با افزایش تعداد حملات سایبری و تهدیدات امنیتی، وجود راهحلهایی برای محافظت از دادهها، اطلاعات افراد و سازمانها بیش از پیش احساس میشود. یکی از مهمترین راهحل ها در این زمینه، ابزاری به نام فایروال است. فایروال (Firewall) نقش حیاتی در نظارت بر ترافیک ورودی و خروجی شبکهها دارد. در این مقاله به تعریف فایروال میپردازیم و از اهمیت استفاده از آن، نحوه عملکرد و انواع آن خواهیم گفت.
فایروال (Firewall) نرمافزار یا سختافزاری است که برای جلوگیری از دسترسیهای غیرمجاز و تهدیدات امنیتی به شبکه داخلی و سیستمهای کامپیوتری استفاده میشود. فایروال این کار را با استفاده از مجموعهای از قوانین انجام میدهد و تعیین میکند که کدام ترافیک اجازه ورود به شبکه یا خروج از آن را دارد.
در این بخش به برخی از مهمترین دلایل استفاده از فایروال اشاره میکنیم.
در متن زیر نحوه عملکرد فایروال را در پنج مرحله توضیح میدهیم.
مرحلهی اول : تعریف قوانین
مدیر شبکه در این مرحله مجموعهای از قوانین و سیاستها را بر اساس نیازهای امنیتی شبکه خود تعریف میکند. این قوانین شامل مجوزها و ممنوعیتهایی است که بر اساس معیارهایی مانند آدرسهای IP، پورتها، پروتکلها و نوع ترافیک میباشد.
مرحلهی دوم : تجزیه و تحلیل ترافیک توسط فایروال
فایروال ترافیک ورودی و خروجی شبکه را دریافت میکند و ابتدا Header بستههای داده را برای بررسی منبع و مقصد، نوع پروتکل و پورتهای مورد استفاده تحلیل میکند.
مرحلهی سوم : مقایسه با قوانین و سیاست ها و تصمیمگیری
فایروال هر بسته داده را با قوانین و سیاستهایی که تعیین شده، مقایسه میکند و بر اساس تطابق یا عدم تطابق آنها با قوانین، ترافیک را مجاز یا غیرمجاز تشخیص میدهد و به ترافیکهای مجاز اجازه عبور میدهد.
مرحلهی چهارم : اقدامات اضافی
در فایروالهای پیشرفتهتر، ترافیک شبکه ممکن است تحت فیلترهای بیشتری مانند بازرسی عمیق بستهها و یا تحلیل رفتار قرار گیرد.
مرحلهی پنجم : عبورترافیک یا مسدود کردن آن
بستههای دادهای که با قوانین تطابق داشتند و مجاز تشخیص داده شدهاند به مقصد خود ارسال میشوند و بستههای دادهای که غیرمجاز تشخیص داده شدهاند، مسدود میشوند و از دسترسی آنها به شبکه یا سیستم جلوگیری میشود.
فایروالها انواع مختلفی دارند و میتوان آنها را از نظر شیوهی پیادهسازی و قرارگیری و همچنین ویژگیهای عملکردی و کاربردی آنها دسته بندی کرد. ابتدا به توضیح انواع فایروالها بر اساس شیوهی پیادهسازی و قرارگیری آنها میپردازیم.
این نوع فایروالها به صورت نرمافزاری بر روی سیستمعامل سرورها، رایانههای شخصی و دستگاههای دیگر نصب میشوند.
فایروالهای سختافزاری به صورت دستگاههای فیزیکی هستند و معمولاً در نقاط ورودی و خروجی شبکههای بزرگ قرار میگیرند و ترافیک ورودی به شبکه داخلی را فیلتر میکنند.
ابن فایروالها به صورت سرویسهای نرمافزاری در زیرساختهای ابری نصب و اجرا میشوند.
فایروالهای ترکیبی، یا دستگاههای فیزیکی هستند که نرمافزارهای پیشرفتهای دارند و یا نرمافزارهایی هستند که قابلیتهای سختافزاری را شبیهسازی میکنند.
فایروالها را بر اساس ویژگیهای عملکردی و کاربردی میتوان به چهار نوع زیر دسته بندی کرد. هر کدام از این فایروالها مزایا و معایب خود را دارند که در این بخش به اختصار آنها را توضیح دادهایم.
این نوع فایروالها بستههای داده را بر اساس آدرسهای IP منبع و مقصد، پورتها و پروتکلهای مورد استفاده، بررسی کرده و در مورد عبور یا عدم عبور آنها تصمیمگیری میکند. این فایروالها اولین نسل از فایروالها هستند و فیلترینگ را در لایه شبکه و لایه انتقال انجام میدهند. از مزایای این نوع فایروالها میتوان به سرعت پردازش و کم هزینه بودن پیادهسازی و از معایب این نوع فایروالها میتوان به محدودیت در فیلترینگ لایههای بالاتر و عدم تشخیص حملات پیچیدهتر اشاره کرد.
این نوع از فایروالها به عنوان واسطهای بین کاربران و منابعخارجی عمل میکنند و درخواست کاربر ابتدا به این نوع فایروال و سپس توسط پروکسی فایروال به مقصد ارسال میشود. این نوع فایروال به این صورت میتواند ترافیک را به صورت عمیقتر بررسی کرده و امنیت بالاتری را ایجاد کند اما این بررسی عمیقتر ممکن است باعث کاهش سرعت و عملکرد شود.
این نوع از فایروالها علاوه بر بررسی Header بستهها (مانند کاری که فایروالهای مبتنی بر فیلترینگ بسته انجام میدهند)، وضعیت اتصالات (Connection State) را نیز نگه میدارند و این امکان را دارند تا ترافیک مرتبط با یک ارتباط خاص را پیگیری کنند و تصمیمات هوشمندانهتری بگیرند. مزیت فایروالهای حالتمند این است که میتوانند ترافیک غیرمجازی که در بستههای مجاز مخفی شدهاند را شناسایی و مسدود کنند و امنیت بالاتری را نسبت به فایروالهای مبتنی بر فیلترینگ بسته ایجاد کنند. اما این نوع فایروالها هزینه بالاتری نسبت به فایروالهای مبتنی بر بسته دارند و پیادهسازی آنها نیز پیچیدهتر است.
این فایروالها علاوه بر فیلترینگ بستهها و نگهداری وضعیت اتصالات از تکنیکهای پیشرفتهتری مانند بازرسی عمیق بستهها (Deep Packet Inspection)، سیستمهای تشخیص و جلوگیری از نفوذ (IDS/IPS) و تحلیل رفتار ترافیک استفاده میکنند. این نوع از فایروالها امکانات و قابلیتهای پیشرفتهای دارند و امنیت بسیار بالایی رو ایجاد میکنند.
همانطور که مانیتورینگ شبکه اهمیت دارد، مانیتورینگ فایروالها نیز به عنوان یکی از اجزای اصلی شبکه مهم و حیاتی میباشد. با مانیتورینگ مداوم فایروالها و بررسی شاخصهای عملکرد و کارایی آنها، میتوان از سلامت و عملکرد فایروالها اطمینان حاصل کرد و مطمئن شد که وظایف خود را به درستی انجام میدهند و امنیت شبکه برقرار است.
در حال حاضر پلتفرم مانیتورینگ معین با استفاده از پروتکل SNMP با فایروالها و تجهیزات امنیتی برندهای Fortinet، Sophos، F5 و Cisco ارتباط برقرار میکند و شاخصهای مختلف آنها را مانیتور میکند. شما میتوانید برای مشاهدهی شاخصهای قابل مانیتور هر برند بر روی اسم هر برند کلیک کنید.