فایروال چیست؟ تعریف، بررسی و آشنایی بیشتر با انواع آن

فایروال چیست؟

امروزه استفاده از اینترنت بسیار رایج شده است و تقریبا در هر زمینه ای از آن استفاده می‌شود. بانکداری، تجارت الکترونیک، مهندسی، مطالعات اجتماعی، تحقیقات، فناوری اطلاعات، تاریخ و غیره. اینترنت به ضروری‌ترین بخش زندگی ما تبدیل شده است و ما حتی نمی‌توانیم کارهای روزمره خود را بدون استفاده از اینترنت انجام دهیم. اهمیت روزافزون آن و همچنین از آنجایی که استفاده از اینترنت بسیار زیاد است، باعث برانگیخته شدن نگرانی‌های امنیتی شده است زیرا تمام سیستم‌های بانکی روی اینترنت کار می‌کنند و تمام تراکنش‌ها از طریق اینترنت انجام می‌شود. بنابراین، امنیت شبکه را هرگز نمی‌توان نادیده گرفت، چرا که شبکه باید از امنیت بالایی برخوردار باشد تا کاربران بیشتری بتوانند آزادانه در اینترنت فعالیت کنند. دستگاهی که برای امنیت رابط شبکه استفاده می‌شود فایروال (Firewall) نامیده می‌شود. همچنین بهتر است بدانیم روی رایانه‌ها و سایر دستگاه‌های ارتباطی مانند روترها بهتر کار می‌کند که این مساله می‌تواند از فعالیت مشکوک کاربران جلوگیری کند. فایروال یک جزء شناخته شده یا یک سیستم است که در بین دو دستگاه شبکه قرار می‌گیرد که از ویژگی‌های زیر برخوردار است:

• ترافیک عمومی و خصوصی از طریق policy‌های (policy) فایروال منتقل می‌شود.
• در این سیستم policy، امنیت تایید شده می‌تواند به راحتی اجازه عبور از تنظیمات فایروال را بدهد.

فایروال نمی‌تواند ویژگی‌های داخلی خود را تغییر دهد. زیرا به عنوان مانع امنیتی در داخل کامپیوتر شناخته می‌شود و برای جلوگیری از دسترسی غیرمجاز یا فعالیت مشکوک در داخل شبکه خصوصی طراحی شده است. به همین دلیل، فایروال می‌تواند به راحتی به سخت افزار و نرم افزار دسترسی داشته باشد. فایروال به طور مداوم بر روی رایانه‌هایی که از طریق اینترنت متصل هستند کار می‌کند و شبکه  را از فعالیت یا دسترسی غیرمجاز محافظت می‌کند و مانع دسترسی غیر مجار کاربرانی که قصد خرابکاری دارند می‌شود. همانطور که نشان داده شده است داده ها می توانند از طریق اینترنت به صورت packet (packet) حرکت کنند. فایروال این اختیار را دارد که این نوع packet‌ها (packet) را اسکن کند و آن‌ها را تجزیه و تحلیل کرده و تعیین کند که آیا این packet ها مخرب هستند یا خیر. بنابراین شبکه‌های خصوصی و عمومی دارای مکانیزم فیلتر شده‌ای هستند که از طریق سیستم عبور ترافیک قابل مشاهده بوده و از فعالیت غیرمجاز جلوگیری می‌کند. همچنین فایروال از شبکه در برابر فعالیت‌های مشکوک از طریق اینترنت محافظت می‌کند. چنین مواردی در policy فیلترینگ (filtering policy) تعریف شده است. مدیر شبکه می‌تواند policy‌های فایروال را توسعه دهد و این policy‌ ها قابل بررسی و بازرسی به صورت جزء به جزء هستند تا مشخص شود آیا به درستی اجرا شده‌اند یا خیر. همانطور که کارشناسان به خوبی می‌دانند، فایروال ها بیشتر به روش First match متصل می‌شوند، به این معنی که اگر اولین policy با فیلد انتقال packet مطابقت داشته باشد، می توان آن را متوقف کرد و از راهنمای policy داده شده حذف کرد. زیرا همه policy ها قوانینی را برای جابجایی packet ها تعیین می‌کنند. شکل 1 شماتیک‌های فایروال را نشان می‌دهد و تطبیق packet ها شامل TCP (Transmission Control Protocol) ، UDP (User Datagram Protocol) ، و IP (Internet Protocol) می‌شود. برخی دسته‌بندی‌ها شامل دو عملکرد زیر هستند:

• Basic-Packet-Filtering
• Stateful-Packet-Filterin

تحقیقات اخیر درک بهتر و بهبود فناوری و عملکرد فایروال را نشان می‌دهد. فایروال ها یکی از پرکاربردترین دستگاه‌ها برای ایمنی شبکه هستند، اما محدودیت‌هایی دارند و می‌توانند از این طریق مورد سو استفاده قرار بگیرند . عملکرد اصلی آن محافظت از شبکه در برابر تهدیدات خارجی است، اما امکانات و ویژگی‌های لازم در برابر حملات و تهدیدات داخلی را ندارد. گرچه برخی پروتکل‌ها و قابلیت‌های محافظت داخلی در برخی فایروال ها وجود دارد، اما استفاده از آن‌ها سبب کاهش کارایی فایروال می‌شود.

فایروال ها از نظر سرعت و عملکرد به دسته‌های مختلفی تقسیم می‌شوند:

• Packet Filter Firewall
• Application Gateway Firewall
• Stateful Inspection Firewall
• Circuit Level Gateway Firewall
• Next Generation Firewall (NGFW)

هر زمان که فایروال را در داخل شبکه پیکربندی شد، قدم اول حفاظت از شبک هدر برابر حملات DoS است. حملات DoS زمانی اتفاق می‌افتد که کاربران می‌خواهند به شبکه‌ی قربانی یا هدف حمله کنند و قربانی ممکن است با استفاده از ویروس یا هر گونه فعالیت نرم‌افزار دیگری به شبکه آسیب برساند. . مهاجم به راحتی امنیت رایانه را می‌شکند و این مساله در در صورتی است که فایروال مطابق با policy هایی که برای شبکه طراحی شده است کار نکند. کارشناسان ویژگی‌های امنیتی شبکه کامپیوتری و تهدیدات اصلی را مورد تجزیه و تحلیل قرار داده‌اند، در مورد فن آوری فایروال برای استفاده داخلی و بین المللی بحث کرده‌اند، آنها همچنین مزایا و کاستی های دستگاه فایروال را تجزیه و تحلیل کردند. به این ترتیب انواع مختلفی از حملاتی که کاربران در اینترنت با آن مواجه می شوند را مورد بحث قرار گرفته شده است.

در روزهای آغازین فعالیت فایروال ها، این تکنولوژی توانایی فیلتر کردن packet های شبکه و پروتکل‌های مبتنی بر مسیریابی را داشت. پس از آن، فایروال ها مرزهایی را در داخل شبکه در سراسر جهان ایجاد کردند. این فایروال ها برای کسب و کارهای کوچک و کامپیوترها و شبکه‌ها و غیره موثر بودند اما خطارت همچنان پا بر جا بودند البته، مهاجمان منتظر پیدا شدن رخنه‌های امنیتی نمی‌مانند و همواره در حال طرح‌ریزی راه‌هایی برای صورت دادن حملات تازه و دور زدن تنظیمات فایروال هستند. برخی حمله‌ها نیز با استفاده از اسیب پذیری‌ها موجود در سرورهای شبکه اتفاق می‌افتند. Social engineering نیز می‌تواند به راحتی از طریق ارسال ایمیل‌های اسپم به شبکه داخلی دسترسی پیدا کند. در این دنیای دیجیتال، فناوری فایروال نیز قابل پیشرفت است. همچنین، فناوری فایروال بر اساس لایه‌های OSI بسیار پیشرفته قابل توسعه است. همانطور که متوجه شدیم، وجود محدودیت‌هایی که در فایروال ها مشاهده می‌شود، به گونه ای است که پس از تایید یک بسته‌ی مخرب و عبور آن از فایروال، سبب ایجاد مشکل می‌شود و جلوگیری از ادامه‌ی خرابی‌ها امری دشوار است.

1. مهمترین نکته در تنظیمات فایروال این است که نمی‌تواند حملات Social engineering که توسط کاربر پذیرفته می‌شود را با تنظیمات تایید آنها متوقف کند.
2. تنظیمات اداری داخل شبکه نمی‌تواند مسئول تنظیمات ضعیف فایروال و policy های امنیتی آن‌ها باشد.
3. هنگامی که میزان ترافیک افزایش می‌یابد، فایروال نمی‌تواند به طور موثر کار کند یا پردازش کند.
4. فایروال ممکن است به گونه‌ای ایده آل کارآمد باشد، ولی تنها زمانی که قوانین به درستی اجرا شوند.

فایروال های مدرن باید:

1. فعالیت مخرب ناشی از منابع ناخواسته یا یا سوابق جمع آوری شده در شبکه را شناسایی کنند.
2. تسهیل کننده فعالیت سایر بخش های سیستم امنیتی شبکه باشند، راه حل های بهتری در معماری اصلاح شده‌ی شبکه ارائه دهند و قابل پیاده سازی در یک سیستم عامل باشند تا بتوانند فعالیت های ناخواسته در یک سیستم عامل را شنسایایی کنند و جلوی بروز مشکلات را به شیوه‌ای موثر بگیرند و همچنین به تهدیدات پاسخ مناسبی دهند.
3. در داخل کامپیوتر، استفاده از برنامه های کاربردی پویا که سرویس‌های فنی جدید را کنترل می کنند و فعالیت های مخربی را که می تواند در حین استفاده از نرم افزارهای غیرمجاز رخ دهد را مدیریت کنند.
4. فن آوری های حفاظت از تهدید باید بتوانند به راحتی هر نرم افزار محافظت شده را در در مجموعه‌ی امنیتی بگنجانند تا مدیریت برای مسئول یا مدیر فایروال به سهولت بیشتری انجام بگیرد.

روش شناسی عملکرد فایروال ها

فایروال ها دارای policy هایی هستند که برای اهداف امنیتی استفاده می شوند و در اصطلاحات شبکه می‌توان آن‌ها را Trust/Un-Trust نامید.  ما policy هایی را برای شبکه‌های مختلف IP از طریق فایروال اختصاص می‌دهیم. اینترنت غیر قابل اعتمادترین شبکه است زیرا اگر اینترنت را به عنوان یک شبکه قابل اعتماد فرض کنیم، هر کسی می‌تواند به آن دسترسی داشته باشد. از این رو، فایروال دارای یک عملکرد داخلی است که اینترنت در آن به عنوان یک شبکه غیرقابل اعتماد مشخص شده است. فایروال های امروزی امروزه آنقدر پیشرفته هستند که می‌توانند فیلتر محتوای عمیق را انجام دهند. فایروال های قدیمی فقط برای فیلتر کردن یک IP استفاده می‌شدند، بنابراین خطر بزرگی برای نقض policy وجود داشت زیرا هر کسی می‌توانست به آن IP خاص دسترسی داشته باشد و فایروال نمی‌توانست ذره مخرب را شناسایی کند. اما اکنون فایروال ها بسیار پیشرفت کرده اند.

معماری فایروال

Firewall Architecture در قبال چارچوب استانداردهای مرتبط با سیستم‌های مرتبط با امنیت شبکه مسئول است. بنابراین می‌توان آن را به سیستم‌های زیرشبکه‌ای تقسیم کرد که فقط IP یا TCP هستند که به راحتی می‌توانند شرکت‌هایی را که مسئول شکل گیری حملات هستند هستند، افشا کنند. شکل 2، که زیرمجموعه ای از یک شبکه IP یا TCP/IP است که خدمات شرکت را در معرض یک شبکه غیرقابل اعتماد بزرگتر مانند اینترنت قرار می‌دهد. اجازه دهید انواع/فناوری های مختلف فایروال ها را خلاصه کنیم.

Packet Filtering Firewall همچنین به عنوان فیلتر packet ثابت نیز شناخته می‌شود. این اولین Firewall بود که بر روی لایه شبکه یک مدل OSI کار کرد، هدرهای packet را که شامل آدرس‌های IP، پورت‌ها و پروتکل‌های مبدا و مقصد می‌شد را بررسی می‌کرد و بر اساس این هدرها، اجازه می‌داد ترافیک مورد نظر یا مانع عبور آن می‌شد.

Stateful Inspection Firewall  همچنین به عنوان فیلتر پویای packet شناخته می‌شود. به لایه کاربردی یک مدل OSI دسترسی داشت. از نظر عملکرد بسیار بهتر از فایروال قبلی بود که فقط هدرها را بررسی می‌کرد تا ترافیک را مجاز یا مسدود کند. این فایروال برای ذخیره اطلاعاتی مانند شماره پورت، آدرس IP و غیره شبکه بازدیدکننده استفاده می‌شود. اطلاعات packet های ورودی و خروجی را به صورت هوشمند ثبت می‌کند، با استفاده از این رکوردها مدیر می‌تواند پارامترهایی را برای برآوردن نیازهای خاص تنظیم کند.

Gateway Level Firewall: این فایروال ها امنیت اتصال UDP و TCP را فراهم می‌کردند. بین لایه کاربردی و انتقال یک مدل OSI کار می‌کند و اساسا روی یک لایه session از یک مدل OSI فعال است.

Application Gateway Firewall:  همچنین به عنوان فایروال پروکسی شناخته می‌شود. این یک برنامه کاربردی است که بر روی یک سیستم فایروال اجرا می‌شود. این اساسا یک تونل ایمن بین یک مشتری و یک شبکه مقصد ایجاد می‌کند و زمانی که یک مشتری یا یک شبکه مقصد بخواهند با یکدیگر ارتباط برقرار کنند، تمام ترافیک از طریق این پروکسی به طور ایمن منتقل می‌شود. اگرچه این به عنوان یکی از روش های بسیار ایمن حفاظت از فایروال در نظر گرفته می‌شود، اما در مقایسه با فایروال های دیگر مانند فایروال های packet ایستا و غیره، به مقدار زیادی فضای ذخیره سازی و پردازنده نیاز دارد.

فایروال نسل بعدی – Next Generation Firewall: این فایروال ها جدیدترین و پیشرفته‌ترین فایروال های عصر حاضر هستند. اینها نسل سوم فایروال ها هستند که از تمام روش‌های امنیتی سنتی مانند بررسی هدر، بررسی پورت/پروتکل و غیره عبور کرده‌اند. در عوض، بازرسی عمیق packet، بازرسی در سطح برنامه، و جلوگیری از نفوذ را انجام می‌دهد و همچنین هوشمندی را به قسمت بیرونی فایروال اکثر سازمان‌هایی که داده‌های حساسی دارند از فایروال های نسل بعدی بهره کامل می‌برند و این روزها برای ایمن‌سازی شبکه‌شان انتخاب اصلی آن‌هاست به ارمغان می‌آورد.

در حالی که فایروال ها، که اساس استراتژی امنیت شبکه شرکتی هستند، مدت زیادی است که وجود داشته اند، با تغییر چشم انداز تهدیدات سایبری، به طور قابل توجهی تکامل یافته اند. فایروال نسل بعدی (NGFW) است که برای محافظت در برابر تهدیدات سایبری مدرنی که شرکت ها با آن مواجه هستند طراحی شده است. علاوه بر عملکردهای اصلی یک فایروال، NGFW ها طیف وسیعی از قابلیت های دیگر را برای محافظت در برابر تهدیدات سایبری پیشرفته ادغام می‌کنند.

فایروال نسل بعدی یا NGFW

فایروال ها مرزهای شبکه را مشخص می‌کنند. تمام ترافیک عبوری از یک NGFW توسط آن بررسی می‌شود. این بازرسی به فایروال اجازه می‌دهد تا قوانین policy امنیتی را اعمال کند که ترافیک را مجاز یا مسدود می‌کند.

یک NGFW بر روی قابلیت‌های یک فایروال سنتی با ترکیب ویژگی های اضافی ساخته می‌شود. به عنوان مثال، یک NGFW در لایه کاربردی پشته TCP/IP برای اعمال سیستم پیشگیری از نفوذ یا (IPS) ، ضد بدافزار، sandboxing و سایر حفاظت ها عمل می‌کند. این توابع به یک NGFW اجازه می دهد تا تهدیدات پیشرفته را قبل از اینکه خطری برای سیستم های شرکت ایجاد کنند شناسایی و مسدود کند.

چشم انداز تهدید امروز شامل حملات سایبری مدرن نسل پنجم است که کمپین های حمله خودکار پیچیده و سازمان یافته ای هستند که چندین بردار حمله را با استفاده از تاکتیک ها و تکنیک های پیشرفته برای دسترسی به محیط های شرکتی هدف قرار می دهند.

مسدود کردن این حملات در محیط شبکه برای به حداقل رساندن خطر احتمالی برای سازمان ضروری است. با این حال، فایروال های سنتی فاقد دید عمیق ترافیک شبکه برای شناسایی و جلوگیری از این حملات هستند. مجموعه ای از کنترل های امنیتی شبکه یکپارچه NGFW آن را به اولین خط دفاعی قوی در برابر این تهدیدات تبدیل می کند.

علاوه بر این، NGFW ها را می توان به عنوان بخشی از استراتژی تقسیم بندی شبکه استفاده کرد. با تقسیم شبکه شرکت به مناطق و وادار کردن ترافیک بین منطقه ای به عبور از یک NGFW، یک سازمان فرصت های متعددی را برای شناسایی و اصلاح تهدیدات قبل از رسیدن به اهداف مورد نظر خود فراهم می کند. این امنیت داخلی زمانی ضروری است که تصاحب حساب، زنجیره تامین و حملات مشابه به هکرها جای پایی در شبکه یک سازمان بدهد.

قابلیت‌های NGFW

به عنوان اساس استراتژی امنیت شبکه‌های سازمانی، NGFW ها مسئول محافظت از شبکه شرکت در برابر تهدیدات ورودی و اجرای بخش‌بندی شبکه هستند که سنگ بنای یک استراتژی امنیتی موثر  Zero-trust است.

برای دستیابی به این اهداف، یک NGFW مدرن باید دارای ویژگی‌های اصلی زیر باشد:

برنامه و کنترل کاربر: یک NGFW به ترافیک شبکه لایه برنامه و کاربران مختلف در شبکه قابل مشاهده است. این به NGFW اجازه می دهد تا کنترل های دسترسی بدون اعتماد را اعمال کند.

بازرسی ترافیک رمزگذاری شده: NGFW ها از رمزگشایی و بازرسی تونل‌های رمزگذاری شده HTTPS پشتیبانی می‌کنند. این به آنها امکان می‌دهد بر استفاده از روش رمزگذاری (Encryption) برای پنهان کردن بدافزار و فرمان و کنترل ترافیک غلبه کنند.

IPS یکپارچه: IPS یکپارچه یکی از ویژگی های اصلی است که NGFW را از فایروال های سنتی متمایز می‌کند. یک IPS به طور چشمگیری توانایی NGFW را برای شناسایی و مسدود کردن اکسپلویت‌های مبتنی بر شبکه که برنامه ها و سیستم های آسیب پذیر را هدف قرار می‌دهند، گسترش می دهد.

تشخیص پیشرفته بدافزار: بدافزار مدرن برای جلوگیری از طرح‌های شناسایی مبتنی بر signature ساخته شده است. NGFWها دارای قابلیت های پیشرفته تشخیص بدافزار هستند، از جمله استفاده از تجزیه و تحلیل sandbox برای بررسی فایل های مخرب و مشکوک.

فیدهای اطلاعاتی تهدید: فیدهای اطلاعاتی تهدید، دید جامعی در مورد کمپین‌های جدید و در حال توسعه حملات سایبری ارائه می‌کنند. یکپارچه سازی اطلاعات تهدید، NGFW ها را قادر می‌سازد تا از IoC (Indicator of Compromise) برای شناسایی و مسدود کردن حملات جدید استفاده کنند.

چه در اینترانت هر سازمان یا شبکه‌ی اینترنت، باید یک دستگاه امنیتی وجود داشته باشد که بتوان امنیت سازمان را از آن طریق فراهم کرد. یک فایروال برای انجام این کار طراحی شده است. با این حال، اصولا، فلسفه پشت فایروال را می‌توان به عنوان یک جفت مکانیسم در نظر گرفت:

• برای مسدود کردن ترافیک
• برای اجازه دادن عبور ترافیک

شکل 3، مهمترین ویژگی فایروال این است که در ورودی شبکه و همچنین در نقطه خروجی شبکه قرار دارد که در نهایت به این معنی است که هر ترافیکی که وارد شبکه می شود ابتدا از آن و همچنین هر packet عبور می‌کند. داده‌هایی که شبکه را ترک می‌کنند باید از فایروال عبور کنند. منطق  آن ساده است: یک فایروال باید در یک شبکه قرار گیرد تا تمام ترافیک ورودی و خروجی را کنترل کند.

IPsec

IPsec (IP SECURITY) پروتکلی است که برای امنیت ارتباطات داده بین شبکه‌ها ایجاد شده است. دارای دو حالت Operation، حالت Transport و حالت Tunnel است.

IDS و IPS

سیستم‌های تشخیص نفوذ (IDS) ترافیک شبکه را برای امضاهایی که با حملات سایبری شناخته شده مطابقت دارند، تجزیه و تحلیل می‌کنند. این سیستم، موارد فنی مختلفی را نشان می دهد که در آن حملات سایبری نمی توانند سیستم را اجرا کنند. سیستم‌های پیشگیری از نفوذ (IPS) همچنین Packet ها را تجزیه و تحلیل می‌کنند و می‌توانند packet‌ها را بر اساس نوع حملاتی که شناسایی می‌کند، متوقف کنند و به توقف حمله کمک کنند.

این مقاله به بررسی نحوه عملکرد فایروال و تکنیک‌های مختلف آنپرداخته است. بدون شک فایروال بهترین وسیله برای اهداف امنیت شبکه است، اما محدودیت‌هایی دارد که در این مقاله به آن‌ها اشاره شد.

متن