عموما کسانیکه با دنیای اینترنت در ارتباط هستند واژه فایروال یا دیوار آتش را شنیده اند. هنگامیکه از بستر اینترنت و شبکه برای برقراری ارتباط با سیستمها و اشخاص دیگر استفاده میکنید،به طور ناخواسته سیستم و تمامی اطلاعات شما در معرض انواع تهاجمات قرار میگیرد. یکی از ابزارهایی که در چنین شرایطی برای حفظ امنیت اطلاعات به کار گرفته میشود، لایسنس فایروال سیسکو می باشد.
لایسنس فایروال سیسکو (Cisco Firewall License) به سیستمی گفته میشود که با استفاده از لایسنس Cisco، شبکه و یا کامپیوتر شخصی شما را در برابر نفوذ مهاجمین، دسترسیهای غیرمجاز، ترافیکهای مخرب و حملات هکرها محافظت میکند. این فایروال با استفاده از قابلیتهای پیشرفتهای که در لایسنس سیسکو وجود دارد، میتواند بستههایی را در بین شبکهها ردوبدل و تعیین مسیر (Route) کند. همچنین قادر است ترافیک ورودی (Inbound) و همچنین ترافیک خروجی (Outbound) را رهبری و فیلتر کند. در حقیقت، همه ترافیکی که وارد آن میشود و هرکدام به یک شبکه وصل هستند را دریافت میکند، و آن را با معیارهای تعیینشده بر روی خود مقایسه میکند و بر اساس این معیارها تصمیم میگیرد.
یکی از مهمترین فاکتورهای این محصول خصوصیت كنترل دستيابی آن است كه ترافيک سالم و ناسالم را از یکدیگر تفکیک میکند. برخی از فایروال ها سخت افزاری و برخی دیگر نرم افزاری هستند:
این نوع از محصولات، که شامل لایسنس فایروال سیسکو میشوند، به صورت نرم افزاری هستند و بر روی سیستم عامل نصب میشوند. فایروال نرم افزاری با استفاده از لایسنس فایروال سیسکو، توانایی کنترل ترافیک شبکه را در لایههای محدودی دارد. این به این معناست که توانایی کنترل تنها بخشی از لایههای شبکه که به سیستم عامل مربوط میشود را دارد و قادر به کنترل ترافیک قبل از رسیدن به سیستم عامل نیست. استفاده از لایسنس فایروال سیسکو در این نوع محصولات، امکانات و قابلیتهای امنیتی پیشرفتهای را فراهم میآورد که به بهبود کارایی و امنیت شبکه کمک میکند.
فایروال هایی نظیر Windows، Comodo، CSF، Symantec، Internet Security و … همگی در این مجموعه قرار دارند. نکته قابل توجه در این نوع فایروال ها این است که می بایست عملکرد بسیار مناسبی در مقابل درخواست های نرم افزاری داشته باشد. این مورد علاوه بر ساختار نرم افزار به پیکربندی داخلی آن نیز ارتباط دارد، زیرا در غیر اینصورت و در صورت عدم وجود ساختار و پیکربندی مناسب به راحتی می توان آنرا با درخواست های متعدد کنار زد و در حالت Overload قرار داد. فایروال نرم افزاری در مدل OSI و TCP/IP تنها در Application Layer قادر به کار خواهد بود.
فایروالهای سختافزاری، که اغلب با استفاده از لایسنسهایی مانند Cisco Firewall License مدیریت میشوند، نوع دیگری از فایروالها هستند. این فایروالها در بستر شبکه و در مسیر روتر یا بر روی آن نصب میشوند. این مدل فایروالها، برخلاف فایروالهای نرمافزاری، در لایههای ابتدایی عملکرد بسیار مناسبی دارند و در صورت داشتن کارایی لازم، با استفاده از قابلیتهای ارائه شده، موجب میشوند ترافیک سالمی به سیستمها و فایروالهای نرمافزاری برسد.
باید توجه داشت که فایروال سخت افزاری قادر نیست بصورت کامل جزئیات بسته های موجود در شبکه را بررسی کند، به همین جهت وجود و استفاده از ترکیب های سخت افزاری و نرم افزاری در سطح شبکه به منظور تامین امنیت شبکه ضروری می باشد، فایروال سخت افزاری عملکرد بسیار مناسبی در لایه های انتقال و شبکه دارد. به اینصورت که با بهره گیری از ابزارهای سخت افزاری مناسب می توان تا حد بالایی از کیفیت و پایداری شبکه اطمینان حاصل کرد. در میان فایروال های سیسکو، میتوان از سری فایرپاور 2100، 4100، 9300 سیسکو نام برد.
این دسته از فایروال ها را میتوان بصورت ماشین مجازی برروی هایپروایزرهای مختلف راه اندازی کرد و از مزایای آنها درون شبکه بهره برد. در این دسته مشتریان میتوانند از فایروال FTDv سیسکو نام برد.
امروزه در طراحی فایروال ها درون سازمان ها میتوان از موارد زیر بهره برد:
Stateful packet filtering یکی از مهمترین تکنولوژی هایی است که در فایروال های امروزی استفاده می شود. به این خاطر آن را stateful می نامند که وضعیت session های موجود که از طریق فایروال برقرار شده است را به خاطر می سپارد. به همین خاطر stateful نامیده می شود. به صورت پیش فرض، فایروال اجازه ورود هیچ ترافیکی را از شبکه خارجی به شبکه داخلی نمی دهد اما برای ترافیک بازگشتی که مشخصات آن با اطلاعات دیتابیس stateful برابری می کند استثاء قائل می شود.
در تعریف دیگر، تنها ترافیکی اجازه ورود به شبکه داخلی را دارد که از طریق شبکه داخلی برای آن درخواست شده باشد. به این شکل، ترافیک درخواستی کاربران شبکه داخلی به دست آنها میرسد و از سوی دیگر، ترافیکهای ناخواسته مانند ترافیکهای ارسالی توسط مهاجم وارد شبکه داخلی ما نخواهد شد. در واقع، این نوع فایروالها که ممکن است با استفاده از لایسنس فایروال سیسکو مدیریت شوند، یکی از سادهترین و معمولیترین انواع آنها هستند.
در این firewall ها داده های خام به عنوان frame یا packet وارد شبکه می شوند و بسته ها براساس پروتکل، پورت یا آدرس مبدا و مقصد از کارت شبکه عبور می کنند یا در آن block می شوند.به عبارتی در این مدل، فایروال آدرس مبدا و مقصد هر بسته را چک می کند، در صورتی که آن آدرس با پروتکل، پورت و آدرس هایی که برایش غیر مجاز تعریف شده است ارتباطی نداشته باشد بسته اجازه خروج یا ورود را دارد، اما اگر ارتباط داشت یا آنها را دور می اندازد و یا به مبدایی که از آنجا می آیند پیغام خطایی جهت عدم ارسال بسته می فرستد. همانطور که پیداست این نسل از فایروال ها تنها با لایه های اول OSI، برای به دست آوردن IP ها سروکار دارند.
دسته دوم از فایروال ها به نسبت دسته اول پیشرفته تر می باشند.این دسته در لایه ی session مدل OSI کار می کنند و به عنوان واسط بین لایه کاربرد و لایه ی انتقال TCP/IP عمل می کنند و ترافیک شبکه را براساس آدرس و پورتها در لایه ی session فیلتر می کنند. زمانی که یک کامپیوتر تصمیم به برقراری ارتباط ( ایجاد session ) با کامپیوتری دیگر در خارج از شبکه میگیرد، gateway اطلاعات مربوط به این ارتباط را بررسی و چک می کند که این ارتباط بر اساس آدرس و شماره پورتش در شبکه مجاز است یا نه، سپس آن را به کامپیوتر مقصد میفرستد.
تازمانی که gateway ارتباط را مجاز نداند،هیچ گونه دیتایی منتقل نمی شود. زمانی که دیتایی از gateway عبور می کند،کامپیوتر مقصد آدرس gateway را می بیند نه کامپیوتری که از آن دیتا ارسال شده است.امنیت فایروال های Circuit Level Gateways به نسبت دسته قبلی بالاتر می باشد، چرا که به عنوان مثال پس از ارسال اطلاعات به خارج از شبکه، زمانی که همچنان یک session باز داریم،اگر به داخل شبکه نیز ارتباطی داشته باشیم،باز هم تنها پورتها و اطلاعات مجاز به ورود به داخل شبکه باز می شوند. همچنین از ورود ترافیک بی مورد به داخل شبکه نیز جلوگیری می کنند. NAT مثالی از circuit level gateway است.
این نوع لایسنس فایروال سیسکو (Cisco Firewall License) معمولا به عنوان سیستم میانی بین سیستم شما و اینترنت قرار میگیرد و درخواستهای شما را دریافت و به جای اینکه شما مستقیم به اینترنت دسترسی داشته باشید خود Data مورد درخواست شما را ارسال و جواب را از Server گرفته و پس از بررسی و صحت دادهها به سمت شما ارسال میکند و اگر کسی قبلا این دادهها را درخواست کرده باشد به جای اینکه دوباره به Server مراجعه کند میتواند با قابلیت نگهداری از درخواستهای قبلی از Data ذخیرهشده در حافظه خود به شما پاسخ دهد. به این ترتیب سرعت پاسخگویی شبکه شما را افزایش میدهد. همانگونه که از نام این مورد پیداست در لایه Application مدل OSI فعالیت میکند.
فایروال Stateful Inspection مثل یک دستگاه حافظهدار است که ترافیک اینترنت رو نظارت میکند. این فایروال بررسی میکند که کدام ارتباطها معتبر هستند و سایر ارتباطهای نامعتبر یا مشکوک را مسدود میکند. به این ترتیب، امنیت شبکه بهتر حفظ میشود. در ادامه به بررسی قابلیتهای فایروال Stateful Inspection میپردازیم:
شرکت افزار پرداز هوشمند سورنا به عنوان بزرگترین تامین کننده لایسنس شبکه و امنیت در کشور افتخار خدمت رسانی به طیف وسیعی از مشتریان بانکی، دولتی، خصوصی را داشته و همراه رسالت و هدف خود را تامین لایسنس بروز ترین و قوی ترین محصولات دنیا در حوزه شبکه و امنیت با پایین ترین قیمت و کمترین زمان تحویل می داند.
تمامی حقوق برای شرکت سورنا محفوظ میباشد.
هیچ محصولی در سبد خرید نیست.