فایروال کجای شبکه قرار می گیرد؟

تعریف فایروال شبکه

فایروال شبکه یک دستگاه امنیتی است که برای جلوگیری یا محدود کردن دسترسی غیرقانونی به شبکه‌های خصوصی با استفاده از سیاست‌هایی که تنها ترافیک مجاز در شبکه را تعریف می‌کنند، استفاده می‌شود. هر ترافیک دیگری که به دنبال اتصال باشد مسدود می شود.

فایروال های شبکه در خط مقدم شبکه قرار دارند و به عنوان یک پیوند ارتباطی بین شبکه های داخلی و خارجی عمل می کنند.

یک فایروال قوی بخش مهمی از زیرساخت امنیتی هر سیستمی است،  معمولاً به دو نوع  تقسیم می‌شوند، فایروال شبکه و فایروال رایانه، همه فایروال‌ها همه ترافیک ورودی و خروجی را، چه در یک شبکه یا یک رایانه جداگانه، نظارت می‌کنند.

اصول اولیه فایروال شبکه

فایروال پیش‌فرض از تمام رایانه‌های متصل در برابر ترافیک ورودی ناخواسته در سیستم روتر خانگی محافظت می‌کند، مانند شخصی که سعی می‌کند یکی از رایانه‌های شما را هک کند. آن گروه از رایانه ها به عنوان شبکه خانگی شما شناخته می شود و از بسیاری جهات، نسخه ساده تری از شبکه کسب و کار شما است که ممکن است رایانه ها، سرورها و سایر دستگاه های بیشتری را شامل شود. هر دو فایروال شبکه هستند. اما در حالی که فایروال شبکه خانگی نسبتاً کم ریسک است، باید رویکرد فعال تری برای مدیریت دیوار آتش هنگام استفاده از فایروال شبکه برای نیازهای امنیتی کسب و کار خود داشته باشید.

موقعیت‌ های  مناسب فایروال

بعد از اینکه فایروال مناسب را برای   شبکه یا کامپیوتر شخصی خود و پیکربندی کامل آن انتخاب کردید، حالا نوبت به پیدا کردن موقعیت مناسب قرارگرفتن فایروال می‌رسد که دارای اهمیت بالایی است.

برای پیدا کردن مکان مناسب باید  چند نکته را درنظر بگیرید

موقعیت فیزیکی: در موقعیت‌یابی برای فایروال، باید که فایروال در قسمت ورودی/خروجی شبکه‌ خصوصی قرار بگیرد. با توجه به فایروال و جدا کردن  شبکه خصوصی از شبکه عمومی شما درواقع  یک سد امنیتی برای شبکه خصوصی خود ایجاد می کنید.

 قابلیت‌های دسترسی مختلف: 

سرورهایی که  از قابلیت دسترسی برای شبکه عمومی برخوردار باشند، می‌بایست بعد از فایروال و در ناحیه DMZ قرار بگیرند. اگر که این سرورها را در شبکه خصوصی خود قرار دهید و همزمان تنظیمات  فایروال به گونه‌ای باشد که به کاربران خارجی اجازه دسترسی به این سرورها را بدهد، مانند این است که به کاربران خارجی مجوز هک کردن شبکه خصوصی خود را داده‌اید.  ناحیه DMZ، سرورهایی که قابلیت دسترسی برای شبکه عمومی را دارند را به طور فیزیکی از سرورهای شبکه خصوصی جدا می‌کنند و اگر این سرورها توسط هکرها هک شود، در نهایت به فایروال برخورد می‌کنند. تقسیم کردن شبکه توسط ادمین شبکه به نواحی امنیتی مختلف، قابلیت دسترسی خاصی برای کاربران ایجاد می‌کند. هرکدام از این سطوح دارای فایروال با قوانین خاص هستند.

مسیریابی نامتقارن: تعدادزیادی از فایروال‌های پیشرفته  که بین شبکه عمومی و خصوصی ارتباط برقرار کرده اند اطلاعات زیادی را در خود ذخیره دارند. به کمک این اطلاعات، به بسته‌های اطلاعاتی مجاز، اجازه ورود به شبکه خصوصی داده می‌شود.

موقعیت  فایروال به صورت لایه‌ای:  برای امنیت بالای شبکه باید چند فایروال در مسیر قرار داد. اگر برای فایروال اولی مشکلی پیش آمد، فایروال دوم وظیفه تأمین امنیت شبکه را برعهده بگیرد. علاوه بر آن لازم است فایروال‌ها از یک برند نباشند  از برندهای مختلفی انتخاب شوند تا مشکلات نرم‌افزاری یا حفره‌امنیتی یکی از آنها، توسط دیگری پوشش داده شود.

پیکربندی فایروال ها

بهترین محل  قرارگیری وب برای تامین امنیت شبکه : داخل فایروال، بیرون از فایروال، بین دو فایروال و فایروال Dual Homed خواهند بود.

داخل فایروال (بین فایروال و شبکه): در این روش، امنیت وب‌سرور به طور کامل‌بر عهده فایروال است. در این حالت پورت‌های ضروری  توسط طراح وب و همچنین ادمین شبکه بازگذاشته می‌شود و سایر پورت‌ها بسته خواهند شد. فرض کنید که یک هکر از حفاظ وب عبور کند، بنابراین دسترسی به سایر پورت‌ها و منابع شبکه نیز به راحتی توسط هکر امکان‌پذیر است.

بیرون از فایروال (بین اینترنت و فایروال): در این روش، تمام کاربران می‌توانند  سرور را بدون هیچ‌گونه پوشش امنیتی، به طور مستقیم ببینند.  در این حالت فایروال بعد از سرور قرار می‌گیرد. به این‌ترتیب اگرچه وب‌سرور در معرض خطر هکرها قرار گیرد در مرحله نفوذ به شبکه به فایروال برخورد خواهند کرد.

بین دو فایروال : این روش  ترکیبی از دو روش بالا است. زمانی که وب‌سرور از منابع حساس و مهمی برخوردار باشد، توسط مدیرشبکه و طراح وب به کار گرفته می‌شود. این وب‌سرور توسط دو فایروال پشتیبانی و کنترل می‌شود و از هک شدن جلوگیری می‌گردد.

فایروال Dual Homed: در این شیوه  ، اتصال فایروال به اینرنت به صورت مستقیم است و استفاده از DMZ در آن صورت نگرفته است. قوانینی برای فیلترینگ بین شبکه داخلی و اینترنت تعریف می‌ شود که فایروال براساس آن، بسته‌های اطلاعاتی را بررسی می‌کند. فایروال برای ارسال بسته‌های اطلاعاتی روی اینترنت، آدرس IP خود را به کار می‌برد. این شیوه با پیکربندی ساده، در زمانی که تنها یک آدرس IP معتبر وجود داشته باشد، بسیار کاربردی است. اتصال فایروال به اینترنت توسط یک خط Dial up معمولی، یک اتصال ISDN و مودم‌های کابلی صورت می‌گیرد.

برای پیکربندی ناحیه DMZ به شیوه مناسب، دو عامل از قبیل وجود یک روتر خارجی  و وجود چندین آدرس IP  مورد توجه قرار گرفته است.

فایروال Two-legged

در این روش روتر متصل  شده به اینترنت به هاب یا سویچی که در شبکه قرار دارد وصل شده است. دو کارت شبکه در فایروال وجود دارد یکی از این کارت ها به سویچ داخلی و دیگری به سویچ خارجی متصل است. این بخاطر راحتی پیکربندی فایروال است. در این روش اتصال ماشین ها به طور مستقیم به اینترنت وصل شده اند. سطح امنیتی برای سیستم عامل اصلی روی کامپیوترهایی که درناحیه DMZ قرار دارند ضروری هستند. 

فایروال Three-legged

در این روش یک کارت شبکه دیگری هم روی فایروال قرار می گیرد که برای DMZ مورد استفاده قرار می گیرد. در این حالت فایروال به گونه ای پیکربندی شده اند که بسته های اطلاعاتی بین اینترنت و ناحیه DMZ به شیوه ای متفاوت از اینترنت و شبکه داخلی مسیریابی می شوند.