چرا به فایروال در روتر نیاز دارید؟ حفاظت مبتنی بر سخت افزار از شبکه های کلاس SOHO با استفاده از فایروال ها

بررسی ویدیوییعکس

2261 روبل

مودم D-link DSL-2640U

پشتیبانی از SNMP پشتیبانی از ADSL2+ SPI. اجرا - خارجی. دیواره آتش. منطقه غیرنظامی (DMZ). نوع مودم - ADSL. پشتیبانی از تونل های VPN (VPN Endpoint). پشتیبانی VPN (گذر از VPN). رابط - اترنت. سرور DHCP. NAT رابط وب. مسیریابی استاتیک سوئیچ داخلی. پشتیبانی از DNS پویا روتر داخلی. با تعداد پورت سوئیچ 4. با وزن: 327 گرم.

بررسی ویدیوییعکس

1890 روبل

TP-Link TP-LINK TD-W8968

نوع مودم - ADSL. با رابط وب. با سرور DHCP با پشتیبانی Dynamic DNS. با پشتیبانی از Telnet. با منطقه غیرنظامی (DMZ). با روتر داخلی با عملکرد SPI. با فایروال. با پشتیبانی NAT با مسیریابی استاتیک. رابط - اترنت. اجرا - خارجی. با پشتیبانی از SNMP تعداد پورت های سوئیچ 4 عدد است. با پشتیبانی ADSL2+. با پشتیبانی VPN (گذر از VPN). دارای سوئیچ داخلی. با عمق: 130 میلی متر. با عرض: 195 میلی متر. با ارتفاع: 36 میلی متر.

امکان وانت

بررسی ویدیوییعکس

1590 روبل

مودم xDSL TP-LINK TD-W8961N

منطقه غیرنظامی (DMZ). سوئیچ داخلی. SPI. NAT اجرا - خارجی. پشتیبانی از ADSL2+ پشتیبانی از شبکه راه دور رابط - اترنت. دیواره آتش. پشتیبانی از SNMP پشتیبانی از DNS پویا سرور DHCP. رابط وب. با تعداد پورت سوئیچ 4. نوع مودم - ADSL. مسیریابی استاتیک روتر داخلی. عمق: 130 میلی متر عرض: 195 میلی متر. ارتفاع: 35 میلی متر.

امکان وانت

بررسی ویدیوییعکس

2075 روبل

مودم ADSL Upvel UR-203AWP

اجرا - خارجی. با پشتیبانی ADSL2+. با پشتیبانی از SNMP رابط - اترنت. نوع مودم - ADSL. با رابط وب. با مسیریابی استاتیک. با عملکرد SPI. با فایروال. با پشتیبانی از Telnet با روتر داخلی تعداد پورت های سوئیچ 3 است. با منطقه غیرنظامی (DMZ). با پشتیبانی NAT با سرور DHCP با پشتیبانی VPN (گذر از VPN). دارای سوئیچ داخلی. با پشتیبانی Dynamic DNS. با عرض: 175 میلی متر. با عمق: 115 میلی متر. با ارتفاع: 30 میلی متر. با وزن: 280 گرم

امکان وانت

عکس

1790 روبل

مودم xDSL TP-LINK TD-W8960N

منطقه غیرنظامی (DMZ). سرور DHCP. پشتیبانی VPN (گذر از VPN). پشتیبانی از DNS پویا سوئیچ داخلی. پشتیبانی از SNMP SPI. دیواره آتش. NAT رابط - اترنت. پورت کنسول رابط وب. نوع مودم - ADSL. با 10 تونل VPN پشتیبانی شده. اجرا - خارجی. پشتیبانی از تونل های VPN (VPN Endpoint). پشتیبانی از ADSL2+ مسیریابی استاتیک روتر داخلی. با تعداد پورت سوئیچ 4. با عمق: 140 میلی متر. با ارتفاع: 28 میلی متر. با عرض: 200 میلی متر.

در مورد بخش نرم افزاری و سخت افزاری سیستم امنیت اطلاعات، باید تشخیص داد که مؤثرترین راه برای محافظت از اشیاء شبکه محلی (بخش شبکه) در برابر تأثیرات شبکه های باز (به عنوان مثال، اینترنت) شامل قرار دادن یک عنصر خاص است که نظارت می کند. و بسته های شبکه را که از آن عبور می کنند مطابق با قوانین داده شده فیلتر می کند. این عنصر نامیده می شود فایروال (دیوار آتش)یا فایروال، فایروال.

فایروال، فایروال، فایروال، فایروال- با نویسه گردانی اصطلاح انگلیسی فایروال تشکیل شده است.

فایروال (آلمانی: Brandmauer)- اصطلاحی که از زبان آلمانی به عاریت گرفته شده است، که مشابه "دیوار آتش" انگلیسی به معنای اصلی آن است (دیواری که ساختمان های مجاور را جدا می کند و از گسترش آتش محافظت می کند).

شبکه/فایروال (فایروال)- مجموعه‌ای از سخت‌افزار یا نرم‌افزار که بسته‌های شبکه‌ای را که از آن عبور می‌کنند با استفاده از پروتکل‌های مختلف مطابق با قوانین مشخص شده نظارت و فیلتر می‌کنند.

وظیفه اصلی یک فایروال محافظت از شبکه های کامپیوتری و/یا گره های فردی از دسترسی غیرمجاز است. گاهی اوقات فایروال نامیده می شود فیلترها، از آنجایی که وظیفه اصلی آنها عبور نکردن (فیلتر) بسته هایی است که معیارهای تعریف شده در پیکربندی را ندارند.

به منظور ایمن سازی موثر یک شبکه، یک فایروال تمام داده های جریان یافته از طریق آن را نظارت و مدیریت می کند. برای اتخاذ تصمیمات کنترلی برای سرویس‌های TCP/IP (یعنی تلاش‌های اتصال به جلو، مسدود کردن یا ثبت‌نام)، فایروال باید اطلاعات دریافتی از تمام لایه‌های ارتباطی و سایر برنامه‌ها را دریافت، ذخیره، انتخاب و پردازش کند.

فایروال تمام ترافیک را از طریق خود عبور می دهد و برای هر بسته عبوری تصمیم می گیرد: به آن اجازه عبور داده شود یا نه. برای اینکه فایروال بتواند این عملیات را انجام دهد، باید مجموعه ای از قوانین فیلتر را تعریف کند. تصمیم گیری در مورد استفاده از فایروال برای فیلتر کردن بسته های داده مرتبط با پروتکل ها و آدرس های خاص بستگی به سیاست امنیتی اتخاذ شده توسط شبکه تحت محافظت دارد. در اصل، فایروال مجموعه ای از اجزایی است که برای پیاده سازی انتخاب شده پیکربندی شده اند سیاست های امنیتی. خط مشی امنیت شبکه هر سازمان باید شامل دو جزء باشد: یک خط مشی برای دسترسی به خدمات شبکه و یک خط مشی برای پیاده سازی فایروال ها.

با این حال، بررسی صرف بسته ها به صورت جداگانه کافی نیست. اطلاعات وضعیت اتصال به‌دست‌آمده از بازرسی اتصال گذشته و سایر برنامه‌های کاربردی، عامل اصلی تصمیم‌گیری کنترل هنگام تلاش برای ایجاد یک اتصال جدید است. هر دو حالت اتصال (مشتق شده از جریان داده های گذشته) و وضعیت برنامه (برگرفته از سایر برنامه ها) را می توان برای تصمیم گیری در نظر گرفت.

بنابراین، تصمیمات مدیریتی مستلزم دسترسی، تجزیه و تحلیل و استفاده از فایروال از عوامل زیر است:

• اطلاعات اتصال - اطلاعات هر هفت لایه (مدل های OSI) در بسته.
• تاریخچه اتصال - اطلاعات دریافت شده از اتصالات قبلی؛
• وضعیت سطح برنامه - اطلاعات وضعیت اتصال دریافت شده از سایر برنامه ها.
• دستکاری اطلاعات - محاسبه عبارات مختلف بر اساس همه عوامل فوق.

انواع فایروال ها

بسته به ویژگی های زیر انواع مختلفی از فایروال وجود دارد:

• آیا سپر ارتباط بین یک گره و یک شبکه یا بین دو یا چند شبکه مختلف را فراهم می کند.
• آیا کنترل جریان داده در لایه شبکه یا سطوح بالاتر مدل OSI انجام می شود.
• آیا وضعیت اتصالات فعال نظارت می شود یا خیر.

بسته به پوشش جریان های داده کنترل شده، فایروال ها به موارد زیر تقسیم می شوند:

• دیوار شبکه سنتی (یا فایروال).- یک برنامه (یا بخشی جدایی ناپذیر از سیستم عامل) در یک دروازه (دستگاهی که ترافیک بین شبکه ها را منتقل می کند) یا یک راه حل سخت افزاری که جریان داده های ورودی و خروجی را بین شبکه های متصل کنترل می کند (اشیاء شبکه توزیع شده).
• فایروال شخصی- برنامه ای نصب شده بر روی رایانه کاربر و طراحی شده برای محافظت از این رایانه از دسترسی غیرمجاز.

بسته به سطح OSI که در آن کنترل دسترسی رخ می دهد، فایروال ها می توانند در موارد زیر عمل کنند:

• سطح شبکههنگامی که فیلتر بر اساس آدرس فرستنده و گیرنده بسته ها، شماره پورت لایه انتقال مدل OSI و قوانین استاتیک مشخص شده توسط مدیر انجام می شود.
• سطح جلسه(همچنین به عنوان شناخته شده است دولتی)، هنگامی که جلسات بین برنامه ها نظارت می شود و بسته هایی که مشخصات TCP/IP را نقض می کنند ارسال نمی شوند، اغلب در عملیات مخرب استفاده می شود - اسکن منابع، هک از طریق اجرای نادرست TCP/IP، اتصالات قطع شده/آهسته، تزریق داده.
• سطح برنامه(یا سطح برنامه)، زمانی که فیلتر بر اساس تجزیه و تحلیل داده های برنامه ارسال شده در بسته انجام می شود. این نوع صفحه نمایش ها به شما امکان می دهند بر اساس سیاست ها و تنظیمات، انتقال اطلاعات ناخواسته و بالقوه مضر را مسدود کنید.

فیلتر کردن در سطح شبکه

فیلتر کردن بسته های ورودی و خروجی بر اساس اطلاعات مندرج در فیلدهای زیر هدر TCP و IP بسته ها انجام می شود: آدرس IP فرستنده. آدرس IP گیرنده؛ پورت فرستنده؛ پورت گیرنده

فیلتر کردن را می توان به روش های مختلفی برای مسدود کردن اتصالات به اجرا گذاشت کامپیوترهای خاصیا پورت ها به عنوان مثال، می توانید اتصالاتی را که از آنجا می آیند را مسدود کنید آدرس های خاصآن دسته از کامپیوترها و شبکه هایی که غیرقابل اعتماد در نظر گرفته می شوند.

• هزینه نسبتا کم؛
• انعطاف پذیری در تعریف قوانین فیلترینگ؛
• تاخیر جزئی در عبور بسته ها.

ایرادات:

• بسته های تکه تکه را جمع آوری نمی کند.
• هیچ راهی برای ردیابی روابط (اتصالات) بین بسته ها وجود ندارد.

فیلتر در سطح جلسه

بسته به نظارت بر اتصالات فعال، فایروال ها می توانند:

• بی تابعیت(فیلترسازی ساده)، که اتصالات فعلی را کنترل نمی کند (به عنوان مثال، TCP)، اما جریان داده را صرفاً بر اساس قوانین استاتیک فیلتر می کند.
• بازرسی بسته حالت دار (SPI)(فیلتر کردن متن آگاه)، نظارت بر اتصالات جاری و ارسال تنها بسته هایی که منطق و الگوریتم های پروتکل ها و برنامه های مربوطه را برآورده می کنند.

فایروال‌های دارای SPI این امکان را فراهم می‌کنند که به طور مؤثرتری با انواع مختلف حملات DoS و آسیب‌پذیری‌های برخی از پروتکل‌های شبکه مبارزه کنند. علاوه بر این، آنها عملکرد پروتکل‌هایی مانند H.323، SIP، FTP و غیره را تضمین می‌کنند که از طرح‌های پیچیده انتقال داده بین گیرندگان استفاده می‌کنند، توصیف آنها با قوانین ثابت دشوار است و اغلب با فایروال‌های استاندارد و بدون حالت سازگار نیست.

مزایای چنین فیلتراسیون عبارتند از:

• تحلیل محتوای بسته؛
• هیچ اطلاعاتی در مورد عملکرد پروتکل های لایه 7 مورد نیاز نیست.

ایرادات:

• تجزیه و تحلیل داده های سطح برنامه دشوار است (احتمالاً با استفاده از ALG - Application level gateway).

دروازه سطح برنامه، ALG (دروازه سطح برنامه)- جزء یک روتر NAT که برخی از پروتکل های کاربردی را درک می کند و هنگامی که بسته های این پروتکل از آن عبور می کنند، آنها را به گونه ای تغییر می دهد که کاربران پشت NAT بتوانند از پروتکل استفاده کنند.

سرویس ALG از پروتکل های سطح برنامه (مانند SIP، H.323، FTP و غیره) پشتیبانی می کند که ترجمه آدرس شبکه برای آنها مجاز نیست. این سرویسنوع برنامه را در بسته هایی که از رابط شبکه داخلی می آیند تعیین می کند و بر این اساس ترجمه آدرس/پورت را برای آنها از طریق رابط خارجی انجام می دهد.

تکنولوژی SPI(Stateful Packet Inspection) یا فناوری بازرسی بسته با در نظر گرفتن وضعیت پروتکل امروزه روشی پیشرفته برای کنترل ترافیک است. این فناوری به شما امکان می دهد تا بدون نیاز به داده ها تا سطح برنامه کنترل کنید برنامه جداگانهیک واسطه یا پروکسی برای هر پروتکل محافظت شده یا سرویس شبکه.

از لحاظ تاریخی، تکامل فایروال‌ها از فیلترهای بسته نشات می‌گرفت همه منظوره، سپس برنامه های واسطه ای برای پروتکل های فردی ظاهر شدند و در نهایت فناوری بازرسی حالتی توسعه یافت. فن آوری های قبلی فقط یکدیگر را تکمیل می کردند، اما کنترل جامعی بر روی اتصالات ارائه نمی کردند. فیلترهای بسته به اطلاعات اتصال و وضعیت برنامه که برای تصمیم گیری نهایی سیستم امنیتی ضروری است دسترسی ندارند. برنامه‌های میان‌افزار فقط داده‌های سطح برنامه را پردازش می‌کنند که اغلب فرصت‌های مختلفی برای هک کردن سیستم ایجاد می‌کند. معماری بازرسی حالتی منحصر به فرد است زیرا به شما امکان می دهد تمام اطلاعات ممکن را که از ماشین دروازه عبور می کند مدیریت کنید: داده های بسته، داده های مربوط به وضعیت اتصال، داده های مورد نیاز برنامه.

نمونه ای از نحوه عملکرد مکانیسم بازرسی دولتی. فایروال جلسه FTP را با بررسی داده ها در سطح برنامه نظارت می کند. هنگامی که یک کلاینت از سرور درخواست می کند که یک اتصال معکوس را باز کند (فرمان FTP PORT)، فایروال شماره پورت را از آن درخواست استخراج می کند. این لیست آدرس های سرویس گیرنده و سرور و شماره پورت را ذخیره می کند. هنگامی که تلاشی برای ایجاد اتصال FTP-داده شناسایی می شود، فایروال لیست را اسکن می کند و بررسی می کند که آیا اتصال واقعاً پاسخی به درخواست مشتری معتبر است یا خیر. لیست اتصال به صورت پویا نگهداری می شود به طوری که فقط پورت های FTP لازم باز هستند. به محض بسته شدن جلسه، پورت ها مسدود می شوند و سطح بالایی از امنیت را فراهم می کنند.

فیلتر سطح برنامه

به منظور محافظت از تعدادی از آسیب پذیری های ذاتی در فیلتر کردن بسته ها، فایروال ها باید از برنامه های کاربردی برای فیلتر کردن اتصالات به سرویس هایی مانند Telnet، HTTP، FTP استفاده کنند. کاربرد مشابهتماس گرفت سرویس پروکسیو میزبانی که سرویس پروکسی روی آن اجرا می شود یک دروازه در سطح برنامه است. چنین دروازه ای تعامل مستقیم بین یک مشتری مجاز و یک میزبان خارجی را حذف می کند. دروازه تمام بسته های ورودی و خروجی را در لایه برنامه (لایه برنامه - لایه بالایی مدل شبکه) فیلتر می کند و می تواند محتوای داده ها را تجزیه و تحلیل کند، مانند URL موجود در یک پیام HTTP یا یک دستور موجود در یک پیام FTP. گاهی اوقات فیلتر کردن بسته ها بر اساس اطلاعات موجود در خود داده موثرتر است. فیلترهای بسته و فیلترهای سطح پیوند از محتویات جریان اطلاعات هنگام تصمیم گیری در مورد فیلتر استفاده نمی کنند، اما فیلتر در سطح برنامه می تواند این کار را انجام دهد. فیلترهای لایه برنامه می توانند از اطلاعات سربرگ بسته و همچنین محتوای داده و اطلاعات کاربر استفاده کنند. مدیران می توانند از فیلتر سطح برنامه برای کنترل دسترسی بر اساس هویت کاربر و/یا استفاده کنند وظیفه خاصکه کاربر در تلاش برای انجام آن است. در فیلترهای سطح برنامه، می توانید قوانینی را بر اساس دستورات صادر شده توسط برنامه تنظیم کنید. به عنوان مثال، یک مدیر می‌تواند از دانلود فایل‌ها توسط یک کاربر خاص در رایانه‌ای خاص با استفاده از FTP جلوگیری کند یا به کاربر اجازه دهد تا فایل‌ها را از طریق FTP در همان رایانه میزبانی کند.

مقایسه فایروال های سخت افزاری و نرم افزاری

برای مقایسه فایروال ها، آنها را به دو نوع تقسیم می کنیم: اول - سخت افزار و نرم افزار - سخت افزار و دوم - نرم افزار.

فایروال های سخت افزاری و نرم افزاری شامل دستگاه هایی هستند که در لبه شبکه نصب شده اند. فایروال های نرم افزاری آنهایی هستند که روی هاست های پایانی نصب می شوند.

جهت های اصلی ذاتی در هر دو نوع اول و دوم:

• تضمین امنیت ترافیک ورودی و خروجی؛
• افزایش قابل توجه امنیت شبکه و کاهش خطر برای میزبان های زیرشبکه هنگام فیلتر کردن سرویس های محافظت نشده شناخته شده.
• توانایی کنترل دسترسی به سیستم های شبکه؛
• اطلاع رسانی رویداد از طریق آلارم های مناسب که در صورت وقوع هر گونه فعالیت مشکوک (تلاش یا حملات کاوشگر) فعال می شوند.
• ارائه یک راه حل امنیتی کم هزینه که پیاده سازی و مدیریت آن آسان است.

فایروال‌های سخت‌افزاری و نرم‌افزاری علاوه بر این از قابلیت‌هایی پشتیبانی می‌کنند که اجازه می‌دهد:

• جلوگیری از هر گونه سرویس آسیب پذیر از به دست آوردن اطلاعات یا تزریق اطلاعات به زیرشبکه محافظت شده؛
• ثبت تلاش های دسترسی و ارائه آمار لازم در مورد استفاده از اینترنت؛
• وسایلی را برای تنظیم ترتیب دسترسی به شبکه فراهم می کند.
• ارائه مدیریت متمرکز ترافیک

فایروال های نرم افزاری، علاوه بر حوزه های اصلی، اجازه می دهند:

• کنترل راه اندازی برنامه ها در میزبانی که در آن نصب شده اند.
• محافظت از جسم از نفوذ از طریق "دریچه" (درهای پشتی)؛
• محافظت در برابر تهدیدات داخلی

فایروال یک دستگاه متقارن نیست. او بین مفاهیم "بیرون" و "درون" تمایز قائل می شود. فایروال ناحیه داخلی را از کنترل نشده و بالقوه خصمانه محافظت می کند محیط خارجی. در عین حال، فایروال به شما امکان می دهد دسترسی به اشیاء را محدود کنید شبکه عمومیاز سوی سوژه های شبکه حفاظت شده. اگر اقتدار نقض شود، کار موضوع دسترسی مسدود می شود و همه اطلاعات لازمدر مجله ثبت می شود.

فایروال ها همچنین می توانند در داخل شبکه های امن شرکتی استفاده شوند. اگر شبکه محلی دارای زیرشبکه هایی با درجات مختلف محرمانه بودن اطلاعات است، بهتر است چنین قطعاتی را با فایروال ها جدا کنید. در این مورد، صفحه نمایش داخلی نامیده می شود.

با داشتن طیف گسترده ای از ابزارهای نرم افزاری حرفه ای برای محافظت در برابر انواع مختلف حملات به یک شبکه محلی از خارج (یعنی از اینترنت)، همه آنها یک اشکال جدی دارند. هزینه بالا. و اگر ما در مورد شبکه های کوچک کلاس SOHO صحبت می کنیم، پس خرید بسته های جامد یک لوکس غیرقابل قیمت است. در عین حال، شایان ذکر است که برای شبکه های کوچک، قابلیت های چنین بسته هایی حتی ممکن است اضافی باشد. بنابراین، برای محافظت از شبکه های کوچک کلاس SOHO، راه حل های سخت افزاری ارزان قیمت - فایروال ها - به طور گسترده مورد استفاده قرار گرفته اند. با طراحی، فایروال ها می توانند به عنوان یک راه حل جداگانه پیاده سازی شوند یا به ویژه بخشی جدایی ناپذیر از روترهای کلاس SOHO باشند. روترهای بی سیم، که به شما امکان می دهد بخش های سیمی و بی سیم شبکه محلی را بر اساس آنها ترکیب کنید.
در این مقاله به کارکرد اصلی فایروال‌های سخت‌افزاری مدرن که در روترهای کلاس SOHO تعبیه شده‌اند و برای محافظت از شبکه‌های محلی کوچک استفاده می‌شوند، نگاه می‌کنیم.

فایروال ها به عنوان بخشی از روترها

از آنجایی که روترها دستگاه های شبکه ای هستند که در مرز بین شبکه های داخلی و خارجی نصب می شوند و عملکرد یک دروازه شبکه را انجام می دهند، از نظر طراحی باید حداقل دو پورت داشته باشند. LAN به یکی از این پورت ها متصل می شود و این پورت تبدیل به پورت LAN داخلی می شود. یک شبکه خارجی (اینترنت) به پورت دوم متصل می شود و آن را به یک پورت WAN خارجی تبدیل می کند. به عنوان یک قاعده، روترهای کلاس SOHO دارای یک پورت WAN و چندین (از یک تا چهار) پورت LAN هستند که در یک سوئیچ ترکیب می شوند. در اغلب موارد، پورت WAN سوئیچ دارای یک رابط 10/100Base-TX است و می توان یک مودم xDSL با رابط مناسب یا یک کابل شبکه اترنت به آن متصل کرد.

علاوه بر این، گسترده است شبکه های بی سیممنجر به ظهور یک کلاس کامل از روترهای به اصطلاح بی سیم شد. این دستگاه ها، علاوه بر یک روتر کلاسیک با پورت های WAN و LAN، حاوی یک نقطه دسترسی بی سیم یکپارچه هستند که از پروتکل IEEE 802.11a/b/g پشتیبانی می کند. بخش بی سیمشبکه ای که یک اکسس پوینت به شما امکان سازماندهی آن را می دهد، از دیدگاه روتر، به شبکه داخلی اشاره دارد و از این نظر، کامپیوترهایی که به صورت بی سیم به روتر متصل می شوند، تفاوتی با کامپیوترهای متصل به پورت LAN ندارند.

هر روتر، به عنوان یک دستگاه لایه شبکه، آدرس IP خاص خود را دارد. علاوه بر روتر، پورت WAN نیز آدرس IP مخصوص به خود را دارد.

رایانه های متصل به پورت های LAN روتر باید یک آدرس IP در همان زیرشبکه خود روتر داشته باشند. علاوه بر این، در تنظیمات شبکه این رایانه های شخصی، باید آدرس دروازه پیش فرض را مطابق با آدرس IP روتر تنظیم کنید. در نهایت، دستگاه متصل به پورت WAN از شبکه خارجی باید یک آدرس IP از همان زیرشبکه پورت WAN روتر داشته باشد.

از آنجایی که روتر به عنوان یک دروازه بین شبکه محلی و اینترنت عمل می کند، منطقی است که انتظار داشته باشیم عملکردهایی مانند محافظت از شبکه داخلی از دسترسی غیرمجاز را داشته باشیم. بنابراین، تقریباً تمام روترهای مدرن کلاس SOHO دارای فایروال های سخت افزاری داخلی هستند که به آنها فایروال نیز می گویند.

ویژگی های فایروال

هدف اصلی هر فایروال در نهایت به تضمین امنیت شبکه داخلی می رسد. برای حل این مشکل، فایروال ها باید بتوانند شبکه محافظت شده را بپوشانند و همه انواع شناخته شده را مسدود کنند حملات هکرهاجلوگیری از نشت اطلاعات از شبکه داخلی، کنترل برنامه های کاربردی دسترسی به شبکه خارجی.

به منظور اجرای این توابع، فایروال ها تمام ترافیک بین شبکه های خارجی و داخلی را برای انطباق با معیارها یا قوانین تعیین شده ای که شرایط عبور ترافیک از یک شبکه به شبکه دیگر را تعیین می کند، تجزیه و تحلیل می کنند. اگر ترافیک با معیارهای مشخص شده مطابقت داشته باشد، فایروال به آن اجازه عبور می دهد. در غیر این صورت، یعنی اگر معیارهای تعیین شده رعایت نشود، ترافیک توسط فایروال مسدود می شود. فایروال ها ترافیک ورودی و خروجی را فیلتر می کنند و همچنین به شما امکان می دهند دسترسی به منابع یا برنامه های خاص شبکه را کنترل کنید. آنها می توانند تمام تلاش های دسترسی غیرمجاز به منابع شبکه محلی را ضبط کنند و در مورد تلاش های نفوذ هشدار دهند.

از نظر هدف، فایروال ها بیش از همه یادآور یک ایست بازرسی (ایست بازرسی) یک مرکز حفاظت شده هستند، جایی که مدارک همه افرادی که وارد قلمرو تأسیسات می شوند و هرکسی که از آن خارج می شود بررسی می شود. اگر گذرنامه درست باشد، دسترسی به قلمرو مجاز است. فایروال ها دقیقاً به همین صورت عمل می کنند، تنها نقش افرادی که از نقطه بازرسی عبور می کنند بسته های شبکه است و پاس این است که هدر این بسته ها با مجموعه ای از قوانین از پیش تعریف شده مطابقت داشته باشد.

آیا واقعاً فایروال ها تا این حد قابل اعتماد هستند؟

آیا می توان گفت که فایروال امنیت 100 درصدی را برای شبکه یا رایانه شخصی کاربر فراهم می کند؟ قطعا نه. فقط به این دلیل که هیچ سیستمی 100٪ تضمین امنیت نمی دهد. فایروال باید به عنوان ابزاری در نظر گرفته شود که اگر به درستی پیکربندی شود، می تواند به طور قابل توجهی وظیفه مهاجم را برای نفوذ به رایانه شخصی کاربر پیچیده کند. بگذارید تأکید کنیم: این فقط کارها را پیچیده می کند، اما به هیچ وجه ایمنی مطلق را تضمین نمی کند. به هر حال، اگر ما در مورد محافظت از یک شبکه محلی صحبت نمی کنیم، بلکه در مورد محافظت از یک رایانه شخصی با دسترسی به اینترنت صحبت می کنیم، پس از آن اطمینان حاصل کنیم. امنیت شخصیفایروال ICF (اینترنت فایروال اتصال) در اتاق عمل تعبیه شده است سیستم ویندوز XP. بنابراین، در آینده فقط در مورد فایروال های سخت افزاری شرکت ها با هدف محافظت از شبکه های کوچک صحبت خواهیم کرد.

اگر فایروال نصب شده در ورودی شبکه محلی به طور کامل فعال شود (به عنوان یک قاعده، این با تنظیمات پیش فرض مطابقت دارد)، پس شبکه ای که از آن محافظت می کند از بیرون کاملا غیر قابل نفوذ و غیرقابل دسترسی است. با این حال، چنین نفوذ ناپذیری کامل از شبکه داخلی نیز جنبه منفی خود را دارد. واقعیت این است که در این حالت استفاده از خدمات اینترنتی (به عنوان مثال، ICQ و برنامه های مشابه) نصب شده روی رایانه شخصی غیرممکن می شود. بنابراین، وظیفه راه‌اندازی فایروال، ایجاد پنجره‌هایی در دیوار خالی اولیه است که فایروال برای مهاجم نشان می‌دهد و به برنامه‌های کاربر اجازه می‌دهد به درخواست‌های خارج پاسخ دهند و در نهایت تعامل کنترل‌شده بین شبکه داخلی و دنیای بیرون را پیاده‌سازی کنند. با این حال، هر چه بیشتر چنین پنجره هایی در چنین دیواری ظاهر شوند، خود شبکه آسیب پذیرتر می شود. بنابراین اجازه دهید یک بار دیگر تاکید کنیم: هیچ فایروال نمی تواند امنیت مطلق شبکه محلی را که محافظت می کند تضمین کند.

طبقه بندی فایروال ها

قابلیت ها و هوشمندی فایروال ها به لایه ای از مدل مرجع OSI که در آن کار می کنند بستگی دارد. هر چه سطح OSI که فایروال بر روی آن ساخته شده است بالاتر باشد، سطح حفاظت بالاتری را فراهم می کند.

این را به شما یادآوری کنیم مدل OSI (سیستم باز Interconnection) شامل هفت لایه معماری شبکه است. اولین، پایین ترین، است لایه فیزیکی. پس از آن پیوند داده، شبکه، حمل و نقل، جلسه، ارائه، و لایه های برنامه یا برنامه وجود دارد. به منظور ارائه فیلتر ترافیک، یک فایروال باید حداقل در لایه سوم مدل OSI، یعنی در لایه شبکه، جایی که بسته ها بر اساس ترجمه آدرس های MAC به آدرس های شبکه مسیریابی می شوند، کار کند. از دیدگاه پروتکل TCP/IP، این لایه با لایه IP (پروتکل اینترنت) مطابقت دارد. با دریافت اطلاعات لایه شبکه، فایروال ها می توانند آدرس مبدا و مقصد یک بسته را تعیین کنند و بررسی کنند که آیا ترافیک بین این مقاصد مجاز است یا خیر. با این حال، اطلاعات لایه شبکه کافی برای تجزیه و تحلیل محتویات بسته وجود ندارد. فایروال‌هایی که در لایه انتقال مدل OSI کار می‌کنند اطلاعات کمی بیشتر در مورد بسته‌ها دریافت می‌کنند و از این نظر، می‌توانند طرح‌های حفاظتی شبکه هوشمندتری را ارائه دهند. در مورد فایروال هایی که در سطح برنامه کار می کنند، آنها به اطلاعات کامل در مورد بسته های شبکه دسترسی دارند، به این معنی که چنین فایروال هایی مطمئن ترین محافظت از شبکه را ارائه می دهند.

بسته به سطح مدل OSI که فایروال ها بر روی آن کار می کنند، از نظر تاریخی طبقه بندی زیر از این دستگاه ها ایجاد شده است:

• فیلتر بسته؛
• دروازه سطح جلسه (دروازه سطح مدار)؛
• دروازه در سطح برنامه؛
• بازرسی بسته دولتی (SPI).

توجه داشته باشید که این طبقه بندیتنها علاقه تاریخی دارد، زیرا تمام فایروال های مدرن به دسته پیشرفته ترین (از نظر حفاظت شبکه) فایروال های SPI تعلق دارند.

فیلترهای دسته ای

فایروال های نوع فیلتر بسته ابتدایی ترین (کمترین هوشمندترین) هستند. این فایروال ها در لایه شبکه مدل OSI یا در لایه IP پشته پروتکل TCP/IP کار می کنند. چنین فایروال هایی در هر روتر مورد نیاز است، زیرا هر روتر حداقل در لایه سوم مدل OSI کار می کند.

وظیفه فیلترهای بسته فیلتر کردن بسته ها بر اساس اطلاعات مربوط به آدرس IP مبدا یا مقصد و شماره پورت است.

در فایروال‌های نوع فیلتر بسته، هر بسته برای تعیین اینکه آیا معیارهای انتقال را برآورده می‌کند یا اینکه انتقال قبل از انتقال مسدود شده است، تجزیه و تحلیل می‌شود. بسته به بسته و معیارهای انتقال تولید شده، فایروال می تواند بسته را ارسال کند، آن را رد کند یا یک اعلان به آغازگر انتقال ارسال کند.

پیاده سازی فیلترهای بسته آسان است و عملاً هیچ تأثیری بر سرعت مسیریابی ندارند.

دروازه های جلسه

دروازه های لایه جلسه فایروال هایی هستند که در لایه نشست مدل OSI یا در لایه TCP (پروتکل کنترل حمل و نقل) پشته پروتکل TCP/IP کار می کنند. این فایروال ها روند ایجاد یک اتصال TCP (سازمان جلسات تبادل داده بین ماشین های پایانی) را نظارت می کنند و به شما امکان می دهند تعیین کنید که آیا یک جلسه ارتباطی مشروع است یا خیر. داده هایی که از طریق یک دروازه سطح جلسه به یک رایانه از راه دور در یک شبکه خارجی ارسال می شوند، حاوی اطلاعاتی در مورد منبع انتقال نیستند، یعنی همه چیز به نظر می رسد که داده ها توسط خود فایروال ارسال می شود و نه توسط رایانه ای در شبکه داخلی (محافظت شده). تمام فایروال های مبتنی بر پروتکل NAT دروازه های لایه جلسه هستند (پروتکل NAT در زیر توضیح داده خواهد شد).

دروازه های سطح جلسه نیز تأثیر قابل توجهی بر سرعت مسیریابی ندارند. در عین حال، این دروازه ها قادر به فیلتر کردن بسته های جداگانه نیستند.

درگاه های کاربردی

دروازه های لایه برنامه یا سرورهای پروکسی در لایه کاربردی مدل OSI کار می کنند. لایه برنامه مسئول دسترسی برنامه به شبکه است. وظایف در این سطح شامل انتقال فایل، تبادل است توسط ایمیلو مدیریت شبکه با دریافت اطلاعات در مورد بسته ها در سطح برنامه، دروازه های سطح برنامه می توانند مسدود کردن دسترسی به خدمات خاص را اجرا کنند. به عنوان مثال، اگر دروازه سطح برنامه به عنوان یک پروکسی وب پیکربندی شود، هرگونه ترافیک مربوط به پروتکل های Telnet، FTP، Gopher مسدود می شود. از آنجا که این فایروال ها بسته ها را در لایه برنامه تجزیه و تحلیل می کنند، می توانند دستورات خاصی مانند http:post، get و غیره را فیلتر کنند. این ویژگی برای فیلترهای بسته یا دروازه‌های لایه نشست در دسترس نیست. دروازه‌های سطح برنامه همچنین می‌توانند برای ثبت فعالیت تک تک کاربران و ایجاد جلسات ارتباطی بین آنها استفاده شوند. این فایروال ها راه قوی تری برای محافظت از شبکه ها نسبت به دروازه های لایه نشست و فیلترهای بسته ارائه می دهند.

فایروال های SPI

آخرین نوع فایروال، Stateful Packet Inspection (SPI)، مزایای فیلترهای بسته، دروازه های لایه جلسه و دروازه های لایه برنامه را ترکیب می کند. یعنی در واقع ما در مورد فایروال های چند سطحی صحبت می کنیم که به طور همزمان در سطوح شبکه، جلسه و برنامه کار می کنند.

فایروال های SPI بسته ها را در لایه شبکه فیلتر می کنند، مشروعیت یک جلسه ارتباطی را بر اساس داده های لایه جلسه تعیین می کنند و محتویات بسته ها را بر اساس داده های لایه کاربردی تجزیه و تحلیل می کنند.

این فایروال ها مطمئن ترین راه را برای محافظت از شبکه ها ارائه می دهند و در حال حاضر استاندارد واقعی هستند.

راه اندازی فایروال ها

متدولوژی و قابلیت های پیکربندی فایروال ها به این بستگی دارد مدل خاص. متأسفانه، هیچ قانون پیکربندی یکنواختی وجود ندارد، حتی یک رابط یکنواخت. ما فقط می توانیم در مورد برخی از قوانین کلی صحبت کنیم که باید رعایت شوند. در واقع، قانون اساسی بسیار ساده است: لازم است هر چیزی را که برای عملکرد عادی شبکه لازم نیست ممنوع کنید.

اغلب، توانایی پیکربندی فایروال ها به فعال کردن برخی از قوانین از پیش تعریف شده و ایجاد قوانین ایستا در قالب یک جدول خلاصه می شود.

بیایید به عنوان مثال گزینه های پیکربندی فایروال موجود در روتر Gigabyte GN-B49G را در نظر بگیریم. این روتر دارای تعدادی قوانین از پیش تعریف شده است که به شما امکان می دهد سطوح مختلف امنیت شبکه داخلی را پیاده سازی کنید. این قوانین شامل موارد زیر است:

• دسترسی به پیکربندی و مدیریت روتر از سمت WAN ممنوع است. فعال کردن این عملکرد دسترسی به تنظیمات روتر از شبکه خارجی را ممنوع می کند.
• دسترسی از Global-IP به Private-IP در داخل LAN ممنوع است. این عملکرد به شما امکان می دهد دسترسی در شبکه محلی را از آدرس های IP جهانی (در صورت وجود) به آدرس های IP رزرو شده برای استفاده خصوصی مسدود کنید.
• از اشتراک گذاری فایل و چاپگر از خارج از شبکه روتر جلوگیری کنید. این عملکرد از دسترسی مشترک به چاپگرها و فایل های موجود در شبکه داخلی از خارج جلوگیری می کند.
• وجود روتر از سمت WAN قابل تشخیص نیست. این عملکرد روتر را از شبکه خارجی نامرئی می کند.
• از حملات نوع Denial of Service (DoS) جلوگیری می شود. هنگامی که این عملکرد فعال می شود، محافظت در برابر حملات DoS (Denial of Service) اجرا می شود. حملات DoS نوعی حمله شبکه است که شامل ارسال درخواست‌های متعدد به سرور با درخواست سرویس ارائه شده توسط سیستم است. سرور منابع خود را صرف ایجاد یک اتصال و سرویس دهی به آن می کند و با توجه به جریان خاصی از درخواست ها، نمی تواند با آنها کنار بیاید. حفاظت در برابر حملات از این نوع مبتنی بر تجزیه و تحلیل منابع ترافیکی است که در مقایسه با ترافیک عادی بیش از حد است و انتقال آن را ممنوع می کند.

همانطور که قبلاً اشاره کردیم، بسیاری از فایروال ها قوانین از پیش تعریف شده ای دارند که اساساً همان قوانین ذکر شده در بالا هستند، اما ممکن است نام های متفاوتی داشته باشند.

راه دیگر برای پیکربندی فایروال ایجاد قوانین ایستا است که به شما امکان می دهد نه تنها از شبکه از بیرون محافظت کنید، بلکه کاربران شبکه محلی را از دسترسی به شبکه خارجی نیز محدود کنید. امکانات ایجاد قوانین کاملاً منعطف است و به شما امکان می دهد تقریباً هر موقعیتی را اجرا کنید. برای ایجاد یک قانون، آدرس IP مبدا (یا محدوده آدرس ها)، پورت های مبدا، آدرس ها و پورت های IP مقصد، نوع پروتکل، جهت انتقال بسته (از شبکه داخلی به شبکه خارجی یا بالعکس) و زمانی که بسته با ویژگی های مشخص شده شناسایی می شود، اقدامی انجام شود (بسته را رها یا رد کنید). به عنوان مثال، اگر می خواهید کاربران شبکه داخلی (محدوده آدرس IP: 192.168.1.1-192.168.1.100) را از دسترسی به سرور FTP (پورت 21) واقع در آدرس IP خارجی 64.233.183.104 منع کنید، قانون می تواند به صورت زیر فرموله شده است:

• جهت انتقال بسته: LAN-به-WAN.
• آدرس های IP منبع: 192.168.1.1-192.168.1.100;
• پورت منبع: 1-65535;
• بندر مقصد: 21;
• پروتکل: TCP;
• عمل: رها کردن

پیکربندی استاتیک یک قانون فایروال برای مثالی که در بالا مورد بحث قرار گرفت در شکل نشان داده شده است. 1.

پروتکل NAT به عنوان بخشی از فایروال

همه روترهای مدرن با فایروال داخلی از پروتکل NAT (ترجمه آدرس شبکه) پشتیبانی می کنند.

پروتکل NAT بخشی از فایروال نیست، اما در عین حال به بهبود امنیت شبکه کمک می کند. وظیفه اصلی پروتکل NAT حل مشکل کمبود آدرس های IP است که با افزایش تعداد رایانه ها بیشتر و فوری تر می شود.

واقعیت این است که در نسخه فعلی پروتکل IPv4، چهار بایت برای تعیین آدرس IP اختصاص داده شده است که امکان تولید بیش از چهار میلیارد آدرس رایانه های شبکه را فراهم می کند. البته، در آن روزها که اینترنت به تازگی در حال ظهور بود، حتی تصور اینکه روزی ممکن است این تعداد آدرس IP کافی نباشد، دشوار بود. به منظور حل نسبی مشکل کمبود آدرس های IP، پروتکل ترجمه آدرس شبکه NAT یک بار پیشنهاد شد.

پروتکل NAT توسط استاندارد RFC 1631 تعریف شده است که نحوه ترجمه آدرس شبکه را مشخص می کند.

در بیشتر موارد، یک دستگاه NAT آدرس های IP را که برای استفاده خصوصی در شبکه های محلی رزرو شده اند، به آدرس های IP عمومی تبدیل می کند.

فضای آدرس خصوصی توسط RFC 1918 اداره می شود. این آدرس ها شامل محدوده IP زیر هستند: 10.0.0.0-10.255.255.255، 172.16.0.0-172.31.255.255، 192.168.0.0-192.25.25.1

طبق RFC 1918، آدرس های IP خصوصی را نمی توان در آن استفاده کرد شبکه جهانی، بنابراین می توانند آزادانه فقط برای اهداف داخلی استفاده شوند.

قبل از اینکه به جزئیات پروتکل NAT بپردازیم، بیایید ببینیم که چگونه یک اتصال شبکه بین دو رایانه شخصی رخ می دهد.

هنگامی که یک رایانه در یک شبکه با رایانه دیگری ارتباط برقرار می کند، یک سوکت باز می شود که با آدرس IP مبدا، پورت مبدأ، آدرس IP مقصد، پورت مقصد و پروتکل شبکه تعیین می شود. قالب بسته IP یک فیلد دو بایتی برای شماره پورت ها فراهم می کند. این به شما امکان می دهد 65535 پورت را تعریف کنید که نقش کانال های ارتباطی منحصر به فرد را ایفا می کنند. از 65535 پورت، 1023 پورت اول برای افراد مشهور رزرو شده است خدمات سرورمانند وب، FTP، Telnet و غیره. همه پورت های دیگر را می توان برای هر هدف دیگری استفاده کرد.

به عنوان مثال، اگر یک کامپیوتر شبکه به یک سرور FTP (پورت 21) دسترسی پیدا کند، پس از باز شدن سوکت، سیستم عامل هر پورت بالاتر از 1023 را به جلسه اختصاص می دهد. برای مثال، می تواند پورت 2153 باشد. سپس بسته IP از آن ارسال می شود. سرور PC به FTP شامل آدرس IP فرستنده، پورت فرستنده (2153)، آدرس IP گیرنده و پورت مقصد (21) خواهد بود. آدرس IP منبع و پورت برای پاسخ سرور به مشتری استفاده خواهد شد. استفاده از پورت های مختلف برای جلسات مختلف شبکه به مشتریان شبکه اجازه می دهد تا به طور همزمان چندین جلسه را با سرورهای مختلف یا با سرویس های یک سرور ایجاد کنند.

حال بیایید به روند ایجاد یک جلسه در هنگام استفاده از روتر NAT در مرز شبکه داخلی و اینترنت نگاه کنیم.

هنگامی که یک کلاینت شبکه داخلی با یک سرور شبکه خارجی ارتباط برقرار می کند، مانند مورد برقراری ارتباط بین دو رایانه شخصی، یک سوکت باز می شود که با آدرس IP مبدا، پورت مبدأ، آدرس IP مقصد، پورت مقصد تعیین می شود. و پروتکل شبکه هنگامی که یک برنامه داده ها را از طریق این سوکت ارسال می کند، آدرس IP منبع و پورت منبع در قسمت گزینه های منبع در بسته درج می شود. فیلدهای گزینه های مقصد شامل آدرس IP سرور و پورت سرور خواهد بود. به عنوان مثال، یک کامپیوتر در شبکه داخلی با آدرس IP 192.168.0.1 می تواند به یک وب سرور WAN با آدرس IP 64.233.188.104 دسترسی داشته باشد. در این حالت، سیستم عامل کلاینت می تواند پورت 1251 (پورت منبع) را به جلسه ایجاد شده اختصاص دهد و پورت مقصد، پورت وب سرویس، یعنی 80 است. سپس ویژگی های زیر در هدر بسته ارسالی نشان داده می شود. (شکل 2):

• پورت منبع: 1251;
• آدرس IP گیرنده: 64.233.183.104;
• بندر مقصد: 80;
• پروتکل: TCP

دستگاه NAT (روتر) بسته ای که از شبکه داخلی می آید را رهگیری می کند و با استفاده از آدرس IP مقصد، پورت مقصد، آدرس IP خارجی دستگاه NAT، پورت خارجی، نقشه ای از پورت های مبدأ و مقصد بسته را وارد جدول داخلی خود می کند. ، پروتکل شبکه و IP های داخلی - آدرس مشتری و پورت.

فرض کنید در مثالی که در بالا توضیح داده شد، روتر NAT دارای آدرس IP خارجی 195.2.91.103 (آدرس پورت WAN) است و برای جلسه تعیین شده، پورت خارجی دستگاه NAT 3210 است. در این مورد، جدول داخلی برای نگاشت پورت های مبدا و مقصد بسته حاوی اطلاعات زیر:

• آی پی منبع: 192.168.0.1;
• پورت منبع: 1251;
• آدرس IP خارجی

دستگاه های NAT: 195.2.91.103;

• پورت دستگاه NAT خارجی: 3210;
• آدرس IP گیرنده: 64.233.183.104;
• بندر مقصد: 80;
• پروتکل: TCP

سپس دستگاه NAT بسته را با تبدیل فیلدهای منبع در بسته "پخش" می کند: آدرس IP داخلی و پورت مشتری با آدرس IP و پورت خارجی دستگاه NAT جایگزین می شود. در این مثال، بسته تبدیل شده حاوی اطلاعات زیر خواهد بود:

• آی پی منبع: 195.2.91.103;
• پورت منبع: 3210;
• آدرس IP گیرنده: 64.233.183.104;
• بندر مقصد: 80;
• پروتکل: TCP

بسته تبدیل شده از طریق شبکه خارجی ارسال می شود و در نهایت به سرور مشخص شده می رسد.

پس از دریافت بسته، سرور بسته های پاسخ را به آدرس IP خارجی و پورت دستگاه NAT (روتر) ارسال می کند، که آدرس IP و پورت خود را در قسمت های منبع نشان می دهد (شکل 3). در مثال در نظر گرفته شده، بسته پاسخ از سرور حاوی اطلاعات زیر در هدر خواهد بود:

• پورت منبع: 80;
• آدرس IP گیرنده: 195.2.91.103;
• بندر مقصد: 3210;
• پروتکل: TCP

برنج. 3. اصل عملکرد یک دستگاه NAT هنگام انتقال یک بسته از یک شبکه خارجی به یک شبکه داخلی

دستگاه NAT این بسته ها را از سرور دریافت می کند و محتویات آنها را بر اساس جدول نگاشت پورت خود تجزیه می کند. اگر نگاشت پورتی در جدول یافت شود که آدرس IP مبدأ، پورت مبدأ، پورت مقصد و پروتکل شبکه از بسته ورودی با آدرس IP میزبان راه دور، پورت راه دور و پروتکل شبکه مشخص شده در نگاشت پورت مطابقت داشته باشد. سپس NAT ترجمه معکوس را انجام می دهد: آدرس IP خارجی و پورت خارجی را در قسمت های مقصد بسته با آدرس IP و پورت داخلی مشتری شبکه داخلی جایگزین می کند. بنابراین، بسته ای که برای مثال مورد بحث در بالا به شبکه داخلی منتقل می شود دارای ویژگی های زیر خواهد بود:

• آی پی منبع: 64.233.183.104;
• پورت منبع: 80;
• آدرس IP گیرنده: 192.168.0.1;
• بندر مقصد: 1251;
• پروتکل: TCP

با این حال، اگر هیچ تطابقی در جدول نگاشت پورت وجود نداشته باشد، پس بسته دریافتیرد می شود و ارتباط قطع می شود.

به لطف روتر NAT، هر رایانه شخصی در شبکه داخلی قادر است داده ها را با استفاده از آدرس IP خارجی و پورت روتر به شبکه جهانی انتقال دهد. در این حالت، آدرس های IP شبکه داخلی، به عنوان پورت های اختصاص داده شده به جلسات، از شبکه خارجی نامرئی می مانند.

با این حال، یک روتر NAT تنها در صورتی امکان تبادل داده بین رایانه های موجود در شبکه های داخلی و خارجی را می دهد که این تبادل توسط رایانه ای در شبکه داخلی آغاز شود. اگر رایانه ای در شبکه خارجی سعی کند به ابتکار خود به رایانه ای در شبکه داخلی دسترسی پیدا کند، اتصال توسط دستگاه NAT رد می شود. بنابراین پروتکل NAT علاوه بر رفع مشکل کمبود آدرس های IP به ارتقای امنیت شبکه داخلی نیز کمک می کند.

مسائل مربوط به دستگاه های NAT

علیرغم سادگی ظاهری دستگاه های NAT، آنها با مشکلاتی همراه هستند که اغلب سازماندهی تعامل بین رایانه های شبکه را پیچیده می کند و یا حتی از ایجاد آن جلوگیری می کند. به عنوان مثال، اگر شبکه محلی توسط یک دستگاه NAT محافظت می شود، هر کلاینت در شبکه داخلی می تواند با سرور WAN ارتباط برقرار کند، اما نه برعکس. یعنی نمی توانید از یک شبکه خارجی به سروری که در شبکه داخلی پشت دستگاه NAT قرار دارد، اتصال برقرار کنید. اما اگر سرویسی در شبکه داخلی وجود داشته باشد (مثلاً یک FTP یا وب سرور) که کاربران در شبکه خارجی باید به آن دسترسی داشته باشند؟ برای حل این مشکل، روترهای NAT از فناوری های غیرنظامی منطقه و حمل و نقل پورت استفاده می کنند که در ادامه به تفصیل توضیح داده خواهد شد.

مشکل دیگر دستگاه های NAT این است که برخی از برنامه های شبکه آدرس IP و پورت را در بخش داده بسته قرار می دهند. واضح است که دستگاه NAT قادر به انجام چنین ترجمه آدرسی نیست. در نتیجه، اگر یک برنامه شبکه یک آدرس IP یا پورت را در قسمت بارگذاری یک بسته وارد کند، سروری که به آن بسته پاسخ می‌دهد از آدرس IP تودرتو و پورت استفاده می‌کند که هیچ ورودی نگاشت متناظری برای آن در جدول داخلی دستگاه NAT وجود ندارد. . در نتیجه، چنین بسته ای توسط دستگاه NAT دور ریخته می شود و بنابراین برنامه های کاربردی با استفاده از این فناوری در حضور دستگاه های NAT قادر به کار نخواهند بود.

برنامه های شبکه ای وجود دارند که از یک پورت (به عنوان پورت منبع) برای انتقال داده ها استفاده می کنند، اما منتظر پاسخ در پورت دیگری هستند. دستگاه NAT ترافیک خروجی را تجزیه و تحلیل می کند و با پورت منبع مطابقت دارد. با این حال، دستگاه NAT نمی‌داند که پاسخی در پورت دیگری انتظار می‌رود و نمی‌تواند نقشه‌برداری مربوطه را انجام دهد. در نتیجه، بسته‌های پاسخی که به پورتی که نقشه‌ای در جدول داخلی دستگاه NAT ندارد، خطاب می‌شوند.

مشکل دیگر دستگاه های NAT دسترسی های متعدد به یک پورت است. بیایید وضعیتی را در نظر بگیریم که در آن چندین مشتری در یک شبکه محلی، که توسط یک دستگاه NAT از شبکه خارجی جدا شده‌اند، به یک پورت استاندارد دسترسی دارند. به عنوان مثال، این می تواند پورت 80 باشد که برای یک سرویس وب رزرو شده است. از آنجایی که همه مشتریان شبکه داخلی از یک آدرس IP استفاده می کنند، این سوال مطرح می شود: چگونه یک دستگاه NAT می تواند تعیین کند که کدام سرویس گیرنده شبکه داخلی یک درخواست خارجی است؟ برای حل این مشکل، تنها یک کلاینت شبکه داخلی در هر زمان به پورت استاندارد دسترسی دارد.

حمل و نقل پورت استاتیک (نقشه گذاری پورت)

برای اینکه برخی از برنامه‌های کاربردی در حال اجرا بر روی یک سرور در شبکه داخلی (مانند سرور وب یا سرور FTP) از شبکه خارجی قابل دسترسی باشند، دستگاه NAT باید به گونه‌ای پیکربندی شود که پورت‌های استفاده شده توسط برنامه‌های خاص را به آدرس‌های IP نگاشت. آن سرورهای شبکه داخلی. که این برنامه ها روی آن اجرا می شوند. در این مورد، آنها در مورد فناوری تغییر مسیر پورت (Port mapping) صحبت می کنند و به خود سرور شبکه داخلی، سرور مجازی می گویند. در نتیجه هر درخواستی از شبکه خارجی به آدرس IP خارجی دستگاه NAT (روتر) در پورت مشخص شده به طور خودکار به سرور مجازی مشخص شده در شبکه داخلی هدایت می شود.

به عنوان مثال، اگر یک سرور FTP مجازی در شبکه داخلی پیکربندی شده باشد که روی رایانه شخصی با آدرس IP 192.168.0.10 راه اندازی شده است، پس هنگام راه اندازی سرور مجازیآدرس IP سرور مجازی (192.168.0.10)، پروتکل مورد استفاده (TCP) و پورت برنامه (21) مشخص شده است. در چنین حالتی، هنگام دسترسی به آدرس خارجی دستگاه NAT (پورت WAN روتر) در پورت 21، کاربر در شبکه خارجی می تواند علی رغم استفاده از پروتکل NAT به سرور FTP در شبکه داخلی دسترسی پیدا کند. نمونه ای از پیکربندی یک سرور مجازی روی یک روتر NAT واقعی در شکل نشان داده شده است. 4.

به طور معمول، روترهای NAT به شما این امکان را می دهند که چندین بار ارسال پورت ثابت ایجاد کنید. بنابراین، در یک سرور مجازی می توانید چندین پورت را به طور همزمان باز کنید یا چندین سرور مجازی با آدرس های IP مختلف ایجاد کنید. با این حال، با حمل و نقل پورت استاتیک، نمی توانید یک پورت را به چندین آدرس IP ارسال کنید، به این معنی که یک پورت می تواند با یک آدرس IP منفرد مطابقت داشته باشد. به عنوان مثال، پیکربندی چندین وب سرور با آدرس های IP مختلف غیرممکن است؛ برای انجام این کار، باید پورت وب سرور پیش فرض را تغییر دهید و هنگام دسترسی به پورت 80، پورت وب تغییر یافته را در تنظیمات روتر به عنوان پورت داخلی مشخص کنید. پورت (Private Port) سرور.

اکثر مدل‌های روتر همچنین به شما امکان می‌دهند تغییر مسیر ثابت گروهی از پورت‌ها را تنظیم کنید، یعنی یک گروه کامل از پورت‌ها را به یکباره به آدرس IP یک سرور مجازی اختصاص دهید. اگر نیاز به پشتیبانی از برنامه هایی دارید که از تعداد زیادی پورت استفاده می کنند، مانند بازی ها یا کنفرانس های صوتی/تصویری، این ویژگی مفید است. تعداد گروه های پورت ارسال شده در مدل های مختلفروترها متفاوت هستند، اما معمولاً حداقل ده روتر وجود دارد.

حمل و نقل پورت پویا (برنامه ویژه)

حمل و نقل پورت استاتیک می تواند تا حدی مشکل دسترسی از یک شبکه خارجی به خدمات شبکه محلی محافظت شده توسط یک دستگاه NAT را حل کند. با این حال، وظیفه مخالف نیز وجود دارد - نیاز به دسترسی کاربران شبکه محلی به یک شبکه خارجی از طریق یک دستگاه NAT. واقعیت این است که برخی از برنامه ها (به عنوان مثال، بازی های اینترنتی، ویدئو کنفرانس، تلفن اینترنتی و سایر برنامه هایی که نیاز به ایجاد همزمان چندین جلسه دارند) با فناوری NAT سازگار نیستند. برای حل این مشکل، به اصطلاح تغییر مسیر پورت پویا استفاده می شود (گاهی اوقات به آن برنامه ویژه می گویند)، زمانی که تغییر مسیر پورت در سطح فردی تنظیم می شود. برنامه های کاربردی شبکه.

اگر روتر پشتیبانی می کند این تابع، باید شماره پورت داخلی (یا فاصله پورت) مرتبط با آن را مشخص کنید کاربرد خاص(معمولاً به عنوان Trigger Port نامیده می شود) و شماره پورت خارجی دستگاه NAT (Public Port) را مشخص کنید که به پورت داخلی نگاشت می شود.

هنگامی که ارسال پورت پویا فعال است، روتر ترافیک خروجی از شبکه داخلی را نظارت می کند و آدرس IP رایانه ای را که این ترافیک از آن منشا گرفته است را به خاطر می آورد. وقتی داده ها برمی گردند به بخش محلیارسال پورت فعال است و داده ها به داخل منتقل می شوند. پس از تکمیل انتقال، تغییر مسیر غیرفعال می شود و سپس هر رایانه دیگری می تواند یک تغییر مسیر جدید به آدرس IP خود ایجاد کند.

انتقال پورت پویا عمدتاً برای خدماتی استفاده می‌شود که شامل درخواست‌ها و انتقال داده‌های کوتاه مدت هستند، زیرا اگر یک رایانه از یک حمل و نقل پورت معین استفاده کند، رایانه دیگری نمی‌تواند در همان زمان همان کار را انجام دهد. اگر نیاز به پیکربندی برنامه‌هایی دارید که نیاز به جریان ثابتی از داده‌ها دارند که یک پورت را اشغال می‌کنند مدت زمان طولانی، سپس تغییر مسیر پویا بی اثر است. با این حال، در این مورد، یک راه حل برای مشکل وجود دارد - این در استفاده از یک منطقه غیرنظامی نهفته است.

منطقه DMZ

منطقه غیرنظامی (DMZ) راه دیگری برای دور زدن محدودیت های پروتکل NAT است. همه روترهای مدرن این ویژگی را ارائه می دهند. هنگامی که یک کامپیوتر در یک شبکه محلی داخلی در یک منطقه DMZ قرار می گیرد، برای پروتکل NAT شفاف می شود. این در اصل به این معنی است که کامپیوتر شبکه داخلی عملاً در مقابل فایروال قرار دارد. برای رایانه شخصی واقع در منطقه DMZ، همه پورت ها به یک آدرس IP داخلی هدایت می شوند که به شما امکان می دهد انتقال داده را از یک شبکه خارجی به یک شبکه داخلی سازماندهی کنید.

به عنوان مثال، اگر سروری با آدرس IP 192.168.1.10، واقع در شبکه محلی داخلی، در یک منطقه DMZ قرار داشته باشد و خود شبکه محلی توسط یک دستگاه NAT محافظت شود، در این صورت وقتی درخواستی به هر پورتی از طرف شبکه خارجی به آدرس پورت WAN برای یک دستگاه NAT، این درخواست به آدرس IP 192.168.1.10، یعنی به آدرس سرور مجازی در منطقه DMZ ارسال می شود.

به عنوان یک قاعده، روترهای NAT کلاس SOHO اجازه می دهند تنها یک کامپیوتر در منطقه DMZ قرار گیرد. نمونه ای از پیکربندی یک کامپیوتر در یک منطقه DMZ در شکل نشان داده شده است. 5.

برنج. 5. نمونه ای از پیکربندی کامپیوتر در منطقه DMZ

از آنجایی که یک کامپیوتر واقع در یک منطقه DMZ از یک شبکه خارجی قابل دسترسی است و به هیچ وجه توسط فایروال محافظت نمی شود، به یک نقطه آسیب پذیر شبکه تبدیل می شود. هنگامی که هیچ روش دیگری برای دور زدن محدودیت های پروتکل NAT به دلایلی مناسب نیست، باید رایانه ها را در یک منطقه غیرنظامی تنها به عنوان آخرین راه حل قرار دهید.

فناوری NAT Traversal

روش‌هایی که برای دور زدن محدودیت‌های پروتکل NAT فهرست کرده‌ایم ممکن است برای کاربران مبتدی مشکلاتی ایجاد کند. برای تسهیل مدیریت، فناوری خودکار برای پیکربندی دستگاه‌های NAT پیشنهاد شد. فناوری NAT Traversal به برنامه‌های شبکه اجازه می‌دهد تا تشخیص دهند که توسط یک دستگاه NAT محافظت می‌شوند، آدرس IP خارجی را بیاموزند و ارسال پورت را به حالت خودکار. بنابراین، مزیت فناوری NAT Traversal این است که کاربر مجبور نیست به صورت دستی نگاشت پورت را پیکربندی کند.

فناوری NAT Traversal مبتنی بر پروتکل‌های UPnP (Universal Plug and Play) است؛ بنابراین برای فعال‌سازی این فناوری، اغلب لازم است که گزینه UPnP&NAT در روترها بررسی شود.

یوتیوب دایره المعارفی

1 / 5

✪ 1. Cisco ASA Administrator. فایروال چیست؟

✪ فایروال رایگان ZoneAlarm - فایروال رایگان برای رایانه شما

✪ 2. Cisco ASA Administrator. فایروال های سیسکو

✪ فایروال ها

زیرنویس

هدف

در میان وظایفی که فایروال ها حل می کنند، اصلی ترین آنها محافظت از بخش های شبکه یا میزبان های فردی در برابر دسترسی غیرمجاز با استفاده از آسیب پذیری های موجود در پروتکل های مدل شبکه OSI یا در نرم افزارهای نصب شده بر روی رایانه های شبکه است. فایروال ها ترافیک را با مقایسه ویژگی های آن با الگوهای مشخص شده مجاز یا رد می کنند.

رایج ترین مکان برای نصب فایروال ها در محیط شبکه محلی برای محافظت از میزبان های داخلی در برابر حملات خارجی است. با این حال، حملات می توانند از میزبان های داخلی نیز شروع شوند - در این حالت، اگر میزبان مورد حمله در همان شبکه قرار داشته باشد، ترافیک از محیط شبکه عبور نمی کند و فایروال فعال نمی شود. بنابراین، فایروال ها در حال حاضر نه تنها در لبه، بلکه بین بخش های مختلف شبکه نیز قرار می گیرند که سطح بیشتری از امنیت را فراهم می کند.

داستان

اولین دستگاه هایی که ترافیک شبکه را فیلتر کردند در اواخر دهه 1980 ظاهر شدند، زمانی که اینترنت جدید بود و در در مقیاس جهانی. این دستگاه ها روترهایی بودند که ترافیک را بر اساس داده های موجود در سربرگ های پروتکل لایه شبکه بررسی می کردند. متعاقباً با توسعه فناوری‌های شبکه، این دستگاه‌ها توانستند ترافیک را با استفاده از داده‌های پروتکل‌های سطح انتقال بالاتر فیلتر کنند. روترها را می توان اولین پیاده سازی سخت افزاری و نرم افزاری یک فایروال دانست.

فایروال های نرم افزاری خیلی دیرتر ظاهر شدند و بسیار جوان تر از برنامه های آنتی ویروس بودند. به عنوان مثال، پروژه Netfilter/iptables (یکی از اولین فایروال های نرم افزاری که از نسخه 2.4 بر روی هسته لینوکس ساخته شده است) در سال 1998 تاسیس شد. این ظاهر دیرهنگام کاملاً قابل درک است، زیرا برای مدت طولانیآنتی ویروس مشکل محافظت از رایانه های شخصی در برابر بدافزارها را حل کرد. با این حال، در اواخر دهه 1990، ویروس ها شروع به سوء استفاده فعال از کمبود فایروال در رایانه ها کردند که منجر به افزایش علاقه کاربران به این دسته از دستگاه ها شد.

فیلترینگ ترافیک

فیلترینگ ترافیک بر اساس مجموعه ای از قوانین از پیش تنظیم شده به نام انجام می شود مجموعه قوانین. راحت است که فایروال را به عنوان دنباله ای از فیلترها در نظر بگیریم که یک جریان اطلاعات را پردازش می کنند. هر یک از فیلترها برای تفسیر یک قانون جداگانه طراحی شده اند. توالی قوانین در یک مجموعه تأثیر بسزایی بر عملکرد فایروال دارد. به عنوان مثال، بسیاری از فایروال ها به طور متوالی ترافیک را با قوانین مقایسه می کنند تا زمانی که یک مطابقت پیدا شود. برای چنین فایروال هایی، قوانینی که با بیشترین ترافیک مطابقت دارند باید تا حد امکان در بالاترین لیست قرار گیرند و در نتیجه عملکرد را افزایش دهند.

دو اصل برای پردازش ترافیک ورودی وجود دارد. اصل اول می گوید: «آنچه صریحاً ممنوع نیست، جایز است». که در در این مورد، اگر فایروال بسته ای را دریافت کند که تحت هیچ قاعده ای قرار نگیرد، سپس آن را بیشتر ارسال می کند. اصل مخالف - "آنچه به صراحت مجاز نیست ممنوع است" - امنیت بسیار بیشتری را تضمین می کند، زیرا تمام ترافیکی را که صراحتاً توسط قوانین مجاز نیست رد می کند. با این حال، این اصل منجر به بار اضافی برای مدیر می شود.

در نهایت، فایروال ها یکی از دو عملیات را روی ترافیک ورودی انجام می دهند: ارسال بسته در ( اجازه) یا بسته را دور بریزید ( انکار). برخی از فایروال ها یک عملیات دیگر دارند - رد کردن، که در آن بسته دور انداخته می شود، اما به فرستنده اطلاع داده می شود که سرویسی که می خواست به آن دسترسی پیدا کند در دسترس نیست. در مقابل در حین جراحی انکارفرستنده در مورد در دسترس نبودن این سرویس که ایمن تر است، مطلع نمی شود.

طبقه بندی فایروال ها

هنوز هیچ طبقه بندی واحد و پذیرفته شده ای از فایروال ها وجود ندارد. با این حال، در اغلب موارد، لایه پشتیبانی شده از مدل شبکه OSI مشخصه اصلی در طبقه بندی آنها است. با توجه به این مدل، انواع فایروال های زیر متمایز می شوند:

1. سوئیچ های مدیریت شده
2. فیلترهای دسته ای
3. دروازه های سطح جلسه
4. واسطه های لایه کاربردی
5. بازرسان وضعیت

سوئیچ های مدیریت شده

بسیاری از تولیدکنندگان تجهیزات شبکه، مانند Cisco، Nortel، 3Com، ZyXEL، این توانایی را در سوئیچ های خود برای فیلتر کردن ترافیک بر اساس آدرس های MAC موجود در هدرهای فریم فراهم می کنند. به عنوان مثال، در سوئیچ های خانواده کاتالیست سیسکو این ویژگی با استفاده از مکانیزم Port Security پیاده سازی می شود. . با این حال، این روش فیلتر موثر نیست، زیرا آدرس MAC نصب شده در سخت افزار روی کارت شبکه به راحتی توسط نرم افزار تغییر می کند، زیرا مقدار مشخص شده از طریق درایور اولویت بالاتری نسبت به مقدار سیم کشی شده در کارت دارد. بنابراین، بسیاری از سوئیچ های مدرن به شما امکان می دهند از پارامترهای دیگر به عنوان یک ویژگی فیلتر استفاده کنید - به عنوان مثال، VLAN ID. فناوری شبکه محلی مجازی به شما امکان می دهد گروه هایی از میزبان ها ایجاد کنید که ترافیک آنها کاملاً از سایر گره های شبکه ایزوله است.

فیلترهای دسته ای

فیلترهای بسته در لایه شبکه کار می کنند و عبور ترافیک را بر اساس اطلاعات موجود در هدر بسته کنترل می کنند. بسیاری از فایروال‌های این نوع می‌توانند با هدرهای پروتکل در سطح انتقال بالاتر (مثلاً TCP یا UDP) کار کنند. فیلترهای بسته یکی از اولین فیلترهایی بودند که در بازار فایروال ظاهر شدند و تا به امروز رایج ترین نوع آن باقی مانده است. این تکنولوژیدر اکثریت قریب به اتفاق روترها و حتی در برخی سوئیچ ها پیاده سازی شده است.

هنگام تجزیه هدر بسته شبکهمی توان از پارامترهای زیر استفاده کرد:

• آدرس IP منبع و مقصد؛
• نوع پروتکل حمل و نقل؛
• فیلدهای هدر سرویس پروتکل های لایه شبکه و انتقال؛
• پورت منبع و مقصد

فیلتر کردن بسته های تکه تکه شده بسیار رایج است که تشخیص برخی از حملات را دشوار می کند. بسیاری از حملات شبکه از این آسیب‌پذیری در فایروال‌ها با ارسال بسته‌های حاوی داده‌های ممنوعه به‌عنوان قطعاتی از بسته مورد اعتماد دیگر سوء استفاده می‌کنند. یکی از راه های مبارزه با این نوع حمله، پیکربندی فایروال برای مسدود کردن بسته های تکه تکه شده است. برخی از فایروال ها می توانند بسته ها را قبل از ارسال به شبکه داخلی یکپارچه سازی کنند، اما این به منابع اضافی از خود فایروال، به ویژه حافظه نیاز دارد. Defragmentation باید بسیار عاقلانه استفاده شود، در غیر این صورت خود چنین فایروالی به راحتی می تواند قربانی یک حمله DoS شود.

فیلترهای بسته را می توان در اجزای زیرساخت شبکه زیر پیاده سازی کرد:

• روترهای مرزی؛
• سیستم عامل

از آنجایی که فیلترهای بسته معمولاً فقط داده ها را در شبکه بررسی می کنند و هدرهای لایه را انتقال می دهند، می توانند این کار را خیلی سریع انجام دهند. بنابراین، فیلترهای بسته تعبیه شده در روترهای لبه ای برای قرارگیری در لبه یک شبکه کم اعتماد ایده آل هستند. با این حال، فیلترهای بسته توانایی تجزیه و تحلیل پروتکل ها در سطوح بالاتر مدل شبکه OSI را ندارند. علاوه بر این، فیلترهای بسته معمولاً در برابر حملاتی که از جعل آدرس شبکه استفاده می کنند آسیب پذیر هستند. چنین حملاتی معمولا برای دور زدن کنترل دسترسی اجرا شده توسط فایروال انجام می شود.

دروازه های جلسه

از آنجایی که این نوع فایروال ارتباط مستقیم بین دو میزبان را حذف می کند، دروازه لایه نشست تنها عنصر اتصال بین شبکه خارجی و منابع داخلی است. این ظاهری را ایجاد می کند که تمام درخواست های شبکه خارجی توسط دروازه پاسخ داده می شود و تقریباً تعیین توپولوژی شبکه محافظت شده را غیرممکن می کند. علاوه بر این، از آنجایی که تماس بین گره ها تنها در صورتی برقرار می شود که معتبر باشد، دروازه لایه جلسه از احتمال حملات DoS ذاتی در فیلترهای بسته جلوگیری می کند.

علیرغم اثربخشی این فناوری، یک اشکال جدی دارد: مانند تمام کلاس های فایروال بالا، دروازه های سطح جلسه توانایی تأیید محتویات فیلد داده را ندارند، که به مهاجم اجازه می دهد "اسب های تروجان" را منتقل کند. وارد شبکه محافظت شده

کارگزاران لایه کاربردی

معایب این نوع فایروال، زمان و منابع زیادی است که برای تجزیه و تحلیل هر بسته صرف می شود. به همین دلیل، آنها معمولا برای برنامه های بلادرنگ مناسب نیستند. یکی دیگر از معایب ناتوانی است اتصال خودکارپشتیبانی از برنامه ها و پروتکل های جدید شبکه، زیرا هر یک از آنها به عامل خاص خود نیاز دارند.

بازرسان دولتی

هر یک از انواع فایروال های فوق برای محافظت از شبکه های شرکتی استفاده می شود و دارای تعدادی مزیت است. با این حال، جمع آوری تمام این مزایا در یک دستگاه و دریافت فایروالی که ترافیک را از شبکه به سطح برنامه فیلتر می کند بسیار مؤثرتر خواهد بود. این ایده با ترکیب عملکرد بالا و امنیت در بازرسان دولتی اجرا شد. این دسته از فایروال ها به شما اجازه می دهد تا کنترل کنید:

• هر بسته ارسالی بر اساس جدولی از قوانین است.
• هر جلسه - بر اساس جدول حالت.
• هر برنامه مبتنی بر واسطه های توسعه یافته است.

با فیلتر کردن ترافیک بر اساس اصل یک دروازه در سطح جلسه، این کلاسفایروال ها در فرآیند برقراری ارتباط بین گره ها دخالت نمی کنند. بنابراین، عملکرد بازرس حالت به طور قابل توجهی بالاتر از کارگزار لایه کاربردی و دروازه لایه جلسه است و با عملکرد فیلترهای بسته قابل مقایسه است. یکی دیگر از مزایای بازرسان دولتی شفافیت برای کاربر است: برای مشتری نرم افزاربدون نیاز به پیکربندی اضافی این فایروال ها قابلیت گسترش بالایی دارند. هنگامی که یک سرویس جدید یا یک پروتکل لایه برنامه جدید ظاهر می شود، فقط باید چند الگو برای پشتیبانی از آن اضافه کنید. با این حال، بازرسان دولتی ذاتاً امنیت کمتری نسبت به واسطه‌های سطح برنامه دارند.

عبارت Stateful Inspection که توسط Check Point Software معرفی شد، در بین سازندگان تجهیزات شبکه به قدری محبوب شده است که در حال حاضر تقریباً هر فایروال به عنوان این فناوری طبقه بندی می شود، حتی اگر آن را به طور کامل پیاده سازی نکند.

پیاده سازی

دو نسخه از فایروال ها وجود دارد - نرم افزار و سخت افزار-نرم افزار. به نوبه خود، نسخه نرم افزاری و سخت افزاری دارای دو نوع است - در فرم ماژول جداگانهدر یک سوئیچ یا روتر و به عنوان یک دستگاه اختصاصی.

امروزه بیشتر از یک راه حل نرم افزاری استفاده می شود که در نگاه اول جذاب تر به نظر می رسد. این به این دلیل است که برای استفاده از آن به نظر می رسد فقط خرید نرم افزار فایروال و نصب آن بر روی هر رایانه ای در سازمان کافی است. با این حال، همانطور که تمرین نشان می دهد، یک سازمان همیشه یک کامپیوتر رایگان و حتی کامپیوتری که الزامات نسبتاً بالایی برای منابع سیستم را برآورده می کند، ندارد. پس از یافتن رایانه (اغلب، خریداری شده)، روند نصب و پیکربندی سیستم عامل و همچنین خود نرم افزار فایروال دنبال می شود. به راحتی می توان فهمید که استفاده از یک رایانه شخصی معمولی آنقدر که به نظر می رسد ساده نیست. به همین دلیل است که سیستم های سخت افزاری و نرم افزاری تخصصی نامیده می شوند دستگاه امنیتی، بر اساس، به عنوان یک قاعده،