فایروال چیست؟
فایروال چیست؟ به نظر بنده بیشتر به دفاع از شبکه شبیه است . فایروال های شبکه به عنوان دفاع اصلی محیط برای اکثر سازمان ها ایجاد شده اند ، اما از زمان ایجاد این فناوری ، تکرارهای زیادی را ایجاد کرده است : پروکسی ، برنامه وب ، نسل بعدی که در اینجا توضیح داده می شود. فایروال ها به مدت سه دهه وجود داشته است ، اما آنها به طرز چشمگیری تکامل یافته اند و شامل ویژگی هایی هستند که قبلاً به عنوان لوازم جداگانه فروخته می شدند و داده های خارجی را جمع می کردند تا بتوانند تصمیم های هوشمندانه تری در مورد ترافیک شبکه بگیرند و از ترافیک آن جلوگیری کنند . اکنون فقط یک عنصر غیرقابل نفوذ در اکوسیستم دفاعی شبکه ، آخرین نسخه ها به عنوان فایروال های شرکت یا فایروال های نسل بعدی (NGFW) شناخته می شوند تا نشان دهند چه کسی باید از آنها استفاده کند و به طور مداوم عملکرد را اضافه می کند.
فایروال چیست؟فایروال دستگاهی شبکه ای است که بسته های ورودی و خروجی از شبکه ها را مسدود می کند و بلوک می کند یا طبق قوانینی که تنظیم شده است اجازه می دهد تا تعیین کنند که چه ترافیکی مجاز است و چه ترافیکی امکان پذیر نیست.
انواع مختلفی از فایروال ها وجود دارند که در طول سال ها توسعه یافته اند ، به تدریج پیچیده تر می شوند و هنگام تعیین پارامتر اجازه عبور از ترافیک ، پارامترهای بیشتری را در نظر می گیرند. فایروال ها به عنوان فیلترهای بسته شروع به کار کردند ، اما اخیرا کارهای بسیار بیشتری انجام می دهند. در ابتدا در مرزهای بین شبکه ای قابل اعتماد و غیر قابل اعتماد قرار گرفت ، اکنون دیوارهای آتش نیز برای محافظت از بخش های داخلی شبکه ها مانند مراکز داده از سایر بخش های شبکه ای سازمان ها مستقر شده اند. آنها معمولاً به عنوان وسایل ساخته شده توسط فروشندگان مستقر می شوند ، اما می توانند به عنوان وسایل مجازی نیز خریداری شوند – نرم افزاری که مشتریان بر روی سخت افزار مخصوص خودشان نصب می کنند. در اینجا انواع عمده فایروال وجود دارد. فایروال های مبتنی بر پروکسیاین فایروال ها به عنوان دروازه ای بین کاربران نهایی که درخواست داده ها و منبع آن داده ها را دارند ، عمل می کنند. دستگاه های میزبان به پروکسی وصل می شوند و پروکسی اتصال جداگانه ای به منبع داده ایجاد می کند. در پاسخ ، دستگاه های منبع اتصال به پروکسی را برقرار می کنند ، و پروکسی اتصال جداگانه ای با دستگاه میزبان ایجاد می کند. پیش از انتقال بسته ها به آدرس مقصد ، پروکسی می تواند آنها را فیلتر کند تا خط مشی ها را اجرا کند از محل دستگاه گیرنده ، اما همچنین از دستگاه و شبکه گیرنده محافظت کند. نكته مهم در مورد فایروال های مبتنی بر پروكسی این است كه ماشینهای خارج از شبکه كه از آنها محافظت می شود می توانند فقط اطلاعات محدودی در مورد شبکه جمع كنند زیرا آنها هرگز به طور مستقیم به آن متصل نمی شوند. نکته منفی اصلی فایروال های مبتنی بر پروکسی این است که قطع اتصالات ورودی و ایجاد اتصالات خروجی به علاوه فیلتر باعث تاخیرهایی می شود که می توانند عملکرد را خراب کنند. به نوبه خود ، این می تواند با استفاده از برخی برنامه ها از طریق دیوار آتش از بین برود زیرا زمان پاسخ خیلی کند است. فایروال های برجسته بهبود عملکرد نسبت به فایروال های مبتنی بر پروکسی به شکل فایروال های حالت گرا صورت گرفته است ، که قلمرو اطلاعات مربوط به اتصالات را ردیابی می کنند و بازرسی هر بسته را غیر ضروری می کند. این تاخیر معرفی شده توسط دیوار آتش را تا حد زیادی کاهش می دهد.
به عنوان مثال ، با حفظ وضعیت اتصالات ، این دیوارهای آتش می توانند بسته های ورودی را که از آنها به عنوان پاسخ به اتصالات خروجی قانونی که قبلاً مورد بازرسی قرار گرفته اند ، بازرسی کنند ، امتناع می ورزند. در بازرسی اولیه مشخص می شود که اتصال مجاز است و با حفظ آن حالت در حافظه خود ، فایروال می تواند از طریق ترافیک بعدی که بخشی از همان مکالمه است بدون عبور از هر بسته عبور کند. فایروال های برنامه وبفایروال های برنامه وب به طور منطقی بین سرورهایی که برنامه های وب و اینترنت را پشتیبانی می کنند ، قرار می گیرند و از آنها در برابر حملات HTML خاص مانند اسکریپت های درون سایت ، تزریق SQL و دیگران محافظت می کنند . آنها می توانند به صورت سخت افزاری یا مبتنی بر ابر باشند و یا می توانند در برنامه های کاربردی پخته شوند تا مشخص شود آیا باید به هر مشتری که قصد دستیابی به سرور را دارد دسترسی داشته باشد. فایروال های نسل بعدیبسته ها را می توان با استفاده از بیش از وضعیت اتصالات و آدرس منبع و مقصد فیلتر کرد. اینجاست که NGFW ها بازی می شوند. آنها قوانینی را برای کارهایی که برنامه های کاربردی و کاربران مجاز به انجام آن هستند ، ترکیب می کند و داده هایی را که از سایر فن آوری ها جمع آوری شده اند به منظور تصمیم گیری آگاهانه تر در مورد مجاز بودن ترافیک و افت ترافیک ، ترکیب می کنند.
به عنوان مثال ، برخی از این NGFW ها فیلتر URL را انجام می دهند ، می توانند لایه سوکت ایمن SSL)) و اتصالات امنیتی لایه حمل و نقل (TLS ) را خاتمه دهند و از شبکه های گسترده تعریف شده با نرم افزار (SD-WAN) پشتیبانی کنند تا بهره وری از چگونگی پویای SD-WAN تصمیمات در مورد اتصال اجرا می شود. فایروال ها کافی نیستندویژگی هایی که در طول تاریخ توسط دستگاه های جداگانه اداره می شده ، اکنون در بسیاری از NGFW ها گنجانده شده و شامل موارد زیر است: سیستم های پیشگیری از نفوذ IPS))در حالی که فن آوری های اصلی فایروال انواع خاصی از ترافیک شبکه را شناسایی و مسدود می کند ، IPS ها از امنیت دانه ای بیشتری مانند ردیابی امضا و تشخیص ناهنجاری برای جلوگیری از ورود تهدیدها به شبکه ها استفاده می کنند. هنگامی که سیستم عامل های جداگانه ای هستند ، قابلیت IPS بیشتر یک ویژگی فایروال استاندارد است.بازرسی بسته های عمیق DPI))بازرسی بسته های عمیق نوعی فیلتر بسته بندی است که به جایی فراتر می رود که بسته ها از کجا می آیند و به کجا می روند و محتوای آنها را بازرسی می کنند ، به عنوان مثال ، به چه برنامه ای دسترسی پیدا می کنند یا به چه نوع داده ای منتقل می شوند. این اطلاعات می توانند سیاست های هوشمندانه تر و گرانولی تری برای اجرای دیوار آتش فراهم کنند. DPI می تواند برای مسدود کردن یا اجازه ترافیک مورد استفاده قرار گیرد ، اما همچنین محدود کردن میزان پهنای باند برنامه های خاص مجاز به استفاده هستند.
همچنین می تواند ابزاری برای محافظت از مالکیت معنوی یا داده های حساس از خروج شبکه ایمن باشد خاتمه SSL / TLSترافیک رمزگذاری شده SSL از بازرسی بسته های عمیق مصون است زیرا محتوای آن قابل خواندن نیست. برخی از NGFW می توانند ترافیک SSL را خاتمه دهند ، آن را بازرسی کنند ، سپس یک اتصال SSL دوم به آدرس مقصد مورد نظر ایجاد کنند. این می تواند مورد استفاده قرار گیرد ، به عنوان مثال ، کارکنان مخرب از ارسال اطلاعات اختصاصی به خارج از شبکه مطمئن جلوگیری می کنند و همچنین امکان عبور و مرور مشروط را فراهم می کنند. اگرچه از منظر محافظت از داده ها خوب است ، DPI می تواند نگرانی های مربوط به حریم خصوصی را ایجاد کند. با پیشرفت امنیت لایه حمل و نقل (TLS) به عنوان بهبود SSL ، این خاتمه و پراکندگی می تواند برای TLS نیز اعمال شود. ماسه بازی پیوست های ورودی یا ارتباط با منابع خارجی می توانند حاوی کد مخرب باشند. با استفاده از جعبه ماسه بازی ، برخی از NGFW می توانند این پیوست ها و هر کد موجود در آن را جدا کنند ، آن را اجرا کرده و دریابند که آیا این بدخواه است. نکته منفی این روند این است که می تواند بسیاری از چرخه های CPU را مصرف کند و تأخیر قابل توجهی در عبور و مرور از طریق دیوار آتش ایجاد کند. ویژگی های دیگری نیز وجود دارد که می تواند در NGFW ها گنجانیده شود. آنها می توانند از داده های جمع آوری شده توسط سیستم عامل های دیگر با استفاده از آن برای تصمیم گیری در زمینه دیوار آتش پشتیبانی کنند.
به عنوان مثال ، اگر یک امضای مخرب جدید توسط محققان مشخص شده است ، فایروال می تواند آن اطلاعات را در اختیار بگیرد و شروع به فیلتر کردن ترافیک حاوی امضا کند. گارتنر که قبلاً از اصطلاح NGFW استفاده می کرد ، اکنون می گوید که تجسم های قبلی فایروال ها قدیمی تر شده اند و اکنون آنها NGFW ها را به سادگی فایروال های شرکت می نامند.
