فایروال نرم افزار یا میان افزاری است که از دسترسی غیر مجاز به شبکه جلوگیری می کند و ترافیک ورودی و خروجی را با استفاده از مجموعه ای از قوانین برای شناسایی و جلوگیری از تهدید ها بررسی می کند.
از فایروال ها هم در تنظیمات شخصی و هم در تنظیمات سازمانی استفاده می شود و بسیاری از دستگاه ها با یک دستگاه داخلی از جمله رایانه های مک، ویندوز و لینوکس همراه هستند. آن ها به طور گسترده ای جز اساسی امنیت شبکه محسوب می شوند.
چرا فایروال ها مهم هستند؟
فایروال ها از این جهت مهم هستند که تأثیر بسزایی در تکنیک های امنیتی مدرن داشته و هنوز هم به طور گسترده مورد استفاده قرار می گیرند. آن ها برای اولین بار در روزهای اولی که اینترنت به وجود آمده بود، زمانی که شبکه ها به روش های امنیتی جدیدی نیاز داشتند که بتوانند از پیچیدگی روزافزون استفاده کنند، ظهور کردند.
فایروال ها از آن زمان به پایه امنیت شبکه در مدل سرویس دهنده سرور – معماری مرکزی رایانه های مدرن – تبدیل شده اند. اکثر دستگاه ها از فایروال ها یا ابزارهای مرتبط برای بازرسی ترافیک و کاهش تهدیدات استفاده می کنند.
نحوه استفاده
از فایروال ها هم در شرکت های بزرگ و هم در استفاده خانگی استفاده می شود. سازمان های مدرن آن ها را در کنار سایر دستگاه های امنیت سایبری در یک استراتژی اطلاعات امنیتی و مدیریت رویداد (SIEM) گنجانده اند. ممکن است برای جلوگیری از تهدیدات خارجی در محیط شبکه سازمان یا در داخل شبکه برای ایجاد تقسیم بندی و محافظت در برابر تهدیدات داخلی نصب شوند.
علاوه بر دفاع فوری از تهدید، فایروال ها عملکرد های مهم ورود به سیستم و حسابرسی را انجام می دهند. آن ها سوابقی از وقایع را نگهداری می کنند که می تواند توسط مدیران برای شناسایی الگو ها و بهبود مجموعه قوانین استفاده شود. قوانین باید مرتباً به روز شوند تا با تهدید های امنیت سایبری همیشه در حال پیشرفت همراه باشند. وندور تهدید های جدید را کشف می کنند و اصلاحاتی را برای پوشش دادن آن ها در اسرع وقت ایجاد می کنند.
در یک شبکه خانگی، یک فایروال می تواند ترافیک را فیلتر کرده و به کاربر نفوذ را هشدار دهد. به ویژه برای اتصالاتی که همیشه روشن هستند، مانند Digital Subscriber Line (DSL) یا مودم کابلی بسیار مفید هستند، زیرا در این نوع اتصالات از IP آدرس های ثابت استفاده می شود. آن ها اغلب در کنار برنامه های ضد ویروس مورد استفاده قرار می گیرند.
دیوار آتش چگونه کار می کند؟
فایروال مرزی بین یک شبکه خارجی و شبکه ای که محافظت می کند ایجاد می کند. در داخل اتصال شبکه به صورت درون خطی قرار می گیرد و همه بسته های ورودی و خروجی به شبکه محافظت شده را بازرسی می کند. همانطور که بازرسی می کند، از مجموعه ای از قوانین از پیش تنظیم شده برای پاکسازی بسته های مخرب استفاده می کند.
اصطلاح “بسته” به داده هایی گفته می شود که برای انتقال اینترنت قالب بندی شده اند. بسته ها حاوی خود داده ها و همچنین اطلاعات مربوط به داده ها هستند، مانند محل ورود آن ها. فایروال ها می توانند با استفاده از این اطلاعات، در صورتی که طبق قانون تعیین شده باشد، به داده ها اجازه ورود دهند. اگر اینگونه نباشد، ورود بسته به شبکه محافظت شده ممنوع است.
مجموعه قوانین را می توان بر اساس موارد مختلفی که با داده های بسته نشان داده شده است، تنظیم کرد، از جمله:
- منبع آن ها
- مقصد آن ها
- محتوای آن ها
این خصوصیات ممکن است در سطوح مختلف شبکه به طور متفاوتی نشان داده شوند. هنگامی که یک بسته از طریق شبکه عبور می کند، چندین بار مجدداً قالب بندی می شود تا به پروتکل گفته شود که کجا باید آن را ارسال کند. انواع مختلف فایروال ها برای خواندن بسته ها در سطوح مختلف شبکه وجود دارد.
انواع فایروال ها
فایروال ها یا به روش فیلتر کردن داده ها یا به وسیله سیستمی که محافظت می شوند، دسته بندی می شوند.
هنگام دسته بندی بر اساس آنچه از آن ها محافظت می شود، این دو نوع عبارتند از: مبتنی بر شبکه و مبتنی بر میزبان. فایروال های مبتنی بر شبکه از کل شبکه ها محافظت می کنند و اغلب سخت افزاری هستند. فایروال های مبتنی بر میزبان از دستگاه های جداگانه محافظت می کنند که به عنوان میزبان شناخته می شوند و اغلب نرم افزار هستند.
هنگام دسته بندی با روش فیلتر کردن، انواع اصلی عبارتند از:
- packet-filtering: بسته ها را به صورت جداگانه بررسی می کند و متن بسته اطلاعاتی ندارد.
- stateful inspection: مبتنی بر وضعیت، ترافیک شبکه را بررسی می کند تا مشخص کند آیا یک بسته به بسته دیگری مربوط است یا خیر.
- فایروال پروکسی: بسته ها را در لایه کاربرد مدل مرجع اتصال سیستم های باز (OSI) بازرسی می کند.
- NGFW: از یک روش چند لایه برای ادغام قابلیت های فایروال سازمانی با سیستم پیشگیری از نفوذ (IPS) و کنترل برنامه استفاده می کند.
فایروال packet-filtering
هنگامی که یک بسته از یک این فایروال عبور می کند، آدرس منبع و مقصد، پروتکل و شماره پورت مقصد بررسی می شود. اگر با مجموعه قوانین فایروال مطابقت نداشته باشد، بسته به مقصد ارسال نمی شود.
یک فایروال packet-filtering به طور عمده روی لایه شبکه مدل مرجع OSI کار می کند، اگرچه از لایه حمل و نقل برای به دست آوردن شماره پورت منبع و مقصد استفاده می شود. هر بسته را به طور مستقل بررسی می کند و نمی داند بسته ای خاص بخشی از جریان موجود در ترافیک است.
این نوع فایروال موثر است، اما از آنجا که هر بسته را جداگانه پردازش می کند، می تواند در برابر حملات جعل IP آسیب پذیر باشد و تا حد زیادی توسط فایروال stateful inspection جایگزین شده است.
فایروال stateful inspection
بسته های ارتباطی را به مرور کنترل می کنند و بسته های ورودی و خروجی را بررسی می کنند.
این نوع یک فهرست را حفظ می کند که کلیه اتصالات باز را ردیابی می کند. وقتی بسته های جدید وارد می شوند، اطلاعات موجود در عنوان بسته را با لیست اتصالات معتبر آن مقایسه می کند و تعیین می کند که آیا این بسته بخشی از اتصال برقرار شده است. اگر اینگونه باشد، بسته بدون تجزیه و تحلیل بیشتر به داخل آن منتقل می شود. اگر بسته با اتصال موجود مطابقت نداشته باشد، طبق قانون تعیین شده برای اتصالات جدید ارزیابی می شود.
گرچه این نوع فایروال کاملاً کارآمد است، اما می توانند در برابر حملات DoS آسیب پذیر باشند. حملات DoS با بهره گیری از اتصالات مستقر که به طور کلی این نوع ایمن فرض می کنند ، کار می کند.
فایروال Application layer و proxy
این نوع همچنین ممکن است به عنوان فایروال پروکسی مبتنی بر پروکسی یا معکوس شناخته شود. آن ها فیلتر لایه کاربردی را ارائه می دهند و می توانند میزان بارگیری یک بسته را بررسی کنند تا درخواست های معتبر را از کد مخربی که به عنوان درخواست معتبر داده پنهان شده است، تشخیص دهد.
با متداول شدن حملات علیه وب سرورها، مشخص شد که برای محافظت از شبکه ها در برابر حملات در این فایروال، به دیوار آتش نیاز است. Packet-filtering و stateful inspection نمی توانند این کار را در Application layer انجام دهند.
از آنجایی که این نوع، محتوای بسته را بررسی می کند، به مهندسان امنیتی امکان کنترل دقیق تر ترافیک شبکه را می دهد. به عنوان مثال، می تواند یک دستور Telnet ورودی خاص از یک کاربر خاص را مجاز یا رد کند، در حالی که انواع دیگر فقط می توانند درخواست های ورودی کلی از یک میزبان خاص را کنترل کنند.
وقتی این نوع در یک سرور proxy قرار می گیرد، آن را به یک فایروال پروکسی تبدیل می کند و کشف این که در واقع شبکه در کجاست برای یک هکر دشوارتر می شود و یک لایه امنیتی دیگر ایجاد می کند. هر دو کلاینت و سرور مجبور هستند نشست را از طریق واسطه انجام دهند.
هر بار که مشتری خارجی درخواست اتصال به یک سرور داخلی یا بالعکس را دارد، کلاینت به جای آن ارتباطی با پروکسی باز می کند. اگر درخواست اتصال مطابق با معیار های موجود در قانون قاعده فایروال باشد، فایروال پروکسی یک اتصال به سرور درخواست شده را باز می کند.
مزیت اصلی فیلتر کردن با Application layer توانایی مسدود کردن محتوای خاص مانند بدافزار شناخته شده یا وب سایت های خاص و تشخیص زمان خاصی از برنامه ها و پروتکل ها مانند Hypertext Transfer Protocol (HTTP) ،File Transfer Protocol (FTP) و سیستم نام دامنه است.
(DNS) مورد سو استفاده قرار می گیرند. از قوانین فایروال Application layer نیز می توان برای کنترل اجرای فایل ها یا مدیریت داده ها توسط برنامه های خاص استفاده کرد.
مطالعه بیشتر …
فایروال نسل بعدی (NGFW)
یک نسخه پیشرفته از فایروال های سنتی است، هر نوع فایروال نقاط قوت و ضعف خاص خود را دارد، برخی از آن ها از لایه های مختلف مدل OSI محافظت می کنند. مزیت NGFW این است که نقاط قوت و ضعف هر نوع را با هم ترکیب می کند. NGFW غالباً مجموعه ای از فناوری ها با یک نام در مقابل یک مولفه واحد است.
محیط های مدرن شبکه دارای بسیاری از نقاط ورود و انواع مختلف کاربر هستند که نیاز به کنترل دسترسی و امنیت قوی تر در میزبانی است. این نیاز به یک رویکرد چند لایه، منجر به ظهور NGFW ها شده است.
NGFW سه دارایی کلیدی را در خود جای داده است: قابلیت های فایروال سنتی، آگاهی از کاربرد و IPS. مانند معرفی stateful inspection در فایروال های نسل اول، NGFW زمینه های بیشتری را برای روند تصمیم گیری فایروال ایجاد می کنند.
NGFW ها قابلیت های فایروال های شرکتی سنتی – از جمله ترجمه آدرس شبکه (NAT)، مسدود کردن یکنواخت URL و شبکه های خصوصی مجازی (VPN) را با کیفیت خدمات ( QoS ) و ویژگی هایی که به طور سنتی در ابتدا یافت نمی شوند، ترکیب می کنند.
هنگامی که از NGFW یا هر فایروال همراه با دستگاه های دیگر استفاده می شود، به آن مدیریت تهدید واحد (UTM) گفته می شود.
فروشندگان فایروال
شرکت هایی که قصد خرید فایروال را دارند باید از نیازهای خود آگاه باشند و از ساختار شبکه آگاه باشند. انواع، ویژگی ها و فروشندگان مختلفی وجود دارد که در انواع مختلفی تخصص دارند. در اینجا چند فروشنده معتبر NGFW وجود دارد:
- Palo Alto: پوشش گسترده دارد اما ارزان نیست.
- SonicWall: ارزش خوبی دارد و دارای طیف وسیعی از شرکت های بزرگ است که می تواند برای آن ها کار کند. SonicWall راه حل هایی برای شبکه های کوچک، متوسط یا بزرگ دارد. تنها ایراد آن این است که تا حدی فاقد ویژگی های کلود است.
- Cisco: بزرگترین وسعت امکانات برای NGFW را دارد اما ارزان هم نیست.
- Sophos: مناسب برای شرکت های متوسط و آسان برای استفاده.
- Barracuda: ارزش مناسب، مدیریت عالی، پشتیبانی و ویژگی های ابری.
- Fortinet: پوشش گسترده، ارزش زیاد و برخی از ویژگی های کلود.
آینده امنیت شبکه
در روز های اولی که اینترنت ظهور کرد، هنگامی که استیون ام. بلووین از AT&T برای اولین بار از استعاره فایروال استفاده کرد، ترافیک شبکه در درجه اول از شمال به جنوب جریان داشت. این به معنای ساده این است که بیشتر ترافیک در یک دیتا سنتر از کلاینت به سرور و سرور به کلاینت منتقل می شود.
در چند سال گذشته مجازی سازی و روند هایی از قبیل زیرساخت های همگرا باعث ایجاد ترافیک بیشتر از شرق به غرب شده است، به این معنی که گاهی بیشترین حجم ترافیک در یک دیتا سنتر از سرور به سرور دیگر منتقل می شود.
برای مقابله با این تغییر، برخی از سازمان ها از معماری سنتی دیتا سنتر های سه لایه به اشکال مختلف معماری تغییر داده اند. این تغییر در معماری باعث شده است که برخی از کارشناسان امنیتی هشدار دهند که در حالی که فایروال ها هنوز نقش مهمی در حفظ امنیت شبکه دارند، آن ها خطر کمتری دارند. حتی برخی از کارشناسان خروج از مدل سرور کلاینت را کاملاً پیش بینی می کنند.
یک راه حل بالقوه استفاده از محیط های تعریف شده توسط نرم افزار (SDP) است. SDP مناسب تر برای معماری های مجازی و مبتنی بر ابر است، زیرا تاخیر کمتری نسبت به فایروال دارد. همچنین در مدل های امنیتی هویت محور به طور فزاینده ای بهتر عمل می کند. این به این دلیل است که تمرکز آن بر امنیت دسترسی کاربر است تا دسترسی مبتنی بر IP آدرس. SDP مبتنی بر یک چارچوب اعتماد صفر است.
دیدگاهی بنویسید