فایروال‌ها

فایروال چیست؟ و چگونه کار میکنند؟

اگر شما یک کاربر اینترنت باشید و در خانه یا محل کار خود در وب گشت و گذار کنید احتمالاً بارها و بارها کلمه Firewall یا دیواره آتش را شنیده‌اید. به عنوان مثال جملاتى مانند زیر بسیار شنیده مى‌شود:

«من نمى‌توانم از این سایت استفاده کنم چون پشت فایروال است.»

بحث فایروال مربوط به ارتباط تلفنى Dial-Up اینترنت نیست و کسانى که احیاناً از مودم‌هاى کابلى و ارتباط از نوع DSL دارند از فایرول استفاده بیشترى می‌برند.
در حقیقت فایروال شبکه‌هاى کوچک خانگى و شبکه‌هاى بزرگ شرکتى را ازحملات احتمالى هکرها و وب‌سایتهاى نامناسب و خطرناک حفظ مى‌کند و مانع وسدى است که متعلقات و دارایى‌هاى شما را از دسترس نیروهاى متخاصم دور نگاه مى‌دارد و به همین دلیل است که فایروال دیواره آتشین خوانده مى‌شود، چون فایروال‌هاى فیزیکى نیز حوزه ‌آتش را محدود کرده و مانع از گسترش آن به نواحى دیگر مى‌شوند.

فایروال چیست؟
فایروال یک برنامه یا وسیله سخت افزارى است که اطلاعات ورودى به سیستم کامپویتر و شبکه‌هاى اختصاصى را تصفیه یا به اصطلاح فیلتر مى‌کند. اگر یک بسته اطلاعاتى ورودى به وسیله فیلترها نشان دار شود اجازه ورود به به شبکه و کامپیوتر کاربر را نخواهد داشت.
به عنوان مثال در یک شرکت بزرگ بیش از صد کامپیوتر وجود دارد که با کارت شبکه به یکدیگر متصل هستند. این شبکه داخلى توسط یک یا چند خط ویژه به اینترنت متصل است. بدون استفاده از یک فایروال تمام کامپیوترها و اطلاعات موجود در این شبکه براى شخص خارج از شبکه قابل دسترسى است و اگر این شخص راه خود را بشناسد مى‌تواند یک یک کامپیوترها را بررسى کرده و با آنها ارتباط هوشمند برقرار کند. در این حالت اگر یک کارمند خطایى را انجام دهد و یک سوراخ امنیتى ایجاد شود، هکرها مى‌توانند وارد سیستم شده و از این سوراخ سواستفاده کنند.
اما با داشتن یک فایروال همه چیز متفاوت خواهد بود .
فایروال ها روى خطوطى که ارتباط اینترنتى برقرار مى‌کنند، نصب مى‌شوند و از یکسرى قانون‌هاى امنیتى پیروى مى‌کنند. به عنوان مثال یکى از قانون‌هاى امنیتى شرکت مى‌تواند به صورت زیر باشد:

«از تمام پانصد کامپیوتر موجود در شرکت فقط یکى اجازه دریافت صفحات FTP را دارد و فایروال باید مانع از ارتباط دیگر کامپیوتر‌ها از طریق FTP شود.»

این شرکت مى‌تواند براى وب سرورها و سرورهاى هوشمند و غیره نیز چنین قوانینى در نظر بگیرد. علاوه بر این شرکت مى‌تواند نحوه اتصال کاربران – کارمندان – به شبکه اینترنت را نیز کنترل کند به عنوان مثال اجازه ارسال فایل از شبکه به خارج را ندهد.

در حقیقت با استفاده از فایروال یک شرکت مى تواند نحوه استفاده از اینترنت را تعیین کند.
فایروال ها براى کنترل جریان عبورى در شبکه‌ها از سه روش استفاده مى‌کنند:
Packet Filtering – یک یک بسته‌هاى اطلاعاتى با توجه به فیلترهاى تعیین شده مورد تحلیل و ارزیابى قرار مى‌گیرند. بسته‌هایى که ازتمام فیلترها عبور مى‌کنند به سیستم‌هاى مورد نیاز فرستاده شده و بقیه بسته‌ها رد مى‌شوند.

Proxy Service – اطلاعات موجود در اینترنت توسط فایروال اصلاح مى‌شود و سپس به سیستم فرستاده مى‌شود و بالعکس.
Stateful Inspection – در این روش جدید محتواى هر بسته با بسته هاى اطلاعاتى ویژه‌اى از اطلاعات مورد اطمینان مقایسه مى‌شوند. اطلاعاتى که باید از درون فایروال به بیرون فرستاده شوند، با اطلاعاتى که ازبیرون به درون ارسال مى‌شود از لحاظ داشتن خصوصیات ویژه مقایسه مى‌شوند و در صورتى که با یکدیگر ارتباط منطقى داشتند اجازه عبور به آن ها داده مى‌شود و در غیر این صورت امکان مبادله اطلاعات فراهم نمى‌شود.
ساختن یک فایروال مناسب
فایروال ها قابلیت سفارشى شدن دارند. یعنى مى‌توان در شرایط متفاوت فیلترهاى ویژه‌اى رابه آنها اضافه یا کم کرد. بعضى از این موارد عبارتند از:
آدرس‌هاى IP : هر دستگاه و ماشین در اینترنت بایک آدرس واحد به نام آدرس IP مشخص مى‌شود. آدرس هاى IP اعداد 32 بیتى هستند که به صورت چهارتایى نوشته مى‌شوند.
بع عنوان مثال 216.27.61.137 یک آدرس IP است، یک فایروال مى‌تواند به گونه‌اى تنظیم شود که جلوى آدرس‌هاى IP خاصى را بگیرد و اجازه عبور اطلاعات را ندهد. به عنوان مثال این آدرس IP مى‌تواند مربوط به سرور خاصى باشد که شخص مایل بع گرفتن اطلاعات ازآن نیست.
اسامى Domain : به دلیل اینکه به خاطر سپردن اعداد موجود در آدرس‌هاى IP مشکل است و گاهى نیز آدرس‌هاى IP تغییر مى‌کند، تمام سرورها اسامى قابل خواندن توسط انسان رانیز دارند که Domain نامیده مى‌شود. به عنوان مثال به خاطر سپردن آدرس www.irib.com از به خاطر سپردن 216.77.61.137 آسان‌تر است. به این ترتیب یک شرکت مى‌تواند Domain هاى خاصى را مسدود کند. و اجازه دسترسى به آن‌ها را ندهد.
پروتکل ها: پروتکلها روش‌هاى از پیش تعیین شده‌اى هستند که هنگامى که شخصى بخواهد بین دو سرویس ارتباط برقرار کند از آنها استفاده مى‌کند. البته این شخص مى‌تواند یک انسان و یا یک برنامه کامپیوترى چون مرورگر وب باشد. پروتکل ها معمولاً به صورت متن هستند و بع سادگى ارتباط بین سرور و Client را توضیح مى‌دهند. از پروتکل هاى ‌آشنا که مى‌توان براى ‌آنها فایروال نصب کرد، مى‌توان به موارد زیر اشاره کرد:
Ip – مهمترین سیستم ارایه اطلاعات که در اینترنت استفاده مى‌شود.
‏TCP (Transport Control Protocol) : براى شکستن و ساخت مجدد اطلاعات منتقل شده در اینترنت استفاده مى‌شود.
HTTP (Hyper Text Transfer Protocol) : براى صفحات وب استفاده میشود.
FTP (File T ransfer Protocol) براى ارسال و دریافت فایل‌ها استفاده مى‌شود.
UDP (User Datagram Protocol) براى اطلاعاتى که نیازى به پاسخ‌گویى ندارند استفاده مى‌شود مانند جریان صوت و تصویر.
ICMD براى انتقال اطلاعات در روترها استفاده مى ‌شود.
SMTP براى فرستادن اطلاعات متنى مثل Email‌استفاده میشود.
SNMP – براى جمع آورى اطلاعات سیستمى از کامپیوترهاى دور استفاده میشود.
TELNET – براى انجام دستورات درکامپیوترهاى دور استفاده میشود.
در یک شرکت شاید تنها دو یا سه کامپیوتر خاص اجازه دسترسى به پروتکلهاى ویژه اى راداشته باشند وارتباط بقیه سیستم با آن پروتکل بسته خواهد شد.

پورتها – هر سرورى براى ارایه سرویس خود از پورت‌هاى شماره دارى استفاده مى‌کند و هر پورتى ویژه سرویس خاصى است. به عنوان مثال در سیستم سرورى که وب سرورهاى Http و FTP را اجرا مى‌کند پورت 80 ویژه وب سرورHTTP و پورت 21 ویژه سرویس FTP است. یک شرکت مى‌تواند دسترسى به پورت 21 را براى همه سیستم‌هاى داخلى شرکت به جز یک سیستم محدود کند.
لغات یا عبارات ویژه – فایروال ها مى‌توانند در هر بسته اطلاعاتى جست و جو و یا اصطلاحاً Sniff نمایند و اسامى و عبارات خاص را پیدا کرده و از دسترسى به آنها جلوگیرى کنند.
به عنوان مثال هنگامى که به دنبال لغت Ratecdx مى گردد عبارت Xrated را شامل نمى‌شود.اما مى‌توان تمام عبارات و لغات مورد نیاز را براى فایروال ها تعریف کرد.
ویروس‌ها: برنامه‌هاى ‌آشناى ویروسى که مى‌توانند به راحتى از کامپیوترى به کامپیوتر دیگر منتقل شوند ،‌ مى توانند توسط فایروال‌ها ردیابى شوند.
Spam – Email‌هاى ناخواسته و انبوه که بیشتر آزاردهنده هستند تا مخرب گرچه نباید روى لینک‌هاى موجود روى Spam ها کلیک کرد چون معمولاً موجب ایجاد Backdoor روى کامپیوتر مى‌شوند.
Redirect Bomb – هکر ها با استفاده از ICMP میتوانند مسیر فرستادن اطلاعات را تغییر دهند. از این روش معمولاً براى ایجاد یک حمله Daniel Of Service استفاده میشود.
Source Routing – معمولاً مسیرى که یک بسته اطلاعاتى در اینترنت طى مى‌کند توسط روترها تعیین مى شود. اما با استفاده از این روش مى‌توان مسیر بسته هاى اطلاعاتى رابه صورت اختیارى تعیین نمود . هکرها از این روش استفاده مى کنند و در حالى که به نظر مى‌آید اطلاعات از یک منبع مطمئن و یا داخل شبکه فرستاده مى‌شود ولى در حقیقت حمله‌اى پایه ریزى مى‌شود.
محدود کردن همه موارد بالا از عهده یک فایروال خارج است. با آن که بسیارى از فایروال ها جلوى داخل شدن ویروس ها را مى‌گیرند. اما معمولاً توصیه مى‌شود که همراه فایروال از یک ضد ویروس هم استفاده شود. فایروال‌ها هر قد جلوى حملات و ویروس ها رامى‌گیرند اما بر محدودیت ها مى ‌افزایند. این بزرگ‌ترین نقطه ضعف فایروال‌هاست.