برای محافظت از سامانه‌ها و شبکه‌ها چه نوع دیوار آتشی مناسب است؟

مطلب پیشنهادی

دیوارآتش (Firewall) چیست و انواع آن کدام است؟

نکاتی که باید قبل از خرید دیوار آتش بدانید 

اولین نکته‌ای که باید به آن دقت کنید این است که دیوارهای آتش تنها قادر به نظارت بر ترافیکی هستند که دریافت می‌کنند و کنترلی بر ترافیکی که دریافت نمی‌کنند ندارند. دستگاه‌هایی مثل درایوهای فلش یا هر نوع حافظه خارجی به‌سادگی قادر به آلوده کردن یک سامانه یا حتا شبکه‌هایی هستند که در مناطق غیرنظامی (DMZ) مستقر می‌شوند. از این‌رو، دیوارهای آتش نباید به‌عنوان جایگزینی برای آنتی‌ویروس‌ها در نظر گرفته شوند که می‌توانند فعالیت‌های مشکوک را شناسایی و مانع از انتشار بدافزارها شوند. یک آنتی‌ویروس در برابر ویروس‌هایی که فایروال نمی‌تواند آن‌ها را شناسایی کند، از سامانه‌ها و شبکه‌های ارتباطی محافظت می‌کند. به همین دلیل است که فایروال‌ها و آنتی‌ویروس‌ها مکمل یک‌دیگر هستند و در کنار یک‌دیگر یک مکانیزم امنیتی کارآمد را پیاده‌سازی می‌کنند. 

پنج نوع اصلی دیوارهای آتش

برندهای مختلفی در زمینه تولید محصولات امنیتی و دیوارهای آتش فعالیت می‌کنند و تقریبا همه آن‌ها پنج نوع دیوار آتشی را که به آن‌ها اشاره خواهیم کرد تولید و روانه بازار می‌کنند. به‌طور کلی، دیوارهای آتش بسته به عملکرد، نوع مکانیزم محافظتی و مجموعه ویژگی‌هایی که ارائه می‌کنند، به پنج نوع اصلی زیر تقسیم می‌شوند:

1. دیوار آتش فیلترکننده بسته

دیوارهای آتش فیلترکننده بسته‌ها (Packet-Filtering Firewall) ابتدایی‌ترین نوع فایروال‌ها هستند و اگرچه به‌لحاظ معماری و ساختار فنی قدیمی هستند، اما همچنان نقش مهمی در دنیای امنیت سایبری دارند. فایروال فیلتر‌کننده بسته عملکردی شبیه به یک نگهبان امنیتی دارد که فهرست افراد مجاز به ورود به ساختمان را در اختیار دارد. فایروال فیلتر‌کننده بسته در نقاط اتصال شبکه‌ها مستقر می‌شود و اقدام به بازرسی بسته‌ها می‌کند. آن‌ها بسته‌ها را با مجموعه‌ای از معیارهای از‌قبل‌تعیین‌شده بررسی می‌کنند، بنابراین وقتی بسته‌ای را دریافت می‌کنند که مولفه‌های آن هماهنگ با لیستی نیست که در اختیار دارند، بسته را رها کرده یا آن‌را فیلتر می‌کنند. به همین دلیل «دیوارهای آتش فیلترکننده بسته» نام دارند. فایروال‌های فیلترکننده بسته، به‌دلیل قیمت پایین و سرعت زیاد در اسکن ترافیک، مورد توجه کارشناسان امنیتی قرار دارند، با این‌حال، معایبی نیز دارند. این امکان وجود دارد تا اطلاعات اشتباه در اختیار این دیوارهای آتش قرار بگیرد یا هکرها محتوای بسته‌ها را به‌گونه‌ای ویرایش کرده باشند تا بسته‌های مخرب بتوانند از سد کنترل‌های ازپیش‌تعیین‌شده عبور کنند. به‌طور کلی، دیوارهای آتش فیلترکننده بسته بیشتر برای کاربران خانگی و سازمان‌های کوچکی که داده‌های حساسی روی سرورهای خود ندارند ایده‌آل هستند. در حالت ایده‌آل، آن‌ها به‌عنوان یک لایه امنیتی در کنار سایر راه‌حل‌های نرم‌افزاری یا به‌عنوان بخشی از یک استراتژی دفاعی لایه‌ای مورد استفاده قرار می‌گیرند. 

2. دیوار آتش دروازه سطح مدار

دیوارهای آتش دروازه سطح مدار (Circuit-Level Gateway Firewall) شبیه به دیوارهای آتش فیلترکننده بسته هستند، با این تفاوت که می‌توانند تراکنش‌های درخواستی را پردازش کنند و در عین حال تمام ترافیک را فیلتر کنند. علاوه بر این، دیوارهای آتش دروازه سطح مدار راه‌اندازی ساده و قیمت مناسبی دارند. البته معایبی نیز دارند. به‌طور مثال، قادر نیستند از زیرساخت ارتباطی در برابر نشت داده یک دستگاه تحت شبکه محافظت کنند. همچنین، آ‌ن‌ها نیاز به به‌روزرسانی‌های مکرر دارند تا بتوانند از شبکه در برابر تهدیدات مختلف محافظت کنند. 

در حالت ایده‌آل، آن‌ها در کنار دیگر دیوارهای آتش و به‌عنوان بخشی از یک دفاع لایه‌ای عملکرد قابل قبولی دارند. اگر به قیاس قبلی خود بازگردیم، باید بگوییم که این دیوارهای آتش نیز عملکردی شبیه به یک نگهبان امنیتی با فهرست افراد را دارند که نام هر فردی را که قرار است به ساختمان وارد شود با اسامی موجود در فهرست تطابق داده و اگر نامش در فهرست قرار داشت، اجازه عبور می‌دهند. تفاوت اصلی این دیوارهای آتش با نمونه قبلی این است که نگهبان به‌طور دائم به یک فهرست به‌روزشده از افرادی که قادر به ورود یا خروج از ساختمان هستند، دسترسی دارد. 

مطلب پیشنهادی

آشنایی با بهترین دیوارهای آتش (firewall) سخت افزاری سازمانی

3. دیوار آتش دروازه سطح برنامه/ دیوار آتش پروکسی

دیوار آتش پروکسی (Proxy Firewall) مشابه دروازه وب امن ابری (Cloud Secure Web Gateway) کار می‌کند، زیرا تنها یک نقطه ورودی برای اتصال به شبکه ایجاد می‌کند که تمام ترافیک باید از آن عبور کند. برخلاف دو دیوار آتشی که بررسی کردیم، دیوارهای آتش پراکسی تمام بسته‌ها را بر مبنای پارامترهای مختلف مثل سرویس مورد نیاز، پورت مقصد و غیره اسکن می‌کنند که روند شناسایی بسته‌های مشکوک را آسان‌تر می‌کنند.

این دیوارهای آتش به‌شکل کارآمدتری قادر به نظارت بر عملکرد شبکه هستند، البته به‌دلیل قابلیت‌های پیشرفته‌ای که ارائه می‌کنند مدیریت آن‌ها کمی سخت است و قیمت بیشتری نسبت به نمونه‌های قبلی دارند، با این حال توانایی کار با همه پروتکل‌های شبکه را ندارند. این دیوارهای آتش بیشتر توسط سازمان‌های بزرگ برای محدود کردن دسترسی به منابع و پیشگیری از بروز مشکل نشت داده‌های حساس مورد استفاده قرار می‌گیرند. 

این فایروال معادل یک نگهبان امنیتی مستقر در گیت ورودی با لیستی از افراد است که ضمن بررسی مشخصات از آن‌ها سوال می‌کند که چه کاری انجام می‌دهند، به کجا می‌روند و از کجا می‌آیند تا ببینند آیا مورد مشکوکی وجود دارد یا خیر. دیوارهای آتش دروازه سطح مدار همین کار را در ارتباط با بسته‌هایی که قرار است از ترمینال‌ها خارج یا به آن وارد شوند انجام می‌دهند. 

4. دیوار آتش بازرسی‌کننده دارای حالت 

دیوارهای آتش بازرسی دارای حالت (Stateful Inspection Firewall) بسته‌ها و بارداده‌ها را به‌شکل عمیقی تجزیه‌و‌تحلیل می‌کنند تا هرگونه مورد مشکوکی را شناسایی کنند. این دیوارهای آتش کنترل زیادی بر محتوایی که وارد شبکه شده یا از آن خارج می‌شوند اعمال می‌کنند. شبیه به دیوارهای آتش پروکسی، دیوارهای آتش بازرسی دارای حالت، گران‌قیمت هستند و به‌دلیل نظارت شدیدی که اعمال می‌کنند، گاهی‌اوقات بر سرعت شبکه تاثیر منفی گذاشته و ممکن است باعث تداخل در ارتباطات شوند. این دیوارهای آتش به‌خوبی قادر به تشخیص رفتار مشکوک هستند. 

مطلب پیشنهادی

آموزش رایگان دوره CEH همگام با سرفصل‌های بین‌المللی – 52

آموزش CEH (هکر کلاه سفید): هکرها چگونه دیوارهای آتش را دور می‌زنند؟

5. دیوار آتش نسل بعدی

دیوار آتش نسل بعدی (Next-Generation Firewall) بالاترین سطح از امنیت را ارائه می‌کنند. برخلاف دیوارهای آتش دیگر، یک NGFW می‌تواند برنامه‌های مختلفی را که ترافیکی از آن‌ها عبور می‌کند یا تولید می‌کنند ارزیابی کند. این‌کار از طریق به‌روز‌رسانی خودکار و ادغام با دیگر تکنیک‌های امنیتی انجام می‌شود. به‌طور معمول، دیوارهای آتش نسل بعدی عملکردهای چند نرم‌افزار امنیتی مختلف را ارائه می‌کنند. NGFW‌ها به‌دلیل این‌که از ابزارها و روش‌های مختلفی برای ارزیابی بسته‌های اینترنتی استفاده می‌کنند، پیچیدگی‌های خاص خود را دارند و علاوه بر این، پیاده‌سازی آن‌ها سخت است؛ به‌دلیل این‌که باید با ابزارهای امنیتی مستقر در شبکه سازمانی یکپارچه شوند تا بتوانند تهدیدات را با کمترین هشدارهای مثبت کاذب شناسایی کنند. رویکرد فوق یک فرآیند پیچیده است و باید توسط یک کارشناس امنیتی یا بخش فناوری اطلاعات یک شرکت انجام شود. NGFWها در گروه گران‌قیمت‌ترین ابزارهای امنیتی بازار طبقه‌بندی می‌شوند و برای انجام فعالیت‌های خود به سرویس‌های رایانش ابری نیاز دارند. به‌دلیل قیمت و پیچیدگی، NGFWها بیشتر توسط سازمان‌هایی استفاده می‌شوند که تمامی اطلاعات آن‌ها حساس و مهم هستند. شرکت‌های حقوقی، بیمارستان‌ها یا موسسات فعال در حوزه مالی از این دیوارهای آتش استفاده می‌کنند. این نوع فایروال‌ها عملکرد سه دیوار آتش قبلی را به‌شکل همزمان ارائه می‌کنند و برخی از مدل‌های پیشرفته‌تر آن‌ها در قالب یک بسته امنیتی کامل در اختیار مصرف‌کنندگان قرار می‌گیرند. 

6. مکانیزم مدیریت یکپارچه تهدید

مدیریت تهدید یکپارچه (UTM) سرنام Unified Threat Management به سامانه‌ای متشکل از چند سرویس امنیتی اشاره دارد که با یک‌دیگر ادغام شده‌اند و به‌عنوان یک راه‌حل امنیتی یکپارچه مورد استفاده قرار می‌گیرند. هنگامی که سامانه مدیریت تهدید یکپارچه در شبکه‌ای نصب شود، قادر است از کاربران شبکه با استفاده از ابزارهای مختلفی مثل ضدویروس، فیلتر محتوا، فیلتر ایمیل و وب، ضد هرزنامه و غیره محافظت کند. 

UTM یک سازمان را قادر می‌سازد تا خدمات امنیتی فناوری اطلاعات خود را در یک سامانه ادغام کند و به‌شکل ساده‌تری از شبکه محافظت کند. در نتیجه، کسب‌وکارها می‌توانند تمام تهدیدات و فعالیت‌های شبکه را از طریق یک داشبورد مرکزی مدیریت کنند. در این حالت، گزارش‌های دقیقی در مورد عملکرد بخش‌های مختلف شبکه به‌دست می‌آید و هرگونه فعالیت مشکوکی به‌راحتی قابل رصد خواهد بود. به‌طور کلی، «سامانه مدیریت تهدید یکپارچه» و «دیوارهای آتش نسل بعدی» اصلی‌ترین گزینه‌هایی هستند که شرکت‌ها برای محافظت از زیرساخت‌ها از آن‌ها استفاده می‌کنند، زیرا دسترسی همزمان به دیوار آتش و ابزارهای امنیتی را امکان‌پذیر می‌کنند. سامانه‌های مدیریت تهدیدات یکپارچه، قابلیت‌های مختلفی در اختیار سازمان‌ها قرار می‌دهند که از آن جمله به موارد زیر باید اشاره کرد:

• ضدویروس: UTM دارای نرم‌افزار ضدویروس است که می‌تواند شبکه را کنترل کند، ویروس‌ها را شناسایی کند و مانع از آن شود تا ویروس‌ها یک سیستم را آلوده کرده یا آلودگی به سیستم‌های دیگر سرایت کند. این کار با استفاده از اطلاعات موجود در پایگاه‌ داده ضدویروس انجام می‌شود. برخی از تهدیداتی که نرم‌افزار ضدویروس UTM می‌تواند آن‌ها را متوقف کند فایل‌های آلوده، تروجان‌ها، کرم‌ها، جاسوس‌افزارها و بدافزارها هستند. 
• ضدبدافزار: سامانه مدیریت تهدید یکپارچه با شناسایی بدافزارها و مقابله با آن‌ها از شبکه در برابر تهدیدات بدافزاری محافظت می‌کند. یک UTM می‌تواند برای شناسایی بدافزارهای شناخته‌شده یا فیلتر کردن بسته‌های مشکوکی که احتمال آلودگی در آن‌ها وجود دارد، از سامانه‌ها محافظت کند. همچنین، UTM می‌تواند برای شناسایی تهدیدات بدافزاری جدید از روش‌هایی مثل تجزیه‌وتحلیل اکتشافی که شامل قوانینی است که رفتار و ویژگی‌های فایل‌ها را تجزیه‌وتحلیل می‌کند، استفاده کند. 
• جعبه شن: برخی از UTMها مجهز به مکانیزم جعبه شن (Sandbox) هستند که یک استراتژی ضدبدافزاری به‌شمار می‌رود. با جعبه شن، مکانی در سامانه‌ها یا شبکه مشخص می‌شود که فایل‌ها یا نرم‌افزارهای مشکوک به آن بخش منتقل می‌شوند. در این حالت، اگر بدافزار سعی کند اقدام مخربی انجام دهد، این مسئله به‌سرعت شناسایی می‌شود. 
• دیوار آتش: دیوارهای آتش با اسکن ترافیک ورودی و خروجی به ابزارهای امنیتی در شناسایی ویروس‌ها، بدافزارها، حمله‌های فیشینگ، هرزنامه‌ها، تلاش برای نفوذ به شبکه و دیگر تهدیدات سایبری کمک می‌کنند. از آن‌جایی که فایروال‌های UTM داده‌های ورودی و خروجی شبکه را بررسی می‌کنند، می‌توانند دستگاه‌های داخل شبکه را که ممکن است باعث گسترش بدافزار و شیوع آن به دیگر بخش‌های شبکه شوند شناسایی کنند. 
• پیشگیری از نفوذ: سامانه‌های UTM می‌توانند با تحلیل الگوهای رفتاری و تحلیل بسته‌های اطلاعاتی، برخی از بدافزارها را شناسایی کرده و مانع بروز حمله‌های سایبری شوند. این قابلیت از طریق ترکیب دو مکانیزم «سیستم تشخیص نفوذ» (IDS) و «سیستم پیشگیری از نفوذ» (IPS) به‌دست می‌آید. برای شناسایی تهدیدات، یک IPS بسته‌های داده‌ای را تجزیه‌وتحلیل می‌کند و به‌دنبال الگوهای شناخته‌شده در تهدیدات می‌گردد. هنگامی که یکی از این الگوها شناسایی شد، IPS حمله را متوقف می‌کند.

در برخی موارد، یک IDS تنها بسته‌های داده‌ای خطرناک را شناسایی می‌کند و هشداری برای تیم فناوری اطلاعات ارسال می‌کنند تا اقدامات مناسبی را برای مقابله با تهدیدات اتخاذ کنند. این اقدامات می‌توانند به‌شکل خودکار یا دستی انجام شوند. علاوه بر این، UTM توانایی ثبت رویداد‌های مخرب را دارد؛ به‌طوری که کارشناسان امنیتی بتوانند در زمان مناسبی گزارش‌ها را تجزیه‌و‌تحلیل کنند و مانع بروز حملات مشابهی در آینده شوند. 

• شبکه خصوصی مجازی: یکی دیگر از قابلیت‌های کاربردی که UTMها ارائه می‌کنند، شبکه خصوصی مجازی (VPN) است که با ایجاد یک تونل امن به سازمان‌ها اجازه می‌دهد از طریق یک شبکه ایمن به تبادل اطلاعات بپرداند، بدون آن‌که دغدغه‌ای از بابت شنود یا دستکاری اطلاعات داشته باشند. در این حالت، همه بسته‌های اطلاعاتی ارسالی یا دریافت رمزگذاری می‌شوند. 
• فیلتر کردن وب: ویژگی فوق مانع از آن می‌شود تا کارمندان یک سازمان بتوانند به بازدید از وب‌سایت‌های خاص بپردازند. به‌طوری که مرورگر کاربران نمی‌تواند اقدام به بارگیری صفحات سایت‌ها کند. می‌توانید فیلترهای وب را به‌گونه‌ای پیکربندی کنید که سایت‌های خاصی را با توجه به خط‌مشی‌های سازمانی مسدود کند. به‌طور مثال، اگر برخی شبکه‌های اجتماعی باعث حواس‌پرتی کاربران می‌شوند، امکان فیلتر کردن این سایت‌ها با استفاده از سامانه مدیریت یکپارچه تهدیدات به ساده‌ترین شکل وجود دارد. 
• Data Loss Prevention: فناوری DAP مکانیزمی است که UTM در اختیار سازمان‌ها قرار می‌دهد تا نقض داده‌ها را شناسایی کرده و آن‌ها را برطرف کنند. برای انجام این کار، مکانیزم پیشگیری از بروز مشکل از دست دادن داده‌ها، داده‌های حساس را رصد می‌کند و هنگامی که تلاش یک عامل مخرب برای سرقت را شناسایی می‌کند، تلاش را مسدود می‌کند، گزارشی برای مدیر شبکه ارسال می‌کند و مانع سرقت داده‌ها می‌شود. 

3 نوع اصلی دیوارهای آتش 

دیوارهای آتش بسته به نیاز سازمان‌ها به سه مدل مختلف به بازار عرضه می‌شوند که همه یا برخی از حالت‌های اشاره‌شده در بالا را در خود جای داده‌اند. 

دیوارهای آتش مبتنی بر سخت‌افزار

در بیشتر موارد، دیوارهای آتش سخت‌افزاری در روترها قرار دارند و دسترسی ایمن به اینترنت را ارائه می‌کنند. بیشتر روترهای خانگی و تجاری مجهز به دیوارهای آتش ازپیش‌نصب‌شده‌ هستند. مکانیزم فوق یک دروازه امن برای شبکه سازمانی یا خانگی فراهم می‌کند. این مدل دیوارهای آتش برای شبکه‌های خانگی یا محیط‌های کاری کوچک مناسب هستند. عیب اصلی دیوارهای آتش فوق این است که تنها از دستگاه‌های پشت روتر محافظت می‌کند. در نمونه‌های حرفه‌ای‌تر، دیوارهای آتش به‌شکل تجهیزات سخت‌افزاری پیشرفته و کارآمد در اختیار سازمان‌ها قرار دارند که نصب آن‌ها به مهارت زیادی نیاز دارد، باید به‌طور مداوم به‌روزرسانی شوند و برای بهره‌مندی از قابلیت‌های آن‌ها باید لایسنس‌های مربوطه خریداری شوند. 

دیوارهای آتش مبتنی بر نرم‌افزار

یک دیوار آتش نرم‌افزاری تمام قابلیت‌هایی که نمونه سخت‌افزاری ارائه می‌کند را به‌شکل مجازی در اختیار کاربران قرار می‌دهد. مزیتی که روش فوق دارد این است که شما می‌توانید دیوارهای آتش نرم‌افزاری را روی هر دستگاهی که نیاز دارید نصب کنید. عیب اصلی دیوارهای آتش نرم‌افزاری این است که از منابع سیستمی، مثل پردازنده مرکزی و حافظه اصلی سامانه استفاده می‌کنند. این دیوارهای آتش برای محافظت از تجهیزات الکترونیکی که قرار است در مکان‌های عمومی نصب شده و مورد استفاده قرار گیرند، عالی هستند. لازم به توضیح است که برخی از آن‌ها رایگان و برخی دیگر پولی هستند. به‌طور مثال، TinyWall یک نمونه عالی از دیوار آتش نرم‌افزاری رایگان است.

دیوارهای آتش مبتنی بر ابر

دیوارهای آتش ابرمحور گاهی‌اوقات به‌عنوان دیوارهای آتش ابری و دیوار آتش به‌عنوان سرویس (FWaaS) شناخته می‌شوند. دیوار آتش ابری عملکردی همانند دو گزینه قبلی دارد؛ با این تفاوت که این نوع دیوار آتش، ایمنی لازم میان زیرساخت ابری و شبکه‌های متصل به آن را ارائه می‌کند. 

کلام آخر

همان‌گونه که مشاهده کردید، دیوارهای آتش مختلفی برای پاسخ‌گویی به نیازهای کاربران طراحی شده‌اند. اگر کاربری هستید که به‌دنبال مستحکم کردن زیرساخت‌های ارتباطی است یا سازمانی هستید که قصد دارد به محافظت از داده‌ها و پیشگیری از بروز مشکل نشت‌ها بپردازد، در همه موارد باید بدانید که وجود دیوار آتش یک انتخاب نیست، بلکه یک ضرورت است. فقط باید به این نکته دقت کنید که چه نوع دیوار آتشی برای انجام چه کاری مناسب است. به همین دلیل توصیه می‌شود قبل از خرید دیوارهای آتش، مزایا و معایب هر یک را به‌دقت بررسی کنید تا گزینه‌ای متناسب با نیازها خریداری کنید.