نویسنده : Arvan

فایروال چیست؟

linkedin

به طور کلی فایروال‌ها سخت‌افزار‌ یا نرم‌افزار‌هایی هستند که ترافیک ورودی و خروجی به یک شبکه یا یک دستگاه را کنترل می‌کنند. برای هر فایروال، می‌توان مجموعه‌ای از قواعد تعریف کرد که براساس آن‌ها از ورود ترافیک خاصی به شبکه یا دستگاه جلوگیری شود و با ایجاد یک مرز برای شبکه‌ی داخلی، بتوان آن را از شبکه‌ی غیر‌قابل اعتماد جدا کرد. پیشرفت‌های زیادی در طراحی و عملکرد فایروال‌ها از اولین نسل آن‌ها تا امروز انجام شده است. در‌واقع فایروال‌های هر نسل نسبت به نسل قبلی خود، بررسی‌های بیش‌تری روی هر بسته انجام می‌دهند و در نتیجه توانایی بیش‌تری در تشخیص ترافیک مخرب دارند.

 

انواع فایروال‌‌ها

اولین نسل فایروال‌ها تنها قادر بودند ساده‌ترین وظیفه‌ای که از آن‌ها انتظار می‌رفت، یعنی packet filtering را انجام بدهند. فایروال‌های نسل اول با بررسی آدرس IP، پورت مبدا و مقصد و پروتکل مورد استفاده و مقایسه‌ی آن‌ها با قواعدی که از قبل برای فایروال تعریف شده‌ بود، تشخیص می‌دادند که آیا دسترسی این مبدا به مقصد مورد انتظار مجاز است یا نه. اگر ترافیک مجاز بود، اجازه‌ی عبور آن و ارسال به مقصد موردنظر را می‌دادند. وگرنه، یا بدون اطلاع به مبدا، جلوی ورود ترافیک را می‌گرفتند و بسته را drop می‌کردند یا هم‌زمان با drop کردن بسته، یک پیام ICMP هم برای اطلاع‌رسانی به مبدا ارسال می‌کردند. اگرچه هنوز‌ هم این نقش، جز اصلی‌ترین و پایه‌ای‌ترین وظایف یک فایروال محسوب می‌شود و برای تمام فایروال‌ها ضروری‌ است، اما عملکرد فایروال‌ها تنها به این مورد محدود نمی‌شود.

نسل بعدی فایروال‌ها افزون‌بر ویژگی قبلی، می‌توانستند اطلاعاتی درباره‌ی connection بین مبدا و مقصد، براساس شماره‌ی پورت مورد استفاده، نگهداری کنند. برای نمونه، می‌توانستند با بررسی اطلاعات مربوط به TCP handshake، تشخیص بدهند که آیا بسته‌ای که در جریان یک TCP connection ارسال می‌شود، واقعن مربوط به همان connection است یا نه. این فایروال‌ها stateful filters نامیده می‌شدند و تفاوت اصلی آن‌ها با نسل قبلی خود، توانایی تشخیص  connection‌های لایه‌ی ۴ بود. با توجه به شیوه‌ی عملکرد، این فایروال‌ها منابع بیش‌تری را برای تشخیص ترافیک نامطمین مصرف می‌کردند.

فایروال‌های نسل سوم که به application firewall یا proxy firewall‌ها معروف هستند، می‌توانند پروتکل‌های لایه‌ی ۷ یا لایه‌ی application را تشخیص بدهند. برای نمونه فرض کنید یک بسته، بدون آن که مربوط به پروتکل HTTPS باشد، بخواهد با استفاده از پورت ۴۴۳ که مربوط به این پروتکل است به یک مقصد دسترسی پیدا کند. بنابراین، فایروال با دانستن شکل بسته‌های پروتکل HTTPS،‌ تشخیص می‌دهد که این بسته به این پروتکل مربوط نیست و آن را drop می‌کند. این فایروال‌ها با ایجاد یک connection با مبدا بسته‌ها، ابتدا ترافیک دریافتی را بررسی می‌کنند و سپس، اگر ترافیک مجاز بود، آن‌ را از یک connection جداگانه به مقصد ارسال می‌کردند. به‌این‌ترتیب، این دستگاه‌ها برای امنیت بیش‌تر از ارتباط مستقیم مبدا و مقصد جلوگیری می‌کنند. ایجاد connection‌های جداگانه اگرچه سبب امنیت بیش‌تر می‌شود، اما منابع پردازشی بیش‌تری مصرف می‌کند و در نتیجه این فایروال‌ها سرعت کم‌تری در پردازش دارند.

فایروال‌های next-generation، فایروال‌هایی هستند که تمام ویژگی فایروال‌های قبلی را دارند و علاوه‌بر آن‌ها ترافیک‌های مخرب بیش‌تری را می‌توانند تشخیص بدهند. عملکرد فایروال‌های قبلی، گاهی اوقات بر پایه‌ی تصمیم‌گیری با توجه به header پیام‌های ارسال شده بود، در حالی‌که فایروال‌های جدید می‌توانند تا حدودی محتوای ترافیک‌های رمز‌نگاری شده را هم تشخیص بدهند و هم‌چنین با بررسی الگوی ترافیک ورودی، بعضی از حمله‌ها را تشخیص بدهند و از آن‌ها جلوگیری کنند.

همان‌طور که گفته شد، فایروال‌ها شبکه‌ی داخلی را از شبکه‌ی ناامن خارجی جدا می‌کنند و مانند مرزی بین این دو شبکه هستند. در بسیاری از شبکه‌ها، چه به دلیل کمبود IP و چه برای پنهان ماندن هویت برخی از host‌ها،‌ به جای public IP از private IP استفاده می‌شود. به‌این‌ترتیب، برای آن‌که بتوان host‌هایی با private IP را نیز به شبکه‌ی اینترنت متصل نگه داشت، نیاز به استفاده از NAT (network address translation) است. استفاده از NAT به این معنی است که تعدادی از hostها public IP  مشابه خواهند داشت و برای آن‌که ترافیک هر host مشخص شود، از پورت‌های جداگانه روی hostای که NAT را انجام می‌دهد استفاده می‌کنند (برای نمونه اگر بسته‌ای به آدرس ۱.۲.۳.۴ و پورت 2000 ارسال می‌شود، مربوط به host با آدرس ۱۹۲.۱۶۸.۲.۲ است). بسیاری از فایروال‌ها با داشتن public IP و نگهداری رکورد‌های مربوط به private IP و پورت‌ها، می‌توانند NAT را برای یک شبکه پیاده‌سازی کنند.

مطالب مرتبط