فایروال شبکه چیست؟ معرفی کاربرد ، مزایا و مفاهیم
فایروال شبکه چیست؟ فایروال یک دستگاه جهت برقراری امنیت درشبکه است که برای نظارت، فیلتر و کنترل ترافیک ورودی و خروجی شبکه بر اساس قوانین از پیش تعیینشده طراحی شده است. هدف اصلی فایروال ایجاد یک مانع بین شبکه داخلی و شبکه اینترنت میباشد.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
فایروال ها به دو شکل سختافزاری و نرمافزاری وجود دارند و با بررسی پکت های داده و بر اساس مجموعهای از قوانین ، تصمیم میگیرند که آیا به پکت ها اجازه عبور بدهند یا مسدودشان کنند. سازمان ها میتوانند این قوانین را طوری تنظیم کنند که ترافیک بر اساس معیارهای مختلفی مانند آدرسهای IP مبدأ و مقصد، شماره پورتها و نوع پروتکل، مجاز یا ممنوع شود.
درک فایروالها و امنیت شبکه
فایروالها زیربنای امنیت شبکه هستند و شبکه را از دسترسیهای غیرمجاز محافظت میکنند. آنها از ورود عوامل مخرب مانند هکرها، رباتها و تهدیدات دیگر به شبکه خصوصی و سرقت دادههای حساس جلوگیری میکنند.بهطور سنتی، فایروالها با ایجاد یک محیط امن در اطراف یک شبکه یا کامپیوتر، ترافیک را قانونمند میکنند. این امر مانع از دسترسی افراد غیرمجاز به منابع شبکه میشود. بدون این حفاظت، تقریباً هر کسی میتواند وارد شبکه شده و هر کاری که میخواهد انجام دهد.
امروزه فضای امنیت سایبری نیازمند یک رویکرد چندلایه است. در حالی که فایروالها همچنان سنگبنای دفاع شبکه باقی ماندهاند، تهدیدات پیشرفته نیاز به اقدامات امنیتی اضافی دارند. با ظهور رایانش ابری و محیطهای کاری ترکیبی، نیاز به راهحلهای امنیتی جامع بیش از پیش مشهود شده است.
خوشبختانه، تکنولوژیهای پیشرفته فایروال با خدمات مبتنی بر هوش مصنوعی، امنیت شبکه را به سطح جدیدی ارتقا دادهاند و با ترکیب نقاط قوت ابزارهای سنتی و قابلیتهای جدید به سازمانها کمک میکنند تا در برابر پیچیدهترین استراتژیهای حمله از خود دفاع کنند.
یک فایروال چه کارهایی میکند؟
فایروالها از شبکه در برابر ترافیک مخرب محافظت میکنند. آنها بهطور استراتژیک در لبه شبکه یا در مرکز دیتاسنتر قرار میگیرند و به این ترتیب قادرند بهدقت هر چیزی که قصد عبور از این مرز را دارد، زیر نظر داشته باشند.
این دیدگاه به فایروال شبکه این امکان را میدهد که بستههای داده را بهطور دقیق بررسی و احراز هویت کند. این فرآیند شامل بررسی بستههای داده در برابر قوانین از پیش تعیینشده برای تعیین تهدید بودن آنها است. اگر پکت داده نتواند معیارها را برآورده کند، فایروال مانع از عبور پکت داده میشود.فایروالها ترافیک ورودی و خروجی را تنظیم کرده و شبکه را از موارد زیر محافظت میکنند:
- تهدیدات خارجی : مانند ویروسها، back doors، ایمیلهای فیشینگ و حملات DoS . فایروالها ترافیک ورودی را فیلتر کرده و از دسترسی غیرمجاز به دادههای حساس جلوگیری کرده و از آسیب های بالقوه بدافزارها جلوگیری میکنند.
تهدیدات داخلی: مانند عوامل بد شناختهشده یا برنامههای پرخطر. فایروال میتواند قوانین و سیاستها را برای محدود کردن انواع خاصی از ترافیک خروجی اجرا کند، که به شناسایی فعالیتهای مشکوک و کاهش خروج داده کمک میکند.
تفاوت فایروال و آنتیویروس
تفاوت بین فایروال و نرمافزار آنتیویروس چیست؟ فایروالها بر کنترل ترافیک شبکه و جلوگیری از دسترسی غیرمجاز تمرکز دارند. در مقابل، آنتیویروس ها تهدیدات را در سطح دستگاه شناسایی و از بین میبرند. به طور مشخصتر، تفاوتهای کلیدی آنها شامل موارد زیر است:
- محدوده: آنتیویروس عمدتاً یک راهحل در سطح دستگاه است، به این معنا که روی یک دستگاه خاص نصب میشود. فایروالها بیشتر در سطح شبکه به کار میروند، اما برخی سازمانها برای حفاظت بیشتر فایروالهای را مستقیماً روی دستگاه نصب میکنند.
عملکرد: فایروالها ترافیک را نظارت کرده و دادههای مخرب را قبل از ورود به شبکه (یا دستگاه) مسدود میکنند. آنتیویروس ها دستگاه را برای یافتن بدافزار، باجافزار و دیگر حملات خطرناک اسکن میکنند.
شرکتها معمولاً هر دو فایروال و برنامههای آنتیویروس را به کار میگیرند. این دو به عنوان راهحلهای مکمل، هر کدام لایههای حفاظتی ضروری برای حفاظت از داراییهای را فراهم میکنند.
عملکردهای فایروال: NAT و VPN
NAT و شبکه خصوصی مجازی (VPN) دو فناوری مجزا هستند که هر کدام دارای مجموعهای از عملکردهای خاص مرتبط با امنیت شبکه و ارتباطات هستند. در حالی که NAT بیشتر با ترجمه آدرسها برای اهداف مسیریابی مرتبط است، VPNها برای ایجاد اتصالات امن و رمزگذاری شده از طریق اینترنت استفاده میشوند.
NAT چیست؟
NAT آدرسهای مقصد یا مبدا بستههای داده را هنگام عبور از یک فایروال تغییر میدهد. این کار به چندین دستگاه اجازه میدهد که با استفاده از یک آدرس IP به اینترنت متصل شوند، که این امر از ارتباط مستقیم شبکه خصوصی با تهدیدات خارجی جلوگیری میکند.
در یک محیط اداری، هر کارمند از کامپیوتر یا دستگاه موبایل خود برای دسترسی به اینترنت برای مرور، ارسال ایمیل و استفاده از خدمات ابری استفاده میکند. با وجود اینکه هر دستگاه دارای یک آدرس IP خصوصی در شبکه داخلی شرکت است، تمام ترافیک خروجی برای شبکههای خارجی به نظر میرسد که از یک آدرس IP عمومی که به شرکت اختصاص داده شده، منشا میگیرد. در نتیجه، شناسایی و هدف قرار دادن دستگاههای فردی برای مهاجمان سختتر میشود.
VPN چیست؟
VPN نوعی Proxy server است و به عنوان یک سد بین یک کامپیوتر یا شبکه و اینترنت عمل میکند، تمام درخواستهای وب را دریافت کرده و سپس به شبکه ارسال میکند.VPNهای رایج شبکه خصوصی را از طریق یک شبکه عمومی مانند اینترنت گسترش میدهند. این به کاربران اجازه میدهد که دادهها را به صورت امن و به گونهای انتقال دهند که انگار دستگاههای آنها مستقیماً به شبکه خصوصی متصل هستند. این اتصال یک تونل رمزگذاری شده بین دستگاههای راه دور و شبکه شرکتی ایجاد میکند که دسترسی امن را ممکن میسازد.
این عملکرد به ویژه در یک محیط ترکیبی مفید است. کارکنان راه دور بدون توجه به مکان یا نحوه کار خود میتوانند از VPNها برای دسترسی به شبکههای شرکتی و برنامههای حیاتی استفاده کنند.
تکامل فایروالها : از نسل اول تا نسل چهارم
فایروال ها در چهار مرحله متمایز تکامل یافتهاند:
فایروالهای نسل اول از سال 1989 با روش فیلتر کردن بستهها آغاز شدند. این فایروالها بستههای داده را به طور جداگانه بررسی میکنند و تصمیم به مجاز یا مسدود کردن آنها بر اساس قوانین از پیش تعریف شده میگیرند. با این حال، این فایروالها قادر به شناسایی کدهای مخرب (مانند بدافزار) درون بستهها نبودند.
فایروالهای نسل دوم از اوایل دهه 2000 آغاز شدند. که به عنوان فایروالهای حالتدار (stateful) نیز شناخته میشوند، این فایروالها وضعیت کانکشن های فعال را دنبال میکنند. با مشاهده ترافیک شبکه و استفاده ازاز context رفتارهای مشکوک را شناسایی و با آن برخورد میکنند. متأسفانه، این نسل نیز محدودیتهایی دارد.
فایروالهای نسل سوم در نیمه دوم اوایل دهه 2000 ظهور کردند. که به طور معمول به آنها فایروالهای پراکسی یا دروازههای سطح کاربردی (application-level gateways) گفته میشود. این فایروالها به عنوان واسطهای بین کلاینت و سرور عمل میکنند.
فایروالهای نسل چهارم، که به عنوان فایروالهای نسل جدید (NGFW) نیز شناخته میشوند، از سال 2010 آغاز شدند. فایروالهای NGFW تواناییهای سنتی را با ویژگیهای جدید و پیشرفتهای مانند پیشگیری از نفوذ (IPS)، فیلتر کردن در سطح برنامه (application-layer filtering)، و شناسایی تهدیدات پیشرفته ترکیب میکنند.
اگرچه هر نسل بهبودهایی نسبت به نسل قبلی داشته است، بسیاری از نسخههای اولیه هنوز در حال استفاده هستند. بیایید مزایای هر فایروال را به تفصیل بررسی کنیم.
فایروال های stateless
یک فایروال بدون وضعیت (stateless firewall) : با تحلیل ترافیک در لایه پروتکل transport ، که در آن دستگاهها با یکدیگر ارتباط برقرار میکنند، از شبکه محافظت میکند. به جای ذخیرهسازی اطلاعات درباره وضعیت اتصال شبکه، این نوع فایروال ترافیک را به صورت بسته به بسته (packet-by-packet) بررسی میکند. سپس بر اساس دادههای موجود در سربرگ بسته (packet header)، تصمیم میگیرد که ترافیک را مسدود کند یا اجازه عبور دهد. این دادهها ممکن است شامل آدرسهای IP مبدا و مقصد، شمارههای پورت، پروتکلها و اطلاعات دیگر باشد. به طور کلی، این فرآیند به نام فیلتر کردن بستهها (packet filtering) شناخته میشود.
با وجود اینکه فایروالهای stateless سریع و ارزان هستند، نقاط ضعفی دارند. متاسفانه، آنها دیدی به ترتیب بستهها (packet sequencing) ندارند. به این معنی که نمیتوانند بستههای غیرقانونی را شناسایی کنند، که ممکن است حاوی attack vectors باشند یا درخواست مرتبطی نداشته باشند.
همچنین، آنها فقط سربرگ بسته (packet header) را بررسی میکنند و نه محتوای واقعی آن. این مسئله باعث میشود که یک فایروال stateless نتواند بدافزار (malware) پنهان شده در داخل بسته (packet payload) را شناسایی کند.
فایروال های Stateful
فایروالهای با وضعیت (Stateful Firewalls) وضعیتهای کانکشن های فعال را پیگیری میکنند. نظارت بر وضعیت و context ارتباطات شبکه میتواند به شناسایی تهدیدات بر اساس اطلاعات دقیقتر کمک کند.
برای مثال، فایروالهای آگاه به وضعیت (state-aware firewalls) ترافیک را با تحلیل مبدا و مقصد آن و محتوای بستههای دادهای که ارسال میشوند، مسدود یا اجازه عبور میدهند. علاوه بر این، آنها رفتار بستههای داده و اتصالات شبکه را ارزیابی کرده، الگوها را ثبت میکنند و از این اطلاعات برای بهبود شناسایی تهدیدات در آینده استفاده میکنند.
این روش نسبت به فیلتر کردن بستهها (packet filtering) حفاظت بیشتری ارائه میدهد، اما تأثیر بیشتری بر عملکرد شبکه دارد زیرا تحلیل عمیقتری انجام میدهد. نکته بد این است که مهاجمان میتوانند فایروالهای Stateful را فریب دهند تا به درون شبکه نفوذ کنند. آنها از قوانین شبکه سوءاستفاده کرده و بستههای مخرب را با استفاده از پروتکلهایی که فایروال آنها را ایمن میداند، ارسال میکنند.
Application-Level Gateways یا Proxy Firewalls
Application-Level Gateways که به آنها فایروالهای پروکسی (proxy firewalls) نیز گفته میشود، به عنوان واسطی بین سیستمهای داخلی و خارجی عمل میکنند. به طور خاص، آنها در لایه 7 مدل OSI لایه کاربرد (application layer) فعالیت میکنند. برنامههای لایه 7 شامل مرورگرهای وب، نرم افزارهای دریافت ایمیل و ابزارهای پیامرسان هستند. از آنجایی که این لایه نزدیکترین لایه به کاربر نهایی است، Proxy Firewalls تمامی ترافیک ورودی و خروجی را دریافت و تحلیل میکنند و سیاستهای امنیتی دقیق را برای کنترل دسترسی و محافظت از شبکه اعمال مینمایند. آنها امکاناتی نظیر فیلتر کردن بستهها (packet filtering)، بازرسی در سطح کاربرد (application-level inspection)، فیلتر کردنURL و سایر خدمات مشابه را ارائه میدهند.
Next-Generation Firewall (NGFW)
فایروالهای نسل بعدی (NGFWs) توانایی مقابله با تهدیدات سایبری جدید را دارند. این فایروالها بهترین ویژگیهای فناوریهای فایروال قدیمی را با قابلیتهای پیشرفتهای که برای کاهش حملات سایبری مدرن لازم است، ترکیب میکنند. به عنوان مثال، این ویژگیها شامل موارد زیر هستند:
- بازرسی عمیق بستهها (DPI): روشی برای بررسی محتوای بستههای داده به هنگام عبور از نقاط کنترل شبکه. DPI طیف گستردهتری از اطلاعات را تحلیل میکند و به این ترتیب میتواند تهدیدات مخفی را شناسایی کند.
پیشگیری از نفوذ (IPS): سیستمی که به صورت لحظهای ترافیک را مانیتور کرده و تهدیدات را بهصورت فعال شناسایی و پاسخها را خودکار میکند. - پیشگیری از نشت اطلاعات (DLP) : یک راهکار امنیت سایبری که مانع از افشای عمدی و یا تصادفی دادهها میشود.
- فایروالهای نسل بعدی (NGFWs) ویژگی های نسلهای قبلی را با قابلیتهای امنیتی پیشرفتهای که در بالا ذکر شد، ترکیب میکنند. این فایروالها میتوانند به صورت نرمافزار یا سختافزار پیادهسازی شوند و قابلیت گسترش به هر مکانی را دارند: شعبات، پردیسها، مراکز داده و Cloud. NGFWs میتوانند امنیت در سطح سازمانی را ساده، یکپارچه و خودکار کنند، و مدیریت مرکزی را در محیطهای پیچیده فراهم کنند. این قابلیتها شامل موارد زیر هستند:
- امنیت اینترنت اشیا (IoT): برای شناسایی دستگاههای آورده شده توسط کاربر (BYOD)، دستگاههای غیرمجاز (rogue) یا shadow IT Shadow IT به استفاده از سیستمها، نرمافزارها، دستگاهها یا خدماتی اشاره دارد که توسط تیمهای IT سازمان تأیید نشدهاند و بدون اطلاع یا تأیید آنها مورد استفاده قرار میگیرند.
- سندباکسینگ شبکه: برای مانیتور کردن و تحلیل اشیای مشکوک در یک محیط ایزوله.
دسترسی شبکه با اعتماد صفر (ZTNA) : برای مدیریت دسترسی شبکه به کاربران و برنامهها بر اساس هویت و Context.
امنیت فناوری عملیاتی (OT) :برای محافظت از محیطهای OT با استفاده از اطلاعات تهدید، سیستم پیشگیری از نفوذ (IPS)، برنامههای SCADA و بررسی تهدیدات. - OT به سیستمها و دستگاههایی اشاره دارد که برای مدیریت و کنترل فرآیندهای صنعتی و عملیاتی در صنایع مختلف استفاده میشوند. این سیستمها اغلب شامل تجهیزات حساس مانند سیستمهای تولید، نیروگاهها، پالایشگاهها و سایر تأسیسات صنعتی هستند.
- امنیت DNS برای مانیتورینگ، شناسایی و جلوگیری از حملات در لایه DNS : SD-WAN برای ارائه انتخاب مسیر پویا، بر اساس سیاست های سازمان، سیاستگذاری و مدیریت متمرکز دستگاهها، شبکه خصوصی مجازی (VPN) و پیکربندی بدون نیاز به مداخله انسانی.