لایه شبکه و فیلترهای بسته - کالیفرنیای - پراکسی سرور -برگردان نشانی شبکه - لایه کاربرد دیوار آتش - ف
دیوار آتش بخشی از سیستم کامپیوتری یا شبکه ای طراحی شده است که برای جلوگیری از دسترسی های غیر مجاز در حالی که اجازه ارتباط مجاز است. این دستگاه یا مجموعه ای از دستگاه های پیکربندی به اجازه ، انکار ، رمزگذاری ، سرگشایی ، یا پروکسی همه (در داخل و خارج) ترافیک میان کامپیوتر امنیت حوزه های مختلف بر اساس مجموعه ای از قوانین و معیارهای دیگر.
فایروال می تواند در هر سخت افزار یا نرم افزار یا ترکیبی از هر دو انجام گیرد. . فایروال ها به صورت مکرر برای جلوگیری از استفاده غیر مجاز از کاربران اینترنت دسترسی به شبکه های خصوصی متصل به اینترنت ، به ویژه شبکه های داخلی. همه پیامها ورود و یا خروج از تصویب اینترانت را از طریق دیوار آتش که به بررسی هر یک از پیام و بلوک های آنانی که از معیارهای امنیتی مشخص نمی شوند.
انواع مختلفی از تکنیک های فایروال وجود دارد :
بسته فیلتر : فیلتر بسته هر بسته بازرسی عبور را از طریق شبکه و قبول یا رد آن را در کاربر بر اساس قوانین تعریف شده.هر چند دشوار برای پیکربندی ، آن است نسبتا موثر و شفاف را برای کاربران بیشتر آن است. علاوه بر این ، آن را به آی. کلاهبرداری حساس است.
دروازه کاربرد : اعمال مکانیزم های امنیتی به یک برنامه خاص ، مانند FTP و سرور های شبکه راه دور.. این بسیار موثر است ، اما می توانند تخریب عملکرد را تحمیل کنند.
دروازه سطح مدار : هنگامی که شامل مکانیسم های امنیت TCP و یا اتصال UDP است برقرار شود. هنگامی که اتصال ساخته شده است ، بسته می تواند در میان میزبان و بدون بررسی بیشتر جریان.
پروکسی سرور : Intercepts تمام پیامهای ورود و خروج از شبکه می باشد. سرور پروکسی را به طور موثر پنهان آدرس شبکه درست است.
تابع
لوازم خانگی دیوار آتش اختصاص داده شده ، و یا نرم افزار در حال اجرا بر روی یک کامپیوتر ، که بازرسی ترافیک شبکه گذر از آن است ، و انکار می کند یا اجازه تصویب بر اساس مجموعه ای از قوانین.
این نرم افزار یا سخت افزار است که به طور معمول بین شبکه محافظت شده و شبکه unprotected و مانند یک دروازه عمل برای محافظت از دارایی های اطمینان حاصل شود که هیچ چیز به خصوصی قرار داده می رود و چیزی بیرون می آید مخرب شوید.
وظیفه اولیه یک فایروال است که برای تنظیم بعضی از جریان ترافیک بین شبکه های کامپیوتری استفاده از سطوح مختلف اعتماد.نمونه های معمولی دارند اینترنت است که در منطقه ، بدون اعتماد و شبکه داخلی است که از اعتماد در منطقه بالاتر است. منطقه با متوسط سطح اعتماد ، واقع بین اینترنت و شبکه داخلی مورد اعتماد است ، اغلب به عنوان شبکه های پیرامون "" و یا منطقه Demilitarized (DMZ) اشاره شده.
عملکرد فایروال ها را در درون یک شبکه به فایروال های فیزیکی با درهای آتش سوزی در ساختمان سازی مشابه است. در حالت اول ، آن را برای جلوگیری از نفوذ شبکه ای به شبکه خصوصی در مورد دوم ، آن را در نظر گرفته شده است که شامل تاخیر و ساختاری از گسترش آتش به ساختمان های مجاور.
بدون تنظیمات مناسب ، فایروال ، اغلب می تواند بی ارزش می شوند.شیوه های دیکته استاندارد امنیت پیش فرض "- منکر" ruleset دیوار آتش ، که در آن اتصالات شبکه که تنها اجازه دارند هستند که به صراحت اجازه داده شده است. متاسفانه ، چنین پیکربندی نیاز به درک دقیق از برنامه های شبکه و نقاط انتهایی مورد نیاز برای این سازمان روز به روز عملیات. کسب و کارهای بسیاری از جمله عدم درک ، و بنابراین پیاده سازی پیش فرض "- اجازه می دهد" ruleset ، که در آن همه ترافیک مجاز است ، مگر آن شده است منابعی در مسدود شده است. این شیوه باعث اتصالات شبکه غیر عمدی و مدارا سیستم خیلی بیشتر احتمال دارد.
تاریخچه
. اصطلاح "دیوار آتش" در اصل به معنای یک دیوار را به محدوده آتش و یا آتش بالقوه در درون ساختمان ، cf. دیوار آتش (ساخت). بعد از مراجعه به ساختمان های مشابه ، مانند ورق فلز جدا از محفظه موتور خودرو یا هواپیما را از محفظه مسافر.
فن آوری پدیدار در فایر وال 1980s اواخر وقتی که به اینترنت یک تکنولوژی نسبتا جدید در استفاده از شرایط جهانی و اتصال به آن بود. پیشینیان به فایروال ها برای امنیت شبکه روتر در اواخر 1980s را از یک دیگر به شبکه های جداگانه مورد استفاده قرار گرفت. [1] نمایش از اینترنت به عنوان یک جامعه نسبتا کوچکی از کاربران است که سازگار با ارزش باز بودن برای به اشتراک گذاری و همکاری بود که در یک شماره به پایان رسید از عمده نقض امنیت اینترنت است که رخ داده است در اواخر 1980s : [1]
Clifford Stoll 'ثانیه کشف جاسوس آلمانی tampering با سیستم او [1]
بیل Cheswick 's" شبی با Berferd "1992 که او در آن راه اندازی زندان های ساده الکترونیکی برای رصد مهاجم [1]
در سال 1988 کارمند در ناسا در مرکز پژوهش Ames در کالیفرنیا یادداشت توسط ایمیل به همکاران خود خبر [2] که خوانده شده ،
حملات ویروس اینترنت!. این آمار برکلی ، Üç سن دیگو ، لارنس لیورمور ، استنفورد و ناسا Ames.
کرم موریس خود را از طریق آسیب پذیری های متعدد در دستگاه های آن زمان پخش شده است. هر چند که در سوء قصد نیست ، کرم موریس اولین حمله در مقیاس بزرگ در مورد امنیت اینترنت بود ؛ انجمن آنلاین بود نه انتظار و نه حمله آماده ام تا با یکی رسیدگی کند. [3]
نسل اول -- فیلتر های بسته
کاغذ اول منتشر شده در تکنولوژی دیوار آتش بود در سال 1988 ، هنگامی که از مهندسین شرکت تجهیزات دیجیتالی (دسامبر ، توسعه سیستم های فیلتر معروف به فایروال ها فیلتر بسته. این سیستم نسبتا اساسی نسل اول از آنچه بود تبدیل شد به شدت تکامل فنی و قابلیت به امنیت اینترنت می باشد. در Ŧ و در آزمایشگاههای بل ، بیل Cheswick و استیو Bellovin شد ادامه پژوهش خود را در بسته بندی و فیلتر کردن یک مدل برای یک شرکت کار خود را توسعه یافته بر اساس معماری اصلی خود را نسل اول است.
بسته قانون توسط فیلتر های بازرسی بسته های اطلاعاتی "" که نمایندگی اساسی واحد انتقال اطلاعات بین کامپیوترها در اینترنت می باشد. اگر یک بسته مشابه بسته فیلتر مجموعه ای از قواعد است ، فیلتر کردن بسته خواهد شد قطره (آرام دور انداختن) بسته ، و یا رد آن (آن را دور بیندازید ، و ارسال "پاسخ های اشتباه" را به منبع).
این نوع فیلتر کردن بسته ها می پردازد بدون توجه به اینکه آیا بسته است بخشی از جریان موجود از ترافیک (آن را ذخیره اطلاعات در اتصال "دولت").در عوض ، از آن هر یک از فیلترهای بسته ها فقط بر اساس اطلاعات موجود در بسته خود را (اغلب با استفاده از یک ترکیب از دو منبع بسته ها و آدرس مقصد ، پروتکل آن ، و برای TCP و ترافیک UDP ، شماره پورت).
پروتکل های TCP و UDP شامل ارتباط بیشتر از طریق اینترنت و به دلیل ترافیک TCP و UDP بر طبق قرارداد استفاده از پورت های شناخته شده برای هر نوع خاصی از ترافیک ، "بی وطن" فیلتر بسته می تواند تمایز بین ، کنترل و در نتیجه ، کسانی که این نوع ترافیک (مانند مرور وب ، چاپ از راه دور ، انتقال پست الکترونیکی ، انتقال فایل) ، مگر آن که در هر طرف به دستگاه فیلتر بسته هر دو با استفاده از همان پورت های غیر استاندارد می باشید.
نسل دوم -- لایه کاربرد
نوشتار اصلی : لایه کاربرد دیوار آتش
بهره های کلیدی نرم افزار فیلتر لایه ای است که می تواند "درک" برخی برنامه های کاربردی و پروتکل (مانند انتقال فایل از پروتکل ، دی ان اس ، و یا مرور وب) ، و آن را می توانید تشخیص اینکه آیا پروتکل های ناخواسته است که در تاریخ از طریق پورت های غیر استاندارد sneaked یا اینکه آیا یک پروتکل است به هیچ وجه مضر مورد آزار قرار گرفته است.
نسل سوم -- "stateful" فیلترها
Main article: Stateful firewall نوشتار اصلی : فایروال Stateful
از 1989-1990 در سه همکارانش از در و Ŧ آزمایشگاه بل ، دیو Presetto ، Janardan شارما ، و Kshitij Nigam توسعه نسل سوم از فایروال ها ، فراخوانی آنها مدار سطح دیوارهای آتش.
سوم فایروال ها علاوه بر توجه دادن هر فرد در درون مجموعه بسته بسته. این تکنولوژی به طور کلی به عنوان بازرسی بسته stateful تا آن را نگهداری سوابق از همه اتصالات عبور از دیوار آتش است و می تواند برای تعیین اینکه آیا یک بسته است یا آغاز یک اتصال جدید ، بخشی از ارتباط موجود است و یا نامعتبر مراجعه کننده بسته بندی. اگرچه هنوز هم وجود دارد مجموعه ای از قوانین ایستا در چنین دیوار آتش ، وضعیت اتصال می تواند به خودی خود یکی از معیارهای که ماشه قواعد خاص.
این نوع از فایروال می تواند کمک به پیشگیری از حملات که به بهره برداری اتصالات موجود ، برخی یا انکار - از حملات خدماتی.
پیشرفت های بعدی
در سال 1992 ، باب Braden و آنت DeSchon در دانشگاه کالیفرنیای جنوبی (کالیفرنیای جنوبی) در تصفیه مفهوم فایروال. محصول شناخته شده به عنوان "ویزا" اولین سیستم به یک رابط بصری با رنگ های یکپارچه سازی و نمایه ها که می تواند به راحتی قابل دسترسی و اجرا بر روی یک کامپیوتر سیستم عامل مانند مایکروسافت 'ثانیه بود ویندوز یا MacOS اپل. در سال 1994 یک شرکت اسرائیلی به نام نقطه اتمام تکنولوژی های نرم افزار این نرم افزار به راحتی در دسترس معروف به دیوار آتش - 1 ساخته شده است.
The existing deep packet inspection (IPS). موجود عمیق و بسته کارکرد بازرسی از فایروال ها مدرن می تواند با نفوذ به اشتراک گذاشته می شود سیستم های پیشگیری (پلیس عراقی).
در حال حاضر ، Middlebox ارتباطات گروه کاری از گروه ضربت مهندسی اینترنت (IETF) مشغول کار بر روی پروتکل های استاندارد برای مدیریت فایروال ها و middleboxes دیگر.
یکی دیگر از محور توسعه است در مورد یکپارچه کردن هویت از کاربران به قواعد فایروال.بسیاری از فایروال ها از جمله ویژگی های ارائه شده توسط کاربر با اتصال به هویت یا آدرس آی مک ، که بسیار تقریبی است و می تواند به آسانی تبدیل به اطراف. دیوار آتش NuFW فراهم می کند هویت واقعی مبتنی بر firewalling ، درخواست امضا شده توسط کاربر برای هر اتصال.
انواع
در طبقه بندی های مختلف بسته به نوع دیوارهای آتش در ارتباط است که در آن انجام گرفته ، جایی که ارتباط قطع شده است و دولت است که پیش بینی می شود وجود دارد.
لایه شبکه و فیلترهای بسته
لایه شبکه فایروال ها ، فیلترهای بسته ها هم نامیده می شوند ، در سطح نسبتا پایین TCP عمل / پروتکل آی پشته ، نه بسته ها اجازه می دهد از طریق دیوار آتش عبور کنند مگر آن که مجموعه ای مطابقت قانون تاسیس نموده است. ممکن است مدیر دیوار آتش مقررات ؛ تعریف یا قواعد پیش فرض ممکن است اعمال می شود.. اصطلاح "فیلتر بسته" سرچشمه را در چهار چوب از سیستم های BSD عامل.
لایه شبکه فایروال ها به طور کلی پاییز را به دو زیر شاخه ها بی وطن. فایروال ها در مورد حفظ چهار چوب جلسات فعال و استفاده کرد که "اطلاعات ملی" پردازش بسته به سرعت. هر اتصال شبکه های موجود می تواند با خواص مختلف ، از جمله مبدا و مقصد نشانی پروتکل اینترنت ، پورت های TCP و یا UDP تشریح شود ، و در مرحله کنونی از طول عمر اتصال 'sها (از جمله شروع جلسه ، handshaking ، انتقال داده ، و یا اتصال از اتمام).اگر بسته ها نشانی از اتصال موجود مطابقت نداشته باشد ، آن را با توجه به ruleset برای ارتباط های اینترنت جدید مورد ارزیابی قرار گیرد. اگر یک بسته مشابه اتصال های موجود را بر اساس مقایسه با جدول حالات دیوار آتش است ، آن را اجازه خواهد داشت بدون پردازش بیشتر منتقل می کند.
دیوارهای آتش بی نیاز به حافظه کمتر ، و می توانند سریع تر از فیلترهای ساده که نیاز به زمان کمتری به فیلتر می کند که از نگاه کردن در یک جلسه.آنها همچنین ممکن است لازم باشد برای فیلتر کردن پروتکل های شبکه بی دولت را نشان می دهد مفهوم جلسه. با این حال ، آنها می توانند تصمیم های پیچیده تر را بر پایه ی آنچه ارتباطات بین میزبان مرحله رسیده اند را ندارد.
WWW or FTP . فایروال ها فیلتر مدرن می تواند ترافیک را بر اساس ویژگی های بسته فراوانی را ، همچون منبع نشانی پروتکل اینترنت ، پورت منبع ، مقصد و یا آدرس آی بندر ، خدمات قسمت را می خواهم در وب و یا FTP آنها می توانند فیلتر را بر اساس پروتکل ها ، ارزش های عکسبرداری ، netblock از بنیان گذار ، از منبع ، و بسیاری از ویژگی های دیگر.
معمولا فیلترهای بسته ها در نسخه های مختلف یونیکس مورد استفاده قرار می ipf (گوناگون) ، ipfw (بورس / سیستم عامل) ، pf (OpenBSD ، و همه BSDs دیگر) ، iptables / ipchains (لینوکس).
کاربرد لایه
نوشتار اصلی : لایه کاربرد دیوار آتش
کاربرد فایروال ها در لایه کاربرد لایه از تیسیپی / آی کار پشته (به عنوان مثال ، تمام ترافیک مرورگر ، یا تمام شبکه راه دور و یا ترافیک ftp) ، و ممکن است تمام بسته های سفر به و یا از برنامه جلو گیری کردن.بسته های دیگر بلوک آنها (معمولا آنها را انداختن و بدون تصدیق به فرستنده). در اصل ، فایروال نرم افزار می تواند تمام ترافیک های ناخواسته از خارج از جلوگیری از رسیدن به ماشین های محافظت شده.
در بازرسی از تمام بسته های اطلاعاتی برای محتوای نامناسب ، می تواند فایروال محدود کرده و یا یکجا جلوگیری از گسترش کرمهای کامپیوتری شبکه و تروجان ها. معیارهای بازرسی پنهانی اضافی اضافی می توانند به حمل و نقل از بسته ها به مقصد خود را اضافه کنید.
از پراکسی
نوشتار اصلی : پراکسی سرور
دستگاه پروکسی (در حال اجرا یا در سخت افزار اختصاص داده شده و یا به عنوان نرم افزار بر روی ماشین هدف کلی) ممکن است به عنوان یک فایروال عمل توسط پاسخ به بسته های ورودی (بار مشاهده از ارتباط اینترنتی ، به عنوان مثال) در صورت یک برنامه کاربردی ، در حالیکه مسدود کردن بسته های دیگر.
پروکسی را با یک سیستم از شبکه داخلی خارجی مشکلتر است ، و سوء استفاده از یک سیستم (سیستم داخلی که لزوما باعث نقض امنیت بهره برداری از خارج از دیوار آتش (تا زمانی که پروکسی نرم افزار همچنان دست نخورده و به درستی پیکربندی شده). برعکس ، ممکن است intruders عمومی سیستم و دسترس ربودن استفاده از آن به عنوان یک پروکسی برای مقاصد خود ؛ پروکسی سپس masquerades که به عنوان سیستم را به سایر دستگاه های داخلی. در صورت استفاده از آدرس فضاهای داخلی افزایش امنیت ، کراکر ممکن است هنوز از جمله روش های کلاهبرداری آی به کار را به تلاش برای تصویب بسته های اطلاعاتی به شبکه مقصد.
برگردان نشانی شبکه
نوشتار اصلی : برگردان نشانی شبکه
فایروال ها معمولا ترجمه آدرس شبکه (NAT) عملکرد و میزبان حفاظت شده در پشت دیوار آتش که معمولا در آدرس "آدرس محدوده خصوصی" ، همانطور که در مراجع یدلایمخیرات 1918 تعریف شده. Firewalls often فایروال ها معمولا چنین قابلیت به مخفی کردن آدرس واقعی میزبان محفوظ است. در اصل ، تابع NAT را به آدرس تعداد محدودی از IPv4 آدرس قابل دستیابی است که می تواند مورد استفاده قرار گیرد یا اختصاص یافته به شرکتها و یا افرادی و نیز در هر دو میزان را کاهش دهد و در نتیجه هزینه اخذ آدرس های عمومی به اندازه کافی برای هر کامپیوتری را در سازمان توسعه داده شد.پنهان کردن آدرس دستگاه های حفاظت شده تبدیل شده است به طور فزاینده مهم دفاعی در برابر شناسایی شبکه.
مطالب مشابه :
فرار مغزها
آرمان کرم سیما. مائده دستگاه بافت مو. برکلی کالیفرنیا، آمریکا احسان شفیعی پورفرد
لایه شبکه و فیلترهای بسته - کالیفرنیای - پراکسی سرور -برگردان نشانی شبکه - لایه کاربرد دیوار آتش - ف
این آمار برکلی ، Üç سن دیگو هر چند که در سوء قصد نیست ، کرم موریس اولین حمله در مدل مو
مشهور ترین نوابغ ایرانی در سرتاسر جهان
رواق منظر چشم من آشیانه ی توست-کرم نما استاد بازنشسته دانشگاه برکلی، واضح منطق و مدل مو
چرا شاملو اسطوره نيست؟
احمد شاملو در سخنرانی ۱۹۹۰ در دانشگاه برکلی به بحث از تارهای مو شروع کرده و کرم کتاب رنگ
برچسب :
کرم مو برکلی