www.setakit.com

چگونه می توان یک سیستم شبکه ایمن ایجاد کرد
در سیستم ارتباطات و شبکه های امروزی، استفاده از اینترنت تقریبا در همه بخش ها تکامل یافته است. رشد نرخ استفاده از اینترنت، علاوه بر این که مزایایی به همراه داشته ، باعث سهولت در ارتباطات روزمره با اهداف شخصی و سازمانی شده است. از طرف دیگر باعث به وجود آمدن مشکلاتی از قبیل مسائل امنیتی و هک شدن نیز شده است. از این رو، وجود دستگاهی تحت عنوان فایروال به منظور محافظت از رایانه شخصی و داده های سازمان جهت مقابله با این تهدیدات امنیتی، امری ضروری و غیر قابل اجتناب می باشد.

فایروال یا دیوار آتش
معرفی فایروال
به عبارت ساده، فایروال ها جهت ایمن سازی فرایند ارتباطی بین شبکه های مختلف، طراحی شده اند. فایروال یک نرم افزار و یا یک سخت افزار می باشد که داده ها را از شبکه های مختلف بررسی می نماید و سپس یا آن ها را مجاز در نظر می گیرد یا اجازه ارتباط با شبکه شما را نمی دهد. این فرایند توسط مجموعه ای از دستورالعمل های امنیتی از پیش تعریف شده، اداره می شود. در این مقاله آموزشی، به بررسی جنبه های مختلف فایروال و کاربردهای ان می پردازیم.

فایروال چیست
یک فایروال دستگاه یا ترکیبی از سیستم های مختلف می باشد که بر جریان ترافیک بین بخش های متمایز شبکه نظارت می کند. یک فایروال به منظور محافظت از شبکه در مقابل تهدیدات و همچنین ممانعت از آن ها در سطوح از پیش تعیین شده استفاده می گردد. فایروال نه تنها جهت امنیت سیستم  در مقابل تهدیدات خارجی استفاده می شود، بلکه در مقابل تهدیدات داخلی نیز، امنیت را برقرار می نماید.

مشخصات یک فایروال خوب
یک فایروال خوب می بایست به تنهایی برای مقابله با تهدیدات داخلی و خارجی کافی باشد و قادر به مقابله با نرم افزارهای مخرب مانند worm هایی که به شبکه دسترسی پیدا می کنند، باشد. در ضمن باید سیستم شما را به هنگام ارسال غیر مجاز داده ها، متوقف نماید. به عنوان مثال، فایروال همیشه بین یک شبکه خصوصی و اینترنت که یک شبکه عمومی است، وجود دارد؛ بنابراین ورودی ها و خروجی ها را بارزسی و فیلتر می نماید.

به یاد داشته باشید انتخاب یک فایروال با دقت بالا به منظور ایجاد امنیت در سیستم، بسیار حائز اهمیت می باشد.

فایروال ها، امنیت دستگاه ها را از طریق مجاز شمردن یا محدود کردن ترافیک شبکه، تاییدیه، تغییر آدرس و امنیت محتوا فراهم می نمایند. فایروال ها، امنیت را به صورت کاملا مستمر و شبانه روزی ضمانت می نمایند؛ پس می توان گفت برای سازمان ها به نوعی سرمایه گذاری محسوب می شود و دیگر هیچ نگرانی در صورت بروز تهدیدات وجود ندارد.

شرکت ستاک فناوری ویرا، فایروال های کمپانی فورتی نت با نام فورتی گیت، فورتی وب و فورتی آنالایزر را که در حوزه امنیت، جایگاه بسیار بالایی را برای سال ها از آن خود کرده است، به کاربران توصیه می نماید. این فایروال ها به عنوان تجهیزات بسیار قدرتمند، از محبوبیت بسیار بالایی برخوردار هستند. کمپانی فورتی نت، محصولات متنوعی را بر اساس نیازهای مختلف سازمان ها در مقیاس های مختلف ارائه نموده است.

فایروال نرم افزاری یا سخت افزاری

یک فایروال سخت افزاری از کل شبکه یک سازمان فقط در برابر تهدیدات خارجی محافظت می نماید. چنانچه کارمندی در یک سازمان، با لپ تاپ شخصی خود به شبکه وصل شود، دیگر نظارت و امنیتی وجود نخواهد داشت.

از سوی دیگر، فایروال نرم افزاری در صورتی که بر روی تمامی دستگاه هایی که به شبکه متصل می شود، نصب شده باشد، امنیت host-based را برقرار می نماید؛ در نتیجه سیستم را در مقابل خطرات خارجی و داخلی محافظت می نماید.

اجزا سیستم فایروال
اجزا اصلی یک سیستم فایروال به قرار زیر می باشد:

Perimeter router
Firewall
safe tunnels
IDS
1- Perimeter router

دلیل اصلی استفاده از آن ایجاد یک لینک به سیستم شبکه عمومی مانند اینترنت یا یک سازمان متمایز می باشد. این مسیر یابی بسته های داده را با دنبال کردن یگ پروتکل مسیریابی مناسب انجام می دهد. در ضمن می توان اطلاعاتی در مورد فیلترینگ دیتاها و آدرس ها به دست آورد.

2- firewall

همان طو که گفته شد وظیفه اصلی آن، فراهم کردن سطح مشخصی از امنیت و نظارت بر ترافیک بین سطوح مختلف می باشد. بیشتر فایروال ها به منظور ایجاد امنیت در برابر تهدیدات خارجی، در نزدیکی router قرار دارند، اما گاهی هم به منظور ایجاد امنیت در برابر تهدیدات داخلی در شبکه داخلی قرار دارد.

3- safe tunnels

وظیفه اصلی آن ایجاد ارتباط امن بین دو دستگاه، دو شبکه یا بین شبکه و دستگاه می باشد و شامل رمزگذاری، احراز هویت و اطمینان از packet-reliability است. دسترسی از راه دور ایمن مربوط به شبکه را فراهم می نماید در نتیجه، ارتباط بین دو شبکه WAN  با هم را برقرار می کند، بدون این که به صورت فیزیکی به هم وصل شده باشند.

4- IDS

عملکرد آن شناسایی، پیشگیری، تحقیق و رفع حملات غیر مجاز می باشد. یک هکر به روش های مختلفی می تواند به یک شبکه حمله کند. IDS راه حلی های امنیتی هشمندانه ای جهت مقابله با انواع مختلف حمله ارائه می دهد.  IDS دو نوع راه حل ارائه می دهد: network-based و host-based

راه حل network-based باید تا حدی ماهرانه باشد که اگر حمله ای مشاهده شد، توان دسترسی به سیستم فایروال را داشته باشد و پس از لاگین شدن بتواند حملات ناخواسته را مسدود نماید.

راه حل host-based نوعی نرم افزار است که بر روی دستگاه میزبان مانند لپ تاپ یا سرور اجرا می شود و تهدید را فقط در مورد آن دستگاه نشان می  دهد. بهتر است راه حل های IDS تهدیدات شبکه را از نزدیک مورد بررسی قرار دهد و به موقع گزارش دهد و همچنین اقدامات لازم در مقابل حملات را انجام دهد.

قرارگیری اجزا و مولفه های فایروال
پیشتر در مورد اجزا اصلی سیستم فایروال صحبت کرده ایم. حال قصد داریم در مورد تحوه قرارگیری این اجزا توضیح دهیم.

در این قسمت به کمک یک مثال طراحی شبکه نشان داده می شود. اما نمی توان گفت این یک شبکه ایمن می باشد، زیرا هر شبکه محدودیت های خاص خودش را دارد.

perimeter router دارای یک سری ویژگی های فیلترینگ اساسی می باشد که به هنگام نفوذ به شبکه، مورد استفاده قرار می گیرد. در شرایطی که perimeter router توان فیلترینگ را نداشته باشد، یکی از اجزاء IDS به منظور شناسایی حملات قرار داده می شود.  در نتیجه، ترافیک از طریق فایروال عبور می کند. فایروال اقدام به سه سطح امنیتی می نماید: سطح پایین برای اینترنت به معنای سمت بیرونی، سطح متوسط برای  DMZ و سطح بالا برای شبکه داخلی. بر طبق قوانین، ترافیک تنها از اینترنت به سرور وب مجاز می باشد.

بقیه جریان ترافیک از سمت پایین به سمت بالا، محدود شده است؛ البته جریان ترافیک از سطح بالا به سطح پایین مجاز می باشد، به طوری که می توان گفت ادمین جهت لاگین شدن به سرور DMZ باید وارد شبکه داخلی شود.