (سرور پاسخ را از پورت 21 خودش به پورت 1026 کلاینت میفرستد)
3 – سرور یک conncetion به کلاینت برای ارسال اطلاعات ایجاد می کند (سرور از پورت 20 خود یک کانکشن به پورت 1027 کلاینت ایجاد می کند)
4 – کلاینت قبول می کند و اطلاعات رو دریافت می کند.

حال اگر کلاینت از یک فایروال نسل اول استفاده کند، فایروال مرحله 3 جلوی آن را گرفته و آن ارتباط شناسایی نشده بین پورت های 20 و 1027 است.
فایروال نمی تواند قبول کند که این اجازه این ارتباط قبلاً 21 و 1026 صادر شده است و در آن لحضه هدف استفاده از همان پورت ها است. (که برای راه حل مشکل ساز شدن این سری فایروال ها، پروتکل FTP Passive ایجاد شد)

نسل دوم فایروال‌ها یا Second Generation یا Stateful Filtering که مربوط به فایروال‌هایی است که تا لایه 4 مدل OSI میان بالا و State و حالت Connection را شناسایی می کنند.
این فایروال‌ها قابلیت شناسایی اتفاقاتی که مانند مثال زده شده بود را دارند.

نسل سوم فایروال‌ها یا Third Generation فایروال‌های application layer هستند
این نوع فایروال‌ها تا لایه هفتم مدل OSI میتونن شناسایی کرده و می توانند در کنترل ترافیک بسیار هوشمندانه‌تر عمل کنند زیرا می توان اطلاعات زیادی را از لایه اپلیکیشن برای آنها تحلیل کرد.
برای مثال می تواند ترافیک از نوع DNS رو تشخیص دهد و یا نوع محتوای HTTP را شناسایی کند. ( حتی در صورت استفاده از یک پورت نامتعارف). که فایروال پاوان از این دسته از فایروال ها است.

انواع مختلف فایروال

1. فایروال‌های Network-Level

که معمولاً از نسل اول و نسل دوم فایروال‌ها هستند
وظیفه این فایروال‌ها Packet Filtering است که حالا این را یا به صورت Stateless‌ (نسل اول) یا به صورت Stateful‌ (نسل دوم) می توانند انجام دهند.

عملکرد آنها به این صورت است که Packet ها و Frame هایی که وارد می شوند را بازرسی می کنند و بر آنها اعمال قانون می کنند و هما نطور که ذکر شد حداکثر تا لایه 4 مدل OSI رو شناسایی و هندل می کنند این سری از فایروال‌ها امروزه دراکثریت روتر‌ها و سوئیچ‌ها دیده می شود.برای مثال کسانی که با روترهای سیسکو کار کرده باشند و مفهوم Access List ها رو بدانند، در واقع از همین نوع فایروال در حال استفاده می باشند و حتی اکثر روترهای خانگی (مودم‌ ای‌دی‌اس‌ال/روتر/سویچ/اکسس پوینت) به این نوع فایروال ها مجهز هستن و میتونن پکت فیلترینگ انجام دهند.
مزیت اصلی این فایروال‌ها سرعت خیلی بالای آنها است که خیلی سریع عمل می کنند و کانکشن ها را هندل می کنند. حالا اگر Stateless باشند معمولا از سرعت بالاتری برخوردار هستند (چون حافظه کمتری اشغال می کنند و به گذشته و آینده کاری ندارند! ) ولی اگر Stateful‌ باشند سرعت نسبتا کمتری دارند زیرا باید که تاریخچه پکت را بررسی کند.ایراد عمده این نوع فایروال ها این است که محتوای پکت مهم نیست و برای انواع اعمال قانون‌ها محدود است و نهایتا اینکه نسبت به بقیه فایروال ها قابلیت نفوذ بیشتری دارند..

2. فایروال‌های Applicationlayer یا لایه 7
این نوع فایروال‌ها که نسل سوم می باشند که قادر هستند تا لایه 7 را کنترل کنند و به همین دلیل بسیار نسبت به فایروال‌های Networklayer بسیار متفاوت می توانند عمل کنند.مزیت این فایروال‌ها بشناسایی و آنالیز در لایه هفتم می باشد، که می توانند محتوای اطلاعات رد و بدل شده را هم شناسایی و حتی بر اساس محتوا اعمال فیلتر کنند. مثلاً می توان از این فایروال برای بلاک کردن رد و بدل شدن موسیقی بین شبکه استفاده کرد. کاری که با فایروال سری قبل نمی توان انجام داد. چون در آن فایروال ها فقط مبدا و مقصد و پورت و پرتکل شناسایی می شود، ولی این سری از فایروال‌ها می توانند محتوا رو هم بازرسی کنند و به طبع امکانات برای امن کردن ارتباطات بسیار بازتر خواهد. ضمنا به سیستم این سری از فایروال‌ها می توان افزونه‌هایی را هم اضافه کرد تا کارای بیشتری داشته باشند، مثلاً فایروال می تواند محتوا را نیز از لحاظ ویروس هم چک کند .

اما عیب بزرگی که وجود دارد آن است که معمولا سرعت کمتری نسبت به سایر سری های فایروال دارد. چون محتوای بیشتری در آن چک می شوذ.مثلاً یک فایروال به دنبال چک کردن درخواستی که برایش آمده هم از لحاظ کسی که درخواست را و اینکه چک کند که Authenticated هست یا خیر، سپس محتوا را بررسی کند که ویروسی هست یا خیر ، سپس این که چه اپلیکیشنی این درخواست را فرستاده (مثلاً یک Web Browser است یا یک مسنجر مثل یاهو مسنجر) بعد درخواست رو 2 تیکه کند، تیکه اول را به یک سرور بدهد و تیکه دوم رو به یک سرور دیگر (کاری که Reverse Proxy ها انجام میدن به نیت لود بالانس)، و یک محدودیت پهنای باند 128 را هم بر آن اعمال کند !

سخت‌افزاری و نرم‌افزاری بودن فایروال‌ها

تمامی فعالیت هایی که یک فایروال انجام می دهد در یک محیط نرم‌افزاری انجام می شود.
حالا اینکه این نرم‌افزار چطور ارائه شود و در اختیار مصرف کننده قرار گیرد متفاوت است.
اکثرا سازنده نرم‌افزار، نرم‌افزار را فروخته و به مشتری پیش‌نیازهای نرم‌افزاری و سخت‌افزاری را اعلام می کند .
در بعضی مواقع سازنده نرم‌افزار را به همراه سخت‌افزار ارایه می دهد.

که هر کدام مزایا و معایب دارند:
مزیت اصلی‌ یک فایروال سخت‌افزاری این است که اگر سازنده، سازنده معتبری باشد، اعضای آن سخت‌افزار را طوری انتخاب و طراحی کرده است که با نرم‌افزار مربوطه به طور اساسی هماهنگی بسیار زیادی داشته باشد که سیستم firewall بتواند بهترین پرفورمنس و بازدهی رو داشته باشد. اما در حالت نرم‌افزاری اینگونه نیست. در واقع دیواره آتش هاي سخت افزاري ، دستگاههاي سخت افزاري مجزائی می باشند که داراي سیستم عاملاختصاصی خود می باشد. بنابراین بکارگیري آنان باعث ایجاد یک لایه دفاعی اضافه در مقابل تهاجمات می گردد. دیواره آتش هاي سخت افزاري در مواردي نظیر حفاظت چندین سیستم و حتی شبکه مفید بوده و یک سطح مناسب از امنیت را در کل شبکه ایجاد می کند. مدیر شبکه می تواند سیاسیت های کلی یا جزیی برای کل شبکه تبیین کند.از طرفی یک فایروال نرم‌افزاری می توانند ارزون‌تر باشند و فقط می توانند یک سیستم را محافظت کند.

یک فایروال امروزی چه وظایفی دارد و چه انتظاراتی باید از یک فایروال باید داشته باشیم:

کنترل ترافیک بر اساس IP (محل مبدا و مقصد)، Port (پرتکل انتقال داده) ، نام دامنه (نام محل مبدا و مقصد) ، نام یوزر، نوع محتوا (مثل موسیقی، فیلم، فایل rar)، نوع اپلیکیشن (مثلاً فایرفاکس از پورت 80 استفاده کند ولی یاهومسنجر استفاده نکند) و …
پاس‌کاری ترافیک به سمت سرورهای مختلف و تغییر آی پی (NAT) و تغییر پورت (PAT) برای این پاس‌کاری
لاگ کردن ثبت وقایع که “کی، کِی، برای چی، چیکار کرده ؟!”
کنترل پهنای باند
کَش کردن اطلاعات جهت تسریع سرعت
کنترل ویروس و حملات

هر کدوم از این عملکردها که یک فایروال انجام می دهد ، می تواند روی انتخاب فایروال تاثیر بگذارد.
و این سوال که ما به کدام سری از فایروال نیاز داریم و قصد انتخاب داریم (لایه نتوورکی یا لایه اپلیکیشن)
به چه امکاناتی نیاز داریم و به کدام نیاز نداریم.آیا نیاز ما فایروال سخت افزاری است یا نرم افزاری .

بعد از مشخص شدن کامل این نیاز ها سیستم مورد نیاز رو انتخاب کرده و در شبکه آن را Deploy می کنیم.

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

جستجو

جدیدترین مطالب سایت

  • PAVAN ACCESS TERMINAL
  • مباحث قانونی و حقوقی تست نفوذ
  • تست نفوذ - اصلاحات و راهکارهای پیشنهادیاصلاحات و راهکارهای پیشنهادی تست نفوذ
  • محدودیت های تست نفوذ
  • تست نفوذ و تفاوت ها با هک اخلاقی
  • تست نفوذ- هک اخلاقی
  • تست نفوذ- گزارش نویسی
  • تست نفوذ- انتخاب پیمانکار
  • تست نفوذ – شبکه و زیرساخت
  • تست نفوذ – ابزارها
  • تست نفوذ دستی یا ابزار اتوماتیک
  • انواع تست نفوذ
  • تست نفوذ یا ارزیابی آسیب پذیری ؟
  • مراحل تست نفوذ
  • تست نفوذ چیست و چرا لازم است؟
  • تست نفوذ چیست ؟
  • Adobe Flash Player Vulnerabilitiesآسیب پذیری های متعدد Adobe Flash Player
  • آسیب پذیری متعدد Microsoft Windows PDF Libraryآسیب پذیری های متعدد Windows PDF Library
  • Microsoft Silverlightآسیب پذیری های متعدد Microsoft Silverlight
  • IE vulnerabilitiesآسیب پذیری متعدد اینترنت اکسپلورر IE
آشنایی با شرکت پاوان

شرکت ارتباط گستر رشد پاوان در سال 1385 با هدف خدمت به جامعه علمی و صنعتی کشور در زمینه های مختلف عرصه ارتباطات و فناوری اطلاعات از جمله امنیت شبکه در مرکز رشد فناوری دانشگاه شهید چمران متولد گردیده است. این شرکت مبتکر طرح امنیت شبکه ملی هوشمند پاوان است که منطبق با نیازهای راهبردی و استراتژیک منطقه بویژه با درنظر گرفتن حملات و سناریوهای تهدیدات سایبری علیه امنیت ملی می باشد. و همچنین در تولید برخی تجهیزات ارتباط بیسیم فرکانس 2.4 مگاهرتز ترکیبی فعالیت نموده و علاوه بر طراحی و ابداع چندین پروژه در زمینه ارتباطات و انتقال اطلاعات به روش های ارسال رادیویی، در زمینه های ذیل خدمات شایان ذکری را به نهادها و سازمان های مختلف ارائه نموده است.
اطلاعات بیشتر

خدمات امنیتی

  • انجام تست نفوذ و ارزیابی امنیتی
  • آخرین تهدیدات امنیتی کشف شده
  • اجرای طرح های مطالعاتی و تحقیقاتی
  • ارزیابی امنیتی سامانه های تحت وب
  • خدمات مدیریت وصله ها و بروزرسانی امنیتی
  • خدمات شبکه با رویکرد پدافند غیر عامل
  • طراحی نرم افزار و وب سایت
  • مشاوره واکنش به رخدادهای امنیتی

پیوند ها

  • همکاری با ما
  • تماس با ما
  • درباره ما
  • گزارش خطا

تمامی حقوق این سایت متعلق به شرکت پاوان می باشد.

همکاری با ما