فايروال‌ها چگونه كار مى‌كنند؟

همشهرى تهران- اگر شما يك كاربر اينترنت باشيد و در خانه يا محل كار خود در وب گشت و گذار كنيد احتمالاً بارها و بارها كلمه Firewall يا ديواره آتش را شنيده‌ايد. به عنوان مثال جملاتى مانند زير بسيار شنيده مى‌شود:
«من نمى‌توانم از اين سايت استفاده كنم چون پشت فايروال است.»
بحث فايروال مربوط به ارتباط تلفى Dial-Up اينترنت نيست و كسانى كه احياناً از مودم‌هاى كابلى و ارتباط از نوع DSL دارند از فايرول استفاده بيشترى مى‌برند.
در حقيقت فايروال شبكه‌هاى كوچك خانگى و شبكه‌هاى بزرگ شركتى را ازحملات احتمالى هكرها و وب‌سايتهاى نامناسب و خطرناك حفظ مى‌كند و مانع وسدى است كه متعلقات و دارايى‌هاى شما را از دسترس نيروهاى متخاصم دور نگاه مى‌دارد و به همين دليل است كه فايروال ديواره آتشين خوانده مى‌شود، چون فايروال‌هاى فيزيكى نيز حوزه ‌آتش را محدود كرده و مانع از گسترش آن به نواحى ديگر مى‌شوند.

فايروال چيست؟
فايروال يك برنامه يا وسيله سخت افزارى است كه اطلاعات ورودى به سيستم كامپويتر و شبكه‌هاى اختصاصى را تصفيه يا به اصطلاح فيلتر مى‌كند. اگر يك بسته اطلاعاتى ورودى به وسيله فيلترها نشان دار شود اجازه ورود به به شبكه و كامپيوتر كاربر را نخواهد داشت.
به عنوان مثال در يك شركت بزرگ بيش از صد كامپيوتر وجود دارد كه با كارت شبكه به يكديگر متصل هستند. اين شبكه داخلى توسط يك يا چند خط ويژه به اينترنت متصل است. بدون استفاده از يك فايروال تمام كامپيوترها و اطلاعات موجود در اين شبكه براى شخص خارج از شبكه قابل دسترسى است و اگر اين شخص راه خود را بشناسد مى‌تواند يك يك كامپيوترها را بررسى كرده و با آنها ارتباط هوشمند برقرار كند. در اين حالت اگر يك كارمند خطايى را انجام دهد و يك سوراخ امنيتى ايجاد شود، هكرها مى‌توانند وارد سيستم شده و از اين سوراخ سواستفاده كنند.
اما با داشتن يك فايروال همه چيز متفاوت خواهد بود .
فايروال ها روى خطوطى كه ارتباط اينترنتى برقرار مى‌كنند، نصب مى‌شوند و از يكسرى قانون‌هاى امنيتى پيروى مى‌كنند. به عنوان مثال يكى از قانون‌هاى امنيتى شركت مى‌تواند به صورت زير باشد:
«از تمام پانصد كامپيوتر موجود در شركت فقط يكى اجازه دريافت صفحات FTP را دارد و فايروال بايد مانع از ارتباط ديگر كامپيوتر‌ها از طريق FTP شود.»
اين شركت مى‌تواند براى وب سرورها و سرورهاى هوشند و غيره نيز چنين قوانينى در نظر بگيرد. علاوه بر اين شركت مى‌تواند نحوه اتصال كاربران – كارمندان – به شبكه اينترنت را نيز كنترل كند به عنوان مثال اجازه ارسال فايل از شبكه به خارج را ندهد.

در حقيقت با استفاده از فايروال يك شركت مى تواند نحوه استفاده از اينترنت را تعيين كند.
فايروال ها براى كنترل جريان عبورى در شبكه‌ها از سه روش استفاده مى‌كنند:
Packet Filtering – يك يك بسته‌هاى اطلاعاتى با توجه به فيلترهاى تعيين شده مورد تحليل و ارزيابى قرار مى‌گيرند. بسته‌هايى كه ازتمام فيلترها عبور مى‌كنند به سيستم‌هاى مورد نياز فرستاده شده و بقيه بسته‌ها رد مى‌شوند. Proxy Service – اطلاعات موجود در اينترنت توسط فايروال اصلاح مى‌شود و سپس به سيستم فرستاده مى‌شود و بالعكس.
Stateful Inspection – در اين روش جديد محتواى هر بسته با بسته هاى اطلاعاتى ويژه‌اى از اطلاعات مورد اطمينان مقايسه مى‌شوند. اطلاعاتى كه بايد از درون فايروال به بيرون فرستاده شوند، با اطلاعاتى كه ازبيرون به درون ارسال مى‌شود از لحاظ داشتن خصوصيات ويژه مقايسه مى‌شوند و در صورتى كه با يكديگر ارتباط منطقى داشتند اجازه عبور به آن ها داده مى‌شود و در غير اين صورت امكان مبادله اطلاعات فراهم نمى‌شود.

ساختن يك فايروال مناسب
فايروال ها قابليت سفارشى شدن دارند. يعن مى‌توان در شرايط متفاوت فيلترهاى ويژه‌اى رابه آنها اضافه يا كم كرد. بعضى از اين موارد عبارتند از:
آدرس‌هاى IP : هر دستگاه و ماشين در اينترنت بايك آدرس واحد به نام آدرس IP مشخص مى‌شود. آدرس هاى IP اعداد 32 بيتى هستند كه به صورت چهارتايى نوشته مى‌شوند.
بع عنوان مثال 216.27.61.137 يك آدرس IP است، يك فايروال مى‌تواند به گونه‌اى تنظيم شود كه جلوى آدرس‌هاى IP خاصى را بگيرد و اجازه عبور اطلاعات را ندهد. به عنوان مثال اين آدرس IP مى‌تواند مربوط به سرور خاصى باشد كه شخص مايل بع گرفتن اطلاعات ازآن نيست.
اسامى Domain : به دليل اينكه به خاطر سپردن اعداد موجود در آدرس‌هاى IP مشكل ست و گاهى نيز آدرس‌هاى IP تغيير مى‌كند، تمام سرورها اسامى قابل خواندن توسط انسان رانيز دارند كه Domain ناميده مى‌شود. به عنوان مثال به خاطر سپردن آدرس www.irib.com از به خاطر سپردن 216.77.61.137 آسان‌تر است. به اين ترتيب يك شركت مى‌تواند Domain هاى خاصى را مسدود كند. و اجازه دسترسى به آن‌ها را ندهد.
پروتكل ها: پروتكلها روش‌هاى از پيش تعيين شده‌اى هستند كه هنگامى كه شخصى بخواهد بين دو سرويس ارتباط برقرار كند از آنها استفاده مى‌كند. البته اين شخص مى‌تواند يك انسان و يا يك برنامه كامپيوترى چون مرورگر وب باشد. پروتكل ها معمولاً به صورت متن هستند و بع سادگى اتباط بين سرور و Client را توضيح مى‌دهند. از پروتكل هاى ‌آشنا كه مى‌توان براى ‌آنها فايروال نصب كرد، مى‌توان به موارد زير اشاره كرد:
Ip – مهمترين سيستم ارايه اطلاعات كه در اينترنت استفاده مى‌شود.
‏TCP (Transport Control Protocol) : براى شكستن و ساخت مجدد اطلاعات منتقل شده در اينترنت استفاده مى‌شود.
HTTP (Hyper Text Transfer Protocol) : براى صفحات وب استفاده ميشود.
FTP (File T ransfer Protocol) براى ارسال و دريافت فايل‌ها استفاده مى‌شود.
UDP (User Datagram Protocol) براى اطلاعاتى كه نيازى به پاسخ‌گويى ندارند استفاده مى‌شود مانند جريان صوت و تصوير.
ICMD براى انتقال اطلاعات در روترها استفاده مى ‌شود.
SMTP براى فرستادن اطلاعات متنى مثل Email‌استفاده ميشود.
SNMP – براى جمع آورى اطلاعات سيستمى از كامپيوترهاى دور استفاده ميشود.
TELNET – براى انجام دستورات دركامپيوترهاى دور استفاده ميشود.
در يك شركت شايد تنها دو يا سه كامپيوتر خاص اجازه دسترسى به پروتكلهاى ويژه اى راداشته باشند وارتباط بقيه سيستم با آن پروتكل بسته خواهد شد.

پورتها – هر سرورى براى ارايه سرويس خود از پورت‌هاى شماره دارى استفاده مى‌كند و هر پورتى ويژه سرويس خاصى است. به عنوان مثال در سيستم سرورى كه وب سرورهاى Http و FTP را اجرا مى‌كند پورت 80 ويژه وب سرورHTTP و پورت 21 ويژه سرويس FTP است. يك شركت مى‌تواند دسترسى به پورت 21 را براى همه سيستم‌هاى داخلى شركت به جز يك سيستم محدود كند.
لغات يا عبارات ويژه – فايروال ها مى‌توانند در هر بسته اطلاعاتى جست و جو و يا اصطلاحاً Sniff نمايند و اسامى و عبارات خاص را پيدا كرده و از دسترسى به آنها جلوگيرى كنند.
به عنوان مثال هنگامى كه به دنبال لغت Ratecdx مى گردد عبارت Xrated را شامل نمى‌شود.اما مى‌توان تمام عبارات و لغات مورد نياز را براى فايروال ها تعريف كرد.
ويروس‌ها: برنامه‌هاى ‌آشناى ويروسى كه مى‌توانند به راحتى از كامپيوترى به كامپيوتر ديگر منتقل شوند ،‌ مى توانند توسط فايروال‌ها رديابى شوند.
Spam – Email‌هاى نخواسته و انبوه كه بيشتر آزاردهنده هستند تا مخرب گرچه نبايد روى لينك‌هاى موجود روى Spam ها كليك كرد چون معمولاً موجب ايجاد Backdoor روى كامپيوتر مى‌شوند.
Redirect Bomb – هكر ها با استفاده از ICMP ميتوانند مسير فرستادن اطلاعات را تغيير دهند. از اين روش معمولاً براى ايجاد يك حمله Daniel Of Service استفاده ميشود.
Source Routing – معمولاً مسيرى كه يك بسته اطلاعاتى در اينترنت طى مى‌كند توسط روترها تعيين مى شود. اما با استفاده از اين روش مى‌توان مسير بسته هاى اطلاعاتى رابه صورت اختيارى تعيين نمود . هكرها از اين روش استفاده مى كنند و در حالى كه به نظر مى‌آيد اطلاعات از يك منبع مطمئن و يا دخل شبكه فرستاده مى‌شود ولى در حقيقت حمله‌اى پايه ريزى مى‌شود.
محدود كردن همه موارد بالا از عهده يك فايروال خارج است. با آن كه بسيارى از فايروال ها جلوى داخل شدن ويروس ها را مى‌گيرند. اما معمولاً توصيه مى‌شود كه همراه فايروال از يك ضد ويروس هم استفاده شود. فايروال‌ها هر قد جلوى حملات و ويروس ها رامى‌گيرند اما بر محدوديت ها مى ‌افزايند. اين بزرگ‌ترين نقطه ضعف فايروال‌هاست.

منبع : www.howstuffworks.com