پاورپوینت بررسی دیوار آتشین
پاورپوینت بررسی دیوار آتشین در 22 اسلاید قابل ویرایش همراه با تصاویر و توضیحات کامل
پاورپوینت بررسی دیوار آتشین در 22 اسلاید قابل ویرایش
مقدمه :
Firewall در فرهنگ كامپیوتر یعنی محافظت از شبكه های داخلی در مقابل شبكه های خطاكار . معمولا یك شبكه كامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبكه تولیدات شركت را دارید كه باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود كه آیا واقعا نیاز به محافظت از یك شبكه داخلی داریم و سوال دیگر اینكه چگونه از طریق یFirewall در فرهنگ كامپیوتر یعنی محافظت از شبكه های داخلی در مقابل شبكه های خطاكار .
تعریف دیوارههای آتش
دیوارههای آتش یكی از مؤثرترین و مهمترین روشهای پیاده سازی "مصونیت شبكه" هستند و قادرند تا حد زیادی از دسترسی غیر مجاز دنیای بیرون به منابع داخلی جلوگیری كنند.دیوارههای آتش، مانند خندقهای دور قلعههای دوران قرون وسطی عمل میكنند. شكل 1 یكی از این قلعهها را نشان میدهد. خندق دور قلعه باعث میشود نفوذ به قلعه مشكل باشد.
انجمن Network Computer Security Association) NCSA) تعریف زیر را از دیوارههای آتش ارائه داده است."دیواره آتش یک سیستم یا ترکیبی از چندین سیستم است که یک سری محدودیت را بین دو یا چند شبکه اعمال میكند."در واقع یك دیواره آتش با محدودكردن دسترسی بین دو شبكه سعی میكند یكی را از دیگری محافظت كند. عموماً دیوارههای آتش به منظور محافظت شبكه خصوصی كه به یك شبكه عمومی یا مشترك متصل است به كار گرفته میشوند. دیوارههای آتش یك نقطه محدود كننده را بین دو شبكه ایجاد میكند.
عملكرد دیوارههای آتش را میتوان در سه جمله خلاصه كرد:
- آنها افراد را موقع ورود در یك نقطه كاملاً كنترل شده محدود میسازد.
- آنها از نزدیك شدن خرابكاران به منابع داخلی جلوگیری میكنند.
- آنها افراد را موقع خروج در یك نقطه كاملاً كنترل شده محدود میسازند.
در واقع این نقطه كاملاً كنترل شده در مثال قلعههای قرون وسطایی همان پل متحركی است كه تنها در مواقع ورود و خروج افراد مشخص بر روی خندق قرار میگیرد و در دیگر موارد بسته است و در نقش درب قلعه عمل میكند. دیواره آتش اغلب در نقطهای كه شبكه داخلی به شبكه خارجی متصل است قرار داده میشود (شكل 2). تمام ترافیكی كه از سمت شبكه خارجی به شبكه داخلی وارد میشود و یا از شبکه داخلی به سمت شبکه خارجی، خارج میشود از دیواره آتش عبور میكند، به همین علت دیواره آتش فرصت و موقعیت مناسبی را داراست كه تشخیص دهد آیا ترافیك عبوری مورد پذیرش هست یا خیر. اینكه چه ترافیكی مورد پذیرش هست به "سیاست امنیتی" (Security Policy)شبكه باز میگردد. سیاستهای امنیتی تعیین میكنند كه چه نوع ترافیكهایی مجوز ورود و یا خروج را دارا هستند.
میتوان گفت یك دیواره آتش:
- یك جداساز است.
- یک محدودساز (Restrictor) است.
- یك آنالیزكننده (Analyzer) است.
یك دیواره آتش ممكن است:
- مسیریابی با چند لیست كنترل دسترسی باشد.
- نرم افزاری که روی یک PC یا یک سیستم Unix اجرا می شود، باشد.
- یك جعبه سخت افزاری اختصاصی باشد.
انواع پیچیده تر دیواره های آتش به صورت ترکیبی از چندین سیستم و راه حلهای Multi-computer و Multi-router پیاده سازی میشوند. شبکه های مختلف بسته به نیازهای امنیتی مختلف و هزینه ای که برای تأمین امنیت در نظر گرفته اند از دیوارههای آتش مختلف و روشهای پیاده سازی مختلف آنها استفاده میكنند.
دیوارههای آتش اگر چه كه از بروز مشكلات مختلف برای شبكه داخلی جلوگیری میكنند اما بدون اشكال و عیب نیستند. در مثال ذكر شده، افراد ماهرتر قادر خواهند بود از خندق با شنا عبور كنند و در یك فرصت مناسب هنگامی كه پل باز است با لباس مبدل به قلعه وارد شوند. سؤال اینجاست كه با وجود این اشكالات چرا دیوارههای آتش مورد استفاده قرار میگیرند؟ در پاسخ باید گفت درست است كه در حالات خاصی دیواره آتش نفوذ پذیر است و خرابكاران قادرند از آن عبور كنند، اما با این حال این ابزار از عبور بسیاری از خرابكاران جلوگیری میكند و موثرترین ابزار در كنترل دسترسی به شبكه به حساب میآید. در صورتی كه هیچ خندقی وجود نداشته باشد ورود افراد غیر مجاز به قلعه بسیار آسانتر خواهد بود و آیا چون در حالات خاصی، افراد خاص ممكن است از خندق عبور كنند، هیچ خندقی وجود نداشته باشد؟
در هر حال یك دیواره آتش قادر است در جهت بالا رفتن سطح امنیتی شبكه اقدامات مفیدی را انجام دهد. در ادامه مواردی كه یك دیواره آتش قادر است انجام دهد و به امنیت شبكه كمك كند را مورد بررسی قرار میدهیم.
تواناییهای دیوارههای آتش
در این بخش تواناییهای دیوارههای آتش را مورد بررسی قرار میدهیم.
یك دیواره آتش میتواند اجرای تصمیمات امنیتی را در یك نقطه متمركزكند: همانطوركهگفته شد، دیواره آتش یك نقطه محدود كننده بین دو شبكه است. تمام ترافیك به داخل و از خارج باید از این نقطه باریك عبوركند و راه دیگری برای عبور ترافیك وجود ندارد. بدین ترتیب دیواره آتش قابلیت اعمال كنترل شدیدی را دارا خواهد بود و میتواند با اعمال ابزار مختلف تأمینكننده امنیت در این نقطه سطح قابل قبولی از امنیت را تضمین كند. در واقع چون همه چیز در یك كانال ارتباطی قابل كنترل است میتوان تصمیمات مختلفی را در ارتباط با امنیت شبكه گرفت و به اجرا در آوردن آنها را در یك نقطه متمركز ساخت.
یك دیواره آتش میتواند سیاست امنیتی شبكه را به اجرا در آورد: میدانیم سرویسهای مختلفی در شبكهها وجود دارند و با گسترش اینترنت تنوع و تعداد آنها بسیار افزایش یافته است. اغلب این سرویسها ناامن هستند و هنگام استفاده و ارائه آنها باید دقت كرد. سیاست امنیتی شبكههای مختلف تعیین میكند كه چه سرویسهایی در شبكه ارائه میشود و چه افرادی مجازند از این سرویسها استفاده كنند. دیوارههای آتش قادرند با پاسبانی و كنترل سرویسهای مختلف تنها به سرویسهای مجاز تعریف شده در سیاست امنیتی اجازه عبور دهند و بدین ترتیب سیاست امنیتی شبكه را به اجرا درآورند
تاریخچه
اگر چه تكنولوژی دیوارههای آتش جوان است و تازه شكل گرفته اما بسیار سریع رشد كرده و در كمتر از بیست سال تحولات زیادی را پشت سر گذاشته است.
اولین نسل از دیواره های آتش در حدود سال 1985 بوجود آمدند و " دیواره های آتش پالایشگر بسته" (Packet filter firewalls) نام گرفتند. ایده اصلی آنها از امکانات نرم افزاری گرفته شده بود که متعلق به شرکت Cisco بود و تحت عنوان (IOS (Internetworking Operation system شناخته می شد. اولین مقاله در ارتباط با فرآیند غربال کردن (Screening Process) که توسط این نوع دیواره های آتش مورد استفاده قرار می گرفت در سال 1988 منتشر شد.
در سال 1989 آزمایشگاه شركت AT&T برای اولین بار نسل دوم دیوارههای آتش كه در آینده "دیوارههای آتش سطح مدار" (Circuit level firewalls) لقب گرفتند را بوجود آوردند. در همان سال آنها همچنین اولین مدل عملی (Working Model) از نسل سوم دیوارههای آتش یعنی "دیوارههای آتش لایه كاربرد" (Application layer firewalls) پیادهسازی كردند اما نه هیچ مقالهای در این ارتباط منتشر شد و نه محصولی بر اساس این مدل به بازار عرضه گشت.
در اواخر سال 1989 و اوایل دهه 90 تحقیقات مختلف و پراکنده ای در سطح کشور آمریکا بر روی نسل سوم دیواره های آتش انجام شد و بالاخره نتایج این تحقیقات به صورت جداگانه درسال های 1990 و 1991 توسط Gene Spafford از دانشگاه Bill Cheswick Purdue از لابراتوری Bell شرکت AT&T و Marcus Ranum انتشار یافتند. در سال 1991 تحقیقات Marcus Ranum بیشترین توجه را به خودش معطوف کرد و باعث بوجود آمدن Bastion host هایی که سرویس proxy را اجرا می کردند شد. نتایج این تحقیقات به سرعت در اولین محصول تجاری شکل عینی یافت و به کار گرفته شد. این محصول که SEAL نام داشت توسط شرکت DEC عرضه شد.
در اواخر سال1991، Bill Cheswick و Steve Bellovin تحقیقاتی را در ارتباط با پالایش كردن بسته ها به صورت پویا (Dynamic) شروع کردند و بر این اساس محصولی داخلی را در لابراتوار Bell پیادهسازی كردند كه البته هرگز به بیرون عرضه نشد. در سال 1992، Bob Barden و Annette DeSchon در مؤسسه USC’s Information Sience Institute تحقیقاتی را بر روی نسل چهارم دیوارههای آتش تحت عنوان "دیوارههای آتش پالایشگر بسته پویا" (Dynamic packet filter firewalls) برای سیستمی با نام Visas به طور جداگانه شروع كردند و در نهایت نرم افزار Chech Point، اولین محصول تجاری بر پایه معماری نسل چهارم دیواره های آتش، در سال 1994 به بازار عرضه شد.
در سال 1996، Scott Wiegel طرحی را برای نسل پنجم دیوارههای آتش با عنوان Kernel Proxy ارائه داد. دیواره آتش Cisco Centri که درسال 1997 پیاده سازی شد اولین محصول تجاری بر اساس معماری این نسل بود.
در سال های اخیر نیاز به سیستم های امنیتی که پرسرعت و در عین حال قابل گسترش(Extensible)، قابل نگهداری(Maintainable) و انعطاف پذیر (Flexible) باشند باعث شده است شرکت های فعال در زمینه امنیت در تکاپوی یافتن راه حلهایی مناسب و کاربردی برای پاسخگویی به این نیازها باشند.
انواع دیوارههای آتش
دیوارههای آتش پالایشگر بسته
دیوارههای آتش سطح مدار
دیوارههای آتش لایة كاربرد
دیوارههای آتش پالایشگر بسته پویا
دیوارههای آتش Kernel Proxy
دیوارههای آتش مخفی
دیوارههای آتش توزیع شده
دیوارههای آتش شخصی
دیوارههای آتش با توسعهپذیری بالا
دیوارههای آتش نرمافزاری.
دیوارههای آتش اختصاصی
دیوارههای آتش شخصی
دیوارههای آتش شخصی (كه به آنها desktop firewalls نیز گفته میشود) نرمافزارهایی هستند كه برای محافظت از یك كامپیوتر تنها كه به اینترنت متصل است مورد استفاده قرار میگیرند. این كامپیوتر ممكن است به طور دائمی (از طریق خطوط Cable modem DSL) و یا موقت (از طریق ارتباطات Dial-up) به اینترنت متصل باشد. در مقایسه با برنامه های anti-virus دیواره های آتش در background و در سطحی پایین تر اجرا می شوند. دیواره های آتش شخصی با چک کردن جامعیت فایل های سیستم، پالایش ترافیك ورودی و خروجی، اخطار به كاربر در ارتباط با حملات در حال شكلگیری و .... سعی میكنند كامپیوتر مرتبط با اینترنت را مورد محافظت قرار دهند. در آیندة نزدیك امنسازی سیستمها با دیوارههای آتش شخصی به یكی از استانداردهای كامپیوترهای خانگی تبدیل خواهد شد.