اولین قدم برای انتخاب فایروال مناسب، این است که انواع آن را بشناسیم و بدانیم چگونه کار میکنند.
از لحاظ معماری، فایروالها در ۴ دسته اصلی قرار میگیرند که عبارتاند از:
فایروالهایPacket Filtering ، اولین نسل از معماریهای فایروال میباشند که در حدود سال ۱۹۸۰ بوجود آمدند. قابلیت Packet Filtering به عنوان بخشی از یک فایروال، معمولا توسط یک روتر اجرا میشود. روترهای معمولی، مسیریابی دادهها را مشخص میکنند. روترهایی که در نقش Packet Filteringعمل میکنند در لایه شبکه از مدل OSI و یا در لایه IP از مدل TCP/IP فعالیت میکنند، و IP Header هر یک از بستههای اطلاعاتی یا ترافیکهای ورودی را، با مجموعهای از رولها و قوانین مقایسه کرده و در صورت مطابقت، آنها را انتقال میدهند و یا حذف میکنند.
به صورت کلی روترها و یا فایروالهای Packet Filtering، اطلاعات مربوط به IP آدرس مبدا و مقصد، و نوع انتقال بستههای اطلاعاتی که به کارت شبکه فیزیکی ارسال میشوند، را بررسی میکنند. در ادامه به بررسی مزیتهای یک فایروال Packet Filteringخواهیم پرداخت.
۱. کمهزینه بودن
۲. تاثیرگذاری اندک بر روی عملکرد شبکه
۳. عدم نیاز به پیکربندی کامپیوترها و کلاینتها
۴. سادگی در عملکرد
۵. سرعت بالا
۱. فایروالهای امنی محسوب نمیشوند
زیرا هیچ درکی از عملکرد پروتکلهای لایه application ندارند. بنابراین نمیتوانند در مورد محتوای بستهها تصمیمگیری کنند. همین موضوع سبب میشود که نسبت به فایروالهای دیگر که توانایی کنترل لایه application را دارند، از سطح امنیتی پایینتری برخوردار باشند.
۲. از قابلیت احراز هویت برخوردار نیستند.
۳. یکی دیگر از معایب این فایروالها stateless بودن آنها میباشد.
به این معنی که نمیتوانند حالت اتصال خود را حفظ کنند و قابلیت ثبت گزارش اتصالات برقرار شده را ندارند. این امر قابلیت تشخیص حملات و ترافیکهای مشکوک را بسیار مشکل میسازد و منجر به آسیب پذیر ساختن شبکهها و یا پیکربندی نادرست میشود.
این فایروالها در لایه انتقال از مدل OSI یا لایه TCP فعالیت میکند. این فایروالها، برای اتصالات TCP مورد استفاده قرار میگیرند و فرایندHandshaking بین بستهها را برای تشخیص معتبر بودنsessionهای درخواست شده، مانیتور میکنند.
این نوع فایروالها معمولا اطلاعات زیر را ذخیره میکنند:
در پروسه اتصال، فایروال مجوز ارسال اطلاعات به مقصد توسط فرستنده، و مجوز دریافت اطلاعات توسط گیرنده را بررسی میکند و در صورتی که این پروسه مورد قبول واقع شده باشد، تمامی بستهها بدون تستهای امنیتی از طریق فایروال، مسیردهی میشوند.
این فایروالها معمولا سریعتر از فایروالهای لایه application هستند و علت این مساله این است که، بررسیهای کمتری را بر روی بستههای اطلاعاتی انجام میدهند.
یکی از مهمترین معایب فایروالcircuit level ، عدم توانایی در محدودکردن دسترسی به پروتکلهای زیرمجموعه TCP است، در نتیجه امکان استفاده از قابلیت Packet Filtering و امکان بررسی دقیق بستههای عبوری را ندارد.
در این نوع فایروال، فیلترینگ در لایه ۷ از مدل OSI و یا لایه ۵ از مدل TCP/IP اعمال میشود.
به این نوع فایروالها، پروکسی سرور نیز گفته میشود و میتوان آنها را با فایروالهای نوع circuit level مشابه دانست، با این تفاوت که مختص به applicationها میباشند.
۱.این فایروالها از امنیت بالاتری نسبت به فایروالهای Packet Filtering برخوردار هستند.
۲. گزارش تمامیترافیکهای ورودی به شبکه را ثبت میکنند و مورد بازرسی قرار می دهند.
Gateway در اصطلاح، نقطه اتصال ارتباطات میباشد و در نتیجه، پردازشهایی که از سمت فایروال برروی اتصالات انجام میگیرد، یک بار اضافی به پردازشها تحمیل میکند.
اما مهمترین عیب این فایروالها، فیلترینگ پیچیده و تصمیمات پیچیده مرتبط باکنترل دسترسیها است که، به منابع محاسباتی قابل توجهی نیاز دارند. این کار، میتواند باعث افت کارایی و آسیبپذیر شدن سیستمعامل و بروز اشکالاتی در سطح برنامههای کاربردی شود
فایروالهای Statefull multilayer inspection ،ترکیبی از سه نوع فایروال ذکر شده در بخشهای قبلی میباشند. این مدل فایروال، بهترین سطح امنیتی را در بین سه نوع فایروال دیگر ارایه میدهد. عملکرد این فایروال، به این ترتیب است که بستههای اطلاعاتی را در لایه ۳ و یا لایه IP مانیتور کرده و در صورت معتبر بودن session بستههای اطلاعاتی ، محتوای این بستهها را در لایه application ارزیابی میکند.
مهمترین مزیت این فایروالها این است که میتوانند به صورت داینامیک، پورتهای مورد استفاده در هریک از sessionهای برقرار شده را باز کنند و یا ببندند. این کار با عملکرد فایروالهای سادهPacket Filtering، که پورتها را در همان حالت، بصورت باز یا بسته رها میکنند کاملا متفاوت است.
مهمترین عیب این فایروالها، پرهزینه بودن آنها است. زیرا نیازمند این هستند که سختافزارها و نرمافزارهای مضاعفی برایشان خریداری شود. از طرفی، الگوریتمهای این نوع فایروالها، با استفاده از کارت شبکههای معمولی قابل اجرا نمیباشد.
نوع فایروالی که قصد دارید از آن استفاده کنید کاملا بستگی به تواناییهای شبکه، نیازهای سازمان و منابع مورد نیاز برای مدیریت فایروال دارد. لذا براساس منابع و شرایط، فایروالی را انتخاب کنید که متناسب با سازمان شما باشد.
درباره این سایت