دیواره آتش. طبقه بندی فایروال ها انواع اصلی فایروال زیر وجود دارد

توسعه فشرده شبکه های کامپیوتری جهانی و ظهور فناوری های جدید بازیابی اطلاعات توجه افراد و سازمان های مختلف را به اینترنت جلب می کند. بسیاری از سازمان ها تصمیم می گیرند که شبکه های محلی و شرکتی خود را در اینترنت ادغام کنند. استفاده از اینترنت برای مقاصد تجاری، و همچنین هنگام انتقال اطلاعات حاوی اطلاعات محرمانه، مستلزم نیاز به ایجاد یک سیستم حفاظت از داده های موثر است. استفاده از اینترنت جهانی مزایای غیرقابل انکاری دارد، اما مانند بسیاری از فناوری های جدید دیگر، معایبی نیز دارد. توسعه شبکه های جهانی منجر به افزایش چند برابری در تعداد کاربران نه تنها، بلکه حملات به رایانه های متصل به اینترنت شده است. زیان سالیانه ناشی از امنیت ناکافی رایانه حدود ده ها میلیون دلار تخمین زده می شود. بنابراین هنگام اتصال یک شبکه محلی یا شرکتی به اینترنت باید مراقب امنیت اطلاعات آن بود.

اینترنت جهانی به عنوان یک سیستم باز طراحی شده برای تبادل آزاد اطلاعات ایجاد شد. اینترنت به دلیل باز بودن ایدئولوژی خود، فرصت های بسیار بیشتری را برای نفوذ به سیستم های اطلاعاتی در اختیار مهاجمان قرار می دهد. از طریق اینترنت، مجرم می تواند:

• نفوذ به شبکه داخلی یک شرکت و دسترسی غیرمجاز به اطلاعات محرمانه؛
• کپی کردن اطلاعات مهم و ارزشمند برای شرکت غیرقانونی است.
• به دست آوردن رمز عبور، آدرس سرور، و گاهی اوقات محتوای آنها.
• با نام کاربری ثبت شده و غیره وارد سیستم اطلاعات شرکت شوید.

با به دست آوردن اطلاعات توسط یک مهاجم، رقابت پذیری یک شرکت و اعتماد مشتریان آن می تواند به طور جدی تضعیف شود.

فایروال ها می توانند تعدادی از وظایف را برای دفع محتمل ترین تهدیدات شبکه های داخلی حل کنند. فایروال یک سیستم فایروال است که به شما این امکان را می دهد که هر شبکه را به دو یا چند قسمت تقسیم کنید و مجموعه ای از قوانین را پیاده سازی کنید که شرایط عبور بسته های داده در آن سوی مرز از یک قسمت از شبکه کلی به قسمت دیگر را تعیین می کند. به عنوان یک قاعده، این مرز بین شبکه شرکتی (محلی) یک شرکت و اینترنت جهانی ترسیم می شود، اگرچه می توان آن را در شبکه شرکتی یک شرکت نیز ترسیم کرد. استفاده از فایروال به شما این امکان را می دهد که با تقسیم کل شبکه به بخش ها، سیاست امنیتی داخلی یک شبکه سازمانی را سازماندهی کنید. این به ما اجازه می دهد تا اصول اساسی معماری امنیت شبکه شرکتی را فرموله کنیم:

1. معرفی N دسته از حریم خصوصی و ایجاد N بخش شبکه اختصاصی از کاربران. در این حالت، هر کاربر در بخش شبکه دارای سطح یکسانی از حریم خصوصی (دسترسی به اطلاعات همان سطح حریم خصوصی) است. این مورد را می توان به یک کارخانه مخفی تشبیه کرد که همه کارمندان با توجه به سطح دسترسی خود فقط به طبقات خاصی دسترسی دارند. این ساختار با این واقعیت توضیح داده می شود که در هیچ موردی نباید جریان های اطلاعاتی در سطوح مختلف رازداری مخلوط شوند. یک توضیح به همان اندازه واضح برای این تقسیم همه کاربران به بخش های N و ایزوله، سهولت انجام یک حمله در یک بخش شبکه است.
2. جداسازی کلیه سرورهای داخلی شرکت به یک بخش مجزا. این معیار همچنین به شما اجازه می دهد تا جریان های اطلاعاتی را بین کاربران با سطوح دسترسی مختلف جدا کنید.
3. انتخاب به بخش جداگانه ای از تمام سرورهای شرکت که از طریق اینترنت قابل دسترسی خواهند بود (ایجاد منطقه غیرنظامی برای منابع خارجی).
4. ایجاد یک بخش مدیریت اداری اختصاصی.
5. یک بخش مدیریت امنیتی اختصاصی ایجاد کنید.

فایروال تمام ترافیک را از طریق خود عبور می دهد و برای هر بسته عبوری تصمیم می گیرد: به آن اجازه عبور داده شود یا نه. برای اینکه فایروال بتواند این عملیات را انجام دهد، باید مجموعه ای از قوانین فیلتر را تعریف کند. تصمیم گیری در مورد فیلتر کردن پروتکل ها و آدرس های خاص با استفاده از فایروال به سیاست امنیتی اتخاذ شده توسط شبکه محافظت شده بستگی دارد. فایروال مجموعه ای از اجزایی است که برای اجرای سیاست امنیتی انتخاب شده پیکربندی شده اند.

خط مشی امنیت شبکه هر سازمان باید شامل دو جزء باشد:

1. سیاست دسترسی به خدمات شبکه
2. خط مشی پیاده سازی فایروال

خط مشی دسترسی به خدمات شبکه باید روشنگر خط مشی کلی سازمان در خصوص حفاظت از منابع اطلاعاتی در سازمان باشد. برای اینکه فایروال بتواند با موفقیت از منابع سازمان محافظت کند، سیاست دسترسی کاربر به خدمات شبکه باید واقع بینانه باشد. این سیاستی در نظر گرفته می شود که در آن یک تعادل هماهنگ بین محافظت از شبکه سازمان در برابر خطرات شناخته شده و نیاز به دسترسی کاربر به خدمات شبکه پیدا می شود. مطابق با سیاست اتخاذ شده برای دسترسی به خدمات شبکه، فهرستی از خدمات اینترنتی که کاربران باید دسترسی محدودی به آنها داشته باشند، تعیین می شود. محدودیت‌هایی در روش‌های دسترسی نیز برای اطمینان از عدم دسترسی کاربران به خدمات اینترنتی ممنوعه از طریق راه‌حل‌ها تنظیم شده است.

فایروال می تواند تعدادی از سیاست های دسترسی به سرویس را پیاده سازی کند. اما معمولاً سیاست دسترسی به خدمات شبکه بر اساس یکی از اصول زیر است:

1. دسترسی از اینترنت به شبکه داخلی را ممنوع کرده و اجازه دسترسی از شبکه داخلی به اینترنت را بدهید.
2. اجازه دسترسی محدود به شبکه داخلی از طریق اینترنت، اطمینان از عملکرد تنها سیستم‌های مجاز خاص، مانند سرورهای اطلاعات و ایمیل.

مطابق با سیاست پیاده سازی فایروال، قوانین دسترسی به منابع شبکه داخلی تعیین می شود. اول از همه، لازم است مشخص شود که سیستم امنیتی تا چه حد باید "قابل اعتماد" یا "مشکوک" باشد. به عبارت دیگر، قوانین دسترسی به منابع داخلی باید بر اساس یکی از اصول زیر باشد:

1. هر چیزی را که صریحاً مجاز نیست ممنوع کنید.
2. هر چیزی را که صریحاً ممنوع نیست مجاز کنید.

اثربخشی حفاظت از یک شبکه داخلی با استفاده از فایروال ها نه تنها به سیاست انتخاب شده برای دسترسی به خدمات شبکه و منابع داخلی شبکه بستگی دارد، بلکه به منطقی بودن انتخاب و استفاده از اجزای اصلی دیوار آتش نیز بستگی دارد.

الزامات عملکردی فایروال ها حوزه های زیر را شامل می شود:

• فیلتر کردن در سطح شبکه؛
• فیلتر کردن در سطح برنامه؛
• تنظیم قوانین فیلترینگ و مدیریت؛
• ابزار احراز هویت شبکه؛
• اجرای مجلات و حسابداری

طبقه بندی فایروال ها

در حال حاضر هیچ طبقه بندی واحد و پذیرفته شده ای از فایروال ها وجود ندارد. اجازه دهید کلاس های فایروال زیر را برجسته کنیم:

1. فیلتر کردن روترها
2. دروازه های سطح جلسه
3. دروازه های سطح برنامه

این دسته ها را می توان به عنوان اجزای اساسی فایروال های واقعی در نظر گرفت. تعداد کمی از فایروال ها فقط یکی از این دسته ها را شامل می شوند. با این حال، این اجزا قابلیت های کلیدی را نشان می دهند که دیوارهای آتش را از یکدیگر متمایز می کند.

روترها را فیلتر کنید

روتر فیلتر روتر یا برنامه ای است که روی سرور اجرا می شود و برای فیلتر کردن بسته های ورودی و خروجی پیکربندی شده است. فیلتر کردن بسته ها بر اساس اطلاعات موجود در هدرهای TCP و IP بسته ها انجام می شود.

یک روتر فیلتر معمولاً می تواند بسته های IP را بر اساس گروهی از فیلدهای هدر بسته زیر فیلتر کند:

• آدرس IP فرستنده؛
• آدرس IP گیرنده؛
• پورت فرستنده؛
• پورت گیرنده

برخی از روترها بررسی می کنند که بسته از کدام رابط شبکه روتر آمده است و سپس از این اطلاعات به عنوان معیار فیلتر اضافی استفاده می کنند.

فیلتر کردن را می توان به روش های مختلفی برای مسدود کردن اتصالات به رایانه ها یا پورت های خاص پیاده سازی کرد. برای مثال، می‌توانید اتصال‌هایی را که از آدرس‌های خاصی از آن رایانه‌ها و شبکه‌هایی که متخاصم یا غیرقابل اعتماد هستند، مسدود کنید.

تدوین قوانین فیلتر کردن بسته ها دشوار است و معمولاً هیچ وسیله ای برای تأیید صحت آنها به جز آزمایش دستی آهسته وجود ندارد. علاوه بر این، در صورت عدم وجود یک مسیریاب فیلتر ورود به سیستم (اگر قوانین فیلتر بسته همچنان به بسته های خطرناک اجازه عبور از روتر را می دهد)، تا زمانی که عواقب نفوذ شناسایی نشود، چنین بسته هایی قابل شناسایی نخواهند بود. حتی اگر یک مدیر شبکه بتواند قوانین فیلترینگ موثری ایجاد کند، توانایی های آنها محدود می ماند. به عنوان مثال، یک مدیر قانونی تعیین می کند که طبق آن روتر تمام بسته های دارای آدرس منبع ناشناخته را رد می کند. با این حال، در این مورد، یک هکر می تواند حمله ای به نام جعل آدرس را برای نفوذ به شبکه محافظت شده انجام دهد. تحت چنین شرایطی، روتر فیلتر نمی تواند بسته جعلی را از بسته واقعی تشخیص دهد و اجازه عبور از آن را خواهد داد.

از ویژگی های مثبت روترهای فیلتر می توان به موارد زیر اشاره کرد:

• هزینه نسبتا کم؛
• انعطاف پذیری در تعریف قوانین فیلترینگ؛
• تاخیر جزئی در عبور بسته ها.

معایب فیلتر کردن روترها:

• شبکه داخلی از اینترنت قابل مشاهده (قابل مسیریابی) است.
• توصیف قوانین فیلتر بسته دشوار است و به دانش بسیار خوبی از فناوری های TCP و UDP نیاز دارد.
• اگر فایروال فیلترینگ بسته خراب شود، تمام رایانه های پشت آن کاملاً محافظت نشده یا غیرقابل دسترسی می شوند.
• هیچ احراز هویتی در سطح کاربر وجود ندارد.

دروازه های جلسه

این دسته از روترها یک مترجم اتصال TCP هستند. دروازه درخواست مشتری مجاز برای خدمات خاص را می پذیرد و پس از تأیید صحت جلسه درخواستی، اتصال به مقصد (میزبان خارجی) برقرار می کند. پس از این، دروازه بسته ها را در هر دو جهت بدون فیلتر کردن آنها کپی می کند. به عنوان یک قاعده، مقصد از قبل مشخص شده است، در حالی که می تواند منابع زیادی وجود داشته باشد. با استفاده از پورت های مختلف، می توانید پیکربندی های مختلف اتصال ایجاد کنید. این نوع دروازه به شما امکان می دهد یک مترجم اتصال TCP برای هر سرویس مبتنی بر TCP تعریف شده توسط کاربر ایجاد کنید، دسترسی به این سرویس را کنترل کنید و آمار استفاده از آن را جمع آوری کنید.

Gateway بر روی دست دادن بین مشتری مجاز و میزبان خارجی نظارت می کند و تعیین می کند که آیا جلسه ارتباط درخواستی معتبر است یا خیر. برای تعیین اینکه آیا یک درخواست جلسه معتبر است یا خیر، دروازه روش زیر را انجام می دهد. هنگامی که یک کلاینت مجاز درخواست سرویس می کند، دروازه با بررسی اینکه آیا کلاینت معیارهای اصلی فیلترینگ را برآورده می کند، درخواست را می پذیرد. سپس، از طرف مشتری، دروازه ارتباطی با میزبان خارجی برقرار می‌کند و بر تکمیل رویه دست دادن TCP نظارت می‌کند. این روش شامل تبادل بسته های TCP است که با پرچم های SYN (همگام سازی) و ACK (تأیید) مشخص شده اند.

اولین بسته از یک جلسه TCP که با پرچم SYN مشخص شده و حاوی یک عدد دلخواه مانند 500 است، درخواست مشتری برای باز کردن یک جلسه است. میزبان خارجی که این بسته را دریافت کرده است با یکی دیگر که با پرچم ACK مشخص شده و حاوی عدد یک بزرگتر از بسته دریافتی است (در مورد ما 501) پاسخ می دهد و بدین ترتیب دریافت بسته SYN از مشتری را تایید می کند.

در مرحله بعد، روال معکوس انجام می شود: میزبان یک بسته SYN با شماره اولیه، به عنوان مثال 700، برای مشتری ارسال می کند، و مشتری با ارسال یک بسته ACK حاوی شماره 701، دریافت آن را تأیید می کند. این فرآیند دست دادن را کامل می کند.

یک دروازه سطح جلسه، اتصال تکمیل شده را تنها در صورتی معتبر می شناسد که هنگام اجرای روش دست دادن، پرچم های SYN و ACK و همچنین اعداد موجود در بسته های TCP به طور منطقی با یکدیگر مرتبط باشند.

هنگامی که دروازه تشخیص داد که کلاینت مورد اعتماد و میزبان خارجی شرکت کنندگان مجاز در جلسه TCP هستند و اعتبار آن را تأیید کرد، اتصال را برقرار می کند. از این مرحله به بعد، دروازه بسته ها را بدون انجام هیچ گونه فیلترینگی به عقب و جلو کپی می کند. جدولی از اتصالات ایجاد شده را حفظ می کند و داده هایی را که متعلق به یکی از جلسات ارتباطی ثبت شده در این جدول است، ارسال می کند. هنگامی که یک جلسه به پایان می رسد، دروازه ورودی مربوطه را از جدول حذف می کند و شبکه مورد استفاده در جلسه فعلی را خاتمه می دهد.

نقطه ضعف دروازه‌های سطح جلسه عدم تأیید محتویات بسته‌های ارسالی است که نفوذ مهاجم را از طریق چنین دروازه‌ای ممکن می‌سازد.

درگاه های لایه کاربردی

برای محافظت در برابر برخی از آسیب‌پذیری‌های ذاتی در فیلتر کردن روترها، فایروال‌ها باید از برنامه‌هایی برای فیلتر کردن اتصالات به سرویس‌هایی مانند Telnet و FTP استفاده کنند. چنین برنامه ای را سرویس پروکسی می نامند و میزبانی که سرویس پروکسی روی آن اجرا می شود دروازه سطح برنامه نامیده می شود. چنین دروازه ای تعامل مستقیم بین یک مشتری مجاز و یک میزبان خارجی را حذف می کند. دروازه تمام بسته های ورودی و خروجی را در لایه برنامه فیلتر می کند.

با شناسایی یک جلسه شبکه، دروازه برنامه آن را متوقف می کند و با برنامه مجاز تماس می گیرد تا سرویس پایان یافته را ارائه دهد. دروازه های برنامه و روترهای فیلتر را می توان در یک فایروال ترکیب کرد تا به سطوح بالاتری از امنیت و انعطاف پذیری دست یابد.

دروازه های سطح برنامه امنیت قابل اعتمادی را فراهم می کنند زیرا ارتباط با دنیای خارج از طریق تعداد کمی از برنامه های کاربردی مجاز که به طور کامل تمام ترافیک ورودی و خروجی را کنترل می کنند، اجرا می شود. لازم به ذکر است که دروازه های لایه کاربردی برای هر سرویس شبکه نیاز به یک برنامه جداگانه دارند.

در مقایسه با گیت‌وی‌هایی که در حالت عادی کار می‌کنند، که در آن ترافیک برنامه‌ها مستقیماً به میزبان‌های داخلی منتقل می‌شود، دروازه‌های سطح برنامه چندین مزیت دارند:

• نامرئی بودن ساختار شبکه محافظت شده از اینترنت جهانی. نام سیستم های داخلی ممکن است از طریق DNS به سیستم های خارجی مخابره نشود، زیرا دروازه برنامه ممکن است تنها میزبانی باشد که نام آن برای سیستم های خارجی شناخته شود.
• احراز هویت و ثبت نام امن ترافیک برنامه را می‌توان قبل از رسیدن به میزبان‌های داخلی احراز هویت کرد و کارآمدتر از گزارش‌گیری استاندارد ثبت نام کرد.
• نسبت قیمت به عملکرد قابل قبول ابزارهای احراز هویت یا ثبت نام نرم افزار یا سخت افزار اضافی فقط باید در دروازه برنامه نصب شوند.
• قوانین ساده فیلترینگ قوانین روتر فیلتر نسبت به روتری که خود ترافیک اپلیکیشن را فیلتر کرده و به تعداد زیادی از سیستم های داخلی ارسال می کند، پیچیدگی کمتری دارد. روتر باید اجازه دهد ترافیک برنامه فقط برای دروازه برنامه باشد و بقیه را مسدود کند.
• امکان سازماندهی تعداد زیادی بازرسی. حفاظت در سطح برنامه اجازه می دهد تا تعداد زیادی بررسی اضافی انجام شود، که احتمال هک با استفاده از حفره های نرم افزار را کاهش می دهد.

معایب دروازه های لایه کاربردی عبارتند از:

• عملکرد نسبتا پایین در مقایسه با روترهای فیلتر. به طور خاص، هنگام استفاده از پروتکل های سرویس گیرنده-سرور مانند Telnet، یک روش دو مرحله ای برای اتصالات ورودی و خروجی مورد نیاز است.
• هزینه بالاتر در مقایسه با روترهای فیلتر.

یکی از عناصر مهم مفهوم فایروال، احراز هویت (تأیید هویت کاربر) است، یعنی کاربر حق استفاده از یک سرویس خاص را تنها پس از اینکه ثابت شود واقعاً همان چیزی است که ادعا می کند است، دریافت می کند. در این حالت در نظر گرفته می شود که سرویس برای این کاربر مجاز است (فرآیند تعیین اینکه کدام سرویس برای یک کاربر خاص مجاز است مجوز نامیده می شود).

هنگام دریافت درخواست برای استفاده از یک سرویس از طرف یک کاربر، فایروال بررسی می کند که کدام روش احراز هویت برای این موضوع تعریف شده است و کنترل را به سرور احراز هویت منتقل می کند. پس از دریافت پاسخ مثبت از سرور احراز هویت، فایروال با اتصال درخواستی کاربر ادامه می دهد. به طور معمول، اکثر فایروال‌های تجاری از چندین طرح احراز هویت مختلف پشتیبانی می‌کنند، که به مدیر امنیت شبکه این فرصت را می‌دهد تا مناسب‌ترین طرح را تحت شرایط حاکم انتخاب کند.

روش های اساسی برای استقرار فایروال در شبکه های شرکتی

هنگام اتصال یک شبکه شرکتی یا محلی به شبکه های جهانی، مدیر امنیت شبکه باید وظایف زیر را حل کند:

• حفاظت از یک شبکه شرکتی یا محلی از دسترسی غیرمجاز از راه دور از شبکه جهانی؛
• پنهان کردن اطلاعات در مورد ساختار شبکه و اجزای آن از کاربران شبکه جهانی؛
• تمایز دسترسی به شبکه حفاظت شده از شبکه جهانی و از شبکه حفاظت شده به شبکه جهانی.

نیاز به کار با کاربران راه دور مستلزم ایجاد محدودیت های سختگیرانه برای دسترسی به منابع اطلاعاتی شبکه حفاظت شده است. در همان زمان، یک سازمان اغلب نیاز به داشتن چندین بخش در شبکه شرکتی با سطوح مختلف امنیتی دارد:

• بخش های قابل دسترسی آزاد؛
• بخش های محدود شده؛
• بخش های بسته

برای محافظت از یک شبکه شرکتی یا محلی، از طرح‌های سازماندهی فایروال اساسی زیر استفاده می‌شود:

1. فایروال ارائه شده به عنوان یک روتر فیلتر.
2. فایروال مبتنی بر دروازه دو پورت.
3. فایروال مبتنی بر یک دروازه محافظت شده.
4. فایروال با زیرشبکه محافظت شده

فایروال به عنوان یک روتر فیلتر ارائه شده است

فایروال مبتنی بر فیلتر بسته رایج ترین و ساده ترین برای پیاده سازی است که نشان دهنده یک روتر فیلتر است که بین شبکه محافظت شده و اینترنت قرار دارد.

روتر فیلتر برای مسدود کردن یا فیلتر کردن بسته های ورودی و خروجی بر اساس تجزیه و تحلیل آدرس ها و پورت های آنها پیکربندی شده است.

رایانه هایی که در یک شبکه محافظت شده قرار دارند دسترسی مستقیم به اینترنت دارند، در حالی که اکثر دسترسی ها از طریق اینترنت به آنها مسدود شده است. در اصل، یک روتر فیلتر می‌تواند هر یک از سیاست‌های امنیتی که قبلاً توضیح داده شد را اجرا کند. با این حال، اگر روتر بسته ها را بر اساس پورت منبع و شماره پورت ورودی و خروجی فیلتر نکند، ممکن است اجرای صریح خط مشی «انکار هر چیزی که مجاز نیست» دشوار باشد.

فایروال های مبتنی بر فیلتر بسته ها دارای معایبی مشابه روترهای فیلتر هستند.

فایروال مبتنی بر دروازه دو پورت

فایروال دروازه برنامه دو پورت میزبانی با دو رابط شبکه است. هنگام انتقال اطلاعات بین این رابط ها، فیلتر اصلی انجام می شود. برای تامین امنیت بیشتر، یک روتر فیلتر بین دروازه برنامه و اینترنت قرار می گیرد. در نتیجه، یک زیرشبکه محافظ داخلی بین دروازه برنامه و روتر تشکیل می شود. می توان از آن برای میزبانی سرور اطلاعات در دسترس خارجی استفاده کرد. قرار دادن سرور اطلاعات امنیت شبکه را افزایش می دهد، زیرا حتی اگر مهاجم به آن نفوذ کند، نمی تواند از طریق یک دروازه با دو رابط به سیستم های شبکه دسترسی پیدا کند.

برخلاف طراحی فایروال روتر فیلتر، یک دروازه برنامه به طور کامل ترافیک IP بین اینترنت و شبکه محافظت شده را مسدود می کند. فقط برنامه های کاربردی مجاز واقع در دروازه برنامه می توانند خدمات و دسترسی به کاربران را ارائه دهند.

این نسخه از فایروال یک سیاست امنیتی را بر اساس اصل "هر چیزی که صریحاً مجاز نیست ممنوع است" اجرا می کند. در این حالت، کاربر فقط به خدماتی دسترسی دارد که مجوزهای مناسب برای آنها تعریف شده است. این رویکرد سطح بالایی از امنیت را فراهم می کند، زیرا مسیرهای زیرشبکه محافظت شده فقط برای فایروال شناخته شده و از سیستم های خارجی پنهان هستند.

طرح سازماندهی فایروال مورد بررسی نسبتاً ساده و کاملاً مؤثر است. از آنجایی که فایروال از هاست استفاده می کند، می توان برنامه هایی را روی آن نصب کرد تا احراز هویت کاربر را بهبود بخشد. فایروال همچنین می‌تواند دسترسی، تلاش‌ها و حملات به سیستم را ثبت کند، که می‌تواند به شناسایی فعالیت‌های مخرب کمک کند.

فایروال مبتنی بر دروازه محافظ

فایروال مبتنی بر دروازه انعطاف پذیری بیشتری نسبت به فایروال مبتنی بر دروازه دو رابط ارائه می دهد، اما این انعطاف پذیری به قیمت کاهش امنیت است. فایروال شامل یک روتر فیلتر و یک دروازه برنامه است که در سمت شبکه داخلی قرار دارد. دروازه برنامه روی هاست پیاده سازی شده و تنها یک رابط شبکه دارد.

در این طراحی، امنیت اولیه توسط یک روتر فیلتر کننده ارائه می شود که پروتکل های بالقوه خطرناک را از رسیدن به دروازه برنامه و سیستم های داخلی فیلتر یا مسدود می کند. فیلتر کردن بسته در روتر فیلتر می تواند به یکی از روش های زیر اجرا شود:

• میزبان های داخلی مجاز به باز کردن اتصالات به میزبان ها در اینترنت برای خدمات خاص هستند (دسترسی به آنها به محیط فیلتر بسته مجاز است).
• همه اتصالات از هاست های داخلی رد می شوند (آنها باید از برنامه های مجاز در دروازه برنامه استفاده کنند).

در این پیکربندی، فایروال می‌تواند از ترکیبی از دو سیاست استفاده کند که رابطه بین آنها به سیاست امنیتی خاص اتخاذ شده در شبکه داخلی بستگی دارد. به طور خاص، فیلتر کردن بسته ها روی یک مسیریاب فیلتر می تواند به گونه ای سازماندهی شود که دروازه برنامه با استفاده از برنامه های کاربردی مجاز خود، خدماتی مانند Telnet، FTP، SMTP را برای سیستم های موجود در شبکه محافظت شده ارائه دهد.

عیب اصلی فایروال با دروازه محافظت شده این است که اگر مهاجم موفق به نفوذ به میزبان شود، سیستم های شبکه داخلی در معرض دید او قرار می گیرند. یکی دیگر از معایب به خطر افتادن احتمالی روتر مربوط می شود. اگر روتر در معرض خطر قرار گیرد، شبکه داخلی در دسترس مهاجم قرار می گیرد.

فایروال با زیرشبکه محافظت شده

فایروال زیرشبکه محافظت شده تکاملی از طراحی فایروال دروازه محافظت شده است. برای ایجاد یک زیرشبکه محافظ، از دو روتر محافظ استفاده می شود. روتر خارجی بین اینترنت و زیرشبکه محافظت شده و روتر داخلی بین زیرشبکه محافظت شده و شبکه داخلی محافظت شده قرار دارد. زیرشبکه محافظت شده شامل یک دروازه برنامه است و همچنین ممکن است شامل سرورهای اطلاعات و سایر سیستم هایی باشد که به دسترسی کنترل شده نیاز دارند. این طراحی فایروال با ایجاد یک زیرشبکه محافظت شده که شبکه داخلی محافظت شده از اینترنت را بیشتر جدا می کند، سطح بالایی از امنیت را فراهم می کند.

یک روتر خارجی هم از زیرشبکه محافظت شده و هم از شبکه داخلی در برابر نفوذ اینترنت محافظت می کند. یک روتر خارجی دسترسی از شبکه جهانی وب به سیستم‌های موجود در شبکه داخلی را رد می‌کند و تمام ترافیک اینترنت را که از سیستم‌هایی که نباید اتصال را شروع کنند، مسدود می‌کند.

این روتر همچنین می‌تواند برای مسدود کردن پروتکل‌های آسیب‌پذیر دیگر که نباید به یا از میزبان‌های شبکه داخلی ارسال شوند، استفاده شود.

یک روتر داخلی شبکه داخلی را از دسترسی غیرمجاز هم از طریق اینترنت و هم در یک زیرشبکه محافظت شده محافظت می کند. علاوه بر این، بیشتر فیلترهای بسته را انجام می دهد و همچنین ترافیک به و از سیستم های شبکه داخلی را مدیریت می کند.

یک فایروال زیرشبکه غربال شده برای محافظت از شبکه هایی با حجم زیاد ترافیک یا نرخ ترافیک بالا مناسب است.

از معایب آن می توان به این واقعیت اشاره کرد که یک جفت روتر فیلتر کننده برای اطمینان از سطح مورد نیاز امنیت نیاز به توجه زیادی دارد، زیرا خطا در پیکربندی آنها می تواند باعث نقض امنیت در کل شبکه شود. علاوه بر این، امکان دسترسی اساسی با عبور از دروازه برنامه وجود دارد.

معایب استفاده از فایروال

فایروال ها برای سازماندهی شبکه های خصوصی مجازی امن استفاده می شوند. چندین شبکه محلی متصل به شبکه جهانی در یک شبکه خصوصی مجازی امن ترکیب می شوند. انتقال داده بین این شبکه های محلی برای کاربران نامرئی است و باید از محرمانه بودن و یکپارچگی اطلاعات ارسالی با استفاده از ابزارهای رمزگذاری، استفاده از امضای دیجیتال و غیره اطمینان حاصل شود. هنگام انتقال داده ها، نه تنها محتویات بسته، بلکه برخی از فیلدهای هدر را نیز می توان رمزگذاری کرد.

فایروال نمی تواند تمام مشکلات امنیتی شبکه شرکتی را حل کند. علاوه بر مزایای فایروال ها که در بالا توضیح داده شد، محدودیت هایی در استفاده از آنها وجود دارد و همچنین تهدیدات امنیتی وجود دارد که فایروال ها نمی توانند از آنها محافظت کنند. بیایید مهم ترین محدودیت ها در استفاده از فایروال ها را یادداشت کنیم:

• تعداد زیادی از آسیب پذیری های باقی مانده فایروال ها در برابر درهای پشتی در شبکه محافظت نمی کنند. به عنوان مثال، اگر بتوان دسترسی نامحدود مودم را به شبکه ای که توسط فایروال محافظت می شود، ایجاد کرد، مهاجمان می توانند به طور موثر فایروال را دور بزنند.
• محافظت نامناسب در برابر حملات کارکنان شرکت. فایروال ها معمولاً در برابر تهدیدات داخلی محافظت نمی کنند.
• محدودیت دسترسی به خدمات ضروری بارزترین عیب فایروال این است که می تواند تعدادی از سرویس هایی را که کاربران استفاده می کنند مسدود کند، Telnet، FTP و غیره. برای حل چنین مشکلاتی، یک سیاست امنیتی سنجیده مورد نیاز است که تعادلی بین الزامات امنیتی ایجاد کند. نیازهای کاربر؛
• تمرکز تجهیزات امنیتی در یک مکان این امر مدیریت فایروال را آسان می کند.
• محدودیت پهنای باند

سازمان حفاظت همه جانبه از شبکه شرکتی

برای حفاظت از منابع اطلاعاتی و حصول اطمینان از عملکرد بهینه سیستم های اطلاعاتی شرکتی توزیع شده، استفاده از یک سیستم جامع امنیت اطلاعات ضروری است که به طور موثر از مزایای فایروال ها استفاده کرده و کاستی های آنها را با استفاده از سایر ابزارهای امنیتی جبران کند.

حفاظت از شبکه شرکتی با ویژگی های کامل باید ارائه دهد:

• تعامل امن کاربران و منابع اطلاعاتی واقع در شبکه های اکسترانت و اینترانت با شبکه های خارجی مانند اینترنت؛
• مجموعه ای از اقدامات حفاظتی یکپارچه از نظر فناوری برای شبکه های محلی توزیع شده و بخش بندی شده بخش های سازمانی؛
• وجود یک سیستم امنیتی سلسله مراتبی که ابزار امنیتی کافی را برای بخش هایی از شبکه شرکتی با درجات مختلف محرمانه فراهم می کند.

ماهیت پردازش داده‌های مدرن در سیستم‌های اینترنت/اینترانت شرکتی مستلزم این است که فایروال‌ها دارای ویژگی‌های اساسی زیر باشند:

• تحرک و مقیاس پذیری نسبت به پلتفرم های سخت افزاری و نرم افزاری مختلف؛
• امکان ادغام با سخت افزار و نرم افزار سایر سازندگان؛
• سهولت نصب، پیکربندی و عملیات؛
• مدیریت مطابق با یک سیاست امنیتی متمرکز.

بسته به اندازه سازمان و سیاست امنیتی اتخاذ شده توسط شرکت، فایروال های مختلفی ممکن است استفاده شود. برای شرکت‌های کوچک که از بیش از دوازده گره استفاده می‌کنند، فایروال‌هایی با رابط گرافیکی مناسب مناسب هستند که امکان پیکربندی محلی را بدون استفاده از مدیریت متمرکز فراهم می‌کنند. برای شرکت های بزرگ، سیستم هایی با کنسول ها و مدیران مدیریتی که مدیریت عملیاتی فایروال های محلی و پشتیبانی از شبکه های خصوصی مجازی را ارائه می دهند، ترجیح داده می شوند.

افزایش جریان اطلاعاتی که از طریق اینترنت توسط شرکت ها و کاربران خصوصی منتقل می شود و همچنین نیاز به سازماندهی دسترسی از راه دور به شبکه های شرکتی، دلایل بهبود مداوم فناوری های اتصال شبکه های شرکتی به اینترنت است.

لازم به ذکر است که در حال حاضر هیچ یک از فناوری های اتصال، در حالی که دارای ویژگی های عملکرد بالا هستند، در یک پیکربندی استاندارد نمی توانند حفاظت کامل از یک شبکه شرکتی را فراهم کنند. حل این مشکل تنها با استفاده از فناوری فایروال که تعامل امن با محیط خارجی را سازماندهی می کند ممکن می شود.

بیایید نگاهی دقیق تر به فناوری های فایروال بیندازیم.

محافظت از شبکه شرکتی خود در برابر دسترسی غیرمجاز از اینترنت

هنگامی که شبکه سازمانی شما به اینترنت متصل است، می توانید با استفاده از یکی از راه حل های زیر از شبکه شرکتی خود در برابر دسترسی غیرمجاز محافظت کنید:

• فایروال سخت افزاری-نرم افزاری یا نرم افزاری؛
• روتر با فیلتر بسته داخلی؛
• روتر تخصصی که مکانیزم امنیتی را بر اساس لیست های دسترسی پیاده سازی می کند.
• یک سیستم عامل از خانواده یونیکس یا، کمتر معمول، MS Windows، که با ابزارهای ویژه ای که فیلتر کردن بسته ها را پیاده سازی می کند، تقویت شده است.

حفاظت از یک شبکه شرکتی مبتنی بر فایروال به شما امکان می دهد تا درجه بالایی از امنیت را به دست آورید و قابلیت های زیر را پیاده سازی کنید:

• فیلتر معنایی جریان های داده در گردش؛
• فیلتر کردن بر اساس آدرس شبکه فرستنده و گیرنده؛
• فیلتر کردن درخواست ها در سطح حمل و نقل برای ایجاد ارتباطات مجازی.
• فیلتر کردن درخواست ها در سطح برنامه به خدمات برنامه؛
• سیگنال دهی محلی تلاش برای نقض قوانین فیلترینگ؛
• ممانعت از دسترسی به یک موضوع ناشناخته یا موضوعی که صحت آن در حین احراز هویت تأیید نشده است.
• ارائه امنیت نقطه به نقطه: فایروال، مجوز مسیر و روتر، تونل مسیر و رمزگذاری داده ها و غیره.

لازم به ذکر است که فایروال ها به شما این امکان را می دهند که حفاظت جامع از یک شبکه شرکتی را در برابر دسترسی غیرمجاز سازماندهی کنید، هم بر اساس فیلتر نحوی سنتی (بسته IP) جریان های داده کنترل شده، که توسط اکثر سیستم عامل های خانواده ویندوز و یونیکس انجام می شود و در فیلتر معنایی (محتوا)، تنها برای شرکت های تجاری در دسترس است. راه حل های ویژه.

در حال حاضر، تمام فایروال های ساخته شده را می توان بر اساس ویژگی های اصلی زیر طبقه بندی کرد:

• با اجرا:
  • - سخت افزار و نرم افزار،
  • - نرم افزار؛
• در مورد عملکرد در سطوح مدل OSI:
  • - دروازه سطح خبره،
  • - دروازه محافظ (دروازه برنامه)،
  • - حمل و نقل محافظ (دروازه سطح جلسه)،
  • - روتر محافظ (فیلتر بسته)؛
• با توجه به تکنولوژی مورد استفاده:
  • - نظارت بر وضعیت پروتکل،
  • - بر اساس ماژول های واسطه (پراکسی)؛
• با توجه به نمودار اتصال:
  • - طرح حفاظت شبکه یکپارچه،
  • - طرحی با بخش های شبکه باز بسته و محافظت نشده محافظت شده،
  • - طرحی با حفاظت جداگانه از بخش های شبکه بسته و باز.

امروزه حفاظت از شبکه شرکتی کاملاً متداول مبتنی بر روتر با لیست دسترسی مبتنی بر استفاده از روترهای تخصصی است. این طرح بسیار موثر است و از درجه ایمنی کافی برخوردار است. روترهای سیسکو سری 12000 و 7600 به عنوان راه حلی بسیار مورد استفاده قرار می گیرند.برای اتصال یک شبکه سازمانی به اینترنت می توانید از سری های قبلی روترهای این شرکت نیز استفاده کنید.

حفاظت از یک شبکه شرکتی مبتنی بر سیستم عامل های تقویت شده با توابع فیلتر بسته بر این واقعیت است که نرم افزار سیستم عملکردهای مسیریابی، فیلتر کردن، نگهداری و غیره را انجام می دهد. از نظر قابلیت اطمینان، امنیت و عملکرد، راه حل های مبتنی بر UNIX- مانند سیستم عامل بیشتر ارجحیت دارند.

سازماندهی سیاست امنیتی شبکه داخلی شرکت

در شرایط مدرن، بیش از 50 درصد از حملات مختلف و تلاش برای دسترسی به اطلاعات از داخل شبکه های محلی انجام می شود. یک شبکه شرکتی را می‌توان واقعاً در برابر دسترسی غیرمجاز محافظت کرد که هم ابزار محافظت از نقاط ورودی از اینترنت و هم راه‌حل‌هایی داشته باشد که امنیت رایانه‌های فردی، سرورهای شرکتی و قطعات شبکه محلی شرکت را تضمین کند. امنیت رایانه های فردی، سرورهای شرکتی و قطعات شبکه محلی به بهترین وجه توسط راه حل های مبتنی بر فایروال های توزیع شده یا شخصی تضمین می شود.

سرورهای سازمانی داخلی یک شرکت معمولاً برنامه هایی هستند که ویندوز NT/2000، NetWare یا به طور معمول خانواده سیستم عامل های یونیکس را اجرا می کنند. به همین دلیل، سرورهای شرکتی به طور بالقوه در برابر انواع مختلف حملات آسیب پذیر می شوند.

ساده ترین راه برای محافظت از سرورها، نصب فایروال بین سرورها و اینترنت است، مانند فایروال-1 Checkpoint's. هنگامی که به درستی پیکربندی شوند، اکثر فایروال ها می توانند از سرورهای داخلی در برابر مهاجمان خارجی محافظت کنند و برخی حملات انکار سرویس را شناسایی کرده و از آن جلوگیری می کنند. با این حال، این رویکرد بدون برخی از اشکالات نیست. هنگامی که سرورهای شرکتی توسط یک فایروال محافظت می شوند، تمام قوانین کنترل دسترسی و داده ها در یک مکان متمرکز می شوند. بنابراین، فایروال به یک گلوگاه تبدیل می شود و با افزایش بار، عملکرد قابل توجهی را از دست می دهد.

جایگزینی برای طرح قبلی، خرید سرورهای اضافی و نصب فایروال-1 از Checkpoint یا Cisco PIX از Cisco در مقابل هر سرور است. با تبدیل فایروال به یک منبع سرور اختصاصی، مشکل گلوگاه حل می شود و تأثیر یک شکست دیوار آتش بر سلامت کلی شبکه کاهش می یابد. با این حال، این رویکرد را نمی توان ایده آل نامید، زیرا هزینه های شرکت برای خرید تجهیزات به شدت افزایش می یابد. علاوه بر این، هزینه های نیروی کار برای مدیریت و نگهداری شبکه افزایش می یابد.

موفق ترین راه حل برای مشکل محافظت از سرورهای شرکتی، قرار دادن ابزارهای امنیتی بر روی همان پلتفرم سروری است که از آنها محافظت می کنند. این کار با استفاده از فایروال های توزیع شده یا شخصی، مانند CyberwallPLUS راه حل امنیتی Network-1 انجام می شود. این راه حل ها به طور قابل توجهی عملکرد فایروال های سنتی (محیطی) را تکمیل می کنند و می توانند برای محافظت از سرورهای داخلی و اینترنتی استفاده شوند.

برخلاف فایروال‌های سنتی، که معمولاً «نقاط کنترل» محلی برای کنترل دسترسی به منابع اطلاعاتی حیاتی یک شرکت هستند، فایروال‌های توزیع‌شده نرم‌افزار اضافی هستند که به طور قابل اعتماد از سرورهای شرکتی مانند سرور اینترنت محافظت می‌کنند.

بیایید فایروال های سنتی و توزیع شده را بر اساس چندین شاخص مقایسه کنیم.

بهره وری. یک فایروال سنتی اغلب در محیط قرار دارد و تنها یک لایه حفاظتی را فراهم می کند. یک فایروال شخصی در سطح هسته سیستم عامل عمل می کند و با اسکن تمام بسته های ورودی و خروجی به طور قابل اعتماد از سرورهای شرکت محافظت می کند.

نصب آسان. یک فایروال سنتی باید به عنوان بخشی از پیکربندی شبکه شرکتی نصب شود. فایروال توزیع شده نرم افزاری است که در عرض چند دقیقه نصب و حذف می شود.

کنترل. یک فایروال سنتی توسط یک مدیر شبکه مدیریت می شود. یک فایروال توزیع شده می تواند توسط یک مدیر شبکه یا توسط یک کاربر شبکه محلی مدیریت شود.

کارایی. فایروال سنتی یک دستگاه فایروال با محدودیت عملکرد بسته در ثانیه ثابت است و برای رشد ناوگان سرورهای متصل به یکدیگر توسط شبکه های محلی سوئیچ شده مناسب نیست. یک فایروال توزیع شده به شما امکان می دهد تا پارک های سرور را بدون به خطر انداختن خط مشی امنیتی اتخاذ شده گسترش دهید.

قیمت. فایروال های سنتی معمولاً سیستم هایی با عملکردهای ثابت و هزینه نسبتاً بالا هستند. فایروال های توزیع شده نرم افزارهایی هستند که معمولا بین 20 تا 10 درصد فایروال های سنتی هزینه دارند. به عنوان مثال، فایروال توزیع شده CyberwallPLUS Network-1 Security Solution 6000 دلار قیمت دارد در حالی که فایروال Cisco PIX 535 Cisco حدود 50000 دلار قیمت دارد.

فایروال های توزیع شده کنترل های دسترسی به شبکه را با تشخیص دستکاری داخلی ترکیب می کنند و در حالت هسته عمل می کنند و هر بسته اطلاعات را هنگام ورود به شبکه بررسی می کنند. فعالیت هایی مانند تلاش برای هک و دسترسی غیرمجاز توسط این صفحه قبل از انتقال به لایه برنامه سرور مسدود می شود.

مزایای اصلی فایروال های توزیع شده عبارتند از:

• تضمین امنیت ترافیک ورودی و خروجی؛
• ارائه یک معماری مقیاس پذیر با گسترش حفاظت فایروال در چندین سرور؛
• حذف فایروال سنتی به عنوان تنها نقطه شکست.
• ارائه یک راه حل امنیتی کم هزینه که پیاده سازی و مدیریت آن آسان است.

بنابراین، فایروال‌های CyberwallPLUS سطح بیشتری از حفاظت را برای پلتفرم‌هایی که سیستم عامل Windows NT/2000 را اجرا می‌کنند، که برنامه‌های کاربردی سازمانی، مانند سرور اینترنت، روی آن‌ها نصب شده‌اند، فراهم می‌کنند. علاوه بر این، فایروال CyberwallPLUS می تواند از استفاده از انواع شناخته شده حملات برای نفوذ به سرورهای مهم شرکت جلوگیری کند و به مدیر امنیتی در مورد فعالیت مشکوک در شبکه هشدار دهد.

بنابراین، فایروال:

• از اطلاعات ارسالی بدون در نظر گرفتن ابزار و وسیله انتقال داده ها (کانال های ماهواره ای، خطوط ارتباطی نوری، اتصالات تلفنی، خطوط رله رادیویی) محافظت می کند.
• از هر برنامه ای بدون نیاز به تغییر محافظت می کند.
• شفاف برای کاربران نهایی؛
• به شما امکان می دهد تا سیستم های حفاظتی مقیاس پذیر را با امکان گسترش و پیچیدگی بیشتر با رشد سازمان ها و بهبود الزامات سیاست امنیتی پیاده سازی کنید.
• از سیستم های اطلاعاتی شبکه و برنامه های کاربردی بدون توجه به توپولوژی شبکه ای که استفاده می کنند محافظت می کند.
• سیستم اطلاعات شرکت را در برابر حملات محیط خارجی محافظت می کند.
• اطلاعات را از رهگیری و اصلاح نه تنها در اتصالات باز خارجی، بلکه در شبکه های داخلی شرکت محافظت می کند.
• با توسعه خط مشی امنیت اطلاعات شرکت، اضافه شدن منابع، به روز رسانی فناوری ها و رشد شبکه شرکت، می توان به راحتی پیکربندی مجدد کرد.

پیاده سازی فایروال

در حال حاضر تعداد زیادی از شرکت‌های خارجی و داخلی، پیاده‌سازی‌های سخت‌افزاری، نرم‌افزاری و نرم‌افزاری فایروال‌ها را ارائه می‌کنند. در زیر شرح مختصری از برخی از محصولاتی که امروزه توسط تولید کنندگان برجسته خارجی تولید می شود، آورده شده است.

NetScreen Technologies طیف گسترده‌ای از محصولات را ارائه می‌دهد، از دستگاه‌هایی که به کاربران فردی دسترسی به شبکه شرکتی شرکت را از طریق یک کانال امن فراهم می‌کنند تا مدل‌هایی که برای پیاده‌سازی در ساختارهای سازمانی بزرگ و ایجاد سیستم‌های امنیتی با توان عملیاتی بالا طراحی شده‌اند. هر محصول NetScreen ترکیبی از یک فایروال و یک دستگاه شبکه خصوصی مجازی (VPN) است.

سری محصولات NetScreen-5 به شما این امکان را می دهد که یک فایروال با توان عملیاتی 70 مگابیت بر ثانیه برای مدل NetScreen-5XT و 20 مگابیت در ثانیه برای مدل NetScreen-5XP و همچنین VPN با توان عملیاتی به ترتیب 20 و 13 مگابیت در ثانیه ایجاد کنید. برخلاف NetScreen-5XP که از پنج پورت 10Base-T پشتیبانی می کند، مدل NetScreen-5XT پنج رابط اترنت سریع را ارائه می دهد.

هر دو محصول قادر به پشتیبانی از 2 هزار تونل VPN و حداکثر 2 هزار اتصال TCP به طور همزمان هستند. آنها مجهز به سیستم عامل NetScreen ScreenOS 4.0 هستند که برای پیکربندی رابط های فیزیکی و مجازی مطابق با الزامات امنیتی استفاده می شود.

محصولات سری NetScreen-5 برای نصب بین رایانه خانگی کاربر و وب یا برای ارائه دسترسی ایمن به یک شبکه محلی تجاری ایده آل هستند.

برای پیاده سازی در شرکت های کوچک و متوسط، NetScreen Technologies محصولاتی از سری NetScreen-25، -50، -100، -200 توسعه داده است. آنها به شما اجازه می دهند فایروال هایی با سرعت 100 تا 550 مگابیت بر ثانیه ایجاد کنید. علاوه بر این، زمانی که داده ها با استفاده از پروتکل Triple DES با کلید 168 بیتی رمزگذاری می شوند، از طریق یک تونل شبکه خصوصی مجازی با سرعت 20 تا 200 مگابیت بر ثانیه بین گره ها منتقل می شوند. این سری محصولات از چهار تا هشت پورت Fast Ethernet پشتیبانی می کنند.

خانواده دستگاه‌های NetScreen-500، NetScreen-1000 و NetScreen-5000 توان عملیاتی فوق‌العاده‌ای را ارائه می‌دهند که آنها را به بهترین راه‌حل برای استقرار سازمان‌های بزرگ تبدیل می‌کند. مدل NetScreen-500 توان عملیاتی تقریباً 750 مگابیت در ثانیه و همچنین سرعت VPN 240 مگابیت در ثانیه را ارائه می دهد.

مدل NetScreen-5200 به شما امکان می دهد یک فایروال با توان خروجی 4 گیگابیت بر ثانیه و یک VPN با 2 گیگابیت بر ثانیه پیاده سازی کنید. حداکثر هشت پورت اترنت گیگابیتی یا دو پورت اترنت گیگابیتی و 24 پورت اترنت سریع را پشتیبانی می کند. مدل NetScreen-5400 سرعت 12 گیگابیت در ثانیه را برای فایروال و 6 گیگابیت بر ثانیه برای VPN ارائه می دهد. تا 78 پورت اترنت گیگابیتی و اترنت سریع را پشتیبانی می کند.

هر دو محصول قادر به پشتیبانی از 25 هزار تونل VPN و تا یک میلیون اتصال TCP همزمان هستند. آنها به سیستم عامل NetScreen ScreenOS 3.1 مجهز هستند. علاوه بر این، محصولات NetScreen Technologies از پروتکل RADIUS (Remote Authentication Dial-In User Service) پشتیبانی می کنند و پایگاه داده خود را برای احراز هویت کاربرانی که درخواست دسترسی از راه دور دارند، دارند.

WatchGuard Technologies مدل هایی را ارائه می دهد که برای پیاده سازی در شرکت های کوچک و متوسط ​​و بزرگ طراحی شده اند. محصولات سری Firebox III (4500، 2500، 1000 و 700) برای استفاده در مشاغل کوچک و متوسط ​​در دسترس هستند. مدل های Firebox 4500 و 2500 فایروال های سخت افزاری هستند که سیستم عامل لینوکس را با یک هسته امن اجرا می کنند. توان عملیاتی فایروال ها 197 مگابیت بر ثانیه در حالت فیلتر بسته و 60 مگابیت بر ثانیه در حالت واسطه (پراکسی شفاف) در سطح برنامه است. هر فایروال دارای سه رابط شبکه اترنت سریع 10/100 مگابیت بر ثانیه است.

هر دو فایروال می توانند تا 3 هزار تونل VPN را پشتیبانی کنند، اما مدل FireBox 4500 به شما امکان می دهد با استفاده از الگوریتم TripleDES به ترتیب 100 و 55 مگابیت بر ثانیه به سرعت رمزگذاری بالاتری در مقایسه با FireBox 2500 دست یابید.

این شرکت برای شرکت های کوچک و متوسط ​​و دفاتر راه دور، Firebox SOHO 6، Firebox SOHO 6/tc و Firebox 700 را تولید می کند.

Firebox 700 قادر است تا 250 کاربر را به طور همزمان سرویس دهد. این یک فایروال است که از فیلترهای بسته و فیلترهای واسطه برنامه پشتیبانی می کند. WatchGuard عملکرد Firebox 700 را 131 مگابیت در ثانیه در حالت فیلتر بسته و 43 مگابیت در ثانیه در حالت پروکسی تخمین می زند. Firebox 700 به شما امکان می دهد یک شبکه خصوصی مجازی با 150 تونل به طور همزمان ایجاد کنید و رمزگذاری TripleDES را با سرعت 5 مگابیت در ثانیه انجام دهید.

Firebox SOHO 6 از فیلترهای بسته با توان عملیاتی 75 مگابیت بر ثانیه پشتیبانی می کند. همچنین از یک شبکه خصوصی مجازی پنج تونل با توان عملیاتی 20 مگابیت بر ثانیه (اصلاح SOHO/tc) با استفاده از رمزگذاری TripleDES پشتیبانی می کند.

برای ارائه توان عملیاتی با سرعت بالا برای شرکت های اطلاعاتی بزرگ، مدل Firebox Vclass توسعه داده شده است که امکان خروجی تا 600 مگابیت بر ثانیه را فراهم می کند. این محصول قادر است تا 20 هزار تونل VPN را پشتیبانی کند. در حالت رمزگذاری، سرعت 300 مگابیت بر ثانیه به دست می آید.

Cisco Systems سری فایروال‌های Cisco PIX Firewall را ارائه می‌کند که سطوح بالایی از امنیت، عملکرد و قابلیت اطمینان را ارائه می‌کنند. محدوده فایروال ها با محصولات زیر نشان داده می شود: PIX 506E، 515E، 525 و 535.

فایروال های Cisco PIX 506E و 515E به ترتیب به مدل های Cisco PIX 506 و 515 ارتقا یافته اند. این مدل ها برای استفاده در شبکه های شرکتی شرکت های کوچک و همچنین برای اطمینان از امنیت مشتریان از راه دور شبکه های شرکتی سازمانی در نظر گرفته شده اند. مدل 506E دارای سرعت 20 مگابیت بر ثانیه و 515E 188 مگابیت بر ثانیه است. جریان داده را می توان با استفاده از الگوریتم DES با کلید 56 بیتی یا TripleDES با کلید 168 بیتی رمزگذاری کرد. توان پردازشی Cisco PIX 506E با رمزگذاری DES 20 مگابیت بر ثانیه، TripleDES 16 مگابیت بر ثانیه. سرعت رمزگذاری برای مدل 515E با استفاده از الگوریتم TripleDES 63 مگابیت بر ثانیه است. مدل 515E تا 2 هزار تونل VPN را پشتیبانی می کند.

سیسکو برای استفاده در شرکت های متوسط ​​و بزرگ مدل های 525 و 535 را تولید می کند. توان عملیاتی مدل 525 370 مگابیت بر ثانیه است. این مدل می تواند تا 280 هزار جلسه را به طور همزمان ارائه دهد. مدل Cisco PIX 535 دارای عملکرد 1 گیگابیت بر ثانیه است و از VPN با سرعت 100 مگابیت بر ثانیه پشتیبانی می کند. علاوه بر این، این مدل تا 2 هزار تونل VPN و تا 500 هزار اتصال TCP همزمان را پشتیبانی می کند.

به عنوان یک روش محافظت، فایروال های سیسکو از نسخه ای از الگوریتم اسکن زمینه الگوریتم امنیتی تطبیقی ​​(ASA) و سیستم عامل داخلی PIX OS استفاده می کنند تا از قابلیت اطمینان و امنیت بالا در برابر حملات احتمالی اینترنتی اطمینان حاصل کنند.

توسط eSoft, Inc. در نوامبر 2002، سری جدیدی از محصولات InstaGate xSP معرفی شد که جایگزین مدل های قبلی InstaGate EX2 و InstaGate PRO شد. تحت نام تجاری InstaGate xSP، eSoft شعبه InstaGate xSP را برای دفاتر کوچک و توزیع شده و InstaGate xSP Business را برای دفاتر متوسط ​​و بزرگ تولید می کند. محصولات سری xSP با مجموعه ای از برنامه های کاربردی SoftPak ارائه می شوند که به کاربران این امکان را می دهد تا به سرعت و به راحتی امنیت قوی را در سراسر محیط شبکه شرکت خود ایجاد کنند. سری محصولات xSP کاملاً با مدل های موجود InstaGate سازگار است و به شما امکان می دهد شبکه های خصوصی مجازی مبتنی بر IPSec و PPTP ایجاد کنید. InstaGate xSP Branch Office تا 10 کاربر و 10 تونل VPN را پشتیبانی می کند و InstaGate xSP Business تا 100 کاربر و 100 تونل VPN را پشتیبانی می کند. محصولات این سری قیمت نسبتا پایینی دارند.

3Com دو نوع فایروال را به بازار ارائه می دهد: SuperStack 3، طراحی شده برای دفاتر مرکزی شرکت ها و دفاتر بزرگ، و همچنین برای مشتریانی که نیاز به دسترسی به شبکه خصوصی مجازی با عملکرد بالا دارند، و OfficeConnect برای دفاتر کوچک با کمتر از صد کارمند، دفاتر خانگی و حرفه ای های خانگی

سازندگان تخمین می زنند که SuperStack 3 از تعداد نامحدودی از کاربران شبکه شرکتی پشتیبانی می کند و حداکثر 1000 تونل VPN را ارائه می دهد. توان عملیاتی این مدل هنگام رمزگذاری با الگوریتم TripleDES 45 مگابیت بر ثانیه است.

محدوده مدل OfficeConnect توسط مدل های OfficeConnect Internet Firewall 25 و OfficeConnect Internet Firewall DMZ نشان داده می شود. مدل OfficeConnect Internet Firewall DMZ، با استفاده از پورت DMZ، به شما امکان می دهد دسترسی خارجی ایمن به منابع شبکه را فراهم کنید. OfficeConnect Internet Firewall DMZ تا 100 کاربر و OfficeConnect Internet Firewall 25 25 کاربر را پشتیبانی می کند. به همراه فایروال های OfficeConnect Internet Firewall DMZ و OfficeConnect Internet Firewall 25، از فیلتر وب سایت OfficeConnect برای فیلتر کردن دسترسی به وب سایت های ناخواسته استفاده می شود. تمام فایروال های 3Com دارای گواهینامه ICSA هستند. خانواده فایروال های 3Com سهولت استفاده استثنایی را با انتخاب راه حل های انعطاف پذیر ترکیب می کند. فایروال های 3Com به راحتی نصب می شوند و امنیت بسیار بالایی را ارائه می دهند. نصب Plug-and-play، راه اندازی و اجرای مراحل پیچیده و زمان بر را بدون به خطر انداختن سختگیری، کامل بودن و جزئیات استراتژی امنیتی شما حذف می کند.

بنابراین، استفاده از فایروال ها یک عنصر کلیدی در ساختن سیستم های اطلاعاتی و تحلیلی با کارایی بالا، ایمن و قابل اعتماد و سیستم های اتوماسیون سازمانی، سیستم های مالی، پایگاه های داده توزیع شده، سیستم های دسترسی از راه دور کارکنان به منابع داخلی شبکه های شرکتی، بخش های شبکه شرکتی است. و شبکه شرکتی به عنوان یک کل. .

یوتیوب دایره المعارفی

1 / 5

✪ 1. Cisco ASA Administrator. فایروال چیست؟

✪ فایروال رایگان ZoneAlarm - فایروال رایگان برای رایانه شما

✪ 2. Cisco ASA Administrator. فایروال های سیسکو

✪ فایروال ها

زیرنویس

هدف

در میان وظایفی که فایروال ها حل می کنند، اصلی ترین آنها محافظت از بخش های شبکه یا میزبان های فردی در برابر دسترسی غیرمجاز با استفاده از آسیب پذیری های موجود در پروتکل های مدل شبکه OSI یا در نرم افزارهای نصب شده بر روی رایانه های شبکه است. فایروال ها ترافیک را با مقایسه ویژگی های آن با الگوهای مشخص شده مجاز یا رد می کنند.

رایج ترین مکان برای نصب فایروال ها در محیط شبکه محلی برای محافظت از میزبان های داخلی در برابر حملات خارجی است. با این حال، حملات می توانند از میزبان های داخلی نیز شروع شوند - در این حالت، اگر میزبان مورد حمله در همان شبکه قرار داشته باشد، ترافیک از محیط شبکه عبور نمی کند و فایروال فعال نمی شود. بنابراین، فایروال ها در حال حاضر نه تنها در لبه، بلکه بین بخش های مختلف شبکه نیز قرار می گیرند که سطح بیشتری از امنیت را فراهم می کند.

داستان

اولین دستگاه هایی که ترافیک شبکه را فیلتر می کردند در اواخر دهه 1980 ظاهر شدند، زمانی که اینترنت جدید بود و در مقیاس جهانی استفاده نمی شد. این دستگاه ها روترهایی بودند که ترافیک را بر اساس داده های موجود در سربرگ های پروتکل لایه شبکه بررسی می کردند. متعاقباً با توسعه فناوری‌های شبکه، این دستگاه‌ها توانستند ترافیک را با استفاده از داده‌های پروتکل‌های سطح انتقال بالاتر فیلتر کنند. روترها را می توان اولین پیاده سازی سخت افزاری و نرم افزاری یک فایروال دانست.

فایروال های نرم افزاری خیلی دیرتر ظاهر شدند و بسیار جوان تر از برنامه های آنتی ویروس بودند. به عنوان مثال، پروژه Netfilter/iptables (یکی از اولین فایروال های نرم افزاری که از نسخه 2.4 بر روی هسته لینوکس ساخته شده است) در سال 1998 تاسیس شد. این ظاهر دیرهنگام قابل درک است، زیرا برای مدت طولانی آنتی ویروس مشکل محافظت از رایانه های شخصی در برابر بدافزار را حل کرده است. با این حال، در اواخر دهه 1990، ویروس ها شروع به سوء استفاده فعال از کمبود فایروال در رایانه ها کردند که منجر به افزایش علاقه کاربران به این دسته از دستگاه ها شد.

فیلترینگ ترافیک

فیلترینگ ترافیک بر اساس مجموعه ای از قوانین از پیش تنظیم شده به نام انجام می شود مجموعه قوانین. راحت است که فایروال را به عنوان دنباله ای از فیلترها در نظر بگیریم که یک جریان اطلاعات را پردازش می کنند. هر یک از فیلترها برای تفسیر یک قانون جداگانه طراحی شده اند. توالی قوانین در یک مجموعه تأثیر بسزایی بر عملکرد فایروال دارد. به عنوان مثال، بسیاری از فایروال ها به طور متوالی ترافیک را با قوانین مقایسه می کنند تا زمانی که یک مطابقت پیدا شود. برای چنین فایروال هایی، قوانینی که با بیشترین ترافیک مطابقت دارند باید تا حد امکان در بالاترین لیست قرار گیرند و در نتیجه عملکرد را افزایش دهند.

دو اصل برای پردازش ترافیک ورودی وجود دارد. اصل اول می گوید: «آنچه صریحاً ممنوع نیست، جایز است». در این حالت، اگر فایروال بسته ای را دریافت کند که تحت هیچ قاعده ای قرار نگیرد، بیشتر ارسال می شود. اصل مخالف - "آنچه به صراحت مجاز نیست ممنوع است" - امنیت بسیار بیشتری را تضمین می کند، زیرا تمام ترافیکی را که صراحتاً توسط قوانین مجاز نیست رد می کند. با این حال، این اصل منجر به بار اضافی برای مدیر می شود.

در نهایت، فایروال ها یکی از دو عملیات را روی ترافیک ورودی انجام می دهند: ارسال بسته در ( اجازه) یا بسته را دور بریزید ( انکار). برخی از فایروال ها یک عملیات دیگر دارند - رد کردن، که در آن بسته دور انداخته می شود، اما به فرستنده اطلاع داده می شود که سرویسی که می خواست به آن دسترسی پیدا کند در دسترس نیست. در مقابل در حین جراحی انکارفرستنده در مورد در دسترس نبودن این سرویس که ایمن تر است، مطلع نمی شود.

طبقه بندی فایروال ها

هنوز هیچ طبقه بندی واحد و پذیرفته شده ای از فایروال ها وجود ندارد. با این حال، در اغلب موارد، لایه پشتیبانی شده از مدل شبکه OSI مشخصه اصلی در طبقه بندی آنها است. با توجه به این مدل، انواع فایروال های زیر متمایز می شوند:

1. سوئیچ های مدیریت شده
2. فیلترهای دسته ای
3. دروازه های سطح جلسه
4. واسطه های لایه کاربردی
5. بازرسان وضعیت

سوئیچ های مدیریت شده

بسیاری از تولیدکنندگان تجهیزات شبکه، مانند Cisco، Nortel، 3Com، ZyXEL، این توانایی را در سوئیچ های خود برای فیلتر کردن ترافیک بر اساس آدرس های MAC موجود در هدرهای فریم فراهم می کنند. به عنوان مثال، در سوئیچ های خانواده کاتالیست سیسکو این ویژگی با استفاده از مکانیزم Port Security پیاده سازی می شود. . با این حال، این روش فیلتر موثر نیست، زیرا آدرس MAC نصب شده در سخت افزار روی کارت شبکه به راحتی توسط نرم افزار تغییر می کند، زیرا مقدار مشخص شده از طریق درایور اولویت بالاتری نسبت به مقدار سیم کشی شده در کارت دارد. بنابراین، بسیاری از سوئیچ های مدرن به شما امکان می دهند از پارامترهای دیگر به عنوان یک ویژگی فیلتر استفاده کنید - به عنوان مثال، VLAN ID. فناوری شبکه محلی مجازی به شما امکان می دهد گروه هایی از میزبان ها ایجاد کنید که ترافیک آنها کاملاً از سایر گره های شبکه ایزوله است.

فیلترهای دسته ای

فیلترهای بسته در لایه شبکه کار می کنند و عبور ترافیک را بر اساس اطلاعات موجود در هدر بسته کنترل می کنند. بسیاری از فایروال‌های این نوع می‌توانند با هدرهای پروتکل در سطح انتقال بالاتر (مثلاً TCP یا UDP) کار کنند. فیلترهای بسته یکی از اولین فیلترهایی بودند که در بازار فایروال ظاهر شدند و تا به امروز رایج ترین نوع آن باقی مانده است. این فناوری در اکثریت قریب به اتفاق روترها و حتی در برخی سوئیچ ها پیاده سازی شده است.

هنگام تجزیه و تحلیل یک هدر بسته شبکه، می توان از پارامترهای زیر استفاده کرد:

• آدرس IP منبع و مقصد؛
• نوع پروتکل حمل و نقل؛
• فیلدهای هدر سرویس پروتکل های لایه شبکه و انتقال؛
• پورت منبع و مقصد

فیلتر کردن بسته های تکه تکه شده بسیار رایج است که تشخیص برخی از حملات را دشوار می کند. بسیاری از حملات شبکه از این آسیب‌پذیری در فایروال‌ها با ارسال بسته‌های حاوی داده‌های ممنوعه به‌عنوان قطعاتی از بسته مورد اعتماد دیگر سوء استفاده می‌کنند. یکی از راه های مبارزه با این نوع حمله، پیکربندی فایروال برای مسدود کردن بسته های تکه تکه شده است. برخی از فایروال ها می توانند بسته ها را قبل از ارسال به شبکه داخلی یکپارچه سازی کنند، اما این به منابع اضافی از خود فایروال، به ویژه حافظه نیاز دارد. Defragmentation باید بسیار عاقلانه استفاده شود، در غیر این صورت خود چنین فایروالی به راحتی می تواند قربانی یک حمله DoS شود.

فیلترهای بسته را می توان در اجزای زیرساخت شبکه زیر پیاده سازی کرد:

• روترهای مرزی؛
• سیستم عامل

از آنجایی که فیلترهای بسته معمولاً فقط داده ها را در شبکه بررسی می کنند و هدرهای لایه را انتقال می دهند، می توانند این کار را خیلی سریع انجام دهند. بنابراین، فیلترهای بسته تعبیه شده در روترهای لبه ای برای قرارگیری در لبه یک شبکه کم اعتماد ایده آل هستند. با این حال، فیلترهای بسته توانایی تجزیه و تحلیل پروتکل ها در سطوح بالاتر مدل شبکه OSI را ندارند. علاوه بر این، فیلترهای بسته معمولاً در برابر حملاتی که از جعل آدرس شبکه استفاده می کنند آسیب پذیر هستند. چنین حملاتی معمولا برای دور زدن کنترل دسترسی اجرا شده توسط فایروال انجام می شود.

دروازه های جلسه

از آنجایی که این نوع فایروال ارتباط مستقیم بین دو میزبان را حذف می کند، دروازه لایه نشست تنها عنصر اتصال بین شبکه خارجی و منابع داخلی است. این ظاهری را ایجاد می کند که تمام درخواست های شبکه خارجی توسط دروازه پاسخ داده می شود و تقریباً تعیین توپولوژی شبکه محافظت شده را غیرممکن می کند. علاوه بر این، از آنجایی که تماس بین گره ها تنها در صورتی برقرار می شود که معتبر باشد، دروازه لایه جلسه از احتمال حملات DoS ذاتی در فیلترهای بسته جلوگیری می کند.

علیرغم اثربخشی این فناوری، یک اشکال جدی دارد: مانند تمام کلاس های فایروال بالا، دروازه های سطح جلسه توانایی تأیید محتویات فیلد داده را ندارند، که به مهاجم اجازه می دهد "اسب های تروجان" را منتقل کند. وارد شبکه محافظت شده

کارگزاران لایه کاربردی

معایب این نوع فایروال، زمان و منابع زیادی است که برای تجزیه و تحلیل هر بسته صرف می شود. به همین دلیل، آنها معمولا برای برنامه های بلادرنگ مناسب نیستند. یکی دیگر از معایب، ناتوانی در فعال کردن خودکار پشتیبانی از برنامه ها و پروتکل های جدید شبکه است، زیرا هر یک از آنها به عامل خاص خود نیاز دارند.

بازرسان دولتی

هر یک از انواع فایروال های فوق برای محافظت از شبکه های شرکتی استفاده می شود و دارای تعدادی مزیت است. با این حال، جمع آوری تمام این مزایا در یک دستگاه و دریافت فایروالی که ترافیک را از شبکه به سطح برنامه فیلتر می کند بسیار مؤثرتر خواهد بود. این ایده با ترکیب عملکرد بالا و امنیت در بازرسان دولتی اجرا شد. این دسته از فایروال ها به شما اجازه می دهد تا کنترل کنید:

• هر بسته ارسالی بر اساس جدولی از قوانین است.
• هر جلسه - بر اساس جدول حالت.
• هر برنامه مبتنی بر واسطه های توسعه یافته است.

با فیلتر کردن ترافیک بر اساس اصل یک دروازه در سطح جلسه، این دسته از فایروال ها در روند برقراری ارتباط بین گره ها دخالت نمی کنند. بنابراین، عملکرد بازرس حالت به طور قابل توجهی بالاتر از کارگزار لایه کاربردی و دروازه لایه جلسه است و با عملکرد فیلترهای بسته قابل مقایسه است. یکی دیگر از مزایای بازرسان دولتی شفافیت برای کاربر است: هیچ پیکربندی اضافی برای نرم افزار مشتری مورد نیاز نیست. این فایروال ها قابلیت گسترش بالایی دارند. هنگامی که یک سرویس جدید یا یک پروتکل لایه برنامه جدید ظاهر می شود، فقط باید چند الگو برای پشتیبانی از آن اضافه کنید. با این حال، بازرسان دولتی ذاتاً امنیت کمتری نسبت به واسطه‌های سطح برنامه دارند.

عبارت Stateful Inspection که توسط Check Point Software معرفی شد، در بین سازندگان تجهیزات شبکه به قدری محبوب شده است که در حال حاضر تقریباً هر فایروال به عنوان این فناوری طبقه بندی می شود، حتی اگر آن را به طور کامل پیاده سازی نکند.

پیاده سازی

دو نسخه از فایروال ها وجود دارد - نرم افزار و سخت افزار-نرم افزار. به نوبه خود، نسخه نرم افزاری و سخت افزاری دارای دو نوع است - به شکل یک ماژول جداگانه در یک سوئیچ یا روتر و در قالب یک دستگاه تخصصی.

امروزه بیشتر از یک راه حل نرم افزاری استفاده می شود که در نگاه اول جذاب تر به نظر می رسد. این به این دلیل است که برای استفاده از آن به نظر می رسد فقط خرید نرم افزار فایروال و نصب آن بر روی هر رایانه ای در سازمان کافی است. با این حال، همانطور که تمرین نشان می دهد، یک سازمان همیشه یک کامپیوتر رایگان و حتی کامپیوتری که الزامات نسبتاً بالایی برای منابع سیستم را برآورده می کند، ندارد. پس از یافتن رایانه (اغلب، خریداری شده)، روند نصب و پیکربندی سیستم عامل و همچنین خود نرم افزار فایروال دنبال می شود. به راحتی می توان فهمید که استفاده از یک رایانه شخصی معمولی آنقدر که به نظر می رسد ساده نیست. به همین دلیل است که سیستم های سخت افزاری و نرم افزاری تخصصی نامیده می شوند دستگاه امنیتی، بر اساس، به عنوان یک قاعده،

دیواره آتش

تصویری که موقعیت یک فایروال را در یک شبکه نشان می دهد.

دیواره آتشیا دیواره آتش- مجموعه‌ای از سخت‌افزار یا نرم‌افزار که بسته‌های شبکه را که از آن عبور می‌کنند، مطابق با قوانین مشخص شده نظارت و فیلتر می‌کنند.

وظیفه اصلی یک فایروال محافظت از شبکه های کامپیوتری یا گره های فردی در برابر دسترسی غیرمجاز است. همچنین، فایروال ها اغلب فیلتر نامیده می شوند، زیرا وظیفه اصلی آنها عبور نکردن (فیلتر) بسته هایی است که معیارهای تعریف شده در پیکربندی را ندارند.

برخی از فایروال‌ها ترجمه آدرس را نیز امکان پذیر می‌سازند - جایگزینی پویا آدرس‌ها یا پورت‌های اینترانت (خاکستری) با موارد خارجی که خارج از LAN استفاده می‌شوند.

نامهای دیگر

دیواره آتش, دیواره آتش, دیواره آتش, دیواره آتش- با ترجمه اصطلاح انگلیسی تشکیل شده است دیواره آتش.

انواع فایروال

فایروال ها بسته به ویژگی های زیر به انواع مختلفی تقسیم می شوند:

• آیا سپر ارتباط بین یک گره و یک شبکه یا بین دو یا چند شبکه مختلف را فراهم می کند.
• در سطح پروتکل های شبکه، جریان داده کنترل می شود.
• آیا وضعیت اتصالات فعال نظارت می شود یا خیر.

بسته به پوشش جریان های داده کنترل شده، فایروال ها به موارد زیر تقسیم می شوند:

• شبکه سنتی(یا کار اینترنتی) صفحه نمایش- یک برنامه (یا بخشی جدایی ناپذیر از سیستم عامل) در یک دروازه (سروری که ترافیک بین شبکه ها را منتقل می کند) یا یک راه حل سخت افزاری که جریان داده های ورودی و خروجی را بین شبکه های متصل کنترل می کند.
• فایروال شخصی- برنامه ای نصب شده بر روی رایانه کاربر و طراحی شده برای محافظت از این رایانه از دسترسی غیرمجاز.

یک مورد منحط استفاده از فایروال سنتی توسط سرور برای محدود کردن دسترسی به منابع خود است.

بسته به سطحی که کنترل دسترسی در آن رخ می دهد، به فایروال هایی تقسیم بندی می شود که در موارد زیر عمل می کنند:

• سطح شبکههنگامی که فیلتر بر اساس آدرس فرستنده و گیرنده بسته ها، شماره پورت لایه انتقال مدل OSI و قوانین استاتیک مشخص شده توسط مدیر انجام می شود.
• سطح جلسه(همچنین به عنوان stateful شناخته می‌شود) - ردیابی جلسات بین برنامه‌هایی که به بسته‌هایی که مشخصات TCP/IP را نقض می‌کنند اجازه عبور نمی‌دهند، اغلب در عملیات مخرب استفاده می‌شوند - اسکن منابع، هک از طریق اجرای نادرست TCP/IP، اتصالات قطع شده/آهسته، تزریق داده .
• سطح برنامه، فیلتر بر اساس تجزیه و تحلیل داده های برنامه ارسال شده در بسته. این نوع صفحه نمایش ها به شما امکان می دهند بر اساس سیاست ها و تنظیمات، انتقال اطلاعات ناخواسته و بالقوه مضر را مسدود کنید. برخی از راه‌حل‌های فایروال در سطح برنامه، سرورهای پراکسی با برخی از قابلیت‌های فایروال هستند که پروکسی‌های شفاف را با تخصص پروتکل پیاده‌سازی می‌کنند. قابلیت‌های سرور پراکسی و تخصص چند پروتکلی، فیلتر کردن را بسیار انعطاف‌پذیرتر از فایروال‌های کلاسیک می‌کند، اما چنین برنامه‌هایی تمام معایب سرورهای پراکسی را دارند (مثلاً ناشناس‌سازی ترافیک).

بسته به نظارت بر اتصالات فعال، فایروال ها عبارتند از:

• بدون حالت (فیلترسازی ساده)، که اتصالات فعلی (مثلاً TCP) را کنترل نمی کند، اما جریان داده را صرفاً بر اساس قوانین استاتیک فیلتر می کند.
• بازرسی بسته حالت دار (SPI)(فیلتر کردن متن آگاه)، نظارت بر اتصالات جاری و ارسال تنها بسته هایی که منطق و الگوریتم های پروتکل ها و برنامه های مربوطه را برآورده می کنند. این نوع فایروال ها این امکان را فراهم می کند که به طور مؤثرتری با انواع مختلف حملات DoS و آسیب پذیری های برخی از پروتکل های شبکه مبارزه کند. علاوه بر این، آنها عملکرد پروتکل‌هایی مانند H.323، SIP، FTP و غیره را تضمین می‌کنند که از طرح‌های پیچیده انتقال داده بین گیرندگان استفاده می‌کنند که توصیف آن‌ها توسط قوانین ثابت دشوار است و اغلب با فایروال‌های استاندارد و بدون حالت سازگار نیستند.

ویژگی های معمولی

• فیلتر کردن دسترسی به خدمات آشکارا محافظت نشده؛
• جلوگیری از دریافت اطلاعات حساس از یک زیرشبکه محافظت شده، و همچنین معرفی داده های نادرست به یک زیرشبکه محافظت شده با استفاده از سرویس های آسیب پذیر؛
• کنترل دسترسی به گره های شبکه؛
• می تواند تمام تلاش های دسترسی را هم از خارج و هم از شبکه داخلی ثبت کند، که به شما امکان می دهد استفاده از دسترسی به اینترنت را توسط گره های شبکه جداگانه پیگیری کنید.
• تنظیم دسترسی به شبکه؛
• اطلاع از فعالیت مشکوک، تلاش برای بررسی یا حمله به گره های شبکه یا خود صفحه نمایش؛

به دلیل محدودیت های امنیتی ممکن است برخی از سرویس های مورد نیاز کاربر مانند Telnet، FTP، SMB، NFS و غیره مسدود شوند. بنابراین راه اندازی فایروال مستلزم مشارکت یک متخصص امنیت شبکه است. در غیر این صورت، آسیب پیکربندی نادرست ممکن است بیشتر از مزایای آن باشد.

همچنین باید توجه داشت که استفاده از فایروال باعث افزایش زمان پاسخ و کاهش توان عملیاتی می شود زیرا فیلتر کردن آنی نیست.

مشکلاتی که با فایروال قابل حل نیستند

فایروال به خودی خود نوشدارویی برای همه تهدیدات شبکه نیست. به ویژه، او:

• گره های شبکه را از نفوذ از طریق "تله" محافظت نمی کند (eng. درهای پشتی) یا آسیب پذیری های نرم افزاری؛
• در برابر بسیاری از تهدیدات داخلی، در درجه اول نشت اطلاعات، محافظت نمی کند.
• در برابر دانلود برنامه های مخرب از جمله ویروس ها از کاربران محافظت نمی کند.

برای حل دو مشکل آخر، از ابزارهای اضافی مناسب، به ویژه آنتی ویروس ها استفاده می شود. به طور معمول، آنها به یک فایروال متصل می شوند و از قسمت مربوطه از ترافیک شبکه عبور می کنند و به عنوان یک پروکسی شفاف برای سایر گره های شبکه کار می کنند، یا یک کپی از تمام داده های ارسال شده از فایروال دریافت می کنند. با این حال، چنین تحلیلی به منابع سخت افزاری قابل توجهی نیاز دارد، بنابراین معمولاً به طور مستقل در هر گره شبکه انجام می شود.

ادبیات

• دیوید دبلیو چپمن، جونیور، اندی فاکس Cisco Secure PIX Firewalls = Cisco Secure PIX® Firewalls. - M.: "Williams"، 2003. - P. 384. - ISBN 1-58705-035-8

یادداشت

همچنین ببینید

پیوندها

	راه اندازی فایروال در لینوکسدر ویکی کتاب ها

فایروال ها
در دسترس
رایگان
اختصاصی
سخت افزار

بد افزار
بدافزار عفونی	ویروس کامپیوتری (فهرست) · کرم شبکه (لیست) · اسب تروجان · ویروس بوت · کرونولوژی
روش های پنهان کردن	درب پشتی · کامپیوتر زامبی · روت کیت
بد افزار برای سود	ابزارهای تبلیغاتی مزاحم · نرم افزارهای تهاجمی حریم خصوصی · باج افزار (Trojan.Winlock) · نرم افزارهای جاسوسی · بات
توسط سیستم عامل	بدافزار لینوکس · ویروس های Palm OS · ویروس ماکرو · ویروس موبایل
حفاظت	محاسبات دفاعی · برنامه آنتی ویروس · دیواره آتش· سیستم تشخیص نفوذ · جلوگیری از نشت اطلاعات · تقویم آنتی ویروس
اقدامات متقابل	ائتلاف ضد جاسوس افزار · نظارت رایانه ای · Honeypot · عملیات: Bot Roast

بنیاد ویکی مدیا 2010.

• شهرها
• آکی

ببینید "دیوار آتش" در فرهنگ های دیگر چیست:

دیواره آتش- (دیوار آتش) گره ای در شبکه که به عنوان مانعی برای جلوگیری از انتقال ترافیک از یک بخش به بخش دیگر عمل می کند. هم برای کاهش ترافیک و هم برای افزایش امنیت شبکه استفاده می شود. فایروال ها می توانند به عنوان مانع عمل کنند... فرهنگ لغت اصطلاحات تجاری

همین چند سال پیش، برای محافظت مطمئن از رایانه شخصی خود، کافی بود یک برنامه ضد ویروس خوب نصب کنید و به روز رسانی های منظم پایگاه داده را نظارت کنید. با این حال، نبوغ مهاجمان باعث می شود تا راه های جدیدی برای ایجاد خسارت بیشتر و بیشتر شود. اغلب، مسیر اصلی نفوذ به رایانه کاربر از طریق اتصالات شبکه آن یا به طور دقیق تر، از طریق آسیب پذیری های سیستم مرتبط با آنها است. یک بسته آنتی ویروس فقط می تواند کدهای مخرب را شناسایی کند، اما هر آنتی ویروسی قادر به تشخیص دسترسی غیرمجاز به داده ها نیست.

با توسعه روابط بازار، اطلاعات به طور فزاینده ای کیفیت یک کالا را به دست می آورد، یعنی می توان آن را خرید، فروخت، انتقال داد و متأسفانه دزدید. بنابراین، مشکل تضمین امنیت اطلاعات هر سال بیشتر و بیشتر ضروری می شود. یکی از راه حل های ممکن برای این مشکل استفاده از فایروال است.

فناوری های مدرن امنیت شبکه یکی از پویاترین بخش های بازار امنیت مدرن است. ابزارهای امنیت شبکه چنان سریع در حال توسعه هستند که در حال حاضر اصطلاحات عمومی پذیرفته شده در این زمینه هنوز به طور کامل ایجاد نشده است. این ابزارهای حفاظتی در ادبیات و رسانه ها به صورت فایروال، فایروال و حتی غشای اطلاعات ظاهر می شوند. اما متداول ترین اصطلاح "فایروال" (FW) است.

به طور کلی، برای اطمینان از حفاظت شبکه، یک صفحه نمایش یا غشای اطلاعاتی بین دو مجموعه از سیستم های اطلاعاتی (IS) نصب می شود، که ابزاری برای محدود کردن دسترسی مشتریان از یک مجموعه از سیستم ها به اطلاعات ذخیره شده در سرورهای مجموعه دیگر است. در این معنا، ME را می توان به عنوان مجموعه ای از فیلترها نشان داد که اطلاعات عبوری از آنها را تجزیه و تحلیل می کند و تصمیم می گیرد: اطلاعات را منتقل کند یا آن را مسدود کند. در همان زمان، رویدادها ثبت می شوند و در صورت شناسایی تهدید، آلارم ایجاد می شود. به طور معمول، سیستم های محافظ نامتقارن ساخته می شوند. برای صفحه نمایش، مفاهیم "درون" و "خارج" تعریف شده است و وظیفه صفحه نمایش محافظت از شبکه داخلی از یک محیط بالقوه خصمانه است. علاوه بر این، ME می تواند به عنوان یک بخش باز شرکتی از شبکه، قابل مشاهده از اینترنت استفاده شود. به عنوان مثال، بسیاری از سازمان ها از ME برای ذخیره داده های دسترسی باز، مانند اطلاعات مربوط به محصولات و خدمات، فایل های پایگاه داده FTP، پیام های خطا و غیره استفاده می کنند.

فایروال یا فایروال مجموعه‌ای از سخت‌افزار یا نرم‌افزار است که بسته‌های شبکه را که از آن عبور می‌کنند، مطابق با قوانین مشخص شده کنترل و فیلتر می‌کند.

وظیفه اصلی یک فایروال محافظت از شبکه های کامپیوتری یا گره های فردی در برابر دسترسی غیرمجاز است. همچنین، فایروال ها اغلب فیلتر نامیده می شوند، زیرا وظیفه اصلی آنها عبور نکردن (فیلتر) بسته هایی است که معیارهای تعریف شده در پیکربندی را ندارند.

برخی از فایروال‌ها همچنین امکان ترجمه آدرس را می‌دهند - جایگزینی پویا آدرس‌ها یا پورت‌های اینترانت (خاکستری) با موارد خارجی که خارج از شبکه محلی استفاده می‌شوند.

شکل 4. ساختار کلی فایروال

نامهای دیگر

فایروال (به آلمانی: Brandmauer) اصطلاحی است که از زبان آلمانی به عاریت گرفته شده است که مشابه دیوار آتش انگلیسی به معنای اصلی آن (دیواری که ساختمان های مجاور را جدا می کند و در برابر گسترش آتش محافظت می کند) است. جالب اینجاست که در زمینه فناوری کامپیوتر از کلمه فایروال در زبان آلمانی استفاده می شود.

فایروال - با ترجمه اصطلاح انگلیسی فایروال تشکیل شده است.

انواع فایروال

فایروال ها بسته به ویژگی های زیر به انواع مختلفی تقسیم می شوند:

آیا سپر ارتباط بین یک گره و یک شبکه یا بین دو یا چند شبکه مختلف را فراهم می کند.

در سطح پروتکل های شبکه، جریان داده کنترل می شود.

آیا وضعیت اتصالات فعال نظارت می شود یا خیر.

بسته به پوشش جریان های داده کنترل شده، فایروال ها به موارد زیر تقسیم می شوند:

شبکه سنتی (یا فایروال) -- یک برنامه (یا بخش جدایی ناپذیر سیستم عامل) در یک دروازه (سرور که ترافیک بین شبکه ها را منتقل می کند) یا راه حل سخت افزاری که جریان داده های ورودی و خروجی را بین شبکه های متصل کنترل می کند.

فایروال شخصی برنامه ای است که روی رایانه کاربر نصب شده و برای محافظت از این رایانه در برابر دسترسی غیرمجاز طراحی شده است.

یک مورد منحط استفاده از فایروال سنتی توسط سرور برای محدود کردن دسترسی به منابع خود است.

بسته به سطحی که در آن کنترل دسترسی رخ می دهد، یک تقسیم بندی به فایروال هایی وجود دارد که در موارد زیر عمل می کنند:

سطح شبکه، هنگامی که فیلتر بر اساس آدرس فرستنده و گیرنده بسته ها، شماره پورت لایه انتقال مدل OSI و قوانین استاتیک مشخص شده توسط مدیر انجام می شود.

لایه جلسه (همچنین به عنوان stateful شناخته می شود) - ردیابی جلسات بین برنامه ها، اجازه نمی دهد بسته هایی که مشخصات TCP/IP را نقض می کنند، اغلب در عملیات مخرب استفاده می شود - اسکن منابع، هک از طریق اجرای نادرست TCP/IP، اتصالات کاهش یافته/آهسته، تزریق داده ها.

سطح برنامه، فیلتر بر اساس تجزیه و تحلیل داده های برنامه ارسال شده در بسته. این نوع صفحه نمایش ها به شما امکان می دهند بر اساس سیاست ها و تنظیمات، انتقال اطلاعات ناخواسته و بالقوه مضر را مسدود کنید.

برخی از راه‌حل‌های فایروال در سطح برنامه، سرورهای پراکسی با برخی از قابلیت‌های فایروال هستند که پروکسی‌های شفاف را با تخصص پروتکل پیاده‌سازی می‌کنند. قابلیت‌های سرور پراکسی و تخصص چند پروتکلی، فیلتر کردن را بسیار انعطاف‌پذیرتر از فایروال‌های کلاسیک می‌کند، اما چنین برنامه‌هایی تمام معایب سرورهای پراکسی را دارند (مثلاً ناشناس‌سازی ترافیک).

بسته به نظارت بر اتصالات فعال، فایروال ها عبارتند از:

بدون حالت (فیلترسازی ساده)، که اتصالات فعلی (مثلاً TCP) را کنترل نمی کند، اما جریان داده را صرفاً بر اساس قوانین استاتیک فیلتر می کند.

بازرسی بسته های حالت دار (SPI) (فیلتر کردن متن آگاه)، نظارت بر اتصالات جاری و ارسال تنها بسته هایی که منطق و الگوریتم های پروتکل ها و برنامه های مربوطه را برآورده می کنند. این نوع فایروال ها این امکان را فراهم می کند که به طور مؤثرتری با انواع مختلف حملات DoS و آسیب پذیری های برخی از پروتکل های شبکه مبارزه کند. علاوه بر این، آنها عملکرد پروتکل‌هایی مانند H.323، SIP، FTP و غیره را تضمین می‌کنند که از طرح‌های پیچیده انتقال داده بین گیرندگان استفاده می‌کنند، توصیف آنها با قوانین ثابت دشوار است و اغلب با فایروال‌های استاندارد و بدون حالت سازگار نیست.

لازم به ذکر است که در حال حاضر، همراه با فایروال های تک سطحی، فایروال های پیچیده ای که سطوح را از شبکه ای به برنامه دیگر پوشش می دهند، به طور فزاینده ای محبوب می شوند، زیرا چنین محصولاتی بهترین ویژگی های فایروال های تک سطحی را در انواع مختلف ترکیب می کنند. شکل 1 ساختار محافظ اطلاعات بین دو سیستم را هنگام استفاده از مدل مرجع ISO/OSI نشان می دهد.

شکل 5. چارچوب محافظ اطلاعات با استفاده از مدل مرجع

الزامات مدرن برای فایروال ها

شرط اصلی اطمینان از امنیت شبکه داخلی (محافظت شده) و کنترل کامل بر اتصالات خارجی و جلسات ارتباطی است.

سیستم امنیتی باید دارای کنترل های قدرتمند و منعطف باشد تا بتواند به راحتی و به طور کامل خط مشی امنیتی سازمان را پیاده سازی کند.

فایروال باید بدون توجه کاربران شبکه محلی کار کند و انجام اقدامات قانونی را برای آنها دشوار نکند.

پردازنده فایروال باید سریع باشد، به اندازه کافی کارآمد کار کند و بتواند در زمان اوج مصرف ترافیک ورودی و خروجی را مدیریت کند تا نتواند با تعداد زیادی تماس مسدود شود و در عملکرد آن اختلال ایجاد کند.

خود سیستم امنیتی باید به طور قابل اعتماد در برابر هر گونه نفوذ غیرمجاز محافظت شود، زیرا کلید اطلاعات محرمانه در سازمان است.

سیستم مدیریت صفحه باید بتواند به طور مرکزی یک خط مشی امنیتی یکسان را برای شاخه های راه دور اعمال کند.

ویژگی های فایروال های مدرن

همانطور که از جدول 3 مشاهده می شود، فایروال رایج ترین وسیله برای تقویت ابزار سنتی حفاظت در برابر دسترسی غیرمجاز است و برای اطمینان از حفاظت از داده ها هنگام سازماندهی کار اینترنتی استفاده می شود.

پیاده سازی ME خاص تا حد زیادی به پلت فرم های محاسباتی مورد استفاده بستگی دارد، اما، با این وجود، همه سیستم های این کلاس از دو مکانیسم استفاده می کنند، که یکی از آنها مسدود شدن ترافیک شبکه را تضمین می کند و دومی، برعکس، امکان تبادل داده ها را فراهم می کند.

در همان زمان، برخی از نسخه های ME بر مسدود کردن ترافیک ناخواسته تمرکز می کنند، در حالی که برخی دیگر بر تنظیم تبادل مجاز بین ماشینی تمرکز می کنند.

جدول 3 - ویژگی های فایروال ها

نوع فایروال	اصل عملیات	مزایای	ایرادات
روترهای محافظ (دیوارهای آتش فیلتر بسته)	فیلتر کردن بسته مطابق با هدر IP بسته با این معیار انجام می شود: آنچه به صراحت ممنوع نیست مجاز است. اطلاعات مورد تجزیه و تحلیل عبارتند از: - آدرس فرستنده. - آدرس گیرنده؛ - اطلاعات در مورد برنامه یا پروتکل؛ - شماره پورت منبع؛ - شماره پورت گیرنده	هزینه کم تاثیر حداقلی بر عملکرد شبکه پیکربندی و نصب آسان نرم افزار شفاف	آسیب پذیری مکانیسم حفاظتی در برابر انواع مختلف حملات شبکه مانند جعل آدرس های منبع بسته، اصلاح غیرمجاز محتویات بسته عدم پشتیبانی گزارش رویداد و ابزارهای حسابرسی در تعدادی از محصولات
دروازه غربالگری (ESG)	تبادل اطلاعات از طریق یک میزبان سنگر نصب شده بین شبکه های داخلی و خارجی انجام می شود که در مورد امکان مسیریابی ترافیک تصمیم گیری می کند. دو نوع ES وجود دارد: سطح جلسه و برنامه	· عدم عبور سرتاسر بسته ها در صورت خرابی · مکانیزم های امنیتی پیشرفته در مقایسه با EM، امکان استفاده از ابزارهای تأیید اعتبار اضافی، نرم افزاری و سخت افزاری · استفاده از روش ترجمه آدرس، که امکان پنهان کردن آدرس ها را فراهم می کند. میزبان ها در یک شبکه بسته	· استفاده از هاست های قدرتمند سنگر به دلیل حجم زیاد محاسبات · عدم شفافیت به دلیل اینکه ES تاخیرهایی را در فرآیند انتقال ایجاد می کند و نیاز به مراحل احراز هویت از کاربر دارد.
زیرشبکه های محافظ (ES)	یک زیر شبکه ایزوله بین شبکه های داخلی و عمومی ایجاد می شود. پیام‌های شبکه باز توسط دروازه برنامه پردازش می‌شوند و به امضای الکترونیکی ختم می‌شوند. پس از گذراندن موفقیت آمیز کنترل در امضای الکترونیکی، آنها وارد یک شبکه بسته می شوند. درخواست‌های یک شبکه بسته از طریق امضای الکترونیکی به همین ترتیب پردازش می‌شوند. فیلتر کردن بر اساس این اصل است: آنچه مجاز نیست ممنوع است	امکان مخفی کردن آدرس شبکه داخلی · افزایش قابلیت اطمینان حفاظت · امکان ایجاد ترافیک زیاد بین شبکه های داخلی و باز در هنگام استفاده از چندین هاست سنگر در شبکه الکترونیکی · «شفافیت» کار برای هر سرویس شبکه و هر ساختار داخلی. شبکه	استفاده از هاست های قدرتمند سنگر به دلیل حجم زیاد محاسبات تعمیر و نگهداری (نصب، پیکربندی) فقط توسط متخصصان قابل انجام است.

گزینه های معمولی برای فعال کردن فایروال ها

شکل 6. فعال کردن ME با استفاده از یک طرح دروازه دو پورت

شکل 7. فعال کردن ME به طور مستقیم در سرور محافظت شده

شکل 8. فعال کردن ME در سیستم اینترانت اینترنت

ویژگی های مقایسه ای فایروال های مدرن

جدول 4 - ویژگی های مقایسه ای فایروال های مدرن

		سکو	شرکت	ویژگی های خاص
فایروال انقلاب انقلاب	مجتمع	SunOS، UNIX، Solaris	سان میکروسیستم	یک خط مشی امنیتی را اجرا می کند: همه داده هایی که مجوز صریح ندارند دور ریخته می شوند. در حین کار، فیلترهای بسته در دروازه‌ها و سرورها رکوردهایی از همه رویدادها ایجاد می‌کنند و مکانیسم‌های هشداری را فعال می‌کنند که به پاسخ مدیر نیاز دارند.
			شرکت شبکه های Milkyway	از مکانیزم فیلتر بسته استفاده نمی کند. اصل عملیات: آنچه صریحاً مجاز نیست ممنوع است. تمام اقدامات سرور را ثبت می کند و در مورد تخلفات احتمالی هشدار می دهد. می تواند به عنوان دروازه دو طرفه استفاده شود.
سرور فایروال BorderWare	دروازه غربالگری سطح برنامه	یونیکس، ویندوز، داس	شرکت محاسبات ایمن	نرم افزار امنیتی که عملکرد تحت کنترل سیستم عامل را تضمین می کند (توسعه خود ما). به شما امکان می دهد آدرس ها، زمان ها، تلاش ها، پروتکل های استفاده شده را ضبط کنید.
ALF (فیلتر لایه کاربردی)	دروازه غربالگری سطح برنامه			می تواند بسته های IP را بر اساس آدرس ها، محدوده پورت ها، پروتکل ها و رابط ها فیلتر کند. بسته دریافتی را می توان از دست داد، حذف کرد یا به آدرس آن ارسال کرد.
سرویس ANS InterLock	دروازه غربالگری سطح برنامه		سیستم های ANS CO+RE	از برنامه های واسطه برای سرویس های Telnet، FTR، HTTR استفاده می کند. از رمزگذاری اتصالات نقطه به نقطه پشتیبانی می کند و سخت افزار می تواند به عنوان ابزار احراز هویت استفاده شود.
	صفحه نمایش یکپارچه	SunOS، BSDI در اینتل، IRIX در INDY و Challenge		از زمان، تاریخ، آدرس، پورت و غیره برای تجزیه و تحلیل استفاده می کند. شامل میان‌افزار لایه برنامه برای Telnet، FTR، SMTP، X11، HTTP، Gopher و سایر سرویس‌ها. از اکثر بسته‌های احراز هویت سخت‌افزاری پشتیبانی می‌کند.
	دروازه غربالگری سطح برنامه	SunOS، BSDI، Solaris، HP-UX، AIX		یک شبکه بسته از بیرون به عنوان یک میزبان واحد دیده می شود. دارای برنامه های واسطه ای برای سرویس ها: ایمیل، پروتکل FTR و غیره. تمام اقدامات سرور را ثبت می کند و در مورد تخلفات هشدار می دهد.
	دروازه غربالگری سطح برنامه		نرم افزار استرلینگ	این محصول نرم افزاری است که هنگام اتصال شبکه های بسته و باز از اطلاعات در برابر دسترسی غیرمجاز محافظت می کند. به شما امکان می دهد تمام اقدامات سرور را ضبط کنید و در مورد تخلفات احتمالی هشدار دهید.
فایروال CyberGuard	دروازه انتها به انتها دو جهته (میزبان به سنگر به عنوان فیلتر، دروازه سطح برنامه یا صفحه پایان به انتها)	پلت فرم RISC، OS UNIX	شرکت سیستم های کامپیوتری هریس	راه حل های پیچیده، از جمله مکانیسم های امنیتی سیستم عامل یونیکس و ابزارهای شبکه یکپارچه طراحی شده برای رایانه های RISC استفاده شد. برای تحلیل از آدرس مبدا، آدرس مقصد و غیره استفاده می شود.
فایروال دیجیتال برای یونیکس	صفحه نمایش یکپارچه		شرکت تجهیزات دیجیتال	از پیش نصب شده بر روی سیستم های دیجیتال آلفا و ارائه فیلتر محافظ و قابلیت های دروازه برنامه.
Eagle Enterprise	دروازه غربالگری سطح برنامه	پیاده سازی فناوری شبکه های خصوصی مجازی		شامل برنامه های واسطه در سطح برنامه برای خدمات FTR، HTTP، Telnet است. تمام اقدامات سرور را ثبت می کند و در مورد تخلفات هشدار می دهد.
روتر فایروال IRX	روتر محافظ			به شما امکان تجزیه و تحلیل شبکه را به منظور بهینه سازی ترافیک شبکه، اتصال ایمن شبکه محلی با شبکه های راه دور مبتنی بر شبکه های باز می دهد.
	فایروال جامع	Intel x86، Sun Sparc و غیره		محافظت در برابر حملات هکرها مانند جعل آدرس (جعل آدرس های بسته) را ارائه می دهد و ترکیبی از ابزارهای حفاظتی سطح شبکه و برنامه را نشان می دهد.
فایروال-1/VPN-1	فایروال جامع	Intel x86، Sun Sparc و غیره	Check Point Software Technologies	رابط برنامه OPSEC API باز را نشان می دهد. فراهم می کند: - شناسایی ویروس های کامپیوتری. - اسکن URL؛ - مسدود کردن جاوا و اکتیو ایکس؛ - پشتیبانی از پروتکل SMTP؛ - فیلتر HTTP؛ - پردازش پروتکل FTP
جعبه ابزار فایروال TIS	مجموعه ای از برنامه ها برای ایجاد و مدیریت سیستم های فایروال		سیستم های اطلاعاتی قابل اعتماد	همه ماژول ها با کد منبع توزیع شده به زبان C نوشته شده اند. این مجموعه برای برنامه نویسان خبره در نظر گرفته شده است.
فایروال اینترنتی Gauntlet	دروازه غربالگری سطح برنامه	یونیکس، BSD امن	سیستم های اطلاعاتی قابل اعتماد	پشتیبانی از خدمات: ایمیل، وب سرویس، خدمات ترمینال و غیره ویژگی ها: رمزگذاری در سطح شبکه، محافظت در برابر حملات هکرها مانند جعل آدرس، محافظت در برابر تلاش برای تغییر مسیریابی.
	فایروال چند پروتکلی	پلتفرم های سخت افزاری مختلف	نرم افزار و فناوری Network-1	کنترل در سطح قاب، بسته، کانال و برنامه (برای هر پروتکل) پیاده سازی می شود. به شما امکان می دهد با بیش از 390 پروتکل کار کنید و هر گونه شرایط فیلتر را برای کارهای بعدی توصیف می کند.
Zastava-Jet	فایروال جامع	SPARC، Solaris، UNIX		یک خط مشی امنیتی را اجرا می کند: همه داده هایی که مجوز صریح ندارند دور ریخته می شوند.

فایروال به خودی خود نوشدارویی برای همه تهدیدات شبکه نیست. به ویژه، او:

گره های شبکه را از نفوذ از طریق درهای پشتی یا آسیب پذیری های نرم افزار محافظت نمی کند.

در برابر بسیاری از تهدیدات داخلی، در درجه اول نشت اطلاعات، محافظت نمی کند.

در برابر دانلود برنامه های مخرب از جمله ویروس ها از کاربران محافظت نمی کند.

برای حل دو مشکل آخر، از ابزارهای اضافی مناسب، به ویژه آنتی ویروس ها استفاده می شود. به طور معمول، آنها به یک فایروال متصل می شوند و از قسمت مربوطه از ترافیک شبکه عبور می کنند و به عنوان یک پروکسی شفاف برای سایر گره های شبکه کار می کنند، یا یک کپی از تمام داده های ارسال شده از فایروال دریافت می کنند. با این حال، چنین تحلیلی به منابع سخت افزاری قابل توجهی نیاز دارد، بنابراین معمولاً به طور مستقل در هر گره شبکه انجام می شود.

دیواره آتشیا دیواره آتش(به زبان آلمانی) برند ماور، به انگلیسی. ، در روسی مرز آتش) یک سیستم یا ترکیبی از سیستم ها است که به شما امکان می دهد یک شبکه را به دو یا چند قسمت تقسیم کنید و مجموعه ای از قوانین را پیاده سازی کنید که شرایط عبور بسته ها را از یک قسمت به قسمت دیگر تعیین می کند (شکل 1 را ببینید). اغلب این مرز بین آنها ترسیم می شود شبکه محلیشرکت ها و اینترنت، اگرچه می تواند در شبکه محلی یک شرکت نیز انجام شود. بنابراین فایروال به تمام ترافیک اجازه عبور می دهد. برای هر بسته ای که ارسال می شود، فایروال تصمیم می گیرد که آیا آن را اجازه دهد یا دور انداخت. برای اینکه فایروال بتواند این تصمیمات را بگیرد، باید مجموعه ای از قوانین را تعریف کند. این قوانین چگونه توصیف می شوند و از چه پارامترهایی برای توصیف آنها استفاده می شود کمی بعد بحث خواهد شد.
عکس. 1

به عنوان یک قاعده، فایروال ها بر روی برخی از پلت فرم های یونیکس کار می کنند - اغلب BSDI، SunOS، AIX، IRIX و غیره، کمتر - DOS، VMS، WNT، Windows NT. پلتفرم های سخت افزاری شامل پردازنده های INTEL، Sun SPARC، RS6000، Alpha، HP PA-RISC و خانواده پردازنده های RISC R4400-R5000 می باشد. علاوه بر اترنت، بسیاری از فایروال ها از FDDI، Token Ring، 100Base-T، 100VG-AnyLan و دستگاه های سریال مختلف پشتیبانی می کنند. الزامات رم و فضای هارد دیسک به تعداد ماشین های موجود در بخش شبکه محافظت شده بستگی دارد.

به طور معمول، تغییراتی در سیستم عاملی که فایروال را اجرا می کند انجام می شود تا خود فایروال ایمن تر شود. این تغییرات بر هسته سیستم عامل و فایل های پیکربندی مربوطه تاثیر می گذارد. در خود فایروال، شما مجاز به داشتن حساب های کاربری (و در نتیجه حفره های احتمالی) نیستید، فقط یک حساب مدیر. برخی از فایروال ها فقط در حالت تک کاربره کار می کنند. بسیاری از فایروال ها دارای سیستمی برای بررسی یکپارچگی کدهای برنامه هستند. در این حالت، چک‌سوم‌های کدهای برنامه در مکانی امن ذخیره می‌شوند و در شروع برنامه با هم مقایسه می‌شوند تا از جایگزینی نرم‌افزار جلوگیری شود.

تمام فایروال ها را می توان به سه نوع تقسیم کرد:

همه انواع می توانند به طور همزمان در یک فایروال اتفاق بیفتند.

فیلترهای دسته ای

فایروال های فیلتر بسته با نگاه کردن به آدرس های IP، پرچم ها یا شماره پورت های TCP در هدر بسته، تصمیم می گیرند که آیا بسته را مجاز یا کنار بگذارند. آدرس IP و شماره پورت به ترتیب اطلاعات شبکه و لایه انتقال هستند، اما فیلترهای بسته نیز از اطلاعات لایه برنامه استفاده می کنند، زیرا تمام سرویس های استاندارد در TCP/IP با شماره پورت خاصی مرتبط هستند.

برای تشریح قوانین ارسال بسته ها، جداولی مانند:

فیلد "عمل" را می توان رد کرد یا رد کرد.
نوع بسته - TCP، UDP یا ICMP.
پرچم ها - پرچم ها از سربرگ بسته IP.
فیلدهای «درگاه مبدا» و «درگاه مقصد» فقط برای بسته‌های TCP و UDP معنی‌دار هستند.

سرورهای سطح برنامه

فایروال ها با سرورهای لایه کاربردی از سرورهای خاصی استفاده می کنند خدمات(سرور پروکسی) - TELNET، FTP و غیره، روی فایروال راه اندازی شده و از تمام ترافیک مربوط به این سرویس عبور می کند. این دو ارتباط بین مشتری و سرور ایجاد می کند: از مشتری به فایروال و از فایروال به مقصد.

مجموعه کامل سرورهای پشتیبانی شده برای هر فایروال خاص متفاوت است، اما رایج ترین سرورها برای خدمات زیر عبارتند از:

• پایانه ها (Telnet، Rlogin)؛
• انتقال فایل (Ftp)؛
• ایمیل (SMTP، POP3)؛
• WWW (HTTP)؛
• گوفر;
• ویس;
• سیستم پنجره ایکس (X11);
• چاپ شبکه (LP)؛
• اجرای کار از راه دور (Rsh)؛
• انگشت؛
• اخبار یوزنت (NNTP)؛
• که است؛
• RealAudio.

استفاده از سرورهای سطح برنامه به شما امکان می دهد یک مشکل مهم را حل کنید - مخفی کردن ساختار شبکه محلی، از جمله اطلاعات موجود در سربرگ بسته های ایمیل یا سرویس نام دامنه (DNS) از کاربران خارجی. یکی دیگر از ویژگی‌های مثبت، توانایی احراز هویت در سطح کاربر است (به یاد داشته باشید که احراز هویت فرآیند تأیید هویت چیزی است؛ در این مورد، فرآیند تأیید این است که آیا کاربر واقعاً همان چیزی است که ادعا می‌کند یا خیر).

هنگام توصیف قوانین دسترسی، پارامترهایی مانند
• نام سرویس،
• نام کاربری،
• محدوده زمانی قابل قبول برای استفاده از سرویس،
• رایانه هایی که می توانید از آن سرویس استفاده کنید،
• طرح های احراز هویت

سرورهای سطح برنامه به شما امکان می دهند بالاترین سطح حفاظت را ارائه دهید، زیرا تعامل با دنیای خارج از طریق تعداد کمی از برنامه های کاربردی که به طور کامل تمام ترافیک ورودی و خروجی را کنترل می کنند، اجرا می شود.

سرورهای سطح اتصال

سرور سطح اتصال یک مترجم اتصال TCP است. کاربر به یک پورت خاص در فایروال متصل می شود و سپس به مقصدی در طرف دیگر فایروال متصل می شود. در طول یک جلسه، این مترجم بایت ها را در هر دو جهت کپی می کند و مانند یک سیم عمل می کند.

به عنوان یک قاعده، مقصد از قبل مشخص شده است، در حالی که می تواند منابع زیادی وجود داشته باشد (اتصال یک به چند). با استفاده از پورت های مختلف می توان تنظیمات مختلفی را ایجاد کرد.

این نوع سرور به شما امکان می دهد برای هر سرویس مبتنی بر TCP تعریف شده توسط کاربر یک مترجم ایجاد کنید، دسترسی به این سرویس را کنترل کنید و آمار استفاده از آن را جمع آوری کنید.

ویژگی های مقایسه ای فیلترهای بسته و سرورهای سطح برنامه

در زیر مزایا و معایب اصلی فیلترهای بسته و سرورهای سطح برنامه نسبت به یکدیگر آورده شده است.

مزایای فیلترهای بسته:
• هزینه نسبتا کم؛
• انعطاف پذیری در تعریف قوانین فیلترینگ؛
• تاخیر جزئی در عبور بسته ها.

معایب فیلترهای بسته:
• شبکه محلی از اینترنت قابل مشاهده (قابل مسیریابی) است.
• توصیف قوانین فیلتر بسته دشوار است و به دانش بسیار خوبی از فناوری های TCP و UDP نیاز دارد.
• اگر فایروال خراب شود، تمام رایانه های پشت آن کاملاً محافظت نشده یا غیرقابل دسترسی می شوند.
• احراز هویت IP را می توان با استفاده از جعل IP فریب داد (سیستم مهاجم با استفاده از آدرس IP خود جعل هویت دیگری را جعل می کند).
• هیچ احراز هویتی در سطح کاربر وجود ندارد.

مزایای سرورهای سطح برنامه:
• شبکه محلی از اینترنت نامرئی است.
• اگر فایروال خراب شود، بسته ها از فایروال عبور نمی کنند و در نتیجه هیچ تهدیدی برای ماشین هایی که محافظت می کند ایجاد نمی کند.
• حفاظت در سطح برنامه امکان انجام تعداد زیادی بررسی اضافی را فراهم می کند و در نتیجه احتمال هک با استفاده از حفره های نرم افزار را کاهش می دهد.
• احراز هویت در سطح کاربر، یک سیستم هشدار فوری در مورد تلاش برای هک می تواند پیاده سازی شود.

معایب سرورهای سطح برنامه:
• هزینه بالاتر نسبت به فیلترهای بسته.
• عدم توانایی در استفاده از پروتکل های RPC و UDP.
• عملکرد کمتر از فیلترهای بسته است.

شبکه های مجازی

تعدادی فایروال همچنین به شما امکان سازماندهی شبکه های شرکتی مجازی را می دهد ( شبکه خصوصی مجازی) یعنی چندین شبکه محلی موجود در اینترنت را در یک شبکه مجازی ترکیب کنید. VPNبه شما این امکان را می دهد که یک اتصال شبکه محلی را سازماندهی کنید که برای کاربران شفاف باشد و در عین حال محرمانه بودن و یکپارچگی اطلاعات ارسال شده را با استفاده از رمزگذاری حفظ کنید. علاوه بر این، هنگام انتقال از طریق اینترنت، نه تنها داده های کاربر رمزگذاری می شود، بلکه اطلاعات شبکه - آدرس شبکه، شماره پورت و غیره نیز رمزگذاری می شود.

نمودارهای اتصال فایروال

برای اتصال فایروال ها از طرح های مختلفی استفاده می شود. فایروال را می توان به عنوان یک روتر خارجی، با استفاده از انواع دستگاه های پشتیبانی شده برای اتصال به شبکه خارجی استفاده کرد (شکل 1 را ببینید). گاهی اوقات از طرح نشان داده شده در شکل 2 استفاده می شود، اما باید فقط به عنوان آخرین راه حل استفاده شود، زیرا پیکربندی بسیار دقیق روترها مورد نیاز است و خطاهای کوچک می تواند حفره های جدی در حفاظت ایجاد کند.

شکل 2

اغلب، اتصال از طریق یک روتر خارجی انجام می شود که از دو رابط اترنت (به اصطلاح فایروال دوگانه) (دو کارت شبکه در یک کامپیوتر) پشتیبانی می کند (شکل 3 را ببینید).

شکل 3

در این حالت، بین روتر خارجی و فایروال تنها یک مسیر وجود دارد که تمام ترافیک در آن جریان دارد. به طور معمول روتر به گونه ای پیکربندی می شود که فایروال تنها ماشینی باشد که از بیرون قابل مشاهده است. این طرح از نظر ایمنی و قابلیت اطمینان حفاظت ارجح ترین است.

نمودار دیگری در شکل 4 نشان داده شده است.

شکل 4

در این حالت، فایروال تنها از یک زیرشبکه از چندین زیرشبکه خارج شده از روتر محافظت می کند. سرورهایی که باید از بیرون قابل مشاهده باشند (WWW، FTP و غیره) اغلب در ناحیه ای قرار دارند که توسط فایروال محافظت نمی شود. اکثر فایروال ها به شما اجازه می دهند که این سرورها را روی خود فایروال میزبانی کنید - راه حلی که از نظر بار ماشین و امنیت خود دیوار آتش بسیار با بهترین راه حل است.

راه حل هایی وجود دارد (شکل 5 را ببینید) که به شما امکان می دهد شبکه سومی را برای سرورهایی سازماندهی کنید که باید از بیرون قابل مشاهده باشند. این به شما امکان می دهد دسترسی به آنها را کنترل کنید و در عین حال سطح حفاظتی لازم را برای ماشین های موجود در شبکه اصلی حفظ کنید.

شکل 5

در عین حال، توجه زیادی به این امر می شود که کاربران شبکه داخلی نتوانند به طور تصادفی یا عمدی سوراخی را از طریق این سرورها به شبکه محلی باز کنند. برای افزایش سطح امنیت می توان از چندین فایروال پشت سر هم در یک شبکه استفاده کرد.

مدیریت

سهولت مدیریت یکی از جنبه های کلیدی در ایجاد یک سیستم امنیتی موثر و قابل اعتماد است. اشتباه در تعریف قوانین دسترسی می تواند حفره ای ایجاد کند که از طریق آن می توان سیستم را هک کرد. بنابراین، اکثر فایروال ها ابزارهای خدماتی را پیاده سازی می کنند که ورود، حذف و مشاهده مجموعه ای از قوانین را آسان تر می کند. وجود این ابزارها همچنین به شما امکان می دهد هنگام وارد کردن یا ویرایش قوانین، خطاهای نحوی یا منطقی را بررسی کنید. به عنوان یک قاعده، این ابزارها به شما امکان می دهند اطلاعات گروه بندی شده با معیارهای خاصی را مشاهده کنید، به عنوان مثال، هر چیزی که به یک کاربر یا سرویس خاص مربوط می شود.

جمع آوری آمار و سیستم های هشدار حمله

یکی دیگر از اجزای مهم فایروال، سیستمی برای جمع آوری آمار و هشدار در مورد حمله است. اطلاعات مربوط به همه رویدادها - خرابی ها، اتصالات ورودی و خروجی، تعداد بایت های منتقل شده، خدمات استفاده شده، زمان اتصال و غیره. - در فایل های آماری انباشته می شود. بسیاری از فایروال‌ها به شما اجازه می‌دهند رویدادهایی را که باید ثبت شوند، به طور انعطاف‌پذیر تعریف کنید، اقدامات فایروال را در طول حملات یا تلاش‌های دسترسی غیرمجاز توصیف کنید - این می‌تواند پیامی به کنسول، ایمیلی به مدیر سیستم و غیره باشد. در صورتی که تلاش موفقیت آمیز باشد و مهاجم قبلاً به سیستم نفوذ کرده باشد، نمایش فوری یک پیام در مورد تلاش برای هک در صفحه کنسول یا مدیر می تواند کمک کند. بسیاری از فایروال ها شامل تولید کننده های گزارش هستند که برای پردازش آمار استفاده می شوند. آنها به شما امکان می دهند آماری در مورد استفاده از منابع توسط کاربران خاص، استفاده از خدمات، خرابی ها، منابعی که از آنها تلاش های غیرمجاز برای دسترسی انجام شده و غیره جمع آوری کنید.

احراز هویت

احراز هویت یکی از مهمترین اجزای فایروال است. قبل از اینکه به کاربر حق استفاده از یک سرویس خاص داده شود، لازم است اطمینان حاصل شود که او واقعاً همان چیزی است که ادعا می کند.

به عنوان یک قاعده، از اصل به نام "آنچه او می داند" استفاده می شود - یعنی. کاربر یک کلمه مخفی را می داند که در پاسخ به درخواست خود به سرور احراز هویت می فرستد.

یکی از طرح های احراز هویت استفاده از رمزهای عبور استاندارد یونیکس است. این طرح از نظر امنیتی آسیب پذیرترین است - رمز عبور می تواند توسط شخص دیگری رهگیری و استفاده شود.

کلاس های امنیتی فایروال

با توجه به پردازش اطلاعات محرمانه، سیستم های خودکار (AS) به سه گروه تقسیم می شوند:

1. سیستم های چند کاربره که اطلاعات سطوح مختلف محرمانه را پردازش می کنند.
2. سیستم های چند کاربره که در آن همه کاربران به تمام اطلاعات پردازش شده واقع در رسانه ها با سطوح مختلف محرمانه دسترسی یکسان دارند.
3. سیستم های تک کاربره که در آن کاربر به تمام اطلاعات پردازش شده واقع در رسانه های سطوح مختلف محرمانه دسترسی کامل دارد.

در گروه اول 5 کلاس امنیتی 1A، 1B، 1B، 1G، 1D، در گروه دوم و سوم به ترتیب 2 کلاس امنیتی 2A، 2B و 3A، 3B وجود دارد. کلاس A مربوط به حداکثر، کلاس D با حداقل امنیت بلندگو است.

فایروال ها به شما این امکان را می دهند که با نادیده گرفتن درخواست های غیرمجاز از ناحیه خارجی، امنیت اشیاء را در ناحیه داخلی حفظ کنید. انجام دادن محافظ. در نتیجه، آسیب پذیری اشیاء داخلی کاهش می یابد، زیرا در ابتدا یک مزاحم شخص ثالث باید بر دیوار آتش غلبه کند، جایی که مکانیسم های حفاظتی به ویژه با دقت و محکم پیکربندی شده اند. علاوه بر این، سیستم محافظ، بر خلاف سیستم جهانی، به شیوه ای ساده تر و در نتیجه ایمن تر طراحی شده است. فقط شامل اجزایی است که برای انجام عملکردهای محافظ ضروری هستند. محافظ همچنین کنترل جریان های اطلاعاتی را که به ناحیه خارجی هدایت می شود، امکان پذیر می کند که به حفظ محرمانگی در ناحیه داخلی کمک می کند. فایروال ها علاوه بر عملکردهای کنترل دسترسی، جریان اطلاعات را ضبط می کنند.

با توجه به سطح امنیت، فایروال ها به 5 کلاس تقسیم می شوند. پایین ترین کلاس امنیتی پنجم است. برای تعامل ایمن بلندگوهای کلاس 1D با محیط خارجی، چهارم - برای 1G، سوم - برای 1B، دوم - برای 1B، بالاترین - اولین - برای 1A استفاده می شود.

برای بلندگوهای کلاس 2B و 3B، فایروال های حداقل کلاس پنج استفاده می شود.

برای بلندگوهای کلاس 2A، 3A، بسته به اهمیت اطلاعات در حال پردازش، از فایروال های کلاس های زیر استفاده می شود:

• هنگام پردازش اطلاعات طبقه بندی شده به عنوان "محرمانه" - نه کمتر از کلاس سوم.
• هنگام پردازش اطلاعات طبقه بندی شده به عنوان "فوق سری" - نه کمتر از کلاس دوم.
• هنگام پردازش اطلاعات طبقه بندی شده به عنوان "اهمیت ویژه" - فقط درجه اول.

شاخص های امنیتی در جدول 1 خلاصه شده است.

نامگذاری ها:

میز 1

شاخص های امنیتی	کلاس های امنیتی
	5	4	3	2	1
کنترل دسترسی (فیلتر کردن داده ها و ترجمه آدرس)	+	+	+	+	=
شناسایی و احراز هویت	-	-	+	=	+
ثبت	-	+	+	+	=
مدیریت: شناسایی و احراز هویت	+	=	+	+	+
اداره: ثبت نام	+	+	+	=	=
مدیریت: سهولت استفاده	-	-	+	=	+
تمامیت	+	=	+	+	+
بهبود	+	=	=	+	=
آزمایش کردن	+	+	+	+	+
راهنمای مدیر امنیت	+	=	=	=	=
مستندات آزمون	+	+	+	+	+
اسناد طراحی (پروژه).	+	=	+	=	+

راهنمای خرید فایروال

بازوی تحقیقاتی TruSecure، آزمایشگاه ICSA، راهنمای خریداران فایروال را توسعه داده است. یک بخش از این سند فرم ارزیابی خریدار زیر را ارائه می دهد:

1. اطلاعات تماس - آدرس و افراد مسئول.
2. محیط کار تجاری:
   • تعداد و محل موسسات فردی (ساختمان) شرکت؛
   • نشان دادن واحدها و اطلاعات با ماهیت محدود و اطلاعاتی که در دسترس بودن داده ها برای تعامل واحدها، مکان آنها مهم است.
   • اشاره به شرکای خارجی که سازماندهی تعامل با آنها ضروری است.
   • شرح خدمات در دسترس عموم؛
   • الزامات سازماندهی دسترسی از راه دور به فضای اطلاعات داخلی شرکت؛
   • خدمات الکترونیکی با استفاده از کانال های ارتباطی عمومی (به عنوان مثال، تجارت الکترونیک).
3. تغییرات برنامه ریزی شده در محیط کسب و کار با توجه به پارامترهای ذکر شده.
4. محیط اطلاعاتی:
   • تعداد ایستگاه های کاری کاربر که نشان دهنده سخت افزار، سیستم و نرم افزار کاربردی است.
   • ساختار شبکه نشان دهنده توپولوژی، رسانه انتقال داده، دستگاه ها و پروتکل های مورد استفاده.
   • ساختار دسترسی از راه دور که دستگاه های مورد استفاده و همچنین روش های احراز هویت را نشان می دهد.
   • تعداد سرورها نشان دهنده سخت افزار، سیستم و نرم افزار کاربردی؛
   • سیستم موجود سیستم های اطلاعاتی پشتیبانی از تامین کنندگان با اشاره به آنها و مرزهای دامنه فعالیت.
   • سیستم های ضد ویروس و سایر سیستم های کنترل نرم افزاری؛
   • فناوری مدیریت شبکه و سیستم های اطلاعاتی؛
   • فن آوری های احراز هویت - لیست و توضیحات.
5. تغییرات برنامه ریزی شده در محیط اطلاعاتی با توجه به پارامترهای ذکر شده.
6. اتصال اینترنت:
   • نوع اتصال به اینترنت؛
   • فایروال های موجود (در صورت وجود)؛
   • وسایل ارتباط با محیط خارجی مورد استفاده سیستم های داخلی؛
   • سیستم ها و خدمات داخلی قابل دسترسی از خارج؛
   • سرورهای تجارت الکترونیک و سایر سیستم های تراکنش؛
   • نشانه ای از وجود یک سیاست امنیتی تایید شده برای دسترسی و استفاده از اینترنت.
7. فعالیت های برنامه ریزی شده (که برای آنها فایروال خریداری شده است):
   • تغییرات در روش های دسترسی به اینترنت و سیاست های امنیتی سازمانی؛
   • ظهور پروتکل های جدیدی که باید به طور جداگانه برای کاربران داخلی، کاربران با دسترسی از راه دور، یا کاربران ویژه قابل دسترسی برای عموم پشتیبانی شوند.
8. عملکرد مورد نیاز فایروال:
   • در کنترل دسترسی؛
   • پیام های صادر شده؛
   • احراز هویت؛
   • مدیریت پیکربندی؛
   • کنترل محتوای ترافیک عبوری؛
   • دفترهای ثبت نام؛
   • شناسایی حمله؛
   • گزینه های شبکه (تعداد رابط ها، روش دسترسی)؛
   • مدیریت از راه دور؛
   • سیستم مورد نیاز (کلید در دست، ادغام با سایر محصولات و غیره).
9. سایر شرایط:
   • هزینه تخمینی فایروال (چقدر شرکت می تواند هزینه کند)؛
   • تاریخ شروع مورد انتظار محصول؛
   • الزامات محصول برای داشتن گواهینامه؛
   • الزامات برای مدیر محصول پیشنهادی و خدمات پشتیبانی؛
   • شرایط ویژه قرارداد (در صورت وجود)؛
   • نظرات دیگری که در این فرم گنجانده نشده است.

فرض بر این است که شرکت با پر کردن این فرم و ارسال آن به سازنده، به سازنده اجازه می دهد تا بالاترین کیفیت را برای خریدار ایجاد کند. با این حال، پر کردن این فرم، بدون ارسال آن برای کسی، به سازمان این امکان را می دهد که بهتر بفهمد به چه راه حلی نیاز دارد.