بدون شك در دنياي امروزي، فناوري اطلاعات بخش مهم و انكارناپذير از زندگي ما را تشكيل مي‌دهد. از اينرو قمست‌هاي مختلف و زيرمجموعه اين حوزه وسيع نيز ارزش و مقام خاص خود را دارد. يكي از اين زيرمجموعه‌ها مبحث امنيت داده‌ها است كه كوچك شمردن آن ممكن است زيآنهاي زيادي را به پيكرة بشر امروزي وارد سازد. همانطور كه درِ خانه نياز به قفل دارد تا از ورود هرگونه بيگانه به حريم شخصي شما جلوگيري شود، كامپيوتر شخصي و يا حتي شبكه شما نيز نياز به فايروال دارد تا حريم حوزة اطلاعاتي‌تان هم از هرگونه آسيبي در امان بماند.

در مقاله‌هاي گذشته تمركز اصلي كار ما در بخش امنيت روي مبحث ضدويروس‌ها بوده، اكنون قصد داريم مجموعه جديدي را با نام «ديواري مستحكم در مقابل تهديدات» شروع كنيم و فصل جديدي را در مباحث امنيتي در ماهنامه دنبال كنيم. در اين مجموعه هر آنچه كه نياز است در مورد فايروال‌ها بدانيد را در بر خواهد گرفت. از پايه‌اي‌ترين بخش‌ها تا حرفه‌اي‌ترين ساختارها. مشخصاً قبل از ورود به قسمت‌هاي حرفه‌اي و تخصصي، نياز داريم درباره موارد پايه‌اي شبكه‌ و فايروال‌ها بيشتر بدانيم. سپس گام به گام با پيشرفته‌تر كردن موضوعات وارد حوزة امنيتي شبكه‌اي خواهيم شد. پس اگر به علوم امنيت كامپيوتري علاقه‌مند هستيد ( با هر سطح دانش كامپيوتري ) توصيه مي‌كنيم با ما اين مجموعه را دنبال كنيد.

فايروال چيست؟
فايروال در حقيقت يك قطعه سخت‌افزاري و يا يك نرم‌افزار است كه نقش نظارت و يا بازدارندگي ترافيك انتقال داده‌ها را در شبكه‌ها بعهده دارد. اگر بخواهيد بدانيد چرا نام فايروال را براي اين دستگاه يا سيستم كامپيوتري انتخاب كرده‌اند بايد كمي از صنعت ايمن‌سازي ساختمآنها براي‌تان بگوييم! اصولاً در طراحي ساختمآنهاي چوبي، ديواره‌اي از جنسي غير قابل اشتعال و مقاوم در برابر حرارت تعبيه مي‌شود كه وظيفه‌آن كنترل حريق در هنگام آتش‌سوزي است. اين ديواره‌ها در حقيقت ساختمان را به چند بخش مجزا تقسيم مي‌كنند. اگر روزي بخشي از ساختمان دچار حريق شود فايروال مانعي براي ادامه يافتن و پخش شدن آن به ديگر بخش‌هاي ساختمان خواهد شد. در حقيقت اين خاصيت همان نقشي است كه فايروال‌هاي كامپيوتري براي شبكه‌ها ايفا مي‌كنند. به اين ترتيب كه اگر در سمتي از يك شبكه بيروني ( مانند اينترنت ) تهديد و خطري وجود داشته باشد، جلوي نفوذ آن به سمت ديگر يعني شبكة دروني ( كه مي‌تواند شبكه محلي يك سازمان باشد ) را خواهد گرفت. البته فايروال‌هاي ساختماني فقط مانع ورود و نفوذ آتش به سمت ديگر مي‌شوند، حال آنكه فايروال‌هاي كامپيوتري نقش پيچيده‌تري در مقابل تهديدات گوناگون بعهده دارند. تهديداتي مانند جملات DoS‌، هكرها، SQL Injection و ....

فايروال يك دوست يا يك مزاحم؟
متاسفانه اغلب كاربران فايروال‌ها را بيشتر يك مزاحم مي‌دانند تا يك دوست. آنها انتظار دارند در شبكه كامپيوترها يکديگر را به راحتي پينگ كنند، پرينترها را به اشتراك بگذارند و از اينترنت بي‌دردسر بهره‌برند و ... حال آنکه فايروال مي‌تواند تمامي روياهاي آنها را برباد دهد! اما حقيقت اين نيست زيرا فايروال بيش‌تر از آنکه يك مزاحم باشد مي‌تواند مدافعي خوب براي هر شبكه‌اي باشد. نيازي نيست آن‌ را غيرفعال كنيد، لزومي ندارد از آن فرار كنيد، بهتر است با آن آشنا شويد تنظيماتش را فرا گيريد و با طي چندين گام ساده از يك مزاحم دردسر ساز يك دوست قوي براي در امان نگاه داشتن اطلاعات‌تان بهره ببريد. اما چگونه؟ مشخص است قبل از هركاري بايد كمي با مقدمات شبكه‌هاي كامپيوتري آشنايي داشته باشيد و توسط معلوماتي كه بدست مي‌آوريد سيستم امنيتي براي خود طراحي كنيد كه هر قسمتي از شبكه و يا حتي كامپيوتر شخصي‌تان را بگونه‌اي كه مي‌خواهيد محافظت كند. البته اگر خودتان در زمينة شبكه‌ها معلومات خوب و كافي داريد ممكن است در اين چند قمست اول با مطالب تكراري زيادي مواجه شويد. ولي مطمئن باشيد پس از بيان اين مقدمات، گام به گام آنقدر در اين حوزه مطالب جديد و تازه خواهيد ديد كه مطمئناً براي‌تان جذاب و كاربردي خواهد بود.

كلياتي از پروتكل TCP/IP
همانطور كه انسان نيازمند تكلم براي برقراري ارتباط با ديگران است، كامپيوترها هم تحت پروتكلي‌هاي مختلف بين خودشان ارتباط برقرار مي‌كنند. مانند انسانها كه زبان‌هاي گوناگوني براي صحبت كردن دارند، كامپيوترها نيز پروتكلي‌هاي گوناگوني مانند TCP/IP، NetBIOS و ... را براي اين كار دارند. البته هميشه ميان زبان‌هاي گوناگون، يك زبان بعنوان زباني بين‌الملي (مانند انگليسي در زبان كلامي) وجود دارد كه بين اقوام مختلف يك پل ارتباطي و فصل مشترك ايجاد مي‌كند. در حقيقت پروتكل TCP/IP نيز همين نقش را در دنياي كامپيوتري ايفا مي‌كند. از اينرو براي مسلط بودن به تنظيمات فايروال‌ها بايد با اين پروتكل آشنايي كاملي داشته باشيد.
در حقيقت TCP/IP مجموعه‌اي از پروتكل‌هايي است كه هركدام بواسطه قوانيني
 ( Rules ) تعيين مي‌كند كه يك كامپيوتر با اينترنت در ارتباط باشد. به بيان ديگر TCP/IP زبان مشترك كامپيوترها در اينترنت محسوب مي‌شود. بارزترين مسئله‌اي كه مي‌توان در مورد TCP/IP عنوان كرد، مقيد بودن آن به نشاني‌هاست. به اين صورت كه هر كامپيوتري كه در حوزه آن قرار مي‌گيرد مي‌بايست يك نشاني منحصر به فرد ( به نام IP Address ) داشته باشد. در حقيقت آيپي آدرس نشان مي‌دهد كدام كامپيوتر قرار است پكتي (Packet) را ارسال و كدام يك قرار است دريافت كند.

پكت چيست؟
اطلاعاتي كه قرار است در شبكه‌ها رد و بدل شوند به تكه‌هاي كوچكي بنام پكت تقسيم خواهد شد. پكت‌ها خود شامل دو قسمت كلي سرايند ( Header ) و داده‌ها مي‌شوند. فايروال‌ها با بررسي سرآيند هر پكت تصميم خواهند گرفت كه آيا پكت موردنظر اجازه عبور دارد يا خير. سرآيند هر پكت حاوي اطلاعات مهم و كليدي است (كه توسط اين اطلاعات فايروال تصميم به عبور و يا مسدود كردن آن خواهد كرد). اين اطلاعات شامل اين مي‌شود كه اولاً اين پكت از كجا آمده است، ثانياً قرار است به كدام كامپيوتر برود و يا كدام برنامه در رايانة مقصد قرار است اين پكت را دريافت كند. جالب است بدانيد بعضي از فايروال‌ها اطلاعات كامل يك پكت يعني هر دو بخش سرآيند و داده‌هاي آنها را بررسي مي‌كنند.

شکل1

فايروال چكاري انجام مي‌دهد؟
همانطور كه قبلاً هم گفتيم فايروال نقش كنترلي بر ترافيك شبكه‌اي دارد. اين ترافيك مي‌تواند با توجه به قوانيني كه مدير شبكه ( يا كاربر ) براي شبكه‌ ( يا سيستم شخصي‌اش ) تعيين كرده، اجازه عبور يافته و يا مسدود شود. بطور كلي تمامي فايروال‌ها، ترافيك ورودي ( Incoming Traffic ) را مورد ارزيابي قرار مي‌دهند. ضمن آنکه فايروال‌هاي حرفه‌اي‌تر بغير از اين‌كار، ترافيك خروجي ( Outgoing Traffic ) را هم پوشش مي‌دهند.
بطور كلي فايروال‌ها روي شبكه‌هايي نصب مي‌شوند كه قرار است به اينترنت متصل شود. اما در سازمان‌هاي بزرگ ممكن است چندين شبكه‌اي محلي در نقاط گوناگون وجود داشته باشد. در چنين ساختارهايي با توجه به نياز و سطح امنيتي مورد نياز هر شبكه، فايروال با تنظيمات ويژه در نظر گرفته خواهد شد. از اينرو نوع و چيدمان فايروال‌ها بستگي كامل به شرايط هر شبكه خواهد داشت.
اما شايد بخواهيد بدانيد درباره خصوصيات و امكانات يك فايروال بيشتر بدانيد:
• مسدود كردن ورودي‌ها با توجه به منبع و يا مقصد: اين خصوصيت پركاربردترين بخش هر فايروال به حساب مي‌آيد.
• مسدود كردن خروجي‌ها با توجه به منبع و يا مقصد: خيلي از فايروال‌ها بغير از ترافيك ورودي، خروجي‌هاي شبكه‌ها را هم كنترل مي‌كنند. اين عمل مزيت‌هاي خاصي بهمراه دارد. بطور مثال سازماني مايل نيست كارمندانش به سايت‌ها و يا منابع خاصي از اينترت دسترسي داشته باشند. از اينرو مي‌توانند با فايروال اين راه را بر آنها مسدود كنند.
• مسدود كردن ترافيك شبكه با توجه به محتويات ارسال / دريافتي: اغلب فايروال‌هاي پيشرفته، قادرند داده‌هاي داخل تمامي پكت‌هاي ارسالي را هم ارزيابي كنند. در نتيجه با توجه به محتويات درون هر پكت قادر خواهند بود جلوي دريافت و يا ارسال آنها را بگيرند. اين خاصيت زماني بكار خواهد آمد كه مثلاً مايل باشيد امكان ورود فايل‌ها و يا نامه ( ضميمه‌دار ) حاوي ويروس را بگيريد!
• مهيا كردن  منابع داخلي: يكي ديگر از كارهايي كه فايروال‌ها مي‌توانند انجام دهند اين است كه دسترسي به منابع خاصي را در داخل شبكه قابل مهيا و در شبكه‌هاي خارجي مسدود كنند. مثلاً كامپيوترهاي داخلي شبكه بتوانند به Web Server شركت دسترسي داشته باشند‌(و يا ديگر كامپيوترهاي شبكه را پينگ كنند) ولي همين امكانات را ديگر كامپيوترهاي خارج از شبكه (در اينترنت) نداشته باشند.
• مهيا كردن ارتباط به شبكه داخلي: يكي از امكانات جالب و كاربردي براي دسترسي از راه دور به شبكه‌ها VPN (شبكه خصوصي مجازي) است. بواسطه آن امكان يك شركت مي‌تواند هر تعداد شعبه و يا حتي كارمندان خود را در سراسر دنيا، از طريق اينترنت به شبكه اصلي متصل كند. بطوريكه اين اتصال بشكل فيزيكي برقرار شده است. با وجود كاربردي بودن اين امكان، خطرات نهفته‌اي هم مطمئناً در اين ميان وجود خواهد داشت. براي جلوگيري از اين‌خطرها فايروال‌ها مي‌توانند با اعمال تنظيماتي خاص، چنين اتصالاتي را امن و بي‌خطر سازند.
• گزارش‌گيري از فعاليت‌هاي فايروال و ترافيك شبكه‌اي: يكي ديگر از خاصيت‌هاي مهم فايروال‌ها، امكان گزارش‌گيري دقيق از تمامي وقايع امنيتي در شبكه خواهد بود. توسط اين گزارش‌ها مديران شبكه مطلع خواهند شد كه بطور مثال آيا حمله به سرورها صورت گرفته است يا خير، دسترسي كدام نرم‌افزار بطور خودكار بسته شده و ....

 كدام فايروال مناسب شما خواهد بود؟
اگر دقت كرده باشيد اغلب فروشندگان پوشاك سعي مي‌كنند به هر طريق شما را متقاعد سازند كه لباس كاملاً مناسب شماست، حال آنکه شايد همان لباس را به ديگر مشتريانش كه هيچ وجه مشتركي ( چه از نظر سني، ظاهري و ... ) با شما نداشته باشند هم پيشنهاد دهد. اما يك خريدار و متقاضي هوشمند مي‌داند هر كالايي بايد باتوجه به نياز و پارامترهاي خاصي تهيه شود. اصولاً انتخاب فايروال هم از اين قاعده مستثني نيست و بايد بدانيد نياز سيستم و يا شبكه‌اي كه با آن كار مي‌كنيد چيست و با توجه به آن، فايروالي را برگزينيد. بطور كلي فايروال‌ها را مي‌توان به چند بخش و مد كلي تقسيم كرد:
• فايروال‌هاي شخصي: همانطور كه از نام آن پيداست اين مدل از فايروال‌ها براي محافظت از يك يا تعداد بسيار محدودي از كامپيوترها ( SOHO ) در نظر گرفته مي‌شوند. اغلب اين فايروال‌ها گزارش‌گيري قوي نداشته و امكانات مديريتي ( براي تنظيمات پيشرفته ) را در اختيار كاربران نمي‌گذارند.
• ‌ فايروال براي سازمان‌هاي كوچك: اين فايروال‌ها قابليت نصب و تنظيم روي شبكه‌هايي كه ده‌ها سيستم دارند ( SMB ) را در اختيارتان قرار مي‌دهد. سيستم گزارش‌گيري در اين نوع فايروال‌ها بهتر از حالت قبلي است. ولي مطمئناً كامل و فراگير نخواهد بود.
• ‌ فايروال‌هاي سازماني: اين نوع فايروال‌ها اصولا براي شبكه‌هايي كه صدها ( و يا هزاران ) كلاينت دارند ( Enterprise ) در نظر گرفته مي‌شود. اين تعداد مي‌توانند خواه در يك مكان و بصورت يك شبكة محلي تعريف شوند و خواه در مكان‌هاي گوناگون قرار داشته باشند. از اينرو چنين فايروال‌هايي ممكن است بصورت چندگانه با سطوح امنيتي گوناگون تعريف و نصب شوند و يا در يك مكان و فقط ميان شبكة اصلي با اينترنت قرار گيرند. اين نوع فايروال‌ها مجموعة كاملي از گزارشات ترافيكي شبكه‌ها را به اشكال گوناگون مي‌توانند تهيه كرده و نمايش دهند. ضمن آنکه امكان مديريت متمركز آنها ( در صورت استفاده از چندين فايروال در يك مجموعه ) و تعريف كردن سياست‌هاي كلي امنيتي (Security Policy  ) نيز مشخصات بارز چنين فايروال‌هايي خواهد بود.

ابزارهاي فايروال دار!
شايد تا بحال نام ابزارهايي را شنيده باشيد كه ادعا مي‌كنند بغير از كار تخصصي‌شان كابردي امنيتي ( فايروال ) را هم ارايه مي‌دهند. در ادامه با بعضي از اين ابزارها آشنا خواهيد شد. البته به اعتقاد اغلب كارشناسان اين نوع فايروال‌ها در اكثر موارد قدرت لازم و امكانات كافي را در اختيار كاربرنشان قرار نمي‌دهند. از اينرو بهتر است براي امنيت بالاي شبكه‌ها فايروال‌هاي تخصصي مورد استفاده قرار گيرند.
• مسيرياب‌ها شبكه
يكي از پايه‌اي‌ترين ابزارهاي شبكه‌‌اي مسيرياب‌ها هستند. بطور حتم در طراحي شبكه‌ها، مسيرياب‌ها جايگاه خاصي خواهند داشت. در حقيقت نقش مسيرياب‌ها انتقال پكت از يك شبكه به شبكة ديگر است. مشخصاً اگر قرار باشد يك پكت از يك كامپيوتر به كامپيوتر ديگري از طريق اينترنت برسد، مي‌بايست صدها روتر در اين جابجايي نقش داشته باشند. از اينرو با توجه به اهميت بالايي كه اين ابزار در هر شبكه‌اي دارد، بعضي از سازندگان اقدام به اضافه كردن يك فايروال داخلي به مسيرياب‌هايشان كرده‌اند.
• ابزارهاي چندكاره
شايد ساده‌ترين مثالي كه در اين مورد مي‌توان مطرح كرد مودم‌هاي ‌ADSL‌اي باشند كه بغير از وظيفه اصلي‌شان (يعني برقرار كردن‌‍ِ اتصال اينترنتي)، مي‌توانند نقش‌هاي ديگري مانند هاب، مسيرياب و ... را هم در شبكه بعهده ‌گيرند. بطور كلي اين‌ابزارها از طريق يك آيپي آدرس منحصربفرد ( در شبكه داخلي ) امكان اتصال به Interface داخلي‌شان را فراهم مي‌سازند. در صورت ورود به اين قسمت حتماً با نام فايروال برخورد خواهيد كرد. فايروال‌هاي تعريف شده در اين محصولات معمولاً مي‌توانيد برخي از امكانات را براي كاربران‌شان فراهم سازند. مشخص است كه اغلب اين فايروال‌ها، قادر نخواهند كاربردي‌هاي كليدي و مهمي مانند كنترل ترافيك خروجي و يا گزارش‌گيري قوي را  ارايه دهند.

شکل2

• فايروال‌هاي نرم‌افزاري
فايروال‌هاي نرم‌افزاري به دو قسمت اصلي قابل تقسيم خواهتد بود. ابتدا فايروال‌هايي كه بطور مثال همراه با ضدويروس‌ها ارايه مي‌شوند و فقط براي محافظت از يك سيستم در مقابل تهديدات اينترنتي در نظر گرفته مي‌شوند و دوم فايروال‌هايي كه روي يك سرور در شبكه نصب مي‌شوند و سيستم موردنظر را بطور درگير فعاليت‌هاي خود خواهند كرد. مطمئناً نوع اول فقط براي كاربرهاي خانگي و در نهايت براي شركت‌هاي كوچك مناسب خواهد بود و نوع دوم هم براي سازمان‌ها و شبكه‌هاي بزرگ.

منبع:computernews.ir