فایروال

فايروال به عنوان يك وسيله كنترل دستيابي به شبكه است كه به منظور جلوگيري از ورود هر نوع تر افيك به جز بخشي از آن كه مجوز عبور دارد، طراحي شده است . معمولاً يك فايروال، در لبه هاي اتصال شبكه خصوصي يك سازمان به ديگر شبكه ها يا در ورودي/خروجي شبكه سرويس دهنده هاي سازمان قرار مي گيرد. فايروال ها ميتوانند به نحوي پيكربندي شوند كه براي عبور ترافيك بر اساس نوع سرويس، آدرس IP مبدأ و مقصد و ... مجوز صادر كنند.

 

معرفي انواع فايروال

Packet filter  اين نوع فايروال ها، دستگاه هاي شبكه اي ساده اي هستند كه با بررسي هدر هر بسته اطلاعاتي ورودي/خروجي، عمليات فيلترينگ را انجام مي دهند . در اين فايروال ها، فيلترينگ بسته هاي اطلاعاتي بر اساس مقادير موجود در هدر يك بسته اطلاعاتي انجام و در خصوص پذيرش يا عدم پذيرش آن تصميم گرفته مي شود . اين نوع فايروال ها را مي توان براساس آدرس هاي IP ،نوع بسته اطلاعاتي، شماره پورت درخواستي و ساير عناصر اطلاعاتي موجود در بسته اطلاعاتي پيكربندي كرد. فايروالهاي فوق در سطح لايه شبكه كار مي كنند (نيم نگاهي هم به هدر لايه حمل دارند).

Circuit level  فايروال هاي سطح مدار :

اين فايروالها به عنوان يك رله براي ارتباطات TCP عمل مي كنند. آنها ارتباط TCP  را با رايانه پشت سرشان قطع مي كنند و خود به جاي آن رايانه به پاسخ گويي اوليه مي پردازند. تنها پس از برقراري ارتباط است كه اجازه مي دهند تا داده به سمت رايانه مقصد جريان پيدا كند و تنها به بسته ها ي داده اي مرتبط اجازه عبور اين فايروالها هيچ داده درون بسته هاي اطلاعات را مورد بررسي قرار نمي دهند؛ بنابراين سرعت خوبي دارند. ضمناً امكان ايجاد محدوديت بر روي ساير پروتكل ها (غير از TCP ) را نيز نمي دهند. تأكيد اين نكته ضروري است كه اين فايروال ها در قالب فرايند Handshaking3Way امكان اعمال سياست هاي امنيتي را دارند. فايروال هاي سطح مدار وضعيت هر ارتباط ايجاد شده بين سيستم ها ي داخلي و خارجي را با استفاده از يك جدول وضعيت نگهداري ميكنند. اين جداول ، وضعيت هر بسته اطلاعاتي مبادله شده (اينكه كدام ايستگاه و در چه زماني اقدام به ارسال اطلاعات كرده است ) را در خود نگهداري ميكنند. در فايروال هاي فوق مي توان امكان ورود بسته هاي اطلاعاتي به درون شبكه را صرفاً در اختيار آن دسته از بسته هاي اطلاعاتي گذاشت كه در پاسخ به درخواست يك Host داخلي دريافت شده اند. در صورت دريافت بسته ها ي اطلاعاتي و عدم وجود اطلاعات مربوط به وضعيت آنان در جدول وضعيت، از ليست هاي كنترل دستيابي براي تشخيص امكان ارسال بسته هاي اطلاعاتي استفاده مي شود. اين فايروال ها در بالاتر از لايه transport كار مي كنند.

 Application Gateways :

درباره عملكرد اين فايروال ها كه به آنها فايروال هاي پراكسي سرور (Proxy Server Gateway)نيز گفته مي شود؛ در فصل قبل در قسمت پراكسي اشاراتي شد. در اين فايروال ها بررسي بسته هاي اطلاعات در لايه كاربرد صورت مي گيرد. يك پراكسي سرور درخواست ارائه شده توسط برنامه هاي كاربردي قبلي را قطع مي كند و خود به جاي آنها درخواست را ارسال مي كند. نتيجه درخواست را نيز ابتدا خود دريافت و سپس براي برنامه هاي كاربردي ارسال مي كند.اين روش با جلوگيري از ارتباط مستقيم برنامه با سرورها و برنامه هاي كاربردي خارجي از ضريب امنيت بالايي را برخوردار است . از آنجايي كه اين فايروالها تعدادي از پروتكل هاي سطح كاربرد را مي شناسند؛ لذا مي توانند بر مبناي اين پروتكل ها محدوديت هايي را ايجاد كنند .

به عنوان مثال يك پراكسي فايروال FTP ،فقط پروتكل FTP را درك كرده و ميتواند تصميم بگيرد كه آيا ترافيك در حال جريان، مطابق پروتكل بوده و با در نظرگرفتن قوانين ديواره آتش مجاز به عبور است يا نه؛ همچنين آنها مي توانند با بررسي محتواي بسته هاي داده اي به ايجاد محدوديت هاي لازم بپردازند. البته اين سطح بررسي مي تواند منجر به كندي اين فايروالها شود. همچنين از آنجايي كه اين فايروال ها بايد تر افيك ورودي و اطلاعات برنامه هاي كاربردي كاربر انتهايي را پردازش كند، كارايي آنها باز هم كاهش مي يابد . اغلب اوقات پراكسي سرورها از ديد كاربر انتهايي شفاف نيستند و كاربر مجبور است تغييراتي را در برنامه خود ايجاد كند تا بتواند از فايروال ها استفاده كند . هر برنامه جديدي كه بخواهد از اين فايروال عبور كند، بايد تغييراتي را در پشت پروتكل فايروال ايجاد كند . فايروال هاي پراكسي براي اكثر پروتكل هاي رايج مانند HTTP,SMTP,FTP,DNS تعريف مي شوند اين نوع فايروال ها براي پروتكل ها ي خاصي پياده سازي شده و در سطح لايه application اقدام به بررسي و اتخاذ تصميم در خصوص يك بسته اطلاعاتي مي كنند.


 

اگر شما دارای شرکت و یا موسسه هستید و یا علاقمند هستید تا با انواع شنود و روشهای مقابله با آن آشنا شوید میتوانید در دوره های امنیت و حفاظت اطلاعات مخابراتی آ د پارس شرکت کنید.


دیگران این مطالب را هم مطاله کرده اند

  

 

در دوره های مخابراتی آدپارس شرکت کنید و یک متخصص مخابراتی شوید

امروز برای مصاحبه اقدام کنید
ثبت نام

  تماس تلفنی  .پشیبانی واتس آپ  پتلاس

 
 

 

 
 

تابلوی اعلانات

  استعلام اصالت مدرک آموزشی

 ثبت نام کار آموزی سال 1400

ثبت نام رایگان دوره طراحی شبکه رادیویی

درباره ما

شرکت آ د پارس

 واحد آموزش مخابرات و بیسیم آدپارس  در سال 1384 تاسـ ...

مشاوره :021916903284

02191690328  adupars@

 

اطلاع رسانی

توجه

شرکت کننده گرامی! ضمن پوزش به دلیل اختلال در زمان ثبت نام های دوره های سال 1403 ؛ظرفیت ثبت نام ها تکمیل گردید .

سامانه آموزش از راه دور و سیستم طراحی شبکه رادیویی ایرانی آدپارس در مهر ماه در اختیار عموم قرار میگیرد .