یکی از اساسی ترین وظایف هر فایروال و یا به تعریف دیگر یکی از عملیاتی که هر فایروال انجام می دهد ، پکت فیلترینگ می باشد. بطور خلاصه پکت فیلترینگ هر پکت ورودی به شبکه را مورد بررسی قرار داده و آن را با معیارهای امنیتی شبکه مقایسه می کند و در نهایت تعیین می کند که پکت اجازه ورود به شبکه را دارد یا خیر. پکت هایی که با معیارهای سیستم مطابقت دارند مورد پردازش قرار می گیرند ، در غیراینصورت از پردازش خارج می شوند.

بعنوان مثال بسیاری از میل سرورهای اینترنت از پروتکل SMTP برای ارسال ایمیل و از پروتکل POP3 برای دریافت ایمیل استفاده می کنند. این پروتکل های با شماره پورت ها ۲۵ و ۱۱۰ شناخته شده می باشند. شما می توانید فایروال خود را به نوعی پیکربندی کنید که فقط به پکت هایی که این دو شماره پورت را دارا هستند اجازه عبور دهد و هر پکتی را که به غیر از این دو شماره پورت می باشد از مسیر خارج کرده و به هیچ عنوان اجازه ورود به شبکه را ندهد. این مسئله در شکل زیر بخوبی نمایان شده است.

پکت فیلترینگ

ایجاد پکت فیلترینگ در واقع انتخاب یک موضوع با معیارهای خاص می باشد که شما از فایروال می خواهید که مقادیر پکت را مورد بررسی قرار دهد و با توجه به آن معیارهای خاص اجازه ورود را صادر کند یا خیر.

یک مدیر شبکه پکت فیلترینگ را می تواند به دو روش اساسی در فایروال پیکربندی کند :

  • Inclusive: در این حالت اینترفیس شبکه بطور کامل بلاک بوده و پکت فیلترینگ تعیین می کند که چه پکت هایی اجازه عبور دارند.
  • Exclusive: در این حالت اینترفیس شبکه کاملا باز بوده و پکت فیلترینگ تعیین می کند که چه پکت ها و ترافیکی باید بلاک شوند.

این دو روش یا رویکرد که عنوان شد ، از پایه ای ترین روش ها بوده که در اکثر موارد و تکنولوژی های امنیتی مورد استفاده قرار می گیرد. پیاده سازی روش Inclusive بطور ذاتی از امنیت بیشتری برخوردار است. هر چند ، پیکربندی و رفع خطای آن می تواند کمی مشکل باشد ، چرا که شما باید اطمینان حاصل کنید در شرایطی که کل ترافیک بلاک می باشد ، تمامی پکت ها مورد بررسی قرار گیرد و پکت های مجاز قابلیت عبور را پیدا کنند. در حالت فیلترینگ Exclusive فرض می شود که مدیر شبکه با تمامی تهدیدات آشنا هست و می داند که فایروال را برای رفع تهدیدات چگونه پیکربندی کند. این یک فرض کاملا خطرناک است.

در فیلتر نمودن یک پکت معیارهایی مورد استفاده قرار می گیرند که شامل موارد زیر می باشند :

  • استفاده از شماره پورت : این معیار یکی از معمول ترین و انعطاف پذیرترین معیارها برای فیلتر نمودن پکت ها می باشد. چرا که یک شماره پورت نشان دهنده یک برنامه خاص می باشد.
  • آدرس IP : با استفاده از این معیار می توانید تا دسترسی به کامپیوترهای خاص را محدود کنید. البته این معیار در برابر هکرهای قدرتمند که می توانند آدرس IP شما را پیدا کنند نمی تواند معیار قدرتمندی باشد.
  • آدرس MAC : این معیار نیز مانند معیار آدرس IP می باشد با این تفاوت که از آدرس فیزیکی استفاده می شود.
  • شناسه پروتکل : هر پروتکلی دارای یک شناسه هست که این شناسه یا کد در هدر مربوط به پکت قرار می گیرد. در یک پکت مشخص می شود که آن پکت از چه پروتکل هایی باید عبور کند. فیلترینگ پکت بر این معیار نمی تواند خیلی دقیق باشد چرا که تمام ترافیک که از یک پروتکل خاص استفاده می کند یا بلاک می شود یا اجازه عبور پیدا می کند.

در شکل زیر شما محل عمل هر یک از معیارهای ذکر شده را در پروتکل OSI مشاهده می کنید.

پکت فیلترینگ

قدرت واقعی پکت فیلترینگ زمانی اتفاق می افتد که شما بتوانید روش های مختلف را با یکدیگر ترکیب کرده و از خصوصیات بارز آنها در کنار هم استفاده کنید ، در واقع یک روش ترکیبی قوی بوجود آورید. بعنوان مثال فرض کنید که شما می خواهید پورت ۲۳ که برای Telnet استفاده می شود باز باشد تا مدیر شبکه بتواند از طریق اینترنت به وب سرور دسترسی داشته باشد. خب زمانیکه این پورت باز باشد هر شخص دیگری امکان Telnet زدن را پیدا می کند. اما شما می توانید در کنار این فیلتر یک فیلتر ایجاد کرده و در آن تعریف کنید که فقط آدرس IP مدیر شبکه امکان Telnet را داشته باشد.

ترجمه و ویرایش : فرهاد شریفیان – کاربر شبکه

نظر شما!!