8 نوع فایروال توضیح داده شده است

همه عملکرد اصلی یک فایروال را درک می کنند - محافظت از شبکه شما در برابر بدافزارها و دسترسی غیرمجاز. اما جزئیات دقیق نحوه عملکرد فایروال ها کمتر شناخته شده است.

فایروال(firewall) دقیقا چیست؟ انواع مختلف فایروال ها چگونه کار می کنند؟ و شاید مهمتر از همه – کدام نوع فایروال بهترین است؟

فایروال 101

به عبارت ساده(Simply) ، فایروال فقط یک نقطه پایانی شبکه است. چیزی که آن را خاص می کند توانایی آن در رهگیری و اسکن ترافیک ورودی قبل از ورود به شبکه داخلی است که مانع از دسترسی عوامل مخرب می شود.

تأیید اعتبار هر اتصال، پنهان کردن IP مقصد از دید هکرها، و حتی اسکن محتوای هر بسته داده - فایروال ها همه این کارها را انجام می دهند. فایروال به نوعی به عنوان یک پست بازرسی عمل می کند و نوع ارتباطی که وارد می شود را به دقت کنترل می کند.

فایروال های فیلترینگ بسته ها

فایروال های فیلتر کننده بسته ساده ترین و کم مصرف ترین فناوری فایروال موجود هستند. در حالی که این روزها مورد استفاده قرار نگرفته است، اما آنها جزء اصلی محافظت از شبکه در رایانه های قدیمی بودند.

یک فایروال فیلتر کننده بسته در سطح بسته عمل می کند و هر بسته ورودی را از روتر شبکه اسکن می کند. اما در واقع محتویات بسته های داده را اسکن نمی کند - فقط سربرگ آنها. این به فایروال اجازه می دهد تا متادیتا مانند آدرس مبدا و مقصد، شماره پورت و غیره را تأیید کند.

همانطور که ممکن است حدس بزنید، این نوع فایروال چندان موثر نیست. تمام کاری که یک فایروال فیلتر بسته می تواند انجام دهد این است که ترافیک غیرضروری شبکه را طبق لیست کنترل دسترسی کاهش دهد. از آنجایی که خود محتویات بسته بررسی نمی شود، بدافزار همچنان می تواند وارد شود.

دروازه های سطح مدار

یکی دیگر از راه‌های کارآمد برای تأیید مشروعیت اتصالات شبکه، یک دروازه در سطح مدار است. به جای بررسی سرصفحه های بسته های داده فردی، یک دروازه در سطح مدار خود جلسه را تأیید می کند.

بار دیگر، فایروالی مانند این از طریق محتویات خود انتقال نمی رود و آن را در برابر حملات مخرب آسیب پذیر می کند. همانطور که گفته شد، تأیید اتصالات پروتکل کنترل انتقال(Transmission Control Protocol) ( TCP ) از لایه نشست های مدل OSI ، منابع بسیار کمی را می طلبد، و می تواند به طور موثر اتصالات شبکه نامطلوب را قطع کند.

به همین دلیل است که دروازه‌های سطح مدار اغلب در اکثر راه‌حل‌های امنیتی شبکه، به‌ویژه فایروال‌های نرم‌افزاری تعبیه می‌شوند. این دروازه‌ها همچنین با ایجاد اتصالات مجازی برای هر جلسه، آدرس IP کاربر را پنهان می‌کنند.

فایروال های بازرسی دولتی

هم فایروال Packet-Filtering(Packet-Filtering Firewall) و هم Circuit Level Gateway پیاده سازی فایروال بدون حالت هستند. این بدان معنی است که آنها بر روی یک مجموعه قوانین ثابت عمل می کنند و کارایی آنها را محدود می کنند. هر بسته (یا جلسه) به طور جداگانه بررسی می شود، که اجازه می دهد فقط بررسی های بسیار اساسی انجام شود.

از طرف دیگر، یک فایروال بازرسی(Inspection Firewall)  Stateful وضعیت اتصال را به همراه جزئیات هر بسته ارسال شده از طریق آن پیگیری می کند. با نظارت بر دست دادن TCP در طول مدت اتصال، یک فایروال بازرسی وضعیت می‌تواند جدولی حاوی آدرس‌های IP و شماره پورت مبدا و مقصد را گردآوری کند و بسته‌های دریافتی را با این مجموعه قوانین پویا مطابقت دهد.

به همین دلیل، عبور از بسته‌های داده مخرب از کنار فایروال بازرسی وضعیت دشوار است. از طرف دیگر، این نوع فایروال هزینه منابع سنگین تری دارد، عملکرد را کاهش می دهد و فرصتی برای هکرها ایجاد می کند تا از حملات انکار سرویس(Denial-of-Service) توزیع شده ( DDoS ) علیه سیستم استفاده کنند.

فایروال های پروکسی

فایروال‌های (Better)پروکسی(Proxy Firewalls) که بیشتر به عنوان دروازه‌های سطح برنامه(Application Level Gateways) شناخته می‌شوند ، در لایه جلویی مدل OSI - لایه برنامه، کار می‌کنند. به عنوان لایه نهایی که کاربر را از شبکه جدا می کند، این لایه امکان بررسی کامل و پرهزینه ترین بسته های داده را با هزینه عملکرد فراهم می کند.

مشابه دروازه‌های سطح مدار(Circuit-Level Gateways) ، فایروال‌های پروکسی(Proxy Firewalls) با واسطه‌گری بین میزبان و مشتری کار می‌کنند و آدرس‌های IP داخلی پورت‌های مقصد را مبهم می‌کنند. علاوه بر این، دروازه‌های سطح برنامه یک بازرسی بسته عمیق را انجام می‌دهند تا اطمینان حاصل کنند که هیچ ترافیک مخربی نمی‌تواند از آن عبور کند.

و در حالی که همه این اقدامات به طور قابل توجهی امنیت شبکه را افزایش می دهد، ترافیک ورودی را نیز کاهش می دهد. عملکرد شبکه(Network) به دلیل بررسی های منابع فشرده انجام شده توسط فایروال حالت دار مانند این ضربه می زند، و آن را برای برنامه های کاربردی حساس به عملکرد مناسب نمی کند. 

فایروال های NAT

در بسیاری از تنظیمات محاسباتی، کلید اصلی امنیت سایبری تضمین یک شبکه خصوصی است که آدرس‌های IP فردی دستگاه‌های مشتری را از هکرها و ارائه‌دهندگان خدمات پنهان می‌کند. همانطور که قبلاً دیدیم، این کار را می توان با استفاده از یک فایروال پروکسی(Proxy) یا یک دروازه سطح مدار انجام داد.

یک روش بسیار ساده‌تر برای پنهان کردن آدرس‌های IP استفاده از فایروال (Firewall)ترجمه آدرس شبکه(Network Address Translation) ( NAT ) است. فایروال های NAT(NAT) برای کار کردن به منابع سیستم زیادی نیاز ندارند و این باعث می شود بین سرورها و شبکه داخلی مورد استفاده قرار گیرند.

فایروال های برنامه کاربردی وب

فقط فایروال‌های شبکه(Network Firewalls) که در لایه برنامه کار می‌کنند می‌توانند اسکن عمیق بسته‌های داده را انجام دهند، مانند فایروال پروکسی(Proxy Firewall) یا بهتر است بگوییم فایروال برنامه وب(Web Application Firewall) ( WAF ).

یک WAF(WAF) که از داخل شبکه یا میزبان کار می‌کند، تمام داده‌های ارسال شده توسط برنامه‌های مختلف وب را مرور می‌کند و مطمئن می‌شود که هیچ کد مخربی از آن عبور نمی‌کند. این نوع از معماری فایروال در بازرسی بسته ها تخصص دارد و امنیت بهتری نسبت به فایروال های سطحی فراهم می کند.

فایروال های ابری

فایروال های سنتی، هم فایروال های سخت افزاری و هم نرم افزاری، مقیاس خوبی ندارند. آنها باید با در نظر گرفتن نیازهای سیستم نصب شوند، یا بر عملکرد پرترافیک متمرکز شوند یا امنیت ترافیک شبکه کم.

اما فایروال(Cloud Firewalls) های ابری بسیار انعطاف پذیرتر هستند. این نوع فایروال که از ابر به عنوان یک سرور پراکسی مستقر شده است، ترافیک شبکه را قبل از ورود به شبکه داخلی رهگیری می کند، هر جلسه را مجاز می کند و هر بسته داده را قبل از ورود به آن تأیید می کند.

بهترین بخش این است که چنین فایروال هایی را می توان در صورت نیاز از نظر ظرفیت کم و زیاد کرد و با سطوح مختلف ترافیک ورودی تنظیم کرد. به عنوان یک سرویس مبتنی بر ابر ارائه می شود، به سخت افزار نیاز ندارد و توسط خود ارائه دهنده خدمات نگهداری می شود.

فایروال های نسل بعدی

نسل بعدی می تواند یک اصطلاح گمراه کننده باشد. همه صنایع مبتنی بر فناوری دوست دارند چنین کلماتی را مطرح کنند، اما واقعاً چه معنایی دارد؟ چه نوع ویژگی هایی یک فایروال را واجد شرایط در نظر گرفتن نسل بعدی می کند؟

در حقیقت، هیچ تعریف دقیقی وجود ندارد. به طور کلی، می‌توانید راه‌حل‌هایی را که انواع مختلف فایروال‌ها را در یک سیستم امنیتی کارآمد ترکیب می‌کنند، به عنوان فایروال نسل بعدی(Next-Generation Firewall) ( NGFW ) در نظر بگیرید. چنین فایروال قادر به بازرسی عمیق بسته ها است و در عین حال از حملات DDoS(DDoS) جلوگیری می کند و یک دفاع چندلایه در برابر هکرها ارائه می دهد.

اکثر فایروال های نسل بعدی اغلب چندین راه حل شبکه مانند VPN ها(VPNs) ، سیستم های پیشگیری از نفوذ(Intrusion Prevention Systems) ( IPS ) و حتی یک آنتی ویروس را در یک بسته قدرتمند ترکیب می کنند. ایده ارائه یک راه حل کامل است که انواع آسیب پذیری های شبکه را برطرف می کند و امنیت شبکه را تضمین می کند. برای این منظور، برخی از NGFW ها می توانند ارتباطات (NGFWs)لایه سوکت ایمن(Secure Socket Layer) ( SSL ) را نیز رمزگشایی کنند و به آنها اجازه دهند تا حملات رمزگذاری شده را نیز متوجه شوند.

کدام نوع (Type)فایروال(Firewall) برای محافظت از شبکه شما(Your Network) بهترین است ؟

نکته ای که در مورد فایروال ها وجود دارد این است که انواع مختلف فایروال از روش های مختلفی برای محافظت از شبکه استفاده می(protect a network) کنند.

ساده‌ترین فایروال‌ها فقط جلسات و بسته‌ها را تأیید می‌کنند و هیچ کاری با محتویات انجام نمی‌دهند. فایروال های دروازه(Gateway) همه چیز در مورد ایجاد اتصالات مجازی و جلوگیری از دسترسی به آدرس های IP خصوصی هستند. فایروال های Stateful اتصالات را از طریق دست دادن (Stateful)TCP خود پیگیری می کنند و یک جدول حالت با اطلاعات ایجاد می کنند.

سپس فایروال های نسل بعدی(Next-Generation) وجود دارند که تمامی فرآیندهای فوق را با بازرسی بسته های عمیق و مجموعه ای از دیگر ویژگی های حفاظت از شبکه ترکیب می کنند. واضح است که بگوییم یک NGFW بهترین امنیت ممکن را برای سیستم شما فراهم می کند، اما این همیشه پاسخ درستی نیست.

بسته به پیچیدگی شبکه و نوع برنامه‌های در حال اجرا، سیستم‌های شما ممکن است با راه‌حل ساده‌تری که در مقابل رایج‌ترین حملات محافظت می‌کند، بهتر باشد. بهترین ایده ممکن است این باشد که فقط از یک سرویس فایروال Cloud شخص ثالث(third-party Cloud firewall) استفاده کنید و تنظیمات دقیق و نگهداری فایروال را به ارائه دهنده سرویس تخلیه کنید.



کرشمه رنجبر

About the author

من یک توسعه دهنده آیفون و macOS هستم که در هر دو ویندوز 11/10 و جدیدترین پلتفرم iOS اپل تجربه دارم. با بیش از 10 سال تجربه، درک عمیقی از نحوه ایجاد و مدیریت فایل ها در هر دو سیستم عامل دارم. مهارت‌های من فراتر از ساختن فایل‌ها است - من همچنین دانش قوی درباره محصولات اپل، ویژگی‌های آنها و نحوه استفاده از آنها دارم.


Related posts