بررسی نسل های متفاوت فايروال New Page 1



ساير




 

 

 

SAKHA RAVESH CO.

 ا مروز

 دوشنبه  7  فروردين  1396  2017  Mar.  27   Monday ToDay
صفحه اصلی  مقالات نکته هادايره المعارف خودآموزها | تازه ها خود آزمون ها  

  نسخه قابل چاپ

 عنوان

 نويسنده

  مشاهده

 نسل های متفاوت فايروال ( بخش اول )

 مديريت آموزش

12836

با توجه به جایگاه داده در عصر حاضر و  لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر  روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و  خدمات خود  را از طریق  سایت www.fabak.ir  به مخاطبان محترم عرضه می نماید

 

نسل های متفاوت فايروال

نسل های متفاوت فايروال ( بخش اول )
در دنيای امروز اكثر بنگاه های تجاری بر اين اعتقاد هستند كه دستيابی به اينترنت برای حضور فعال ، موثر و رقابتی در عرصه جهانی امری حياتی و الزامی است . با اين كه مزايای اتصال به اينترنت كاملا" مشهود و قابل توجه است ، در اين رابطه تهديدات و خطراتی نيز وجود دارد . به عنوان نمونه ، زمانی كه يك بنگاه تجاری شبكه خصوصی خود را به اينترنت متصل می نمايد ، اين موضوع صرفا" به اين معنی نخواهد بود كه وی امكان دستيابی كاركنان خود به اطلاعات و منابع خارج از سازمان را فراهم نموده است . سازمان فوق ، همچنين اين امكان را فراهم نموده است كه كاربران خارجی ( كاربران خارج از سازمان  )  نيز بتوانند به اطلاعات شخصی و خصوصی سازمان دسترسی داشته باشند .
هر بنگاه تجاری كه در انديشه اتصال به اينترنت است مجبور خواهد بود كه با مسائل مربوط به امنيت شبكه نيز سرو كار داشته باشد .
در ساليان اخير  فناوری های مختلفی به منظور تامين نظر بنگاه های تجاری در جهت افزايش امنيت و استفاده از مزايای متعدد اتصال به اينترنت ايجاد شده است . فناوری های فوق امكان نگهداری ، محرمانگی ، يكپارچگی و در دسترس بودن اطلاعات خصوصی و منابع شبكه را فراهم می نمايند . اكثر اين تلاش ها با تمركز بر روی فناوری های مختلف فايروال انجام شده است .

 فايروال ، يك نقطه دفاعی بين دو شبكه را ايجاد
 و
 يك شبكه را در مقابل شبكه ديگر محافظت می نمايد 

معمولا" يك فايروال ، شبكه خصوصی يك سازمان را از يك شبكه عمومی كه به آن متصل است محافظت می نمايد . يك فايروال می تواند بسادگی يك روتر باشد كه بسته های اطلاعاتی را فيلتر می نمايد و يا پيچيده نظير استفاده از چندين روتر و كامپيوتر كه سرويس های فيلترينگ بسته های اطلاعاتی و پراكسی سطح برنامه را ارائه می نمايند .

روند شكل گيری فايروال ها
فناوری فايروال جوان است ولی به سرعت به سمت تكامل و رشد حركت می نمايد . اولين نسل معماری فايروال قدمتی به اندازه روتر دارد و اولين مرتبه در سال 1985 مطرح گرديد. به اين نوع فايروال ها ، فايروال های packet filter  گفته می شود . اولين مقاله ای كه نحوه عملكرد فايروال های packet filter را تشريح می كرد تا سال 1988 ارائه نگردبد و در نهايت توسط Jeff Mogul از شركت DEC ( برگرفته از  Digital Equipment Corporation ) انتشار يافت .
در فاصله بين سال های 1989 و 1990 ،  Dave Presotto و Howard Trickey از آزمايشگاه AT&T Bell نسل دوم معماری فايروال ها را معرفی كردند كه از آن با نام فايروال های circuit level  نام برده می شود . آنان همچنين اولين مدل كاری از نسل سوم معماری فايروال ها را كه به آن application layer  گفته می شود،  پياده سازی كردند . آنان  هيچگونه مقاله ای كه اين معماری را تشريح و يا محصولی كه بر اساس اين معماری پياده سازی شده باشد را ارائه نكردند .
در اواخر سال 1989 و اوايل سال 1990 بطور همزمان و مستقل كار مطالعاتی بر روی نسل سوم معماری فايروال ها توسط كارشناسان متعددی در امريكا انجام شد . در  فاصله سال های 1990 تا 1991 اولين مقالاتی كه معماری فايروال های application layer را تشريح می كرد ،  توسط Marcus Ranum و  Bill Cheswick از آزمايشگاه AT&T Bell  ارائه گرديد . ماحصل تلاش Marcus Ranum ارائه اولين محصول تجاری با نام SEAL توسط شركت DEC بود .
در سال 1991 ، Bill Cheswick و Steve Bellovin تحقيق بر روی فيلترينگ پويای بسته های اطلاعاتی را آغاز و بر اساس معماری طراحی شده يك محصول داخلی را در لابراتور Bell پياده سازی نمودند. اين محصول هرگز جنبه تجاری پيدا نكرد و ارائه نگرديد .  در سال 1992 ، Bob Braden و Annette DeSchon در موسسه علوم اطلاعات USC  شروع به تحقيق مستقل بر روی فايروال های فيلترينگ پويای بسته های اطلاعاتی برای سيستمی با نام Visas كردند . اولين محصول تجاری بر اساس معماری نسل چهارم در سال 1994 توسط شركت  Check Point Software  ارائه گرديد .
در سال 1996 ، Scott Wiegel در شركت Global Internet Software Group يك لی اوت اوليه برای نسل پنجم معماری فايروال ها كه به آن Kernel Proxy گفته می شود ، ارائه گرديد . اولين محصول تجاری بر اساس اين معماری در سال 1997 با نام Cisco Centri Firewall به بازار عرضه گرديد.

ايجاد يك منطقه استحفاظی ( security perimeter )
در زمان تعريف يك سياست امنيتی برای شبكه می بايست رويه هائی به منظور حفاظت شبكه ، محتويات آن و نحوه استفاده كاربران از منابع موجود به دقت تعريف گردد .  سياست های امنيتی شبكه دارای يك نقش كليدی در تاكيد و انجام سياست های امنيتی تعريف شده در يك سازمان می باشند.
سياست امنيتی شبكه بر روی كنترل ترافيك و استفاده از آن تاكيد دارد و در آن به مواردی همچون منابع شبكه و تهديدات مرتبط با هر يك ، استفاده ايمن از منابع شبكه ، مسئوليت كاربران و مديران سيستم  و رويه های لازم به منظور برخورد با مسائل و مشكلات ايجاد شده به دليل عدم رعايت مسائل امنيتی اشاره می گردد . سياست های امنيتی بر روی نقاط حساس درون شبكه اعمال خواهد شد . به اين نقاط و يا محدودهای استراتژيك، perimeter گفته می شود .

شبكه های perimeter
برای ايجاد مجموعه ای از شبكه های perimeter ، می بايست  پس از انتخاب شبكه هائی كه قصد حفاظت از آنها را داريم ، مكانيزم های امنيتی لازم به منظور حفاظت شبكه را تعريف نمائيم . برای داشتن يك شبكه حفاظت شده ايمن ، فايروال می بايست به عنوان gateway  تمامی ارتباطات بين شبكه های تائيد شده (trusted ) ، تائيد نشده (untrusted) و ناشناخته (unknown) در نظر گرفته شود . 
هر شبكه می تواند شامل چندين شبكه perimeter درون خود باشد . اين شبكه ها عبارتند از :

  • outermost perimeter ( شبكه های  بيرونی )

  • internal perimeters ( شبكه های داخلی )

  • innermost perimeter ( شبكه های درونی )

شكل زير ارتباط بين سه نوع شبكه perimeter  فوق را نشان می دهد . با توجه به منابعی كه قصد حفاظت از آنها را در يك شبكه داريم ،  ممكن است از چندين  internal perimeters استفاده گردد .
 

 
منبع : سايت سيسكو

توجه داشته باشيد كه به منظور حفاظت از منابع و سرمايه های ارزشمند موجود بر روی يك شبكه می توان چندين نقطه دفاعی را ايجاد نمود . با لايه بندی شبكه های perimeter  می توان بررسی چندگانه امنيتی از ترافيك شبكه را به منظور حفاظت در مقابل عمليات غيرمجازی كه از درون شبكه شما سرچشمه می گيرد انجام داد .  
در واقع ، شبكه های  outermost perimeter محل جداسازی منابعی است كه توسط شما كنترل می گردد با منابعی كه شما بر روی آنها كنترل و نظارتی نداريد. معمولا" در اين نقطه از يك روتر استفاده می شود تا شبكه خصوصی يك سازمان را از ساير شبكه ها جدا نمايد .
شبكه های Internal perimeter محدوده های اضافه تری را در مكان هائی كه شما دارای مكانيزم های امنيتی ديگری نظير فايروال های اينترانت و روترهای فيلترينگ می باشيد ، ارائه می نمايند .
شكل زير ،‌ دو شبكه perimeter درون يك شبكه را نشان می دهد . در اين شبكه يك شبكه outermost perimeter و يك شبكه Internal perimeter ايجاد و برای حفاظت آنها از روترهای داخلی ، خارجی و سرويس دهنده فايروال استفاده شده است .

 
منبع : سايت سيسكو

استقرار فايروال بين روتر داخلی و خارجی يك سطح امنيتی اضافه اندك به منظور حفاظت در مقابل حملات در هر سمت را ارائه می نمايد . اين كار ميزان ترافيكی را كه فايروال می بايست بررسی نمايد بطرز محسوسی كاهش داده و متعاقب آن كارآئی فايروال افزايش خواهد يافت .
از ديد كاربران موجود بر روی يك شبكه خارجی ، سرويس دهنده فايروال امكان دستيابی به تمامی كامپيوترهای قابل دسترس در شبكه تائيد شده ( trusted ) را فراهم می نمايد . در واقع ، فايروال يك نقطه دفاعی به منظور بررسی تمامی ارتباطات بين دو شبكه را ايجاد می نمايد .
با توجه به روش پردازش و توزيع بسته های اطلاعاتی در اترنت ، می توان كارآئی فايروال های شلوغ را با استقرار روترهای فيلترينگ پشت سرويس دهنده فايروال بهبود داد (نظير آنچه كه در شكل فوق نشان داده شده است  ). بنابراين بديهی است كه كارآئی بهبود پيدا خواهد كرد ، چراكه  فايروال تنها مجبور به پردازش آندسته از بسته های اطلاعاتی خواهد بود  كه عازم سرويس دهنده فايروال می باشند . در صورتی كه از يك روتر فيلترينگ پشت سر سرويس دهنده فايروال استفاده نگردد ، فايروال می بايست هر بسته اطلاعاتی را كه بر روی subnet توزيع می گردد  پردازش نمايد (حتی اگر بسته اطلاعاتی عازم يك هاست داخلی ديگر باشد).
شبكه های outermost perimeter غيرايمن ترين ناحيه در زيرساخت شبكه شما می باشند . معمولا" اين ناحيه برای روترها ، سرويس دهندگان فايروال و سرويس دهندگان اينترنت عمومی نظير HTTP,FTP رزو شده می باشند . دستيابی به اين ناحيه با سهولت بيشتری انجام خواهد شد ، بنابراين طبيعی است كه احتمال تهاجم در اين ناحيه بيش از ساير نواحی باشد .اطلاعات حساس سازمان ها كه دارای كاربرد داخلی است نمی بايست بر روی شبكه های  outermost perimeter  قرار داده شود . اعتقاد به اين اصل احتياطی و پيشگيرانه ، باعث می شود كه اطلاعات حساس شما در معرض خرابی و يا سرقت قرار نگيرند .
توجه داشته باشيد كه به منظور ايجاد شبكه های  internal perimeter  می توان از چندين فايروال داخلی استفاده نمود . استفاده از فايروال های داخلی به شما اجازه می دهد كه دستيابی به منابع مشترك موجود در شبكه را محدود نمائيد.
در بخش بعد پس از معرفی شبكه های تائيد شده ، تائيد نشده و ناشناخته به بررسی نسل های متفاوت معماری فايروال ها خواهيم پرداخت .



جستجو

مقالات                 
دايره المعارف       
دوره های آموزشی


 

 

مشاهده گروه ها



              

 

 تهيه شده در شرکت سخا روش -  1382