امنیتامنیتاینترنتپروتکلشبکه

فایروال (Firewall) چیست؟

دیوار آتش یا فایروال (Firewall) به برنامه‌های یا سخت افزارهایی گفته می‌شود که از دسترسی غیرمجاز به کامپیوتر شخص جلوگیری کرده و ترافیک رد و بدل شده در شبکه را کنترل می‌کنند.

 

فایروال یا دیوار آتش چیست؟

فایروال (Firewall) یا دیوار آتش به نرم افزارها یا سخت افزارهایی گفته می‌شود که از دسترسی‌های غیرمجاز به کامپیوتر فرد در یک شبکه یا اینترنت جلوگیری کرده و داده‌های ورودی و خروجی را کنترل می‌کند. درواقع کار فایروال بسیار شبیه به در خانه شماست. کسانی که مجوز ورود را دارند می‌توانند وارد خانه شوند و برعکس کسانی که حق ورود به خانه را ندارند، نمی‌توانند به آن وارد شوند (با این تفاوت که معمولاً در فایروال‌ها هر دو جهت ورودی و خروجی کنترل می‌شود). یعنی فایروال به عنوان یک لایه امنیتی داده‌ها و ارتباطات را فیلتر می‌کند.

دیوار آتش یکی از مهمترین لایه‌های امنیتی شبکه‌های کامپیوتری است که وجود نداشتن آن موجب می‌شود هکرها و افراد خراب کار بدون وجود داشتن محدودیتی به شبکه وارد شده و کار خود را انجام دهند. یک فیلتر هوای خودرو را فرض کنید که از ترکیبات بسیار موجود در هوا، فقط اکسیژن را عبور می‌دهد حال آن که اگر ذرات دیگر مانند گرد و غبار نیز به داخل موتور وارد شوند، به آن آسیب خواهند رساند. بنابراین وجود یک فایروال (حتی اگر آنتی ویروس یا اینترنت سکیوریتی داشته باشید) برای همه کاربرانی که به یک شبکه وصل هستند یا از اینترنت استفاده می‌کنند، کاملاً ضروری است.

دیاگرام فایروال
دیاگرام فایروال

 

فایروال چگونه کار می‌کند؟

حال که فهمیدیم فایر وال چه کاری می‌کند، بهتر است به نحوه کار آن بپردازیم. داده‌ها در یک ارتباط شبکه‌ای (چه اینترنت باشد چه یک شبکه محلی) در رفت و برگشت از محلی به نام دروازه (Gateway) عبور می‌کنند. فایروال‌ها برای بالاترین امنیت ممکن، در این قسمت قرار می‌گیرند. اگر مقیاس را کوچک تر کرده و یک کامپیوتر مستقل را در نظر بگیرید، فایروال درست بعد از درایور کارت شبکه قرار می‌گیرد بنابراین در هر دو حالت، همه داده‌های ورودی و خروجی از فایروال باید بگذرند.

فایروال‌ها طبق معیارهایی (که به آن‌ها Rule گفته می‌شود) که برای آن تعیین می‌شود داده‌ها را فیلتر می‌کنند. برای درک بهتر یک دربان کنفرانسی را در نظر بگیرید. این دربان طبق لیستی که دارد (همان معیارهای فایروال) به اشخاص دارای مجوز امکان ورود را می‌دهد و از ورود سایر افراد غیرمجاز به کنفرانس جلوگیری می‌کند. فایروال نیز مانند همین دربان کار می‌کند یعنی داده‌های ورودی و خروجی را با لیست Rule های خود مطابقت داده و آن‌هایی که اجازه گذشتن از فایروال را دارند، عبور می‌دهد (Allow کند) یا آن‌ها را عبور ندهد (Deny کند).

از جمله Rule های فایروال می‌توان به باز بودن یا بسته بودن یک درگاه (پورت – Port)، اجازه داشتن یک برنامه خاص برای ارتباط با شبکه، محدود کردن یا آزاد کردن پروتکل‌ها (مانند HTTP یا FTP)، مقایسه کردن بسته‌های داده با محتوای مشخص و … .

 

انواع فایروال:

فایروال‌ها به سه نوع “لایه شبکه”، “لایه اپلیکیشن یا کاربردی” و “فایروال پراکسی” از لحاظ نحوه عملکرد تقسیم می‌شوند که کاربر می‌تواند در یک زمان از همه یا هیچ کدام از آن‌ها استفاده کند:

  • دیوار آتش لایه شبکه یا فیلتر بسته‌ها (Network layer or packet filters):

فایروال‌های شبکه (Network Firewall) یا فیلتر بسته‌ها نوعی دیوار آتش هستند که تنها وظیفه دارند تا با توجه به سربرگ (Header) پکت‌های TCP/IP و مقایسه معیارهای خود با اطلاعاتی نظیر آدرس IP فرستنده ویا گیرنده، پورت انتقالی فرستنده ویا گیرنده، زمان دریافت، نوع سرویس (ToS) و پارامترهای مشابه تصمیم به عبور دادن و مسیر دهی بسته‌ها بگیرد یا آن‌ها را بلاک کند. فایروال لایه شبکه می‌تواند تا حداکثر چهار لایه (از ۱ تا ۴) از مدل OSI را فیلتر کند. از مرحله یک تا سوم که لایه فیزیکی تا شبکه است و لایه چهارم (انتقال) که برای فهمیدن پورت مقصد استفاده می‌کند.

در این نوع، فایروال هیچ کاری به محتوای بسته‌های ارسالی یا دریافتی نداشته و فقط طبق سربرگ‌ها و هدرهای بسته‌ها تصمیم گیری می‌کند. مثلاً بسته‌هایی که فقط در هدر آن‌ها ذکر شده باشد که به پورت ۸۰ (پورت وب یا HTTP) فرستاده شوند را اجازه عبور دهد. این نوع فایروال‌ها معمولاً به دلیل این که مقایسات کلی را انجام نمی‌دهند، سرعت بسیار بالاتری نسبت به سایر دیوارهای آتش دارند. اینگونه فایروال را تقریباً می‌توان در هر دستگاه شبکه‌ای مثل مسیریاب‌ها (روترها – Routers)، سوئیچ‌ها (Switches) و … یافت.

 

  • فایروال لایه کاربرد (Application firewall):

فایروال‌های لایه کاربردی (Application Firewalls) می‌توانند کل یک بسته را آنالیز کنند که شامل سربرگ‌ها و محتوای آن است. برعکس فایروال لایه شبکه که به محتوا کاری نداشت، در این نوع فایروال فیلتر اصلی بر روی محتوای پکت‌ها داده اعمال می‌شود بنابراین می‌توان گفت که این فایروال می‌تواند در تمامی لایه‌های مدلینگ OSI کار کند یعنی ۷ لایه. از لایه ۱ تا ۴ که عمل مسیریابی و انتقال انجام می‌شود و از لایه ۵ تا ۷ نیز که لایه محتوای داده‌هاست. به همین دلیل این نوع فایروال می‌تواند بسیار امن تر و قابل اعتماد تر باشد.

فهمیدیم که هدرهای بسته‌ها چگونه بررسی می‌شوند حال به بررسی و فیلترینگ محتوای بسته‌ها می‌پردازیم. می‌دانیم که بخش اصلی پکت‌ها همان محتوای آن است پس این همان قسمت است که باید آنالیز شود. منظور از محتوای پکت‌ها همان داده‌هایی هستند که درحال انتقال اند مثلاً ممکن است داده‌های مربوط به یک فایل، صفحه اینترنتی، ایمیل و … باشد. این نوع فایروال‌ها قابلیت ایجاد معیارهای فیلترینگ دارند که محتوا و هدرهای بسته‌ها را طبق آن معیارها فیلتر کند. مثلاً فرض کنید که این داده‌ها خود آلوده باشند (یعنی فایلی که منتقل می‌شود ویروسی باشد) در اینجاست که برخی از فایروال‌های لایه کاربرد به بررسی و فیلتر کردن این داده‌ها می‌پردازد. از جمله این فایروال‌های اسکنر می‌توان به بخشی از اینترنت سکیوریتی‌ها اشاره کرد.

طبیعی است که چک کردن کل محتوای منتقل شده زمان بر است بنابراین سرعت کار این نوع فایروال‌ها نیز کند است. از جمله فایروال‌های لایه اپلیکیشن می‌توان ویندوز فایروال (Windows Firewall)، کومودو (Comodo) و … را نام برد.

 

  • فایروال‌های پراکسی (Proxies):

سرورهای پراکسی (یا پروکسی – Proxy) نوعی رابط بین یک شبکه و یک شبکه دیگر یا یک کاربر و اینترنت است که برای مواردی نظیر حفظ امنیت، پنهان کردن هویت و … استفاده می‌شود در واقع کاربر بجای این که درخواست خود را مستقیماً به یک شبکه یا یک سرور دیگر در اینترنت بفرستد و پاسخ آن را نیز مستقیماً دریافت کند، آن را به یک سرور به نام پراکسی فرستاده و سرور پراکسی آن بسته را به مقصد اصلی می‌رساند. در هنگام دریافت پاسخ نیز ابتدا به سرور پراکسی فرستاده شده و پراکسی در صورت نیاز پردازش‌هایی را بر روی آن انجام داده و به کاربر اصلی بر می‌گرداند.

فایروال‌ پراکسی یا پروکسی (Proxy Firewalls) نوعی از فایروال‌هاست که بر روی سرور پراکسی اجرا می‌شود و کاربر با وصل شدن به آن، در واقع به یک فایروال وصل شده است چون همه داده‌های رد و بدل شده از سرور پراکسی می‌گذرد و ما یک فایروال پراکسی بر روی آن نصب کرده‌ایم، داده‌ها در طول مسیر انتقال فیلتر خواهند شد. این نوع فایروال معایب خود را نیز دارد از جمله آن که می‌توان داده‌ها را در طول مسیر بین پراکسی و کاربر یا پراکسی و اینترنت دزدید یا سایر حملات را بر روی آن عملی کرد. درصورتی که ارتباط بین کاربر و فایروال پراکسی رمزگذاری شده باشد، این احتمال به حداقل خود خواهد رسید.

منابع این بخش: ویکی‌پدیا، وبسایت سیسکو و NetworkWorld

 

فایروال سخت افزاری و نرم افزاری:

فایروال‌ها می‌توانند “نرم افزاری” و “سخت افزاری” باشند که کاربر می‌تواند هر دوی آن‌ها را همزمان در کنار یکدیگر نیز استفاده کند. نرم افزاری یا سخت افزاری بودن فایروال به این معنا نیست که یک “نوع” دیگر از فایروال هستند (آن‌هایی که در بخش بالا ذکر شد) بلکه نشان دهنده قالبی است که شرکت‌های تولید کننده محصولات خود را ارائه کرده و می‌فروشند:

  • فایروال‌های نرم افزاری:

فایروال‌های نرم افزاری (Software Firewall) در قالب برنامه‌های قابل نصب یا قابل حمل برای سیستم عامل‌های مختلف مثل ویندوز، لینوکس، OS X و … ارائه شده و بهترین انتخاب برای کاربران خانگی است. این گونه فایروال‌ها را معمولاً به صورت تعبیه شده (Built-in) می‌توان در خود سیستم عامل‌ها پیدا کرد برای مثال در سیستم عامل ویندوز برنامه Windows Firewall (که به صورت پیش فرض فعال است) می‌تواند بیشتر نیازهای کاربران را تامین کند اگر چه پیشنهاد می‌شود از سایر فایروال‌های نرم افزاری مانند Comodo یا Zone Alarm در کنار آن استفاده شود.

از مهمترین مزایای این گونه فایروال‌ها به نصب آسان آن (مثل یک برنامه ساده) و امکان پیکربندی و ایجاد Rule های متنوع مورد نیاز اشاره کرد برای مثال می‌توان یک برنامه خاص را مجاز کرد و از اتصال یک برنامه دیگر به شبکه یا اینترنت جلوگیری کرد. همچنین کار با این فایروال‌ها بسیار ساده بوده و حتی کاربران مبتدی نیز می‌توانند با خیال راحت از آن‌ها استفاده کنند درحالی که نوع سخت افزاری فایروال‌ها نیاز به پیکربندی‌های دقیق تر دارند.

فایروال نرم افزاری
فایروال نرم افزاری – برنامه ویندوز فایروال

 

اما عیب این فایروال این است به دلیل ماهیت نرم افزاری بودن، فقط کامپیوتری را محافظت خواهد نمود که بر روی آن نصب شده باشد و هیچ اختلالی در فایل‌های فایروال وجود نداشته باشد به همین دلیل برای یک شبکه که از چندین کامپیوتر تشکیل شده باشد، استفاده از فایروال سخت افزاری در کنار فایروال نرم افزاری پیشنهاد می‌شود.

 

  • فایروال‌های سخت افزاری:

فایروال‌های سخت افزاری (Hardware Firewall) در قالب دستگاه‌های فیزیکی ارائه می‌شوند که به تنهایی و بدون نیاز به هیچ چیز اضافی (مثل سیستم عامل کامپیوتر فرد و …) می‌تواند داده‌ها را فیلتر کرده و عمل محافظت را انجام دهد. معمولاً در روترهایی که قدیمی نیستند، یک فایروال در آن‌ها تعبیه شده است که توسط ارزیابی هدر پکت‌ها این کار را انجام می‌دهد.

برخلاف فایروال نرم افزاری، فایروال سخت افزاری می‌تواند بیش از یک کامپیوتر موجود در شبکه را محافظت کند چون هیچ وابستگی‌ای به کامپیوترهای شبکه نداشته و به تعداد پورت‌های آن می‌تواند کامپیوترهای شبکه را به وسیله یک فایروال سخت افزاری محافظت نمود.

فایروال سخت افزاری
فایروال سخت افزاری – محصولی از TP-Link

 

برای یک کاربر عادی، استفاده از فایروال نرم افزاری آن هم از فایروال‌های پیش فرض سیستم عامل می‌تواند کافی به نظر برسد اما استفاده از سایر فایروال‌های نرم افزاری را توصیه می‌کنیم. همچنین یک فایروال سخت افزاری به تنهایی نمی‌تواند لایه امنیتی قابل اعتمادی باشد به همین دلیل استفاده از فایروال‌های نرم افزاری را، اگر چه از نوع سخت افزاری نیز استفاده شود، پیشنهاد می‌کنیم.

امیررضا نصیری

امیررضا هستم، دانشجوی ارشد نرم‌افزار و مدیر بایت گیت و دلیکس. عاشق کامپیوتر و هر چی که بهش ربط داره! دوست دارم همه چیزو یاد بگیرم و اونا رو یاد بدم. امیدوارم از مطالب سایت استفاده کنید و لذت ببرید. » بیشتر آشنا شوید!

نوشته های مشابه

۴۸ دیدگاه

  1. سلام امیررضا جان.
    میدونم داری برای کنکور میخونی.
    من این سایتو به عنوان یک منبع انتخاب کردم تا اطلاعات ازش کسب کنم.
    میدونم در این اواخر بازدید سایتت پایین اومده ولی عیب نداره کنکورتو بده بعد دوباره شروع کن، حتی اگه ماه ها هم نباشی بازم به سایتت سر میزنم(تا کنکورتو بدی).
    فکر نمیکنم لازم باشه بگم تو حتما موفق میشی.♥

    1. سلام، خیلی ممنونم 😉 سعی میکنم هر از چند گاهی سایت رو آپدیت کنم ولی مطمئن باشید هر روز به کامنت ها سر میزنم.

    1. سلام. روتر یعنی مسیریاب. قابلیتی که در سخت افزارهایی مثل مودم ها و در نرم افزار هایی مثل فایروال ها استفاده میشه و کارش اینه که داده های دریافتی رو به مقصد مشخص شده و اصلیش برسونه.

  2. سلام امیر رضا جان.
    مطالب سایتت خیلی مفید و پر مغزه. اطلاعات خلاصه و خیلی کاربردین.
    من امروز با سایتت آشنا شدم و از این به بعد سعی میکنم بیشتر سر بزنم.
    واقعاً خسته نباشی.
    البته یه چیزی هم بگم: که این اینترنت همیشه هست و حالا حالا هم وقت برای پیشرفت سایتت داری. پس این چند ماه ای که مونده به کنکورو به درسات برس!!!
    مطالب سایتت خیلی خوب میگن که رتبط تک رقمی میشهههههه!!! 🙂 🙂 🙂 🙂 🙂
    راستی یادت نره رتبطو بهمون بگی! ‘)

    1. سلام. خیلی ممنونم آقا محسن. کسایی مثل شما هستن که بهمون روحیه میدن. درباره کنکور هم بزار ببینیم چی میشه :/ اصلا حوصله درس خوندن و اینا نیس! رتبه رو هم هر چی گفتم شما ضرب در 100 اش کنین 😀

  3. سلام امیر جان.خیلی قشنگ توضیح دادی.من از comodo firewall و norton internet security باهم استفاده میکنم.البته تنظیم کردم یه سری از امکاناتشو .به نظرت این کار باعث به هم زدن دو تا فایروال نمیشه؟؟؟چون خود اینترنت سکیوریتی هم فایروال دا ره.اگه به هم نمیخورن آیا تاثیری هم تو امنیت دا ره؟؟

    1. سلام. فکر نکنم مشکلی داشته باشه. کومودو خودش فایروال قوی ای هست و میتونه برای یه کاربر کافی باشه ولی اینترنت سکیوریتی فقط فایروال نیست که! قابلیت های امنیتی زیادی داره پس وجود اون هم میتونه تاثیر داشته باشه.

      1. آره .میدونم.اما همین که شما هم گفتی دیگه مطمئن تر شدم.در ضمن امیرجان هر موقع وقت داشتی نسخه موبایلم به سایتت اضافه کن.

        1. سلام، چشم اگه اضافه شد در سایت اطلاع میدم. ممنونم از پیشنهادتون.

    1. سلام. برای مودم روترهای مختلف تو سایت آموزشش قرار داده شده. از قسمت بالای سایت “وای فای” رو جستجو کنید.

  4. سلام من تازه امروز با سایتتون اشنا شدم من هم رشته ام نرم افزار ودر مقطع ارشدم و خیلی خوشحالم که با شما اشنا شدم مطالبتون بسیار جامع و مفید ممنون واقعا باید بهتون تبریک گفت با این همه اطلاعاتی که دارید

  5. سلام: بزرگوار من قبلا به you tubeبه راحتی متصل میشدم الان مدتیه وصل نمیتونم بشم تازه مرورگرم با دیواه اتش محافظت شده گزینه هاش غیر فعالن چکار کنم لطفا”

    1. سلام. به سایت های دیگه بدون مشکل میتونین وصل بشین؟ همچنین یوتیوب تو ایران فیلتره و باید از برنامه های دیگه استفاده کنید.

  6. سلام دوست عزیز، سایت بسیار کامل و زیبایی دارید. من تازه باهاش آشنا شدم بهتون تبریک میگم.
    براتون آرزوی موفقیت دارم.

  7. سلام امير رضا جان ممنونم از مطالب با ارزشت.اميدوارم موفق باشي

  8. سلام خسته نباشید .ببخشید فایروال سیستمم خاموشه بدلیل آنتی ویروس و نمیشه فعالش کرد تمام گزینه ها روشن اما با کلیک روی آنها هیج تغییری ایجاد نمیشود.ممنون میشم راهنماییم کنید

    1. سلام. میتونید پست “فعال یا غیرفعال کردن فایروال ویندوز” رو بخونید. تو اون پست روش آخر رو هم امتحان کنید اگه نشد.

  9. سلام من میخوام نام کاربریمو عوض کنم برای انجام این کار باز هم باید مودم رو ریست کنم؟ممنون میشم اگر راهنمایی کنید.

  10. ایا پراکسی در داخل خود کامپیوتر ماست یا فقط تنظیمات پراکسی در کامپیوتر ماست؟
    سرویس دهنده پراکسی نزدیکتر به شبکه است یا دیوار آتش؟

    1. سلام. سرور پراکسی تو یه مکان فیزیکی دیگس و ما فقط مشخصات اونو تنظیم میکنیم مگه اینکه پراکسی محلی رو بگین که یه مسئله دیگس. ترافیک پراکسی مثل ترافیک معمولی اینترنت میمونه و مثل اون از فایروال عبور میکنه در سرور پراکسی محلی هم همینطور بعد از فایرواله. در کل برای این سوالتون باید نوع پراکسی مشخص بشه.

  11. من این جمله را در کتابی دیدم، به نظرم نیاز به بازنویسی دارد.به نظر شما هم چنین است یا جمله درست است؟ چه درست چه نادرست اگر ممکن است یک توضیح بسیار مبتدی بفرمایید.با مثال
    جمله: پراکسی داده های اینترنتی را در مسیر عبور و قبل از رسیدن به رایانه می سنجد، اگر آن ها برخلاف سیاست های امنیتی سیستم باشند، آن ها را حذف و در غیر این صورت اجازه عبور از دیوار آتش و رسیدن به سیستم را به آن ها می دهد.

    1. سلام. این جمله برای پراکسی های خارج از کامپیوتر فرد و در شبکه، به دور از فایروال شبکه، صحیحه. مثلاً انواع سرورهای پراکسی خارج از شبکه یا فیلترکننده های سخت افزاری/نرم افزاری که داده ها رو قبل از رسیدن به کامپیوتر (و فایروال) بررسی میکنن.

  12. ممنون از پاسختان. وقتی یک پراکسی خارج از کامپیوتر است وقتی داده های اینترنتی را بررسی میکند وبرخلاف سیستم امنیتی نبود اجازه ی عبور از فایروال را میدهد. این فایروال کجاست؟ در کامپیوتر ما یا در پراکسی؟
    سوال دیگر اینکه فرمودید”پراکسی های خارج از کامپیوتر ” ایا پراکسی داخل کامپیوتر خود ما هم هست؟!!!

    1. سلام. بله، پراکسی های مجازی میتونن توی خود سیستم عامل توسط برنامه ها تعریف بشن. همین کاری که فیلتر شکن ها انجام میدن برای رمزگذاری داده ها.
      فایروال معمولا تو کامپیوتر ماس و داده ها اگه پراکسی خارجی باشه، بعد از اون پراکسی به فایروال میان. البته اگه ما ارتباط بین پراکسی و کامپیوترمون رو بدون واسطه ای بین این دو تا در نظر بگیریم.
      خود پراکسی رو اگه شما یه فایروال در نظر بگیرید فکر کنم درک کردنش راحت تر میشه. انگار داده ها تا به سیستم ما بیان، از دوتا فایروال رد میشن که فایروال نزدیک تر میتونه کاملا غیرفعال باشه یعنی به فایروال خارجی (پراکسی) متکی باشه.

    1. سلام. به قسمت فایروال تو کنترل پنل برید بعد از سمت چپ روی Advanced کلیک کنید و در پنجره باز شده و با کلیک روی ایجادی یک Rule جدید، با توجه به Outbound یا Inbound بودن مسیر داده ها، فایل exe برنامه رو بلاک یا مجاز کنید.

  13. مطالب و خیلی خوب و کامل و روان توضیح دادی. خیلی ممنونم. برات ارزوی پیشرفت بیشتر دارم. 🙂

  14. ممنونم ازت من همین نطالبو میخونم کمی خلاصه میکنم یه پاورپوینت میکنم و بعد ارایه میدم و کلی نمره میگیرم واقعا ممنون ازت

  15. سلام
    ممنون از زحماتتون
    من در ویندوز سونم هم فایروال ویندوز فعاله هم فایروال انتی ویروس نود ۳۲ اسمارت سیکوریتی
    ایا این مشکلی ایجاد نمیکنه مثلا اختلال بین این دو یا کند شدن نت
    ممنون میشم پاسخ بدین ؟

    1. سلام. در حد خیلی کمی سرعت نت کنتر میشه به دلیل عبور ای فیلتر هردوتاشون. درباره اختلال هم، با فعال بودن نود۳۲، تنظیمات فایروال رو به دست میگیره و از طریق پنل مربوط به فایروال ویندوز نمیتونین وضعیتشون عوض کنین و باید به خود نود۳۲ مراجعه کنید.

  16. سلام واقعا جای هزار آفرین دارین
    همه راههای فعال کردن فایر وال رو انجام دادم فعال نمیشه یه پیغام از نود ۳۲ میده ممنون میشم راهنماییم کنین

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *