فایروال چیست؟ و چگونه کار میکنند؟
اگر شما یک کاربر اینترنت باشید و در خانه یا محل کار خود در وب گشت و گذار کنید احتمالاً بارها و بارها کلمه Firewall یا دیواره آتش را شنیدهاید. به عنوان مثال جملاتى مانند زیر بسیار شنیده مىشود:
بحث فایروال مربوط به ارتباط تلفنى Dial-Up اینترنت نیست و کسانى که
احیاناً از مودمهاى کابلى و ارتباط از نوع DSL دارند از فایرول استفاده
بیشترى میبرند.
در حقیقت فایروال شبکههاى کوچک خانگى و شبکههاى بزرگ شرکتى را ازحملات
احتمالى هکرها و وبسایتهاى نامناسب و خطرناک حفظ مىکند و مانع وسدى است
که متعلقات و دارایىهاى شما را از دسترس نیروهاى متخاصم دور نگاه مىدارد
و به همین دلیل است که فایروال دیواره آتشین خوانده مىشود، چون
فایروالهاى فیزیکى نیز حوزه آتش را محدود کرده و مانع از گسترش آن به
نواحى دیگر مىشوند.
فایروال چیست؟
فایروال یک برنامه یا وسیله سخت افزارى است که اطلاعات ورودى به سیستم
کامپویتر و شبکههاى اختصاصى را تصفیه یا به اصطلاح فیلتر مىکند. اگر یک
بسته اطلاعاتى ورودى به وسیله فیلترها نشان دار شود اجازه ورود به به شبکه
و کامپیوتر کاربر را نخواهد داشت.
به عنوان مثال در یک شرکت بزرگ بیش از صد کامپیوتر وجود دارد که با کارت
شبکه به یکدیگر متصل هستند. این شبکه داخلى توسط یک یا چند خط ویژه به
اینترنت متصل است. بدون استفاده از یک فایروال تمام کامپیوترها و اطلاعات
موجود در این شبکه براى شخص خارج از شبکه قابل دسترسى است و اگر این شخص
راه خود را بشناسد مىتواند یک یک کامپیوترها را بررسى کرده و با آنها
ارتباط هوشمند برقرار کند. در این حالت اگر یک کارمند خطایى را انجام دهد
و یک سوراخ امنیتى ایجاد شود، هکرها مىتوانند وارد سیستم شده و از این
سوراخ سواستفاده کنند.
اما با داشتن یک فایروال همه چیز متفاوت خواهد بود .
فایروال ها روى خطوطى که ارتباط اینترنتى برقرار مىکنند، نصب مىشوند و
از یکسرى قانونهاى امنیتى پیروى مىکنند. به عنوان مثال یکى از قانونهاى
امنیتى شرکت مىتواند به صورت زیر باشد:
این شرکت مىتواند براى وب سرورها و سرورهاى هوشمند و غیره نیز چنین
قوانینى در نظر بگیرد. علاوه بر این شرکت مىتواند نحوه اتصال کاربران –
کارمندان – به شبکه اینترنت را نیز کنترل کند به عنوان مثال اجازه ارسال
فایل از شبکه به خارج را ندهد.
در حقیقت با استفاده از فایروال یک شرکت مى تواند نحوه استفاده از اینترنت را تعیین کند.
فایروال ها براى کنترل جریان عبورى در شبکهها از سه روش استفاده مىکنند:
Packet Filtering – یک یک بستههاى اطلاعاتى با توجه به فیلترهاى تعیین
شده مورد تحلیل و ارزیابى قرار مىگیرند. بستههایى که ازتمام فیلترها
عبور مىکنند به سیستمهاى مورد نیاز فرستاده شده و بقیه بستهها رد
مىشوند.
Proxy Service – اطلاعات موجود در اینترنت توسط فایروال اصلاح
مىشود و سپس به سیستم فرستاده مىشود و بالعکس.
Stateful Inspection – در این روش جدید محتواى هر بسته با بسته هاى
اطلاعاتى ویژهاى از اطلاعات مورد اطمینان مقایسه مىشوند. اطلاعاتى که
باید از درون فایروال به بیرون فرستاده شوند، با اطلاعاتى که ازبیرون به
درون ارسال مىشود از لحاظ داشتن خصوصیات ویژه مقایسه مىشوند و در صورتى
که با یکدیگر ارتباط منطقى داشتند اجازه عبور به آن ها داده مىشود و در
غیر این صورت امکان مبادله اطلاعات فراهم نمىشود.
ساختن یک فایروال مناسب
فایروال ها قابلیت سفارشى شدن دارند. یعنى مىتوان در شرایط متفاوت
فیلترهاى ویژهاى رابه آنها اضافه یا کم کرد. بعضى از این موارد عبارتند
از:
آدرسهاى IP : هر دستگاه و ماشین در اینترنت بایک آدرس واحد به نام آدرس
IP مشخص مىشود. آدرس هاى IP اعداد 32 بیتى هستند که به صورت چهارتایى
نوشته مىشوند.
بع عنوان مثال 216.27.61.137 یک آدرس IP است، یک فایروال مىتواند به
گونهاى تنظیم شود که جلوى آدرسهاى IP خاصى را بگیرد و اجازه عبور
اطلاعات را ندهد. به عنوان مثال این آدرس IP مىتواند مربوط به سرور خاصى
باشد که شخص مایل بع گرفتن اطلاعات ازآن نیست.
اسامى Domain : به دلیل اینکه به خاطر سپردن اعداد موجود در آدرسهاى IP
مشکل است و گاهى نیز آدرسهاى IP تغییر مىکند، تمام سرورها اسامى قابل
خواندن توسط انسان رانیز دارند که Domain نامیده مىشود. به عنوان مثال به
خاطر سپردن آدرس www.irib.com از به خاطر سپردن 216.77.61.137 آسانتر
است. به این ترتیب یک شرکت مىتواند Domain هاى خاصى را مسدود کند. و
اجازه دسترسى به آنها را ندهد.
پروتکل ها: پروتکلها روشهاى از پیش تعیین شدهاى هستند که هنگامى که شخصى
بخواهد بین دو سرویس ارتباط برقرار کند از آنها استفاده مىکند. البته این
شخص مىتواند یک انسان و یا یک برنامه کامپیوترى چون مرورگر وب باشد.
پروتکل ها معمولاً به صورت متن هستند و بع سادگى ارتباط بین سرور و Client
را توضیح مىدهند. از پروتکل هاى آشنا که مىتوان براى آنها فایروال نصب
کرد، مىتوان به موارد زیر اشاره کرد:
Ip – مهمترین سیستم ارایه اطلاعات که در اینترنت استفاده مىشود.
TCP (Transport Control Protocol) : براى شکستن و ساخت مجدد اطلاعات منتقل شده در اینترنت استفاده مىشود.
HTTP (Hyper Text Transfer Protocol) : براى صفحات وب استفاده میشود.
FTP (File T ransfer Protocol) براى ارسال و دریافت فایلها استفاده مىشود.
UDP (User Datagram Protocol) براى اطلاعاتى که نیازى به پاسخگویى ندارند استفاده مىشود مانند جریان صوت و تصویر.
ICMD براى انتقال اطلاعات در روترها استفاده مى شود.
SMTP براى فرستادن اطلاعات متنى مثل Emailاستفاده میشود.
SNMP – براى جمع آورى اطلاعات سیستمى از کامپیوترهاى دور استفاده میشود.
TELNET – براى انجام دستورات درکامپیوترهاى دور استفاده میشود.
در یک شرکت شاید تنها دو یا سه کامپیوتر خاص اجازه دسترسى به پروتکلهاى
ویژه اى راداشته باشند وارتباط بقیه سیستم با آن پروتکل بسته خواهد شد.
پورتها – هر سرورى براى ارایه سرویس خود از پورتهاى شماره دارى استفاده
مىکند و هر پورتى ویژه سرویس خاصى است. به عنوان مثال در سیستم سرورى که
وب سرورهاى Http و FTP را اجرا مىکند پورت 80 ویژه وب سرورHTTP و پورت 21
ویژه سرویس FTP است. یک شرکت مىتواند دسترسى به پورت 21 را براى همه
سیستمهاى داخلى شرکت به جز یک سیستم محدود کند.
لغات یا عبارات ویژه – فایروال ها مىتوانند در هر بسته اطلاعاتى جست و جو
و یا اصطلاحاً Sniff نمایند و اسامى و عبارات خاص را پیدا کرده و از
دسترسى به آنها جلوگیرى کنند.
به عنوان مثال هنگامى که به دنبال لغت Ratecdx مى گردد عبارت Xrated را
شامل نمىشود.اما مىتوان تمام عبارات و لغات مورد نیاز را براى فایروال
ها تعریف کرد.
ویروسها: برنامههاى آشناى ویروسى که مىتوانند به راحتى از کامپیوترى
به کامپیوتر دیگر منتقل شوند ، مى توانند توسط فایروالها ردیابى شوند.
Spam – Emailهاى ناخواسته و انبوه که بیشتر آزاردهنده هستند تا مخرب گرچه
نباید روى لینکهاى موجود روى Spam ها کلیک کرد چون معمولاً موجب ایجاد
Backdoor روى کامپیوتر مىشوند.
Redirect Bomb – هکر ها با استفاده از ICMP میتوانند مسیر فرستادن اطلاعات
را تغییر دهند. از این روش معمولاً براى ایجاد یک حمله Daniel Of Service
استفاده میشود.
Source Routing – معمولاً مسیرى که یک بسته اطلاعاتى در اینترنت طى مىکند
توسط روترها تعیین مى شود. اما با استفاده از این روش مىتوان مسیر بسته
هاى اطلاعاتى رابه صورت اختیارى تعیین نمود . هکرها از این روش استفاده مى
کنند و در حالى که به نظر مىآید اطلاعات از یک منبع مطمئن و یا داخل شبکه
فرستاده مىشود ولى در حقیقت حملهاى پایه ریزى مىشود.
محدود کردن همه موارد بالا از عهده یک فایروال خارج است. با آن که بسیارى
از فایروال ها جلوى داخل شدن ویروس ها را مىگیرند. اما معمولاً توصیه
مىشود که همراه فایروال از یک ضد ویروس هم استفاده شود. فایروالها هر قد
جلوى حملات و ویروس ها رامىگیرند اما بر محدودیت ها مى افزایند. این
بزرگترین نقطه ضعف فایروالهاست.