میهمان گرامی ، خوش آمدید . عضــویت



رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5

نسل های متفاوت معماری فايروال ها

#1
Bug 
نسل های متفاوت معماری فايروال ها

فايروال ، يك gateway شبكه است كه مبادله اطلاعات نظير به نظير را بر اساس قوانين امنيتی بررسی می نمايد . در واقع ، فايروال يك محدوده و يا مرز را بين دو و يا چندين شبكه ايجاد می نمايد. فايروال هر بسته اطلاعاتی شبكه را متناسب با سياست های امنيتی تعريف شده بررسی می نمايد. سياست های امنيتی ، مشتمل بر مجموعه ای از قوانين امنيتی ، رويه های تائيد ارتباطات درون يك شبكه و يا خارج از يك شبكه می باشند . معمولا" فورواردينگ ترافيك IP بر روی فايروال غيرفعال است تا اين اطمينان حاصل گردد كه تمامی ترافيك بين شبكه داخلی و شبكه های خارجی از طريق سرويس دهنده فايروال انجام می شود . بدين ترتيب به فايروال اجازه داده می شود كه تمامی بسته های اطلاعاتی را در محدوده شبكه بررسی نمايد .
اكثر فناوریهای فايروال ، دارای پتانسيل های مختلفی برای ثبت و بررسی رويدادهای مربوط به ترافيك شبكه می باشند . معمولا" ، فايروال ها ركوردهای مميزی را كه حاوی جزئيات ارتباطات به همراه حوادث مربوطه است، توليد می نمايند .
به موازات بهبود و ارتقاء فناوری استفاده شده در توليد فايروال ها ، آنان قادر به بررسی اطلاعات بيشتری در بسته های اطلاعاتی ، استفاده از الگوريتم های مطمئن تر ، نگهداری اطلاعات وضعيت بيشتر و بررسی بسته های اطلاعاتی در لايه های بيشتری از شبكه شدند .بدين ترتيب ، فايروال ها قادر به ايجاد و ارائه ركوردهای مميزی با جزئيات بيشتر در ارتباط با بسته های اطلاعاتی شدند . با تجزيه و تحليل اينچنين ركوردهائی ، مديران شبكه می توانند اغلب مسائل مربوط به سياست های امنيتی در شبكه را تشخيص دهند ( نظير تلاش برای نفوذ در شبكه ) .


ارائه ركوردهای مميزی حاوی جزئيات اطلاعات مربوط به ترافيك شبكه ، قابليت مانيتورينگ در يك فايروال را افزايش می دهد .

معماری بكارگرفته شده در فايروال ها از گذشته تاكنون دستخوش تحولات فراوانی شده است . ماحصل اين كار ارائه چهار معماری متفاوت می باشد . اين معماری ها عبارتند از :

فايروال های packet filter
:
در سال 1988 اولين مقاله در رابطه با فناوری فايروال توسط Jeff Mogul از شركت DEC ( برگرفته از Digital Equipment Corporation ) منتشر و در آن فايروال هائی كه به آنان packet filter گفته می شد ، معرفی گرديد . بدين ترتيب اولين تلاش در حوزه فناوری فايروال به ثمر نشست و چيزی ايجاد گرديد كه امروزه دارای جايگاهی خاص در اينترنت و ايجاد امنيت است . در AT&T ، توسط افرادی با نام Bill Cheswick و Steve Bellovin تحقيقات بر روی فيلترينگ بسته های اطلاعاتی ادامه يافت و آنها يك مدل كاری برای شركت خود را بر اساس اولين نسل معماری فايروال ها پياده سازی نمودند .

اين نوع فايروال ها ،دستگاه های شبكه ای ساده ای می باشند كه با بررسی هدر هر بسته اطلاعاتی ورودی و يا خروجی عمليات فيلترينگ را انجام می دهند . در فايروال های فوق ، فيلترينگ بسته های اطلاعاتی بر اساس مقادير موجود در هدر يك بسته اطلاعاتی انجام و در خصوص پذيرش و يا عدم پذيرش آن تصميم گرفته می شود . اين نوع فايروال ها را می توان بر اساس آدرس های IP ، نوع بسته اطلاعاتی ، شماره پورت درخواستی و ساير عناصر اطلاعاتی موجود در بسته اطلاعاتی پيكربندی نمود .

فايروال های فوق در سطح لايه شبكه كار می كنند ( نيم نگاهی هم به هدر لايه حمل و يا transport دارند ) .
  • فايروال های circuit level :
در فاصله بين سال های 1980 تا 1990 دو تلاش جدی در خصوص فناوری های فايروال در AT&T و آزمايشگاه بل توسط Dave Presetto و Howard Trickey آغاز گرديد كه ماحصل آن پياده سازی نسل دوم معماری فايروال ها با نام فايروال های circuit level بود.
اين نوع فايروال ها وضعيت هر ارتباط ايجاد شده بين سيستم های داخلی و خارجی را با استفاده از يك جدول وضعيت نگهداری می نمايند . جداول وضعيت ، وضعيت هر بسته اطلاعاتی ( كدام ايستگاه و در چه زمانی اقدام به ارسال اطلاعات نموده است ) مبادله شده را در خود نگهداری می نمايند .
در فايروال های فوق می توان امكان ورود بسته های اطلاعاتی به درون شبكه را صرفا" در اختيار آندسته از بسته های اطلاعاتی گذاشت كه در پاسخ به درخواست يك هاست داخلی دريافت شده اند . در صورت دريافت بسته های اطلاعاتی و عدم وجود اطلاعات مربوط به وضعيت آنان در جدول وضعيت ، از ليست های كنترل دستيابی برای تشخيص امكان ارسال بسته های اطلاعاتی استفاده می گردد .
فايروال های فوق در بالاتر از لايه transport كار می كنند و قادر به ارسال و يا حذف تمامی ارتباط ايجاد شده می باشند
  • فايروال های application layer :
در مقالات منتشر شده توسط Gene Spafford از دانشگاه Purdue ، فردی با نام Bill Cheswick در آزمايشگاه های AT&T و Marcus Ranum ، نسل سوم معماری فايروال ها با نام application layer firewall تشريح گرديد . به اين نوع فايروال ها ، فايروال های مبتنی بر پراكسی نيز گفته می شود . اولين محصول تجاری مبتنی بر معماری فوق توسط Marcus Ranum و با نام SEAL ارائه گرديد .

اين نوع فايروال ها برای پروتكل های خاصی پياده سازی و در سطح لايه application اقدام به بررسی و اتخاذ تصيمم در خصوص يك بسته اطلاعاتی می نمايند .
  • فايروال های dynamic packet filter :
در سال 1992 ، Bob Braden و Annette DeSchon در USC نسل چهارم سيستم فايروال فيلترينگ بسته اطلاعاتی را پياده سازی كردند . محصول آنان با نام Visas اولين سيستمی بود كه دارای يك اينترفيس ويژوال بود كه بر اساس سيستم های عاملی نظير ويندوز و يا MacOS كار می كرد . در اين نوع فايروال ها اجازه داده می شود كه صرفا" يك بسته اطلاعاتی با يك آدرس مبداء ، مقصد و شماره پورت خاص از طريق فايروال ارسال گردد .
در بخش سوم به بررسی معماری packet filter و مزايا و محدوديت های آن خواهيم پرداخت . RoseRose

منبع : شرکت سخاروش
خدایا ، امروز زندگیم را در دستان توانمندت قرار می دهم و به تو، توکل می کنم که چراغ و هدایتگر راهم باشی .
خدایا اگر به یاد آورم که در گذشته چگونه از من مراقبت کردی
در زمان حال به تو توکل می کنم و می دانم، سپردن آینده به دستان توانای تو، بسیار اسان است.
Rose
اگر می خواهی خوشبخت ، باشی سعادت دیگران را هم در نظر بگیر
اگر شادی و تمام چیزهای مطلوب را با دیگران قسمت کنید ،
شادی و چیزهای مطلوب بیشتری را به سمت خودتان جذب می کنید.
امتحان کنیدRose
شهر از بالا زیباست ؛ و آدم ها از دور جذاب .لطفاً فاصله مناسب رو حفظ کنید تا قشنگ بمونیدRose

 سپاس شده توسط Mahtab ، hadi ، hamidi




کاربران در حال بازدید این موضوع: 1 مهمان