بخوانید!
27 آبان » کدام یک بدتر است: کالری چربیها یا کربوهیدراتها؟، مجله الکترونیکی فریا
26 آبان » یک دست مصنوعی در لیست بهترین اختراعات سال 2008 قرار گرفت + عکس، شبکه ایران 26 آبان » رونمایی رسمی از گوشی نوکیا E63 + عکس، موبایل کده 26 آبان » کاوشگر هندی بر سطح ماه فرود آمد، همشهری 26 آبان » کودکان مهاجر؛ زبان دوم و لکنت زبان، دویچه وله
پرخواننده ترین ها
» دلیل کینه جویی های رهبری نسبت به خاتمی چیست؟
» 'دارندگان گرین کارت هم مشمول ممنوعیت سفر به آمریکا میشوند' » فرهادی بزودی تصمیماش را برای حضور در مراسم اسکار اعلام میکند » گیتار و آواز گلشیفته فراهانی همراه با رقص بهروز وثوقی » چگونگی انفجار ساختمان پلاسکو را بهتر بشناسیم » گزارشهایی از "دیپورت" مسافران ایرانی در فرودگاههای آمریکا پس از دستور ترامپ » مشاور رفسنجانی: عکس هاشمی را دستکاری کردهاند » تصویری: مانکن های پلاسکو! » تصویری: سرمای 35 درجه زیر صفر در مسکو! ديوار آتش و سيستمهاي تشخيص نفوذ، دو ابزار مهم امنيتي، مهدی راستی، ايرنا تهران ،خبرگزاري جمهوري اسلامي ۸۴/۰۴/۰۸ در جلوگيري از حمله، هدف جلوگيري از رخداد حمله است و در تشخيص هدف شناسايي حملاتي است كه به رغم ساخت و كارهاي جلوگيري رخ داده اند. ديوار آتش (فايروال) به هدف جلوگيري از حملات و سيستمهاي تشخيص نفوذ ( (Intrusion Detection Systemيا IDSها به هدف شناسايي حملات در يك شبكه كامپيوتري بكار گرفته ميشوند. ديوار اتش چيست؟ امنيت شبكه يك سازمان، وابستگي زيادي به پيكربندي، عملكرد امنيت و نوع ديوار آتش دارد. با توجه به ساختار لايهاي شبكه، يك ديوار آتش نيز در حالت كلي چند لايه است. هر يك از قواعد ACLبنابر ماهيتشان در يكي از سه لايه ديوار آتش تعريف مي شوند. لايه اول در ديوار آتش بر اساس فيلدهاي سرايند لايه IPيك بسته مانند آدرس مبدا، آدرس مقصد، شماره شناسايي يك ديتاگرام قطعه قطعه شده (Offset ،(Identifier & Fragmentشماره پروتكل و زمان حيات بسته عمل ميكند. سادهترين و سريعترين تصميمگيري براي حذف و يا عبور بستهها در اين لايه انجام ميشود. برخي از مسيريابها قابليت لايه اول ديوار آتش را دارند كه به آنها نام مسيريابهاي فيلتركننده گفته ميشود. اين مسيريابها قبل از اقدام به مسيريابي، بر اساس جدولي بستههاي IPرا فيلتر ميكند. با تنظيم لايه اول ديوار آتش بر اساسي روشي كه IETFدر RFC۲۲۶۷به نام Egress/Ingress Filtringمطرح كرده، ميتوان توانايي جعل آدرس را محدودتر كرد (در اين روش در گذرگاه خروجي، از عبور بستههايي كه آدرس مبدا آنها روي شبكه داخلي قرار دارد اما از خارج از شبكه آمده است )، به داخل شبكه جلوگيري شود. اين عمل باعث ميشود كه از بيرون شبكه امكان جعل آدرسهاي شبكه داخلي نباشد. در گذرگاه مسيريابهاي داخلي ، بايد از عبور بستههايي كه آدرس مبدا آنها خارج از شبكه قرار دارند اما از داخل شبكه داخلي آمده است ، به خارج از شبكه جلوگيري شود. اين عمل باعث ميشود كه هيچ مهاجمي روي شبكه داخلي، نتواند آدرس ميزبانهاي روي شبكه خارجي را جعل كند. با اين همه با اعمال اين روشها هنوز مهاجمان روي شبكه داخلي امكان جعل آدرس ميزبانهاي داخل شبكه و مهاجمان روي شبكه خارجي به دليل تنوع ملياردي آدرسهاي IPامكان جعل آدرس ميزبانهاي خارج از شبكه را دارند. لايه دوم در ديوار آتش بر اساس فيلدهاي سرايند لايه انتقال مانند شماره پورت مبداء، پورت مقصد، كدهاي بيتي كنترلي استوار است. در لايه سوم ديوار آتش، بازرسي بر اساس نوع سرويس و برنامه كاربردي انجام ميشود، يعني با در نظر گرفتن پروتكل در لايه چهارم به تحليل دادهها ميپردازد. بنابراين در لايه سوم ديوار آتش براي هر سرويس مجزا (مانند پست الكترونيك، سرويس ،FTPسرويس وب و مانند اينها) بايد يك سلسله پردازش انجام شود و به همين دليل حجم و پيچيدگي پردازش در لايه سوم زياد است. لذا تمام سرويسهاي غير ضروري و شماره پورتهايي كه مورد استفاده نيستند بايد در لايه دوم مسدود شوند تا حجم كار در لايه سوم كمتر شود. در نوع ديگري از ديوارهاي آتش به نام ديوارهاي آتش Statefullمشخصات ترافيك خروجي از شبكه را براي مدتي حفظ ميكنند و از اين مشخصات در كنار سرايند بسته ورودي براي تصميمگيري استفاده ميكنند. بزرگترين مشكل اين نوع از ديوارهاي آتش غلبه بر تاخير پردازش و حجم حافظه مورد نياز است. ولي در مجموع قابليت اعتماد بسيار بالاتري دارند و ضريب امنيت شبكه را افزايش ميدهند. به عنوان مثال چنانچه دسترسي كاربران داخلي به سرويسدهندههاي وب مجاز باشد، فيلترهاي معمولي كارايي لازم براي ممانعت از ورود بسته SYN-ACK(با شماره پورت مبداء ۸۰(به درون شبكه را ندارند، اما با استفاده از ديوار آتش از نوع Statefullميتوان از ورود بسته SYN-ACKكه قبل از آن بسته SYNاز شبكه خارج نشده است، جلوگيري كرد. اكثر ديوارهاي آتش جديد از نوع Statefullهستند. در حالت كلي فيلترها و ديوارهاي آتش معمولي و ،Statefuulفقط نقش ايست و بازرسي بستهها را ايفا ميكنند. هرگاه مجوز برقراري يك نشست صادر شد، اين نشست بين دو ماشين داخلي و خارجي بصورت مستقيم برقرار خواهد شد. اما در فيلترهاي مبتني بر پراكسي ابتدا نشست بين مبداء و پراكسي و سپس بين پراكسي و مقصد برقرار ميشود. در چنين حالتي ديوار اتش مبتني بر پراكسي در لايه سوم عمل ميكند. Copyright: gooya.com 2016
|