فایروال چیست؟

فایروال چیست؟

فایروال یک دستگاه امنیتی شبکه است که ترافیک شبکه ورودی و خروجی را نظارت می کند و بسته های داده را بر اساس مجموعه ای از قوانین امنیتی مجاز یا مسدود می کند.

هدف فایروال ایجاد یک مانع بین شبکه داخلی شما و ترافیک ورودی از منابع خارجی (مانند اینترنت) به منظور جلوگیری از ترافیک مخرب مانند ویروس ها و هکرها و بدافزارها است.

فایروال چگونه کار می کند؟

فایروال ها ترافیک های ورودی را با دقت بر اساس قوانین تعریف شده آنالیز می نمایند و  ترافیک ناامن و تهدید آمیز را فیلتر می کنند.

فایروال‌ها بر اساس قوانین تعریف شده ترافیک را از مبدا تا مقصد بر مبنای آدرس کامپیوتر ارسال کننده و آدرس کامپیوتر دریافت کننده و پورت مقصد، آنالیز و اعمال فیلتر می‌نمایند.

اینگونه در نظر بگیرید که آدرس‌های آی پی به عنوان خانه، و شماره پورت به عنوان اتاق‌های آن خانه هستند. فقط افراد مورد اعتماد (آدرس های منبع) مجاز به ورود به خانه (آدرس مقصد) هستند.

افراد در داخل خانه تنها مجاز به دسترسی به اتاق های خاص (پورت مقصد) هستند، بسته به اینکه آنها مالک، کودک و یا مهمان باشند.

ورود مالک به هر اتاقی (هر پورتی) مجاز است، در حالی که کودکان و مهمانان اجازه ورود به تعداد خاصی از اتاق ها (پورت‌های خاص) را دارند.

انواع فایروال ها

فایروال‌ها می‌توانند نرم افزاری یا سخت افزاری باشند، هر چند بهتر است هر دو را داشته باشید.

فایروال نرم افزاری برنامه ای است که بر روی هر کامپیوتر نصب می شود و ترافیک را از طریق شماره های پورت و برنامه های کاربردی تنظیم می کند، در حالی که یک فایروال فیزیکی قطعه ای از تجهیزات نصب شده بین شبکه و Gateway شماست.

فایروال‌های فیلتر کننده بسته که رایج ترین نوع فایروال است، بسته ها را بررسی می کنند و در صورتی که با یک مجموعه قانون امنیتی تثبیت شده مطابقت نداشته باشند، از عبور آن ها ممانعت بعمل می آورد.

این نوع فایروال آدرس های آی پی منبع و مقصد بسته را بررسی می کند. اگر بسته ها با یک قانون «مجاز» بر روی فایروال مطابقت داشته باشند، آنگاه اجازه ورود به شبکه به آنها داده می شود.

فایروال‌های فیلتر کننده بسته به دو دسته stateful و stateless تقسیم می شوند. فایروال های stateless بسته ها را به طور مستقل از یکدیگر بررسی می کنند و در نتیجه آن ها را به اهداف آسان برای هکرها تبدیل می کنند.

در مقابل، فایروال های stateful اطلاعات مربوط به بسته های عبوری قبلی را به یاد می دارند و بسیار امن تر در نظر گرفته می شوند.

در حالی که فایروال های فیلتر کننده بسته می توانند موثر باشند، در نهایت حفاظت بسیار ابتدایی را فراهم می کنند و قابلت های بسیار محدودی دارند.

به عنوان مثال، آنها نمی توانند تعیین کنند که آیا محتویات درخواستی که ارسال می شود، بر برنامه ای که به آن می رسد تأثیر نامطلوبی خواهد داشت یا خیر.

اگر یک درخواست مخرب که از یک آدرس منبع مورد اعتماد مجاز منجر به حذف یک پایگاه داده می شد، فایروال هیچ راهی برای دانستن این موضوع ندارد. فایروال های نسل بعدی و فایروال های پروکسی برای تشخیص چنین تهدیدهایی مجهزتر هستند.

فایروال های نسل بعدی (NGFW)

فناوری فایروال سنتی را با قابلیت های اضافی ترکیب می کنند، مانند بازرسی ترافیک رمزنگاری شده، سیستم های پیشگیری از نفوذ، ضد ویروس و موارد دیگر.

از همه مهم تر، شامل بازرسی بسته های عمیق (DPI) است. در حالی که فایروال های سنتی تنها به هدرهای بسته نگاه می کنند، بازرسی بسته عمیق داده های درون خود بسته را بررسی می کند و کاربران را قادر می سازد تا به صورت مؤثرتری بسته های با داده های مخرب را شناسایی، دسته بندی یا متوقف کنند. 

فایروال های پروکسی

ترافیک شبکه را در سطح برنامه فیلتر می کنند. بر خلاف فایروال های پایه، پراکسی مثل یک واسطه بین دو سیستم پایانی عمل می کند.

سرویس گیرنده باید درخواستی را به فایروال بفرستد، درخواست در برابر مجموعه ای از قوانین امنیتی ارزیابی می شود و سپس مجاز یا مسدود می شود.

از همه مهم تر، فایروال های پروکسی، ترافیک را برای پروتکل های لایه ۷ مانند HTTP و FTP نظارت می کنند و از هر دو بازرسی بسته دولتی و عمیق برای تشخیص ترافیک مخرب استفاده می کنند.

فایروال های ترجمه آدرس شبکه (NAT)

به چندین دستگاه با آدرس های شبکه مستقل اجازه می دهند تا با استفاده از یک آدرس آی پی واحد به اینترنت متصل شوند و آدرس های آی پی فردی را پنهان نگه دارند.

در نتیجه مهاجمانی که شبکه ای را برای آدرس های آی پی اسکن می کنند نمی توانند جزئیات خاصی را ضبط کنند و امنیت بیشتری را در برابر حملات فراهم کنند.

فایروال های NAT مشابه فایروال های پروکسی هستند که در آن به عنوان واسطه ای بین گروهی از رایانه ها و ترافیک خارج عمل می کنند.

فایروال های (SMLI)

بسته ها را در لایه ی Network, Transport , application ، با بسته های شناخته شده مقایسه می کند.

SMLI نیز مانند فایروال های NGFW کل بسته را بررسی می کند و تنها در  صورتی به آن ها اجازه عبور می دهد که هر بسته را به صورت انفرادی عبور دهند.

این فایروال ها بسته ها را بررسی می کنند تا وضعیت ارتباطات  را بررسی کنند تا اطمینان حاصل کنند که تمام ارتباطات آغاز شده تنها با منابع مورد اعتماد در حال وقوع است.