در دنياي امروز اكثر بنگاه هاي تجاري بر اين اعتقاد هستند كه دستيابي به اينترنت براي حضور فعال ، موثر و رقابتي در عرصه جهاني امري حياتي و الزامي است . با اين كه مزاياي اتصال به اينترنت كاملا" مشهود و قابل توجه است ، در اين رابطه تهديدات و خطراتي نيز وجود دارد . به عنوان نمونه ، زماني كه يك بنگاه تجاري شبكه خصوصي خود را به اينترنت متصل مي نمايد ، اين موضوع صرفا" به اين معني نخواهد بود كه وي امكان دستيابي كاركنان خود به اطلاعات و منابع خارج از سازمان را فراهم نموده است . سازمان فوق ، همچنين اين امكان را فراهم نموده است كه كاربران خارجي ( كاربران خارج از سازمان ) نيز بتوانند به اطلاعات شخصي و خصوصي سازمان دسترسي داشته باشند .
هر بنگاه تجاري كه در انديشه اتصال به اينترنت است مجبور خواهد بود كه با مسائل مربوط به امنيت شبكه نيز سرو كار داشته باشد .
در ساليان اخير فناوري هاي مختلفي به منظور تامين نظر بنگاه هاي تجاري در جهت افزايش امنيت و استفاده از مزاياي متعدد اتصال به اينترنت ايجاد شده است . فناوري هاي فوق امكان نگهداري ، محرمانگي ، يكپارچگي و در دسترس بودن اطلاعات خصوصي و منابع شبكه را فراهم مي نمايند . اكثر اين تلاش ها با تمركز بر روي فناوري هاي مختلف فايروال انجام شده است .

فايروال ، يك نقطه دفاعي بين دو شبكه را ايجاد  و  يك شبكه را در مقابل شبكه ديگر محافظت مي نمايد

معمولا" يك فايروال ، شبكه خصوصي يك سازمان را از يك شبكه عمومي كه به آن متصل است محافظت مي نمايد . يك فايروال مي تواند بسادگي يك روتر باشد كه بسته هاي اطلاعاتي را فيلتر مي نمايد و يا پيچيده نظير استفاده از چندين روتر و كامپيوتر كه سرويس هاي فيلترينگ بسته هاي اطلاعاتي و پراكسي سطح برنامه را ارائه مي نمايند .

روند شكل گيري فايروال ها

فناوري فايروال جوان است ولي به سرعت به سمت تكامل و رشد حركت مي نمايد . اولين نسل معماري فايروال قدمتي به اندازه روتر دارد و اولين مرتبه در سال 1985 مطرح گرديد. به اين نوع فايروال ها ، فايروال هاي packet filter گفته مي شود . اولين مقاله اي كه نحوه عملكرد فايروال هاي packet filter را تشريح مي كرد تا سال 1988 ارائه نگردبد و در نهايت توسط Jeff Mogul از شركت DEC ( برگرفته از Digital Equipment Corporation ) انتشار يافت .
در فاصله بين سال هاي 1989 و 1990 ، Dave Presotto و Howard Trickey از آزمايشگاه AT&T Bell نسل دوم معماري فايروال ها را معرفي كردند كه از آن با نام فايروال هاي circuit level نام برده مي شود . آنان همچنين اولين مدل كاري از نسل سوم معماري فايروال ها را كه به آن application layer گفته مي شود، پياده سازي كردند . آنان هيچگونه مقاله اي كه اين معماري را تشريح و يا محصولي كه بر اساس اين معماري پياده سازي شده باشد را ارائه نكردند .
در اواخر سال 1989 و اوايل سال 1990 بطور همزمان و مستقل كار مطالعاتي بر روي نسل سوم معماري فايروال ها توسط كارشناسان متعددي در امريكا انجام شد . در فاصله سال هاي 1990 تا 1991 اولين مقالاتي كه معماري فايروال هاي application layer را تشريح مي كرد ، توسط Marcus Ranum و Bill Cheswick از آزمايشگاه AT&T Bell ارائه گرديد . ماحصل تلاش Marcus Ranum ارائه اولين محصول تجاري با نام SEAL توسط شركت DEC بود .
در سال 1991 ، Bill Cheswick و Steve Bellovin تحقيق بر روي فيلترينگ پوياي بسته هاي اطلاعاتي را آغاز و بر اساس معماري طراحي شده يك محصول داخلي را در لابراتور Bell پياده سازي نمودند. اين محصول هرگز جنبه تجاري پيدا نكرد و ارائه نگرديد . در سال 1992 ، Bob Braden و Annette DeSchon در موسسه علوم اطلاعات USC شروع به تحقيق مستقل بر روي فايروال هاي فيلترينگ پوياي بسته هاي اطلاعاتي براي سيستمي با نام Visas كردند . اولين محصول تجاري بر اساس معماري نسل چهارم در سال 1994 توسط شركت Check Point Software ارائه گرديد .
در سال 1996 ، Scott Wiegel در شركت Global Internet Software Group يك لي اوت اوليه براي نسل پنجم معماري فايروال ها كه به آن Kernel Proxy گفته مي شود ، ارائه گرديد . اولين محصول تجاري بر اساس اين معماري در سال 1997 با نام Cisco Centri Firewall به بازار عرضه گرديد.

ايجاد يك منطقه استحفاظي ( security perimeter )

در زمان تعريف يك سياست امنيتي براي شبكه مي بايست رويه هائي به منظور حفاظت شبكه ، محتويات آن و نحوه استفاده كاربران از منابع موجود به دقت تعريف گردد . سياست هاي امنيتي شبكه داراي يك نقش كليدي در تاكيد و انجام سياست هاي امنيتي تعريف شده در يك سازمان مي باشند.
سياست امنيتي شبكه بر روي كنترل ترافيك و استفاده از آن تاكيد دارد و در آن به مواردي همچون منابع شبكه و تهديدات مرتبط با هر يك ، استفاده ايمن از منابع شبكه ، مسئوليت كاربران و مديران سيستم و رويه هاي لازم به منظور برخورد با مسائل و مشكلات ايجاد شده به دليل عدم رعايت مسائل امنيتي اشاره مي گردد . سياست هاي امنيتي بر روي نقاط حساس درون شبكه اعمال خواهد شد . به اين نقاط و يا محدودهاي استراتژيك، perimeter گفته مي شود .

شبكه هاي perimeter

براي ايجاد مجموعه اي از شبكه هاي perimeter ، مي بايست پس از انتخاب شبكه هائي كه قصد حفاظت از آنها را داريم ، مكانيزم هاي امنيتي لازم به منظور حفاظت شبكه را تعريف نمائيم . براي داشتن يك شبكه حفاظت شده ايمن ، فايروال مي بايست به عنوان gateway تمامي ارتباطات بين شبكه هاي تائيد شده (trusted ) ، تائيد نشده (untrusted) و ناشناخته (unknown) در نظر گرفته شود .
هر شبكه مي تواند شامل چندين شبكه perimeter درون خود باشد . اين شبكه ها عبارتند از :
• outermost perimeter ( شبكه هاي بيروني )
• internal perimeters ( شبكه هاي داخلي )
• innermost perimeter ( شبكه هاي دروني )
شكل زير ارتباط بين سه نوع شبكه perimeter فوق را نشان مي دهد . با توجه به منابعي كه قصد حفاظت از آنها را در يك شبكه داريم ، ممكن است از چندين internal perimeters استفاده گردد .
توجه داشته باشيد كه به منظور حفاظت از منابع و سرمايه هاي ارزشمند موجود بر روي يك شبكه مي توان چندين نقطه دفاعي را ايجاد نمود . با لايه بندي شبكه هاي perimeter مي توان بررسي چندگانه امنيتي از ترافيك شبكه را به منظور حفاظت در مقابل عمليات غيرمجازي كه از درون شبكه شما سرچشمه مي گيرد انجام داد .
در واقع ، شبكه هاي outermost perimeter محل جداسازي منابعي است كه توسط شما كنترل مي گردد با منابعي كه شما بر روي آنها كنترل و نظارتي نداريد. معمولا" در اين نقطه از يك روتر استفاده مي شود تا شبكه خصوصي يك سازمان را از ساير شبكه ها جدا نمايد .
شبكه هاي Internal perimeter محدوده هاي اضافه تري را در مكان هائي كه شما داراي مكانيزم هاي امنيتي ديگري نظير فايروال هاي اينترانت و روترهاي فيلترينگ مي باشيد ، ارائه مي نمايند .
شكل زير ،‌ دو شبكه perimeter درون يك شبكه را نشان مي دهد . در اين شبكه يك شبكه outermost perimeter و يك شبكه Internal perimeter ايجاد و براي حفاظت آنها از روترهاي داخلي ، خارجي و سرويس دهنده فايروال استفاده شده است .
استقرار فايروال بين روتر داخلي و خارجي يك سطح امنيتي اضافه اندك به منظور حفاظت در مقابل حملات در هر سمت را ارائه مي نمايد . اين كار ميزان ترافيكي را كه فايروال مي بايست بررسي نمايد بطرز محسوسي كاهش داده و متعاقب آن كارآئي فايروال افزايش خواهد يافت .
از ديد كاربران موجود بر روي يك شبكه خارجي ، سرويس دهنده فايروال امكان دستيابي به تمامي كامپيوترهاي قابل دسترس در شبكه تائيد شده ( trusted ) را فراهم مي نمايد . در واقع ، فايروال يك نقطه دفاعي به منظور بررسي تمامي ارتباطات بين دو شبكه را ايجاد مي نمايد .
با توجه به روش پردازش و توزيع بسته هاي اطلاعاتي در اترنت ، مي توان كارآئي فايروال هاي شلوغ را با استقرار روترهاي فيلترينگ پشت سرويس دهنده فايروال بهبود داد (نظير آنچه كه در شكل فوق نشان داده شده است ). بنابراين بديهي است كه كارآئي بهبود پيدا خواهد كرد ، چراكه فايروال تنها مجبور به پردازش آندسته از بسته هاي اطلاعاتي خواهد بود كه عازم سرويس دهنده فايروال مي باشند . در صورتي كه از يك روتر فيلترينگ پشت سر سرويس دهنده فايروال استفاده نگردد ، فايروال مي بايست هر بسته اطلاعاتي را كه بر روي subnet توزيع مي گردد پردازش نمايد (حتي اگر بسته اطلاعاتي عازم يك هاست داخلي ديگر باشد).
شبكه هاي outermost perimeter غيرايمن ترين ناحيه در زيرساخت شبكه شما مي باشند . معمولا" اين ناحيه براي روترها ، سرويس دهندگان فايروال و سرويس دهندگان اينترنت عمومي نظير HTTP,FTP رزو شده مي باشند . دستيابي به اين ناحيه با سهولت بيشتري انجام خواهد شد ، بنابراين طبيعي است كه احتمال تهاجم در اين ناحيه بيش از ساير نواحي باشد .اطلاعات حساس سازمان ها كه داراي كاربرد داخلي است نمي بايست بر روي شبكه هاي outermost perimeter قرار داده شود . اعتقاد به اين اصل احتياطي و پيشگيرانه ، باعث مي شود كه اطلاعات حساس شما در معرض خرابي و يا سرقت قرار نگيرند .
توجه داشته باشيد كه به منظور ايجاد شبكه هاي internal perimeter مي توان از چندين فايروال داخلي استفاده نمود . استفاده از فايروال هاي داخلي به شما اجازه مي دهد كه دستيابي به منابع مشترك موجود در شبكه را محدود نمائيد.
در بخش بعد پس از معرفي شبكه هاي تائيد شده ، تائيد نشده و ناشناخته به بررسي نسل هاي متفاوت معماري فايروال ها خواهيم پرداخت .