یکی از سؤالاتی متداول و رایج در مبحث شبکه مخصوصا امنیت شبکه این است که فایروال چیست؟ و دارای چه کاربردهایی می باشد! اصلاً چرا باید از فایروال استفاده شود؟ انواع آن چیست و نوع سخت افزاری و نرم افزاری آن چه تفاوتی با هم دارد؟ در این مطلب سعی شده است به تمامی سوالات مربوط به فایروال پاسخ داده شود.
راهنمای مطالعه
تعریف فایروال به زبان ساده
فایروال یا به فارسی دیوار آتش به نرمافزار یا سخت افزاری گفته میشود که برای محافظت از سیستمها و شبکهها در برابر حملات امنیتی و جلوگیری از ورود و دسترسیهای غیرمجاز به سیستم و شبکه، استفاده میشود. فایروال با تحلیل ترافیک ورودی و خروجی و به صورت اتوماتیک، تصمیم میگیرد که کدام ترافیک اجازه عبور به داخل شبکه را دارد و کدام ترافیک باید مسدود شود.
فایروال میتواند به صورت سختافزاری یا نرمافزاری پیادهسازی شود و میتواند به صورت مرکزی یا توزیع شده در شبکهها قرار گیرد. این نرمافزارها میتوانند در سطح شبکه و یا در سطح سیستمعامل مورد استفاده قرار گیرند. همچنین فایروال میتواند تنظیمات مختلفی داشته باشد که از جمله آنها میتوان به تعریف قوانین، فیلترینگ بر اساس آدرس IP و پورت، احراز هویت کاربر و یا اجرای محدودیتهای زمانی اشاره کرد.
انواع فایروال
وقتی صحبت از انواع فایروال می شود، ذکر این نکته حائز اهمیت است که فایروال ها را می توان از نظر ساختار، پیکربندی، سطح امنیت و روش استقرار آنها دسته بندی کرد.
سه نوع فایروال بر اساس نحوه استقرار وجود دارد، فایروال سخت افزاری، فایروال نرم افزاری و فایروال مبتنی بر ابر.
هر یک از این روشهای استقرار استراتژیهای متفاوتی را برای امنیت ارائه میدهند و انتخاب هر کدام از آنها بسته به نوع شبکه و ابعاد آن متفاوت میباشد.
همچنین فایروالها بر اساس عملکرد و لایه OSI به 5 دسته کلی تقسیم میشوند. هر یک از این نوع از فایروالها می تواند به عنوان سخت افزار، نرم افزار یا در فضای ابری مستقر شوند.
انواع فایروال بر اساس روش کار به شرح زیر میباشد:
- Packet-Filtering Firewalls
- Circuit-Level Gateways
- Stateful Inspection Firewalls
- Proxy Firewalls
- Next-Generation Firewalls
سه نوع فایروال بر اساس نحوه استقرار و نصب آنها وجود دارد: سخت افزار، نرم افزار و فایروال مبتنی بر ابر. در ادامه هر یک از این استراتژی ها به تفصیل بررسی میشود.
فایروالهای نرمافزاری
فایروالهای نرمافزاری مستقیماً بر روی دستگاه میزبان نصب میشود. این نوع فایروال فقط یک دستگاه (نقطه اتصال شبکه، کامپیوتر شخصی، لپتاپ، سرور و غیره) را حفاظت میکند، بنابراین مدیران باید نسخهای از نرمافزار را بر روی هر دستگاهی که میخواهند حفاظت کنند، نصب کنند.
از آنجا که مدیران یک فایروال نرمافزاری را بر روی یک دستگاه نصب میکنند، این فایروالها به ناچار مقداری از RAM و CPU سیستم را مصرف میکنند، که برای برخی موارد استفاده از آن یک مشکل است.
فایروالهای سختافزاری
فایروال سختافزاری یک دستگاه سختافزاری جداگانه است که ترافیک وارد شونده و خارج شونده از یک شبکه را فیلتر میکند. برخلاف فایروالهای نرمافزاری، این دستگاهها به طور مستقل منابع خود را دارند و از CPU یا RAM دستگاههای میزبان مصرف نمیکنند.
فایروالهای ابری
بسیاری از شرکت های ارائهدهنده خدمات اینترنتی فایروالهای مبتنی بر ابر نیز ارائه میدهند. این خدمات همچنین به عنوان “Firewall-as-Service” شناخته میشوند و به عنوان IaaS یا PaaS اجرا میشوند.
مانند راهکارهای مبتنی بر سختافزار، فایروالهای ابری در امنیت محیطی شبمع عالی عمل میکنند، اما همچنین میتوانید این سیستمها را برای هر میزبان به صورت جداگانه تنظیم کنید.
فایروال بومی
توسعه نرمافزارهای زیربنایی و تخصصی یکی از نیازهای اساسی هر کشور است. در حوزه فناوری اطلاعات، امنیت و شبکه اهمیت بسیاری دارند، زیرا این دو حوزه تمامی صنایع و زیرساختها را تحت پوشش خود قرار میدهند. این اهمیت به دلیل نقش برجسته آنها در تضمین امنیت و عملکرد صحیح سیستمها و شبکهها است. به همین دلیل، کشورها تلاش میکنند تا محصولات و تکنولوژیهای امنیتی بومی خود را توسعه دهند.
در این راستا، یکی از محصولات کلیدی حوزه امنیت، فایروال (دیوار آتش) است که نقش مهمی در محافظت از سیستمها و شبکهها در برابر حملات سایبری ایفا میکند. فایروال بومی به عنوان یک مانع قدرتمند در مقابل هکرها عمل میکنند و جلوی نفوذ آنها به شبکهها و دسترسی به اطلاعات حساس را میگیرند. این شرکتها، با ارائه محصولاتی با قابلیتهای کاربردی برجسته، توانستهاند در حوزه امنیت رقابت کنند و محصولاتی با کیفیت قابل مقایسه با محصولات خارجی تولید کنند.
عملکرد فایروال به چه صورت است؟
فایروال به عنوان یک نرمافزار یا سختافزار، بین شبکه داخلی و شبکه خارجی یا اینترنت قرار میگیرد و ترافیک شبکه را مدیریت میکند. هنگامی که یک بسته داده (packet) در حال ارسال به داخل یا خارج از شبکه است، فایروال آن را بررسی میکند و تصمیم میگیرد که آیا باید آن را از شبکه عبور دهد یا خیر.
برای تصمیمگیری در مورد بستههای داده، فایروال از یک سری قوانین و سیاستهای تعریف شده استفاده میکند که به آنها “قوانین فایروال” یا “Firewall Rules” گفته میشود. این قوانین شامل مجموعهای از شرایط و محدودیتهایی هستند که بر اساس آنها فایروال تصمیم میگیرد که بسته داده باید به داخل شبکه وارد شود و یا مسدود شود.
به عنوان مثال، یک قانون میتواند برای اجازه دادن بستههای داده با پورت 80 وب (HTTP) تعریف شود، در حالی که یک قانون دیگر ممکن است برای ممانعت از ارسال بستههای داده با پورت 22 (SSH) تعریف شود.
علاوه بر قوانین، فایروال میتواند از فیلترینگ پکت (packet filtering)، بستهدهی (packet shaping)، ورودی محدود (input restriction) و خروجی محدود (output restriction) برای مدیریت ترافیک شبکه استفاده کند. این ابزارها به فایروال کمک میکنند تا بتواند بهترین تصمیمها را برای محافظت از شبکه و دادههای حساس شما بگیرد.
فایروال ها به طور کلی در برابر هر یک از بسته ها باید سه عمل زیر را به ترتیب انجام دهند:
بازرسی کنند: ترافیک ورودی و خروجی از شبکه را باید بایت به بایت به دقت بررسی کنند.
تصميم بگیرند: با استفاده از مجموعه قوانین تعریف شده، ترافیک را بررسی و مقایسه کنند، و آن را به عنوان ترافیک مجاز و یا غیرمجاز تفکیک کنند.
عمل کنند: بر اساس نوع ترافیک (مجاز یا غیرمجاز) آن را مسدود کنند یا اجازه عبور به آن بدهند.
خرید فایروال سخت افزاری
برای انتخاب و خرید فایروال مناسب شبکه خود، در ابتدا باید نوع ساختار شبکه خود، حجم ترافیک، نیازمندی های امنیتی و کاربردهای شبکه را مشخص نمایید و سپس به مقایسه و بررسی فایروال های سخت افزاری مناسب بر اساس اطلاعات شبکه بپردازید. بهترین مرجع ها برای مقایسه فایروال های سخت افزاری، گزارشات مؤسسات بینالمللی ارزیابی محصولات است که بصورت بیطرف به بررسی محصولات و مقایسه امکانات آنها میپردازد.
در مرحله آخر نیز پیدا کردن یک فروشنده مناسب که بتواند دستگاه سالم، همراه با گارانتی و پشتیانی برا ارائه دهد، نکته مهم و قابل اهمیتی است.
سایت sophosfirewall.ir، نماینده فایروال سوفوس در ایران میباشد. این سایت یکی از سایتهای مرجع و معتبر خرید فایروالهای سخت افزاری در ایران میباشد. که بهروزترین فایروالهای سخت افزاری را به همراه گارانتی تعویض، لایسنس اصلی، پشتیبانی و آموزش به مشتریان خود ارائه میدهد.