دیواره آتش

مقدمه

سامانه سبلان مدیریت کاربران و سازمان را بر عهده می ­گیرید و امنیت اطلاعات و ارتباطات را برقرار می ­سازد. سامانه سبلان به جز سخت ­افزار، یک سامانه کاملا بومی و مستقل از نوع سیستم عامل است. این سامانه به منظور برقرار امنیت و همچنین مدیریت کاربران در شبکه داخلی یک سازمان طراحی شده است. این سامانه قادر است ارتباط بین بخش ­های مختلف یک سازمان را، که در مناطق جغرافیایی مختلف قرار گرفته ­اند، به صورت امن برقرار نماید. به عبارت دیگر، با استفاده از این سامانه یک کانال ارتباطی امن بین موجودیت­ های بخش ­های مختلف برقرار می­ سازد. این کانال ارتباطی امن از نفوذ افراد غیرمجاز به شبکه داخلی و نیز شنود ارتباطات کاربرانی که از خارج از شبکه داخلی با آن ارتباط برقرار کرده­اند، جلوگیری می ­نماید. همچنین، این سامانه امکان مدیریت و گروه ­بندی کاربران را فراهم می ­سازد. مدیر شبکه به کمک این سامانه می­ تواند کاربران را در گروه­ های مختلف دسته­ بندی نماید، سپس برای هر گروه از کاربران سیاست­ های جداگانه امنیتی و ارتباطی تدوین نماید. یکی از اجزای سامانه سبلان شکل دهنده ترافیک است که سیاست های کنترل و تسهیم ترافیک کاربران را اعمال می­ کند.

فایروال یا دیواره آتش نرم افزار یا سخت افزاری است که در قسمت دروازه (Gateway) قرار گرفته و منابع درون شبکه را از دسترسی غیر مجاز خارجی محافظت می کند. یک فایروال مانند یک مانع یا حصار بین یک شبکه قابل اطمینان و دیگر شبکه های غیرقابل اطمینان قرار می گیرد و از طریق یک مدل کنترلی، دسترسی به منابع شبکه ای را کنترل می کند. این بدان معناست که تنها ترافیکی می تواند اجازه ورود و خروج را داشته باشد که منطبق بر سیاست های امنیتی فایروال باشد و بقیه ترافیک غیر مجاز است.

یک فایروال یا دیواره آتش همیشه در قسمت اتصال شبکه داخلی به شبکه­ های دیگر یا اینترنت قرار می­گیرد و از شبکه داخلی در برابر نفوذ مهاجمان و ابزارهای مخرب حفاظت می­کند.

یک فایروال مانند یک مانع یا حصار بین یک شبکه قابل اطمینان و دیگر شبکه­ های غیرقابل اطمینان قرار می ­گیرد و از طریق یک مدل کنترلی، دسترسی به منابع شبکه ­ای را کنترل می ­کند. این بدان معناست که تنها ترافیکی می ­تواند اجازه ورود و خروج را داشته باشد که منطبق بر سیاست­ های امنیتی فایروال باشد و بقیه ترافیک غیرمجاز است.

فایروال ­های مبتنی بر فیلترینگ بسته، بسته­ هایی را که بین کامپیوترهای درون اینترنت جابجا می­شوند را بررسی می کنند. زمانی که یک بسته از یک Packet-Filter Firewall عبور می­کند، آدرس مبدا و مقصد، پروتکل و شماره پورت مقصد آن بر اساس مجموعه قوانین فایروال بررسی می­ شود. بسته هایی که اجازه عبور در شبکه را ندارند Drop می شوند (به مقصدشان هدایت نمی­ شوند).

سامانه سبلان، مجهز به دو دیواره آتش است که یکی از آنها یک پکت فیلتر ساده (غير حالتمند) است و دیگری یک دیواره آتش حالتمند می‌باشد. فايروال اين سامانه در مد هسته ی سيستم عامل اجرا شده و همان گونه که از نام آن بر می‌آيد، هيچگونه state ای برای ارتباطات نگه نمی دارد. از اين رو، اين فايروال يک فايروال در سطح پکت است که هر بسته را به صورت يک موجوديت مستقل از ساير بسته ها پردازش می‌کند. در مقابل، در فايروال حالتمند، هر بسته به عنوان جزئی از يک ارتباط در نظر گرفته شده و در صورتی اجازه ی عبور می‌يابد که در اين ارتباط به عنوان يک بسته‌ی مجاز شناخته شود.

معرفی واحد فایروال هسته سامانه سبلان

پکت ­ها در ابتدای ورود به هسته سامانه توسط دیواره آتش پکت فیلتر پردازش می ­شوند. این دیواره آتش در سطح هسته پیاده سازی شده است و حافظه ندارد. به منظور دفع حملات سنگین به سامانه این واحد بهترین انتخاب است. تعداد قوانین در آن بهتر است زیاد نباشد، زیرا جواب این دیواره آتش در قبال پکت­های تکراری قابل کش کردن نیست. همچنین، بایستی توجه داشت که پکت ­هایی که توسط این دیواره آتش دور انداخته شوند در هیچ جایی از سامانه ثبت نخواهد شد. اعمالی که این واحد می ­تواند روی پکت­ ها انجام دهد سه نوع است.

  • دور انداختن پکت ­ها (Drop)

در این حالت، پکت­ هایی که این عملیات برای آن ها مشخص شود بدون هیچ ردی در سیستم دور انداخته خواهند شد.

  • دور زدن لایه سبلان (Bypass)

پکت‌هایی که این عمل برای آن ها مشخص شود، به لایه سبلان تحویل داده نخواهد شد و مستقیما به سیستم عامل تحویل داده خواهند شد.

  • پردازش در لایه سبلان (Forward) – عمل پیش فرض

پکت ­هایی که این عمل برای آن ها مشخص شود برای پردازش به لایه سبلان تحویل داده خواهند شد. این عمل به صورت پیش فرض روی پکت ها انجام خواهد گرفت.

معرفی واحد دیواره آتش حالت مند سامانه سبلان

علاوه بر دیواره آتش پکت فیلتر ابتدایی، یک دیواره آتش حالتمند نیز در سامانه سبلان وجود دارد که حالت ارتباطات TCP، UDP و ICMP را نگهداری کرده و به پکت ­های غیر مجاز اجازه عبور نخواهد داد. فیلتر این دیواره آتش از لایه دو تا لایه چهار گسترده شده است.

این دیواره آتش حالتمند، می ­تواند چهار عمل را روی ارتباطات شبکه انجام دهد. این چهار عمل عبارتند از:

  • دور انداختن بسته (Drop)
  • عبور بسته بدون چک کردن حالت (Forward)
  • چک کردن حالت ارتباط برای بسته (Track)
  • چک کردن وجود قبلی ارتباط و حالت (Verify)

دیواره آتش حالتمند سامانه سبلان، به کمک دو عمل Track و Verify قادر است علاوه بر چک کردن حالت ارتباط، جهت ارتباط را نیز کنترل کند. دیواره آتش سامانه سبلان قادر است حتی جهت شروع ارتباطات UDP را هم کنترل کند. عمل چک کردن حالت ارتباط کاملا خودکار بوده و مدیر لازم نیست پیکر بندی پیچیده ­ای را تعریف نماید.