نسل های متفاوت فایروال
در دنیای امروز اکثر بنگاه های تجاری بر این اعتقاد هستند که دستیابی به اینترنت برای
حضور فعال ، موثر و رقابتی در عرصه جهانی امری حیاتی و الزامی است . با
این که مزایای اتصال به اینترنت کاملا" مشهود و قابل توجه است ، در این
رابطه تهدیدات و خطراتی نیز وجود دارد . به عنوان نمونه ، زمانی که یک
بنگاه تجاری شبکه خصوصی خود را به اینترنت متصل می نماید ، این موضوع صرفا"
به این معنی نخواهد بود که وی امکان دستیابی کارکنان خود به اطلاعات و
منابع خارج از سازمان را فراهم نموده است . سازمان فوق ، همچنین این امکان
را فراهم نموده است که کاربران خارجی ( کاربران خارج از سازمان ) نیز
بتوانند به اطلاعات شخصی و خصوصی سازمان دسترسی داشته باشند .
هر بنگاه تجاری که در اندیشه اتصال به اینترنت است مجبور خواهد بود که با مسائل مربوط به امنیت شبکه نیز سرو کار داشته باشد .
در
سالیان اخیر فناوری های مختلفی به منظور تامین نظر بنگاه های تجاری در
جهت افزایش امنیت و استفاده از مزایای متعدد اتصال به اینترنت ایجاد شده
است . فناوری های فوق امکان نگهداری ، محرمانگی ، یکپارچگی و در دسترس بودن
اطلاعات خصوصی و منابع شبکه را فراهم می نمایند . اکثر این تلاش ها با
تمرکز بر روی فناوری های مختلف فایروال انجام شده است .
فایروال ، یک نقطه دفاعی بین دو شبکه را ایجاد |
معمولا" یک فایروال ، شبکه خصوصی یک سازمان را از یک شبکه عمومی که به آن متصل است محافظت می نماید . یک فایروال می تواند بسادگی یک روتر باشد که بسته های اطلاعاتی را فیلتر می نماید و یا پیچیده نظیر استفاده از چندین روتر و کامپیوتر که سرویس های فیلترینگ بسته های اطلاعاتی و پراکسی سطح برنامه را ارائه می نمایند .
روند شکل گیری فایروال ها فناوری
فایروال جوان است ولی به سرعت به سمت تکامل و رشد حرکت می نماید . اولین
نسل معماری فایروال قدمتی به اندازه روتر دارد و اولین مرتبه در سال 1985
مطرح گردید. به این نوع فایروال ها ، فایروال های packet filter گفته می شود . اولین مقاله ای که نحوه عملکرد فایروال های packet filter را تشریح می کرد تا سال 1988 ارائه نگردبد و در نهایت توسط Jeff Mogul از شرکت DEC ( برگرفته از Digital Equipment Corporation ) انتشار یافت .
در فاصله بین سال های 1989 و 1990 ، Dave Presotto و Howard Trickey از آزمایشگاه AT&T Bell
نسل دوم معماری فایروال ها را معرفی کردند که از آن با نام فایروال های
circuit level نام برده می شود . آنان همچنین اولین مدل کاری از نسل سوم
معماری فایروال ها را که به آن application layer گفته می شود، پیاده
سازی کردند . آنان هیچگونه مقاله ای که این معماری را تشریح و یا محصولی
که بر اساس این معماری پیاده سازی شده باشد را ارائه نکردند .
در اواخر
سال 1989 و اوایل سال 1990 بطور همزمان و مستقل کار مطالعاتی بر روی نسل
سوم معماری فایروال ها توسط کارشناسان متعددی در امریکا انجام شد . در
فاصله سال های 1990 تا 1991 اولین مقالاتی که معماری فایروال های
application layer را تشریح می کرد ، توسط Marcus Ranum و Bill Cheswick
از آزمایشگاه AT&T Bell ارائه گردید . ماحصل تلاش Marcus Ranum ارائه اولین محصول تجاری با نام SEAL توسط شرکت DEC بود .
در
سال 1991 ، Bill Cheswick و Steve Bellovin تحقیق بر روی فیلترینگ پویای
بسته های اطلاعاتی را آغاز و بر اساس معماری طراحی شده یک محصول داخلی را
در لابراتور Bell پیاده سازی نمودند. این محصول
هرگز جنبه تجاری پیدا نکرد و ارائه نگردید . در سال 1992 ، Bob Braden و
Annette DeSchon در موسسه علوم اطلاعات USC شروع به تحقیق مستقل بر روی فایروال های فیلترینگ پویای بسته های اطلاعاتی برای سیستمی با نام Visas کردند . اولین محصول تجاری بر اساس معماری نسل چهارم در سال 1994 توسط شرکت Check Point Software ارائه گردید .
در
سال 1996 ، Scott Wiegel در شرکت Global Internet Software Group یک لی
اوت اولیه برای نسل پنجم معماری فایروال ها که به آن Kernel Proxy گفته می
شود ، ارائه گردید . اولین محصول تجاری بر اساس این معماری در سال 1997 با
نام Cisco Centri Firewall به بازار عرضه گردید.
ایجاد یک منطقه استحفاظی ( security perimeter )در
زمان تعریف یک سیاست امنیتی برای شبکه می بایست رویه هائی به منظور حفاظت
شبکه ، محتویات آن و نحوه استفاده کاربران از منابع موجود به دقت تعریف
گردد . سیاست های امنیتی شبکه دارای یک نقش کلیدی در تاکید و انجام سیاست
های امنیتی تعریف شده در یک سازمان می باشند.
سیاست امنیتی شبکه بر روی
کنترل ترافیک و استفاده از آن تاکید دارد و در آن به مواردی همچون منابع
شبکه و تهدیدات مرتبط با هر یک ، استفاده ایمن از منابع شبکه ، مسئولیت
کاربران و مدیران سیستم و رویه های لازم به منظور برخورد با مسائل و
مشکلات ایجاد شده به دلیل عدم رعایت مسائل امنیتی اشاره می گردد . سیاست
های امنیتی بر روی نقاط حساس درون شبکه اعمال خواهد شد . به این نقاط و یا
محدودهای استراتژیک، perimeter گفته می شود .
شبکه های perimeter برای
ایجاد مجموعه ای از شبکه های perimeter ، می بایست پس از انتخاب شبکه
هائی که قصد حفاظت از آنها را داریم ، مکانیزم های امنیتی لازم به منظور
حفاظت شبکه را تعریف نمائیم . برای داشتن یک شبکه حفاظت شده ایمن ، فایروال
می بایست به عنوان gateway تمامی ارتباطات بین شبکه های تائید شده (trusted ) ، تائید نشده (untrusted) و ناشناخته (unknown) در نظر گرفته شود .
هر شبکه می تواند شامل چندین شبکه perimeter درون خود باشد . این شبکه ها عبارتند از :
outermost perimeter ( شبکه های بیرونی )
internal perimeters ( شبکه های داخلی )
innermost perimeter ( شبکه های درونی )
شکل
زیر ارتباط بین سه نوع شبکه perimeter فوق را نشان می دهد . با توجه به
منابعی که قصد حفاظت از آنها را در یک شبکه داریم ، ممکن است از چندین
internal perimeters استفاده گردد .
منبع : سایت سیسکو
توجه
داشته باشید که به منظور حفاظت از منابع و سرمایه های ارزشمند موجود بر
روی یک شبکه می توان چندین نقطه دفاعی را ایجاد نمود . با لایه بندی شبکه
های perimeter می توان بررسی چندگانه امنیتی از ترافیک شبکه را به منظور
حفاظت در مقابل عملیات غیرمجازی که از درون شبکه شما سرچشمه می گیرد انجام
داد .
در واقع ، شبکه های outermost perimeter محل جداسازی منابعی
است که توسط شما کنترل می گردد با منابعی که شما بر روی آنها کنترل و
نظارتی ندارید. معمولا" در این نقطه از یک روتر استفاده می شود تا شبکه
خصوصی یک سازمان را از سایر شبکه ها جدا نماید .
شبکه های Internal
perimeter محدوده های اضافه تری را در مکان هائی که شما دارای مکانیزم های
امنیتی دیگری نظیر فایروال های اینترانت و روترهای فیلترینگ می باشید ،
ارائه می نمایند .
شکل زیر ، دو شبکه perimeter درون یک شبکه را نشان
می دهد . در این شبکه یک شبکه outermost perimeter و یک شبکه Internal
perimeter ایجاد و برای حفاظت آنها از روترهای داخلی ، خارجی و سرویس دهنده
فایروال استفاده شده است .
منبع : سایت سیسکو
استقرار
فایروال بین روتر داخلی و خارجی یک سطح امنیتی اضافه اندک به منظور حفاظت
در مقابل حملات در هر سمت را ارائه می نماید . این کار میزان ترافیکی را که
فایروال می بایست بررسی نماید بطرز محسوسی کاهش داده و متعاقب آن کارآئی
فایروال افزایش خواهد یافت .
از دید کاربران موجود بر روی یک شبکه
خارجی ، سرویس دهنده فایروال امکان دستیابی به تمامی کامپیوترهای قابل
دسترس در شبکه تائید شده ( trusted ) را فراهم می نماید . در واقع ،
فایروال یک نقطه دفاعی به منظور بررسی تمامی ارتباطات بین دو شبکه را ایجاد
می نماید .
با توجه به روش پردازش و توزیع بسته های اطلاعاتی در اترنت
، می توان کارآئی فایروال های شلوغ را با استقرار روترهای فیلترینگ پشت
سرویس دهنده فایروال بهبود داد (نظیر آنچه که در شکل فوق نشان داده شده
است ). بنابراین بدیهی است که کارآئی بهبود پیدا خواهد کرد ، چراکه
فایروال تنها مجبور به پردازش آندسته از بسته های اطلاعاتی خواهد بود که
عازم سرویس دهنده فایروال می باشند . در صورتی که از یک روتر فیلترینگ پشت
سر سرویس دهنده فایروال استفاده نگردد ، فایروال می بایست هر بسته اطلاعاتی
را که بر روی subnet توزیع می گردد پردازش نماید (حتی اگر بسته اطلاعاتی عازم یک هاست داخلی دیگر باشد).
شبکه
های outermost perimeter غیرایمن ترین ناحیه در زیرساخت شبکه شما می باشند
. معمولا" این ناحیه برای روترها ، سرویس دهندگان فایروال و سرویس دهندگان
اینترنت عمومی نظیر HTTP,FTP رزو شده می باشند .
دستیابی به این ناحیه با سهولت بیشتری انجام خواهد شد ، بنابراین طبیعی
است که احتمال تهاجم در این ناحیه بیش از سایر نواحی باشد .اطلاعات حساس
سازمان ها که دارای کاربرد داخلی است نمی بایست بر روی شبکه های outermost
perimeter قرار داده شود . اعتقاد به این اصل احتیاطی و پیشگیرانه ، باعث
می شود که اطلاعات حساس شما در معرض خرابی و یا سرقت قرار نگیرند .
توجه
داشته باشید که به منظور ایجاد شبکه های internal perimeter می توان از
چندین فایروال داخلی استفاده نمود . استفاده از فایروال های داخلی به شما
اجازه می دهد که دستیابی به منابع مشترک موجود در شبکه را محدود نمائید.
در بخش بعد پس از معرفی شبکه های تائید شده ، تائید نشده و ناشناخته به بررسی نسل های متفاوت معماری فایروال ها خواهیم پرداخت .