فایروال سخت افزاری یک دستگاه تحت شبکه است که بین شبکه داخلی و Gateway قرار می گیرد. در ادامه شما را با انواع فایروال سخت افزاری آشنا خواهیم کرد. همراه داتیس نتورک باشید.
فایروال سخت افزاری
به زبان ساده Firewall یک سیستم امنیتی شبکه است که براساس قوانین امنیتی از پیش تعیین شده ، ترافیک شبکه ورودی و خروجی را کنترل و مانیتور می کند.
فایروال به طور معمول سدی بین شبکه داخلی قابل اعتماد و شبکه خارجی غیرقابل اعتماد مانند اینترنت ایجاد می کند.
دیوار آتش وسیله ای امنیتی شبکه است که نظارت بر ترافیک شبکه ورودی و خروجی را انجام می دهد و تصمیم می گیرد اجازه دهد ترافیک خاص بر اساس مجموعه مشخصی از قوانین امنیتی مجاز به عبور است یا باید بلاک شود.
توصیه می کنیم قبل از ادامه، مقاله زیر درباره فایروال را مطالعه کنید:
خب! حالا که با مفهوم فایروال آشنا شدیم و فهمیدیم یکی از انواع فایروال، فایروال سخت افزاری هست، در ادامه به بررسی بیشتر این دستگاه های شبکه می پردازیم.
بررسی مفهوم فایروال سخت افزاری
فایروال های سخت افزاری معمولا به صورت زیرساخت هایی هستند که توسط شرکت های تولید کننده بر روی بوردهای سخت افزاری، نصب و راهاندازی شدهاند و معمولا در قالب یک روتر در شبکه فعالیت میکنند.
روتر نیز میتواند در یک شبکه به عنوان فایروال سخت افزاری فعالیت کند.
فایروال سخت افزاری میتواند به صورت پیشفرض و بدون انجام هرگونه تنظیمات اولیه در حد مطلوبی از ورود دادهها و ترافیک ناخواسته به شبکه محافظت کرده و اطلاعات ما را ایمن نگه دارد.
این گونه فایروال ها، معمولاً در قالب فیلترینگ بسته یا Packet Filtering فعالیت میکنند و Header های مربوط به مبدا و مقصد (Source & Destination) بستهها را به دقت بررسی کرده و در صورتی که محتویات بسته با قوانینی که در فایروال تنظیم شده مغایرت داشته باشد بلافاصله از ورود آن به شبکه جلوگیری کرده و آن را بلوکه میکند.
بسته اطلاعاتی در صورتی که مغایرتی با قوانین موجود در فایرول نداشته باشد به مقصد مورد نظر هدایت خواهد شد.
راحتی کار با فایروال های سخت افزاری این است که کاربران معمولی هم به راحتی میتوانند آن را در شبکه قرار داده و از تنظیمات پیشفرض انجام شده در آن استفاده کنند.
تنها بعضی از تنظیمات پیشرفته امنیتی در این گونه فایروال ها هستند که نیاز به داشتن دانش تخصصی فراوان برای انجام دادنشان دارند.
اما این را در نظر داشته باشید که فایروال های سخت افزاری باید توسط کارشنان متخصص امنیت، آزمایش شده تا از کارکرد آنها اطمینان حاصل شود.
فایروال های سخت افزاری بار ترافیکی و لود کاری کمتری برای شبکه ایجاد میکنند و طبیعتا سرعت و کارایی بهتری در شبکه دارند اما از نظر هزینه، بیشتر از فایروال های نرم افزاری هزینه دارند.
فایروال سخت افزاری عملکرد بسیار مناسبی در لایه های انتقال و شبکه دارد.
به اینصورت که با بهره گیری از ابزارهای سخت افزاری مناسب می توان تا حد بالایی از کیفیت و پایداری شبکه اطمینان حاصل کرد.
البته در مواقعی ممکن است حمله های بزرگ تکذیب سرویس روی دهد که قدرتمندترین ابزارهای سخت افزاری نیز در مقابل آن ناتوانند.
انواع Hardware Firewall
Access Control Lists
فایروالها در ابتدا از طریق Router و با استفاده از Access Control Lists اجرا میشدند.
ACLs در اساس به مجموعه قوانینی اطلاق میشد که دسترسی IP های خاصی را به شبکه داخلی تعیین مینمود.
هرچند عملکرد آنها مقیاسپذیر و بسیار قوی بود
لکن یک ACL نمیتوانست داده اصلی را تحلیل کند بلکه تنها Header بستههای داده را میخواند.
Circuit-Level
فایروالهای سطح مدار به منزلهی رله برای ارتباطات TCP عمل میکنند.
آنها ارتباط TCP را با کامپیوتر پشتیبان قطع کرده و به جای آن به پاسخگویی میپردازند.
همچنین فقط پس از برقراری ارتباط اجازه میدهند که دادهها به رایانهی مقصد ارسال شوند.
این نوع فایروالها دادههای درون بستههای داده را تحلیل نمیکنند و لذا سرعت بالایی دارند.
مزایا
فایروالهای سطح مدار نسبتا ارزان هستند و امکان ناشناس بودن را در شبکه خصوصی فراهم میکنند.
معایب
این نوع فایروالها بستههای مفرد را فیلتر نمیکنند. بنابراین پس از اتصال ممکن است یک هکر یا مهاجم از این نقیصه استفاده کند.
Application level یا Proxy
این نوع فایروالها با عنوان پروکسی سرور هم شناخته میشوند.
دارای دو حالت پروکسی سرور و پروکسی کلاینت هستند.
مزایا:
- نسبت به فایروالهای Packet از امینت بالاتری برخوردار هستند.
- تمامی ترافیکهای ورودی به شبکه مورد بازرسی قرارگرفته و در فایل Log ذخیره و ثبت میشوند.
معایب:
- به دلیل اینکه این نوع فیلترها نقطهی اتصال ارتباطات هستند در نهایت یک سربار اضافی به پردازشها اعمال میکنند. ولی عیب مهمتر آن فیلترینگ و تصمیمات پیچیده جهت کنترل دسترسیهایی است که به منابع محاسباتی زیادی نیاز دارند و درنتیجه افت کارایی و بروز خطاهایی را در پی دارد.
Packet Filtering
فایروال های پکت، نوع اول معماری فایروال میباشند و توسط یک روتر مدیریت میشوند.
از نظر عملکرد نیز مشابه فایروالهای Access Control Lists هستند.
مزایا:
- کم هزینه و عدم نیاز به پیکربندی کلاینتها
- عملکرد ساده و سرعت بالا
معایب:
- امنیت پایین
- پیچیدگی تنظیمات قوانین
- عدم قابلیت احراز هویت
- عدم توانایی حفظ حالت اتصال
Nosstateful packet و Stateful Packet
فیلترهای Nosstateful عملکرد سادهای دارند به این نحو که در مسیر شبکه قرار گرفته و توسط قواعدی به بستهها مجوز عبور میدهند و تعدادی را هم بلوکه میکنند.
اما فیلترهای Stateful کمی پیچیدهتر بوده و اطلاعاتی نظیر IP مبدا و مقصد و پورتهای مورد استفاده و نیز دادههای سایر لایهها را در دیتابیسی ذخیره و نگهداری میکند.
به طور پیشفرش فایروال به هیچ ترافیکی از شبکه خارجی به داخلی مجوز ورود نمیدهد.
اما به ترافیک بازگشتی که مشخصاتش در دیتابیس موجود باشد استثناء قائل شده و اجازه ورود صادر میشود.
مزایا:
- امکان استفاده بعنوان ابزار اصلی جهت ترافیکهای ناخواسته
- روش پویاتری نسبت به روش قبلی
- توانایی جلوگیری از حملات spoofing و DoS
معایب:
- شاید قادر به جلوگیری از برخی برنامهها نباشد
- تمام پروتکلها را نمیتواند کنترل و بررسی نماید.
(UNIFIED THREAT MANAGEMENT (UTM
این فایروالها از ترکیب Stateful inspection firewall, antivirus و IPS در یک Appliance ایجاد میشوند.
بعدها به این فایروال امکانات جدید امنیت شبکه نیز اضافه شد.
(Next Generation (NGFWs
این مدل فیلترینگ به منظور پاسخ به پیشرفت فزایندهی بدافزارها بوجود آمد.
برخی بدافزارها اقدام به تخریب پورتها و سپس نفوذ میکنند.
NGFs اجرای سیاستهای امنیتی شبکه و نیز بررسی، مانیتورینگ و بازرسی ترافیک شبکه را برعهده دارد.