مقاله فایروال اینترنت یا دیوار آتش

اختصاصی از یارا فایل مقاله فایروال اینترنت یا دیوار آتش دانلود با لینک مستقیم و پرسرعت .

– بعضی تصمیمات اساسی طراحی در یک firewall چه چیزهایی هستند؟

تعدادی موضوعات طراحی اساسی وجود دارند که باید توسط یک شخص خوش اقبال که مسئولیت او طراحی ، تعیین و اجرا یا نظارت بر نصب یک firewall است، تعیین شوند .

اولین و مهمترین تصمیم سیاست اینکه چگونه شرکت یا سازمان شما می خواهد سیستم را اعمال کند ، است ک آیا firewall سرجای خود قرار دارد برای رد کردن تمام خدمات به جز آن هایی که برای کار اتصال به شبکه ضروری هستند ، یا اینکه آیا firewall برای تهیه یک متد ارزیابی شده کنترل شده ی دستیابی مرتب در یک حالت غیر تعدید آمیز در جای خود قرار گرفته ؟ در جایی از شکاکیت بین این موقعیت ها وجود دارند نقطه بعدی از firewall شما ممکن است بیشتر نتیجه ی یک تصمیم سیاسی باشد تا اجتماعی

دومی بدین قرار است : چه سطحی از مانیتورینگ (کنترل) افزونگی(زیادی) و کنترل را شما  می خواهید ؟

با تثبیت کردن سطح ریسک قابل قبول (یعنی ، چقدرشما محتاط هستید ) از طریق حل مورد اول شما می توانید یک فهرست بازبینی از آنچه که باید مونیتور شود ، مجاز شود و رد شود تشکیل دهید . به عبارت دیگر شما شروع می کنید با فهمیدن (دانستن) اهداف کلی تان و سپس یک تحلیل حتمی را ترکیب می کنید با یک سنجش و لوازم (شرایط یا مقتضیات) تقریبا همیشه متناقض را در یک لیست نشست و رفت تفکیک کنید که مشخص کند چه کاری می خواهید انجام دهید . (چه طرحی را  می خواهید اجراکنید.)

سومین مورد مالی است . ما نمی توانیم آن را در اینجا ذکر کنیم مگر با عبارت مهم و دو پهلو ، اما مهم است که سعی کرد هر گونه راه حل پیشنهاد شده را با توجه به قیمتی که برای خریدن یا برای اجرا دارد تعیین کرد . برای مثال یک محصول کامل firewall ممکن است حداکثر ۱۰۰۰۰۰ $ حداقل رایگان باشد . حق داشتن محصول رایگان شاید نیاز به هزینه ای برای پیکر بندی روی یک cisco یا مشابه آن نداشته باشد ، اما نیاز به زمانی پرکار و چند فنجان قهوه دارد ! اجرای یک firewall سطح بالا نیاز به هزینه ی زیادی دارد ، شاید برابر با ۳۰۰۰۰ $ به    اندازه ی حقوق و مزایای کارمندی هزینه های جاری مدیریت سیستم ها هم قابل توجه است .

ساختن یک نوع خانگی خوب است ، اما مهم این است که آن را طوری ساخت به توجه مداوم (و هزینه بردار ) نداشته باشد . به عبارت دیگر مهم است که firewall ها را نباید فقط با نظر به اینکه چقدر قیمت دارند سنجید بلکه باید هزینه های متوالی را هم در نظر داشت . از جنبه ی تکنیکی دو تصمیم باید گرفته شوند ،بر مبنای آن حقیقت که برای تمام اهداف عملی و مفید ما درباره آن صحبت می کنیم یک سرویس فرستادن ترافیک ثابت ، بین فرستنده ی (routers ، تعیین مسیر کننده ی) تهیه کننده ی شبکه و شبکه داخلی شما قرار دارد .

سرویس فرستادن ترافیک ممکن است در سطح یک IP اجرا شود ، از طریق چیزی شبیه به قوانین پخش در یک فرستنده (یا تعیین مسیر خنک کننده یا در یک سطح کاربردی ، از طریق دروازه های نماینده و خدمات . تصمیم لازم برای گرفتن این است که آیا یک دستگاه باز شده بی حفاظ را برای اجرای خدمات نمایندگی برای Telnet ، اخبار و. … روی یک شبکه بیرونی قرار داد یا اینکه یک فرستنده پخش به عنوان یک فیلتر تنظیم کرد که امکان ارتباط یک دستگاه داخلی یا بیشتر را فراهم می کند در هر دو راه کار نقص ها و مزایایی هست با دستگاه نمایندگی میزان بیشتری از رسیدگی بالقوه و ایمنی در عوض هزینه های بالای پیکر بندی فراهم می آید و کاهش در سطح خدمات که ممکن است فراهم آید (زیرا یک نماینده حتما باید برای هر سرویس مورد نظر ساخته شود ) این مبادله قدیمی بین آسانی استفاده و ایمنی بر می گردد . تا فکر ما را با تمام قوا آزار دهد .

 

• رمز فایل : www.irdoc.net

دانلود پایان نامه کارشناسی رشته کامپیوتر با موضوع فایروال (FireWall)

اختصاصی از یارا فایل دانلود پایان نامه کارشناسی رشته کامپیوتر با موضوع فایروال (FireWall) دانلود با لینک مستقیم و پرسرعت .

در این پست می توانید متن کامل این پایان نامه را  با فرمت ورد word دانلود نمائید:

مقدمه ای بر فایروال

فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.

مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:

1-  توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار  می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.

2-  بازدید حجم بالایی از بسته های اطلاعات: یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.

3-  سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه  و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است.

4-  امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است:

الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.

ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.

 انواع فایروال

انواع مختلف فایروال کم و بیش کارهایی را که اشاره کردیم ، انجام می دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروال می شود.بر این اساس فایروالها را به 5 گروه تقسیم می کنند.

1-  فایروالهای سطح مدار (Circuit-Level): این فایروالها به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP را با رایانه پشتشان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند.تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند. این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند. ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلها ( غیر از TCP) را نیز نمی دهند.

2-  فایروالهای پروکسی سرور : فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد می پردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی پشتش را قطع می کند و خود به جای آنها درخواست را ارسال می کند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال می کند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین می کند. از آنجایی که این فایروالها پروتکلهای سطح کاربرد را     می شناسند ، لذا می توانند بر مبنای این پروتکلها محدودیتهایی را ایجاد کنند. همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به کندی این فایروالها بیانجامد. همچنین از آنجایی که این فایروالها باید ترافیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالها را به کار بگیرد.هر برنامه جدیدی که بخواهد از این نوع فایروال عبور کند ، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد.

3-  فیلترهای Nosstateful packet : این فیلترها روش کار ساده ای دارند. آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتکلهای لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلهای لایه انتقال مانند سرآیندهای TCP و UDP اتخاذ می شود. این فیلترها زمانی می توانند به خوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این فیلترها می توانند سریع باشند چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی درباره پروتکلهای لایه کاربرد ندارند.

4-  فیلترهای ٍStateful Packet : این فیلترها بسیار باهوشتر از فیلترهای ساده هستند. آنها تقریبا تمامی ترافیک ورودی را بلوکه می کنند اما می توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنها این کار را با نگهداری رکورد اتصالاتی که ماشینهای پشتشان در لایه انتقال ایجاد می کنند، انجام می دهند.این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبکه های مدرن هستند.این فیلترها می توانند رد پای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدا و مقصد، شماره ترتیب TCP و پرچمهای TCP. بسیاری از فیلترهای جدید Stateful می توانند پروتکلهای لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا می تواننداعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکلها انجام دهند.

5-  فایروالهای شخصی : فایروالهای شخصی ، فایروالهایی هستند که بر روی رایانه های شخصی نصب می شوند.آنها برای مقابله با حملات شبکه ای طراحی شده اند. معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش می دهد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده انجام  می شوند ، فایروال شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود. معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروکسی) نیست.

 موقعیت یابی برای فایروال

محل و موقعیت نصب فایروال همانند انتخاب نوع صحیح فایروال و پیکربندی کامل آن ، از اهمیت ویژه ای برخوردار است. نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از :

موقعیت و محل نصب از لحاظ توپولوژیکی : معمولا مناسب به نظر می رسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم. این امر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال از یک طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.

قابلیت دسترسی و نواحی امنیتی : اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از فایروال و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی وتنظیم فایروال جهت صدور اجازه به کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود با هک شدن شبکه داخلی. چون شما خود مسیر هکرها را در فایروال باز کرده اید. در حالی که با استفاده از ناحیه DMZ ، سرورهای قابل دسترسی برای شبکه عمومی از شبکه خصوصی شما بطور فیزیکی جدا هستند، لذا اگر هکرها بتوانند به نحوی به این سرورها نفوذ کنند بازهم فایروال را پیش روی خود دارند.

مسیریابی نامتقارن : بیشتر فایروالهای مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنها شبکه داخلی را به شبکه عمومی وصل کرده است، نگهداری کنند. این اطلاعات کمک می کنند تا تنها بسته های اطلاعاتی مجاز به شبکه خصوصی وارد شوند. در نتیجه حائز اهمیت است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصی از طریق یک فایروال باشد.

فایروالهای لایه ای : در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشکلی روبرو شود، دومی به کار ادامه می دهد.معمولا بهتر است دو یا چند فایروال مورد استفاده از شرکتهای مختلفی باشند تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تامین کنند.

(ممکن است هنگام انتقال از فایل ورد به داخل سایت بعضی متون به هم بریزد یا بعضی نمادها و اشکال درج نشود ولی در فایل دانلودی همه چیز مرتب و کامل است)

متن کامل را می توانید دانلود نمائید

چون فقط تکه هایی از متن پایان نامه در این صفحه درج شده (به طور نمونه)

ولی در فایل دانلودی متن کامل پایان نامه

همراه با تمام ضمائم (پیوست ها) با فرمت ورد word که قابل ویرایش و کپی کردن می باشند

موجود است

معرفی انواع دیوار آتش یا فایروال و پیاده سازی نرم افزاری یک دیوار آتش فیلتر کنندة بسته در سیستم عامل لینوکس - 106 صفحه فایل ورد

اختصاصی از یارا فایل معرفی انواع دیوار آتش یا فایروال و پیاده سازی نرم افزاری یک دیوار آتش فیلتر کنندة بسته در سیستم عامل لینوکس - 106 صفحه فایل ورد دانلود با لینک مستقیم و پرسرعت .

چکیده:

تأمین امنیت شبکه، بخش حساسی از وظایف هر مدیر شبکه محسوب می‎شود. از آنجاییکه ممکن است محافظت های متفاوتی موردنیاز باشد، لذا مکانیزم های گوناگونی هم برای تأمین امنیت در شبکه وجود دارد. یکی از این مکانیزم ها استفاده از دیوار آتش می‎باشد. مدیر شبکه باید درک بالایی از انواع دیوار آتش، نقاط قوت و ضعف هر نوع، حملات تهدید کنندة هر نوع، معماری های دیوار آتش، تأثیرات آن بر شبکه و کاربران، سیاست امنیتی سازمان و همچنین نیازهای فنی پیاده سازی داشته باشد تا بتواند راه حل مناسب را انتخاب و به درستی پیاده سازی نماید و سپس آنرا مورد آزمایش قرار دهد. در همین راستا، سیستم عامل «Linux» برای پیاده سازی نرم افزاری دیوار آتش فیلتر کنندة بسته، ابزاری را به نام «iptables» در اختیار کاربر قرار می‎دهد تا با استفاده از دستورات این ابزار بتواند قوانین و فیلترهای موردنیاز را برای کنترل مطلوب دسترسی، خواه از داخل شبکه به خارج و خواه بالعکس، پیکربندی نماید.

فصل دوم: پیاده سازی دیوار آتش با استفاده از iptables

2-1 : مقدمه

انجمن کد منبع باز (open source community)، در ایجاد نرم افزار دیوار آتش که به طور ایده آلی برای شبکه با هر اندازه ای مناسب باشد، حضور برتری داشته است. سیستم عامل لینوکس (Linux) نیز طبیعتاً از قابلیتهای مسیریابی (route) بسته ها و فیلتر کردن آنها پشتیبانی می‌کند. سیستم زیرمجموعة هستة لینوکس (Linux Kernel Subsystem) که پردازش بسته های شبکه را بر عهده دارد، Netfilter نام دارد و iptables، دستوراتی برای پیکربندی آن است. تا نسخة 2/2 هستة لینوکس،‌از ipchains و قبل از آن نیز از ipfwadm استفاده می‎شد اما در نسخه های جدیدتر از 2/2 باید از iptables استفاده کنیم. بستة نرم افزاری iptables از عملیات تغییر شکل (masquerading) و فیلترسازی (filtering) که در هستة 3/2 و بعد از آن وجود دارند، پشتیبانی می‌کند. بنابراین به منظور استفاده از iptables، باید هسته را کامپایل مجدد (recompile) کنیم تا netfilter نصب شود و نیز باید بستة نرم افزاری iptables را نصب کنیم. بسته به نسخة هستة سیستم، می‎توان از این برنامه های کاربردی برای پیکربندی سیستم لینوکس استفاده کرد تا به عنوان یک مسیریاب عمل کند، در این صورت تضمین می‎شود که بسته ها از یک شبکه به شبکه ای دیگر فرستاده شوند و مسیریاب لینوکسی، هیچ ترافیکی را بررسی یا فیلتر نخواهد کرد.

امکان دیگری که ipchains و iptables فراهم می سازد، پیکربندی مسیریاب لینوکسی برای تغییر شکل دادن ترافیک یا بررسی و مسدود نمودن آن است، مثلاً با بازنویسی سرآیندهای IP، اینگونه به نظر خواهد رسید که یک بسته، از یک میزبان معین ناشی شده است.

2-2 : واژگان علمی مربوط به فیلترسازی بسته (Packet Filtering Terminology)

رابط (interface) : معمولاً منظور، یک کارت رابط شبکه (NIC) است. بیشتر دیوارهای آتش، چندین NIC دارند و باید به درستی آنها را پیکربندی کنیم تا ترافیک را فیلتر کنند. لینوکس، رابط اول را با eth0 ، دومی را با eth1، سومی را با eth2 و … نشان می‎دهد.

چند خانه ای (چند محلی) (Multihomed): منظور، میزبانی است که حداقل دو رابط داشته باشد. معمولاً یک رابط در معرض یک شبکة عمومی قرار می‎گیرد و یک رابط نیز فقط برای شبکة مطمئن، باز (open) است. به این ترتیب، مسیریاب یا دیوار آتش قادر خواهند بود تا بسته ها را به سمت اینترنت حرکت دهند.

ورودی (Ingress) : ترافیک ورودی به یک میزبان شبکه یا رابط را گویند.

خروجی (Egress) : ترافیک خروجی از یک میزبان شبکه یا رابط را گویند.

قانون (Rule) : یک مدخل (entry) در پایگاه دادة دیوار آتش که تعیین می‌کند چگونه با بستة IP برخورد خواهد شد. اگر یک بستة IP، مطابق با شرایط یک قانون ویژه باشد، آنگاه به عنوان مثال، بسته دور انداخته می‎شود (drop) ؛ اگرچه یک دیوار آتش همچنین می‎تواند یک بسته را به طرف میزبان یا پورت دیگری حرکت دهد یا می‎تواند یک بسته را به منظور پردازش، به سمت قانون دیگری روانه کند.

Source IP address (مبدأ) : آدرس IP جاییکه بسته در آنجا ایجاد شده است. یک دیوار آتش، این آدرس را از درون یک بسته می خواند تا معین کند که کدام قوانین خود را اعمال نماید.

Source Port : پورتی که بسته در آنجا ایجاد شده است. تقریباً همیشه، پورت مبدأ به آدرس IP مبدأ مرتبط است.

Destination IP address (مقصد): آدرس IP میزبانی که یک بسته به آن فرستاده می‎شود. یک دیوار آتش، این آدرس را از درون یک بسته می خواند تا تعیین کند که چگونه یک قانون را اعمال نماید.

Destination Port : پورتی که بستة IP به آن تحویل داده می‎شود. تقریباً‌ همیشه، پورت مقصد به آدرس IP مقصد مرتبط است.

Private IP addresses (اختصاصی): نیروی کار مهندسی اینترنت یا IETF
(Internet Engineering Task Force) برای نگهداری آدرسهای IP، آدرسهای IP شبکه ای زیر را به عنوان “اختصاصی” معرفی نموده است. این بدان معناست که شبکه های زیر باید پشت دیوارهای آتش و مسیریاب ها به کار گرفته شوند:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

هر چند ممکن است بتوان این پروتکل ها را با استفاده از یک مسیریاب لینوکسی، مسیردهی نمود، اما مسیریاب های اینترنت، بسته های علامت گذاری شده با این آدرس های IP را به جلو حرکت نخواهند داد. اگر بخواهیم ترافیک را از شبکه های اختصاصی به سمت اینترنت حرکت دهیم، باید این ارتباط ها را تغییر شکل (masquerade) دهیم یا اینکه از ترجمة آدرس شبکه/ پورت (NAT/PAT) استفاده کنیم.

تغییر شکل (Masquerading): قابلیت تغییر آدرس IP مبدأ یا مقصد یک بسته برای آنکه این بسته را بتوان به سمت اینترنت، مسیردهی نمود.

تغییر ساختار بسته (Packet mangling) : تغییر دادن در فیلدهای سرآیند بسته (از قبیل آدرسهای شبکه و آدرسهای پورت) یا فیلد بارکاری (payload) را گویند.

ترجمة آدرس شبکه (NAT) : ترجمة آدرس شبکه، نوعی تغییر ساختار بسته است که شامل رونویسی (overwrite) آدرسهای مبدأ و یا مقصد و یا آدرسهای پورت می‎باشد. واژة “NAT مبدأ” یا (Source NAT) SNAT اشاره به NATای دارد که شامل تغییرات در آدرس و یا پورت مبدأ باشد و “NAT مقصد” یا (Destination NAT) DNAT نیز اشاره به NATای دارد که دربرگیرندة تغییرات در آدرس یا پورت مقصد باشد. Masquerading، نوع خاصی از SNAT است که در آن یک کامپیوتر، بسته ها را بازنویسی (rewrite) می‌کند تا به نظر برسد که آنها از خودش ناشی شده اند.

2-3 : انتخاب یک ماشین برای دیوار آتش مبتنی بر لینوکس

برخلاف آنچه تصور می شود، لزومی ندارد که یک دیوار آتش، قدرتمندترین سیستم شبکه باشد. یک شبکة کوچک را توسط یک سیستم پنتیوم 3 یا پنتیوم 4 (Pentium) با 128 مگابایت RAM و یک پردازندة 500 مگاهرتزی به خوبی می‎توان سرویس دهی نمود. شبکه های بزرگتر، ممکن است به یک سیستم قوی تر نیاز داشته باشند. ملاحظات برای سیستمهای قوی تر، ممکن است شامل موارد زیر باشد:

• یک پردازندة یک گیگاهرتزی (GHZ)
• حداقل 256 مگابایت RAM
• کارت های I/O و کارتهای رابط شبکة با کیفیت بالا و شاید RAID 0 برای پردازش های سریعتر داده ها
• درایوهای دیسک سخت از نوع SCSI به خاطر سریع تر بودن و بادوام تر بودن نسبت به درایوهای نوع IDE

فهرست مطالب

فهرست مطالب3

فهرست شکل ها9

فهرست جدول ها11

چکیده (فارسی)12

فصل اول: دیوارهای آتش شبکه13

1-1 : مقدمه14

1-2 : یک دیوار آتش چیست؟15

1-3 : دیوارهای آتش چه کاری انجام می دهند؟16

1-3-1 : اثرات مثبت16

1-3-2 : اثرات منفی17

1-4 : دیوارهای آتش، چه کارهایی را نمی توانند انجام دهند؟18

1-5 : چگونه دیوارهای آتش عمل می‌کنند؟20

1-6 : انواع دیوارهای آتش21

1-6-1 : فیلتر کردن بسته22

1-6-1-1 : نقاط قوت24

1-6-1-2 : نقاط ضعف25

1-6-2 : بازرسی هوشمند بسته28

1-6-2-1 : نقاط قوت31

1-6-2-2 : نقاط ضعف32

1-6-3 : دروازة برنامه های کاربردی و پراکسیها32

1-6-3-1 : نقاط قوت35

1-6-3-2 : نقاط ضعف36

1-6-4 : پراکسیهای قابل تطبیق38

1-6-5 : دروازة سطح مداری39

1-6-6 : وانمود کننده ها40

1-6-6-1 : ترجمة آدرس شبکه40

1-6-6-2 : دیوارهای آتش شخصی42

1-7 : جنبه های مهم دیوارهای آتش کارآمد42

1-8 : معماری دیوار آتش43

1-8-1 : مسیریاب فیلترکنندة بسته43

1-8-2 : میزبان غربال شده یا میزبان سنگر44

1-8-3 : دروازة دو خانه ای45

1-8-4 : زیر شبکة غربال شده یا منطقة غیرنظامی46

1-8-5 : دستگاه دیوار آتش46

1-9 : انتخاب و پیاده سازی یک راه حل دیوار آتش48

1-9-1 : آیا شما نیاز به یک دیوار آتش دارید؟48

1-9-2 : دیوار آتش، چه چیزی را باید کنترل یا محافظت کند؟49

1-9-3 : یک دیوار آتش، چه تأثیری روی سازمان، شبکه و کاربران

           خواهد گذاشت؟50

1-10 : سیاست امنیتی 51

1-10-1 : موضوعات اجرایی52

1-10-2 : موضوعات فنی53

1-11 : نیازهای پیاده سازی54

1-11-1 : نیازهای فنی54

1-11-2 : معماری54

1-12 : تصمیم گیری55

1-13 : پیاده سازی و آزمایش56

1-13-1 : آزمایش، آزمایش، آزمایش!57

1-14 : خلاصه 58

فصل دوم: پیاده سازی دیوار آتش با استفاده از iptables60

2-1 : مقدمه61

2-2 : واژگان علمی مربوط به فیلترسازی بسته62

2-3 : انتخاب یک ماشین برای دیوار آتش مبتنی بر لینوکس65

2-4 : به کار بردن IP Forwarding و Masquerading65

2-5 : حسابداری بسته70

2-6 : جداول و زنجیرها در یک دیوار آتش مبتنی بر لینوکس70

2-7 : قوانین74

2-8 : تطبیق ها75

2-9 : اهداف75

2-10 : پیکربندی iptables76

2-11 : استفاده از iptables77

2-11-1 : مشخصات فیلترسازی78

2-11-1-1 : تعیین نمودن آدرس IP مبدأ و مقصد78

2-11-1-2 : تعیین نمودن معکوس79

2-11-1-3 : تعیین نمودن پروتکل79

2-11-1-4 : تعیین نمودن یک رابط79

2-11-1-5 : تعیین نمودن قطعه ها80

2-11-2 : تعمیم هایی برای iptables (تطبیق های جدید)82

2-11-2-1 : تعمیم های TCP82

2-11-2-2 : تعمیم های UDP86

2-11-2-3 : تعمیم های ICMP86

2-11-2-4 : تعمیم های تطبیق دیگر87

2-11-3 : مشخصات هدف92

2-11-3-1 : زنجیرهای تعریف شده توسط کاربر92

2-11-3-2 : هدف های تعمیمی 92

2-11-4 : عملیات روی یک زنجیر کامل94

2-11-4-1 : ایجاد یک زنجیر جدید94

2-11-4-2 : حذف یک زنجیر 94

2-11-4-3 : خالی کردن یک زنجیر 95

2-11-4-4 : فهرست گیری از یک زنجیر 95

2-11-4-5 : صفر کردن شمارنده ها95

2-11-4-6 : تنظیم نمودن سیاست95

2-11-4-7 : تغییر دادن نام یک زنجیر96

2-12 : ترکیب NAT  با فیلترسازی بسته96

2-12-1 : ترجمة آدرس شبکه96

2-12-2 : NAT مبدأ و Masquerading98

2-12-3 : NAT مقصد99

2-13 : ذخیره نمودن و برگرداندن قوانین101

2-14 : خلاصه102

نتیجه گیری105

پیشنهادات105

فهرست شکل ها

فصل اول

شکل 1-1 : نمایش دیوار آتش شبکه15

شکل 1-2 : مدل OSI22

شکل 1-3 : دیوار آتش از نوع فیلترکنندة بسته23

شکل 1-4 : لایه های OSI در فیلتر کردن بسته23

شکل 1-5 : لایه های OSI در بازرسی هوشمند بسته28

شکل 1-6 : دیوار آتش از نوع بازرسی هوشمند بسته30

شکل 1-7 : لایة مدل OSI در دروازة برنامة کاربردی33

شکل 1-8 : دیوار آتش از نوع دروازة برنامة کاربردی34

شکل 1-9 : مسیریاب فیلتر کنندة بسته44

شکل 1-10 : دیوار آتش میزبان غربال شده یا میزبان سنگر45

شکل 1-11 : دروازة دو خانه ای46

شکل 1-12 : زیر شبکة غربال شده یا منطقة غیرنظامی46

شکل 1-13 : دستگاه دیوار آتش47

فصل دوم

 شکل 2-1 : یک سیستم مبتنی بر لینوکس که به عنوان یک مسیریاب به

       جلو برنده پیکربندی شده است.67

شکل 2-2 : تغییر شکل شبکة 10.1.2.0 به عنوان آدرس 66.1.5.1    IP69

شکل 2-3 : مسیر حرکت بستة شبکه برای filtering72

شکل 2-4 : مسیر حرکت بستة شبکه برای Nat73

شکل 2-5 : مسیر حرکت بستة شبکه برای mangling73

فهرست جدول ها

فصل اول

فصل دوم

جدول 2-1 : جداول و زنجیرهای پیش فرض71

جدول 2-2 : توصیف زنجیرهای پیش فرض71

جدول 2-3 : هدف های پیش فرض76

جدول 2-4 : حالت های ردیابی ارتباط91

جدول 2-5 : سطوح ثبت وقایع93

جدول 2-6 : ماجول های کمکی NAT97

دانلود ترجمه مقاله در مورد فایروال اینترنت – Internet Firewalls

اختصاصی از یارا فایل دانلود ترجمه مقاله در مورد فایروال اینترنت – Internet Firewalls دانلود با لینک مستقیم و پرسرعت .

فرمت فایل : word(قابل ویرایش)

تعداد صفحات : ۱۷ صفحه ترجمه + ۱۴ صفحه اصل مقاله

طرح و اجرای موضوعات

۱– بعضی تصمیمات اساسی طراحی در یک firewall چه چیزهایی هستند؟

تعدادی موضوعات طراحی اساسی وجود دارند که باید توسط یک شخص خوش اقبال که مسئولیت او طراحی ، تعیین و اجرا یا نظارت بر نصب یک firewall است، تعیین شوند .

اولین و مهمترین تصمیم سیاست اینکه چگونه شرکت یا سازمان شما می خواهد سیستم را اعمال کند ، است ک آیا firewall سرجای خود قرار دارد برای رد کردن تمام خدمات به جز آن هایی که برای کار اتصال به شبکه ضروری هستند ، یا اینکه آیا firewall برای تهیه یک متد ارزیابی شده کنترل شده ی دستیابی مرتب در یک حالت غیر تعدید آمیز در جای خود قرار گرفته ؟ در جایی از شکاکیت بین این موقعیت ها وجود دارند نقطه بعدی از firewall شما ممکن است بیشتر نتیجه ی یک تصمیم سیاسی باشد تا اجتماعی

دومی بدین قرار است : چه سطحی از مانیتورینگ (کنترل) افزونگی(زیادی) و کنترل را شما  می خواهید ؟

با تثبیت کردن سطح ریسک قابل قبول (یعنی ، چقدرشما محتاط هستید ) از طریق حل مورد اول شما می توانید یک فهرست بازبینی از آنچه که باید مونیتور شود ، مجاز شود و رد شود تشکیل دهید . به عبارت دیگر شما شروع می کنید با فهمیدن (دانستن) اهداف کلی تان و سپس یک تحلیل حتمی را ترکیب می کنید با یک سنجش و لوازم (شرایط یا مقتضیات) تقریبا همیشه متناقض را در یک لیست نشست و رفت تفکیک کنید که مشخص کند چه کاری می خواهید انجام دهید . (چه طرحی را  می خواهید اجراکنید.)

سومین مورد مالی است . ما نمی توانیم آن را در اینجا ذکر کنیم مگر با عبارت مهم و دو پهلو ، اما مهم است که سعی کرد هر گونه راه حل پیشنهاد شده را با توجه به قیمتی که برای خریدن یا برای اجرا دارد تعیین کرد . برای مثال یک محصول کامل firewall ممکن است حداکثر ۱۰۰۰۰۰ $ حداقل رایگان باشد . حق داشتن محصول رایگان شاید نیاز به هزینه ای برای پیکر بندی روی یک cisco یا مشابه آن نداشته باشد ، اما نیاز به زمانی پرکار و چند فنجان قهوه دارد ! اجرای یک firewall سطح بالا نیاز به هزینه ی زیادی دارد ، شاید برابر با ۳۰۰۰۰ $ به    اندازه ی حقوق و مزایای کارمندی هزینه های جاری مدیریت سیستم ها هم قابل توجه است .

Design and Implementation Issues

۱– What are some of the basic design decisions in a firewall?

There are a number of basic design issues that should be addressed by the lucky person who has been tasked with the responsibility of designing, specifying, and implementing or overseeing the installation of a firewall.

The first and most important decision reflects the policy of how your company or organization wants to operate the system: is the firewall in place explicitly to deny all services except those critical to the mission of connecting to the Net, or is the firewall in place to provide a metered and audited method of “queuing” access in a non-threatening manner? There are degrees of paranoia between these positions; the final stance of your firewall might be more the result of a political than an engineering decision.

The second is: what level of monitoring, redundancy, and control do you want? Having established the acceptable risk level (i.e., how paranoid you are) by resolving the first issue, you can form a checklist of what should be monitored, permitted, and denied. In other words, you start by figuring out your overall objectives, and then combine a needs analysis with a risk assessment, and sort the almost always conflicting requirements out into a laundry list that specifies what you plan to implement.

The third issue is financial. We can’t address this one here in anything but vague terms, but it’s important to try to quantify any proposed solutions in terms of how much it will cost either to buy or to implement. For example, a complete firewall product may cost between $100,000 at the high end, and free at the low end. The free option, of doing some fancy configuring on a Cisco or similar router will cost nothing but staff time and a few cups of coffee. Implementing a high end firewall from scratch might cost several man-months, which may equate to $30,000 worth of staff salary and benefits. The systems management overhead is also a consideration. Building a home-brew is fine, but it’s important to build it so that it doesn’t require constant (and expensive) attention. It’s important, in other words, to evaluate firewalls not only in terms of what they cost now, but continuing costs such as support.

دانلود ترجمه مقاله فایروال های اینترنت Internet Firewalls

اختصاصی از یارا فایل دانلود ترجمه مقاله فایروال های اینترنت Internet Firewalls دانلود با لینک مستقیم و پرسرعت .

عنوان انگلیسی مقاله: Internet Firewalls
عنوان فارسی مقاله: فایروال های اینترنت
دسته: فناوری اطلاعات و کامپیوتر
فرمت فایل ترجمه شده: WORD (قابل ویرایش),PDF
تعداد صفحات فایل ترجمه شده: ۱۸

چکیده:

تعدادی موضوعات طراحی اساسی وجود دارند که باید توسط یک شخص خوش اقبال که مسئولیت او طراحی ، تعیین و اجرا یا نظارت بر نصب یک firewall است، تعیین شوند….
فهرست مطالب:
۱- بعضی تصمیمات اساسی طراحی در یک firewall چه چیزهایی هستند؟
۲- انواع اصلی و اساسی firewall ها کدام هستند ؟
۲٫۱- firewall های لایه شبکه
۲٫۲- firewall های لایه کاربرد( Application larger)
۳- سرورهای پرکسی چه چیزهایی هستند و چه کاری می کنند ؟
۴- بعضی ابزارهای پخش بسته ای ارزان چه چیزهایی هستند ؟
۵- بعضی قوانین منطقی فیلتر کردن برای یک صفحه پخش بر مبنای
۵٫۲- توضیح
۶- تعدادی از قوانین منطقی فیلتر کردن برای یک cisco چه چیزهایی هستند؟
۶٫۱- اجرا
۶٫۲- توضیحات
۶٫۲- ضعف ها (نقاط ضعف؟)
۷- منابع مهم در یک firewall چه چیزهایی هستند؟
۸- DMZ چیست و چرا من یکی از آن را می خواهم ؟
۹- من چطور می توانم ایمنی و قابلیت DMZ خود را افزایش دهم ؟
۱۰- « تنها نکته ی شکست » چیست و من چطور می توانم از آن اجتناب کنم? ۱۱- چطور می توانم جلو تمام موارد بد را بگیریم ؟
۱۲- من چطور می توانم دستیابی (ورود) به وب را محدود کنم تا کاربران نتوانند قسمت های مربوط به کار را ببینند ؟