• Home
  • مقالات شبکه
  • موقعیت یابی برای فایروال و نحوه پیکربندی بهینه فایروال
موقعیت یابی برای فایروال و نحوه پیکربندی بهینه فایروال

موقعیت یابی برای فایروال و نحوه پیکربندی بهینه فایروال

نوشته شده توسط Admin در . نوشته شده در مقالات شبکه

موقعیت یابی برای فایروال و نحوه ی پیکربندی فایروال بهینه آن همانند انتخاب نوع صحیح فایروال ، مهم است.

نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از:

موقعیت و محل نصب از لحاظ توپولوژیکی
معمولا مناسب به نظر می رسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم.

این امر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال از یک طرف

و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.

قابلیت دسترسی و نواحی امنیتی

اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از فایروال و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی وتنظیم پیکربندی فایروال جهت صدور اجازه به کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود با هک شدن شبکه داخلی. چون شما خود مسیر هکرها را در فایروال باز کرده اید. در حالی که با استفاده از ناحیه DMZ ، سرورهای قابل دسترسی برای شبکه عمومی از شبکه خصوصی شما بطور فیزیکی جدا هستند، لذا اگر هکرها بتوانند به نحوی به این سرورها نفوذ کنند بازهم فایروال را پیش روی خود دارند.

مسیریابی نامتقارن

بیشتر فایروال های مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنها شبکه داخلی را به شبکه عمومی وصل کرده است، نگهداری کنند. این اطلاعات کمک می کنند تا تنها بسته های اطلاعاتی مجاز به شبکه خصوصی وارد شوند. در نتیجه حائز اهمیت است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصی از طریق یک فایروال باشد.

فایـروال‌های لایه‌ای

در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند فایروال در مسیر قرار گیرند.

اگر اولی با مشکلی روبرو شود، دومی به کار ادامه می دهد.

معمولا بهتر است دو یا چند فایروال مورد استفاده از شرکتهای مختلفی باشند

تا درصورت وجودیک اشکال نرم افزاری یاحفره امنیتی دریکی از آنها ، سایرین بتوانند امنیت شبکه را تامین کنند.

فایروال ها به دو شکل سخت افزاری(خارجی) و نرم افزاری(داخلی)، ارائه می شوند.

با اینکه هر یک از مدل های فوق دارای مزایا و معایب خاص خود می باشند

تصمیم در خصوص استفاده ازیک فایروال به مراتب مهم تر از تصمیم درخصوص نوع فایروال است.

فایـروال‌های سخت افزاری:

این نوع از فایروال ها که به آنان فایروال های شبکه نیز گفته می شود ، بین کامپیوتر شما (و یا شبکه) و کابل و یا خط DSL قرار خواهند گرفت . تعداد زیادی از تولید کنندگان و برخی از مراکز ISP دستگاههایی با نام “روتر” را ارائه می دهند که دارای یک فایروال نیز هستند. فایروال های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بوده و یک سطح مناسب حفاظتی را ارائه می نمایند( امکان استفاده از آنان به منظور حفاظت یک دستگاه کامپیوتر نیز وجود خواهد داشت ) .

در صورتی که شما صرفا” دارای یک کامپیوتر پشت فایروال می باشید و یا این اطمینان را دارید که سایر کامپیوتر های موجود بر روی شبکه نسبت به نصب تمامی patch ها ، بهنگام بوده و عاری از ویروس ها و یا کرم ها می باشند ، ضرورتی به استفاده از یک سطح اضافه حفاظتی (یک نرم افزار فایروال ) نخواهید داشت . فایروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سیستم عامل اختصاصی خود می باشد . بنابراین بکارگیری آنان باعث ایجاد یک لایه دفاعی اضافه در مقابل تهاجمات می گردد .

 فایروال های نرم افزاری :

برخی از سیستم های عامل دارای یک فایروال تعبیه شده درون خود می باشند.

در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای ویژگی فوق می باشد،

پیشنهاد می شود که آن را فعال نموده تا یک سطح حفاظتی اضافی درخصوص ایمن سازی کامپیوتر واطلاعات، ایجاد گردد.

(حتی اگر از یک فایروال خارجی یا سخت افزاری استفاده می نمائید).

در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای یک فایروال تعیبه شده نمی باشد

می توان اقدام به تهیه یک فایروال نرم افزاری کرد.

پیکربندی بهینه فایروال

پیکربندی فایروال

نحوه پیکربندی بهینه یک فایروال به چه صورت است ؟موقعیت یابی برای فایروال

اکثر محصولات فایروال تجاری ( هم سخت افزاری و هم نرم افزاری ) دارای امکانات متعددی بمنظور پیکربندی بهینه می باشند . با توجه به تنوع بسیار زیاد فایروال ها ، می بایست به منظور پیکربندی بهینه آنان به مستندات ارائه شده ، مراجعه تا مشخص گردد که آیا تنظمیات پیش فرض فایروال نیاز شما را تامین می نماید یا خیر ؟ . پس از پیکربندی یک فایروال یک سطح امنیتی و حفاظتی مناسب در خصوص ایمن سازی اطلاعات انجام شده است .

لازم است به این موضوع مهم اشاره گردد که پس از پیکربندی فایروال نمی بایست بر این باور باشیم که سیستم ما همواره ایمن خواهد بود . فایروال ها یک سطح مطلوب حفاظتی را ارائه می نمایند ولی هرگز عدم تهاجم به سیستم شما را تضمین نخواهند کرد . استفاده از فایروال به همراه سایر امکانات حفاظتی نظیر نرم افزارهای آنتی ویروس و رعایت توصیه های ایمنی می تواند یک سطح مطلوب حفاظتی را برای شما و شبکه شما بدنبال داشته باشد .

ضرورت استفاده از فایروال

یک سیستم بدون وجود یک فایروال ، در مقابل مجموعه ای گسترده از برنامه های مخرب آسیپ پذیر است و در برخی موارد صرفا” پس از گذشت چندین دقیقه از اتصال به اینترنت ، آلوده خواهد شد. در صورتی که تدابیر و مراقبت لازم در خصوص حفاظت از سیستم انجام نگردد ، ممکن است کامپیوتر شما توسط برنامه هایی که به صورت تصادفی آدرس های اینترنت را پویش می نمایند ، شناسایی شده و با استفاده از پورت های فعال اقدام به تخریب و یا سوء استفاده از اطلاعات گردد .

بخاطر داشته باشید با این که استفاده از فایروال ها به عنوان یک عنصر حیاتی در ایمن سازی محیط های عملیاتی مطرح می باشند ولی تمامی داستان ایمن سازی به این عنصر ختم نمی شود و می بایست از سایر امکانات و یا سیاست های امنیتی خاصی نیز تبعیت گردد . باز نکردن فایل های ضمیمه همراه یک Email قبل از حصول اطمینان از سالم بودن آنان ، پیشگیری از برنامه های جاسوسی معروف به Spyware و یا نصب برنامه های Plug-ins که با طرح یک پرسش از شما مجوز نصب را دریافت خواهند داشت ، نمونه هائی از سایر اقدامات لازم در این زمینه است .
فایروال ها قادر به غیرفعال نمودن ویروس ها و کرم های موجود بر روی سیستم نبوده و همچنین نمی توانند نامه های الکترونیکی مخرب به همراه ضمائم آلوده را شناسائی و بلاک نمایند . به منظور افزایش ضریب ایمنی و مقاومت در مقابل انواع حملات ، می بایست اقدامات متعدد دیگری صورت پذیرد :

نصب و بهنگام نگهداشتن یک برنامه آنتی ویروس

استفاده از ویندوز Upadate ( برطرف نمودن نقاط آسیب پذیر ویندوز و سرویس های مربوطه )

استفاده از برنامه های تشخیص Spyware

برای آگاهی از وضعیت فایروال ( پیکربندی فایروال ) از پنجره Security Center استفاده می شود . بدین منظور مراحل زیر را دنبال می نمائیم :
Start | Control Panel | Security Center
انتخاب گزینه Recommendations در صورت غیرفعال بودن فایروال
انتخاب گزینه Enable Now به منظور فعال نمودن فایروال
در صورتی که ویندوز XP بر روی سیستم نصب شده است ولی SP2 هنوز نصب نشده باشد ،

پیشنهاد می گردد که در اولین فرصت نسبت به نصب SP2 ویندوز XP ، اقدام شود

( استفاده از امکانات گسترده امنیتی و فایروال ارائه شده ) .

نسخه های قبلی ویندوزنظیرویندوز۲۰۰۰ ویا ۹۸ به همراه یک فایروال ازقبل تعبیه شده ارائه نشده اند.

درصورت استفاده ازسیستم های عامل فوق،میبایست یک فایروال نرم افزاری دیگرراانتخاب وآنرا برروی سیستم نصب نمود .

شرکت پیشگام رایانه ارائه دهنده خدمات شبکه شامل پشتیبانی شبکه , نصب و راه اندازی شبکه , طراحی شبکه ، خدمات پسیو شبکه , فروش تجهیزات شبکه ,سرور و مجازی سازی , نصب و راه اندازی ویپ

ضرورت توجه به امکانات سایر فایروال های نرم افزاری

فایروال ویندوز ، امکانات حفاظتی لازم به منظور بلاک نمودن دستیابی غیرمجاز به سیستم شما را ارائه می نماید . در این رابطه دستیابی به سیستم از طریق کاربران و یا برنامه های موجود در خارج از شبکه محلی ، کنترل خواهد شد . برخی از فایروال های نرم افزاری یک لایه حفاظتی اضافه را نیز ارائه داده و امکان ارسال اطلاعات و یا داده توسط کامپیوتر شما به سایر کامپیوترهای موجود در شبکه توسط برنامه های غیر مجاز را نیز بلاک می نمایند ( سازماندهی و مدیریت یک فایروال دوطرفه ) .

با استفاده از این نوع فایروال ها ، برنامه ها قادر به ارسال داده از کامپیوتر شما برای سایر کامپیوترها بدون اخذ مجوز نخواهند بود . در صورت نصب یک برنامه مخرب بر روی کامپیوتر شما ( سهوا” و یا تعمدا” ) برنامه فوق می تواند در ادامه اطلاعات شخصی شما را برای سایر کامپیوترها ارسال و یا آنان را سرقت نماید . پس از نصب فایروال های دوطرفه ، علاوه بر تمرکز بر روی پورت های ورودی ( Incoming ) ، پورت های خروجی ( Outgoing ) نیز کنترل خواهند شد.

فایروال بر روی چه برنامه هائی تاثیر می گذارد ؟موقعیت یابی برای فایروال

فایروال ویندوز با هر برنامه ای که تصمیم به ارسال داده برای سایر کامپیوترهای موجود در شبکه داخلی و یا اینترنت را داشته باشد ، تعامل خواهد داشت . پس از نصب فایروال ، صرفا” پورت های مورد نیاز برنامه های متداول مبادله اطلاعات نظیر Email و استفاده از وب، فعال می شوند . در این راستا و به منظور حفاظت کاربران ، امکان استفاده از برخی برنامه ها بلاک می شود . سرویس FTP ( سرویس ارسال و یا دریافت فایل ) ، بازی های چند نفره ، تنظیم از راه دور Desktop و ویژگی های پیشرفته ای نظیر کنفرانس های ویدئویی و ارسال فایل از طریق برنامه های ( IM ( Instant Messaging ، از جمله برنامه هایی هستند که فعالیت آنان توسط فایروال بلاک می شود . در صورت ضرورت می توان پیکربندی فایروال را به گونه ای انجام داد که پورت های مورد نیاز یک برنامه فعال تا امکان مبادله اطلاعات برای برنامه متقاضی فراهم گردد .

چگونه می توان فایروال را برای یک برنامه خاص فعال نمود ؟

در صورتی که فایروال ویندوز فعال شده باشد ، اولین مرتبه ای که یک برنامه درخواست اطلاعات از سایر کامپیوترهای موجود در شبکه ( داخلی و یا اینترنت ) را می نماید ، یک جعبه محاوره ای حاوی یک پیام هشداردهنده امنیتی فعال و از شما سوال خواهد شد که آیا به برنامه متقاضی اجازه مبادله اطلاعات با سایر برنامه ها و یا کامپیوترهای موجود در شبکه داده می شود و یا دستیابی وی بلاک می گردد . در این جعبه محاوره ای پس از نمایش نام برنامه متقاضی با ارائه سه گزینه متفاوت از شما در رابطه با ادامه کار تعیین تکلیف می گردد :

Keep Blocking :

با انتخاب این گزینه به برنامه متقاضی اجازه دریافت اطلاعات داده نخواهد شد .

Unblock :

پس از انتخاب این گزینه پورت و یا پورت های مورد نیاز برنامه متقاضی فعال و امکان ارتباط با کامپیوتر مورد نظر فراهم می گردد . بدیهی است صدور مجوز برای باز نمودن پورت های مورد نیاز یک برنامه به شناخت مناسب نسبت به برنامه و نوع عملیات آن بستگی خواهد داشت . در صورتی که از طریق نام برنامه نمی توان با نوع فعالیت آن آشنا گردید ، می توان از مراکز جستجو برای آشنائی با عملکرد برنامه متقاضی ، استفاده نمود .

Ask Me Later :

با انتخاب گزینه فوق در مقطع فعلی تصمیم به بلاک نمودن درخواست برنامه متقاضی می گردد.در صورت اجرای برنامه ، سوال فوق مجددا” مطرح خواهد شد .
در صورتی که یک برنامه بلاک شده است ولی بدلایلی تصمیم به فعال نمودن و ایجاد شرایط لازم ارتباطی برای آن را داشته باشیم ، می توان به صورت دستی آن را به لیست موسوم به Exception اضافه نمود .موقعیت یابی برای فایروال

لیست فوق حاوی نام برنامه هائی است که به آنان مجوزلازم به منظورفعال نمودن ارتباطات شبکه ای اعطاء شده است.

برای انجام این کار می توان مراحل زیر را دنبال نمود :

Start | Control Panel | Security Center

کلیک بر روی Windows Firewall از طریق Manage security settings for
انتخاب Add Program از طریق Exceptions
انتخاب برنامه مورد نظر ( از طریق لیست و یا Browse نمودن )

پس از انجام عملیات فوق ، می بایست نام برنامه مورد نظر در لیست Exception مشاهده گردد. در صورتی که قصد بلاک نمودن موقت فعالیت ارتباطی یک برنامه را داشته باشیم،می توان از Cehckbox موجود در مجاورت نام برنامه استفاده نمود . برای حذف دائم یک برنامه موجود در لیست Exception ، می توان از دکمه Delete استفاده نمود .
کاربرانی که دارای اطلاعات مناسب در رابطه با پورت های مورد نیاز یک برنامه می باشند ، می توانند با استفاده از Add Port ، اقدام به معرفی و فعال نمودن پورت های مورد نیاز یک برنامه نمایند . پس از فعال نمودن پورت ها ، وضعیت آنان صرفنظر از فعال بودن و یا غیرفعال بودن برنامه و یا برنامه های متقاضی ، باز باقی خواهند ماند . بنابراین در زمان استفاده از ویژگی فوق می بایست دقت لازم را انجام داد . اغلب از ویژگی فوق در مواردی که پس از اضافه نمودن یک برنامه به لیست Exception همچنان امکان ارتباط آن با سایر کامپیوتر و یا برنامه های موجود در شبکه وجود نداشته باشد، استفاده می گردد .

آیا فایروال با بازی های اینترنتی کار می کند؟

پاسخ به سوال فوق مثبت است و فایروال ویندوز قادر به باز نمودن پورت های ضروری برای بازی های اینترنت و یا شبکه محلی است . در این رابطه یک حالت خاص وجود دارد که ممکن است برای کاربران ایجاد مشکل نماید. در برخی موارد ممکن است پیام هشداردهنده امنیتی که از شما به منظور ارتباط با سایر برنامه ها تعیین تکلیف می گردد ، بر روی صفحه نمایشگر نشان داده نمی شود . همانگونه که اطلاع دارید اکثر بازی های کامپیوتری به منظور نمایش تصاویر سه بعدی بر روی نمایشگر و استفاده از تمامی ظرفیت های نمایش ، از تکنولوژی DirectX استفاده می نمایند . با توجه به این موضوع که پس از اجرای یک بازی ، کنترل نمایش و خروجی بر روی نمایشگر بر عهده بازی مورد نظر قرار می گیرد ، امکان مشاهده پیام هشداردهنده امنیتی وجود نخواهد داشت . ( در واقع پیام پشت صفحه بازی مخفی شده است ) .

بدیهی است با عدم پاسخ مناسب به پیام هشداردهنده ، فایروال ویندوز امکان دستیابی شما به شبکه بازی را بلاک خواهد کرد . در صورت برخورد با چنین شرایطی در اکثر موارد با نگه داشتن کلید ALT و فشردن دکمه TAB می توان به Desktop ویندوز سوئیچ و پیام ارائه شده را مشاهده و پاسخ و یا واکنش مناسب را انجام داد . پس از پاسخ به سوال مربوطه می توان با فشردن کلیدهای ALT+TAB مجددا” به برنامه مورد نظر سوئیچ نمود .

تمامی بازی های کامپیوتری از کلیدهای ALT+TAB حمایت نمی نمایند .

در چنین مواردی و به عنوان یک راهکار منطقی دیگر

می توان اقدام به اضافه نمودن دستی بازی مورد نظر به لیست Exception نمود( قبل از اجرای بازی )

چرا با این که نام یک برنامه به لیست Exception اضافه شده است ولی همچنان امکان ارتباط صحیح وجود ندارد ؟ علت این امر چیست و چه اقداماتی می بایست انجام داد ؟
در صورت استفاده از یک فایروال سخت افزاری ، می بایست پورت های مورد نیاز یک برنامه بر روی آن نیز فعال گردند . فرآیند نحوه فعال نمودن پورت بر روی فایروال های سخت افزاری متفاوت بوده و به نوع آنان بستگی دارد . مثلا” در اکثر روترهائی که از آنان در شبکه های موجود در منازل استفاده می شود ، می توان با استفاده از یک صفحه وب پارامترهای مورد نظر ( نظیر پورت های فعال ) را تنظیم نمود . در صورتی که پس از بازنمودن پورت های مورد نیاز یک برنامه مشکل همچنان وجود داشته باشد ، می توان برای کسب آگاهی بیشتر به سایت پشتیبانی مایکروسافت مراجعه نمود .

پیکربندی فایروال

آیا باز نمودن پورت های فایروال خطرناک است ؟

با باز نمودن هر پورت ، کامپیوتر شما در معرض تهدیدات بیشتری قرار خواهد گرفت . علیرغم باز نمودن برخی پورت ها به منظور بازی و یا اجرای یک کنفرانس ویدئویی ، فایروال ویندوز همچنان از سیستم شما در مقابل اغلب حملات محفاظت می نماید. پس از معرفی یک برنامه به فایروال ویندوز ، صرفا” در زمان اجرای این برنامه پورت های مورد نیاز فعال و پس از اتمام کار ، مجددا” پورت های استفاده شده غیرفعال می گردند . در صورتی که به صورت دستی اقدام به باز نمودن پورت هائی خاص شده باشد، پورت های فوق همواره باز شده باقی خواهند ماند . به منظور حفط بهترین شرایط حفاظتی و امنیـتی ، می توان پس از استفاده از پورت و یا پورت هائی که با توجه به ضرورت های موجود فعال شده اند ، آنان را مجددا” غیرفعال نمود ( استفاده از checkbox موجود در مجاورت برنامه در لیست Exception ) .

چگونه می توان صفحه مربوط به نمایش پیام های هشداردهنده امنتی فایروال ویندز را غیرفعال نمود ؟

در صورتی که فایروال ویندز را اجراء نکرده باشید

و مرکز امنیت ویندوز (WSC ) قادر به تشخیص فایروال استفاده شده بر روی سیستم شما نباشد ،

شما همواره یک پیام هشداردهنده امنیتی فایروال را مشاهده خواهید کرد .

برای غیرفعال نمودن این چنین پیام هائی می توان مراحل زیر را انجام داد :
Start | Control Panel | Security Center

در بخش Windows Security Center ، بر روی دکمه ecommendation کلیک نمائید .

(در صورتی که دکمه فوق مشاهده نشود ، فایروال ویندوز فعال است )
انتخاب گزینه I have a firewall solution that I’ll monitor myself

پس از انجام عملیات فوق ، ویندوز وضعیت فایروال را اعلام نخواهد کرد .

رویکرد فوق درمواردی که ازیک فایروال سخت افزاری و یا نرم افزاری خاص استفاه می شود ، پیشنهاد می گردد .

بدین ترتیب مرکز امنیت ویندوز ، وضعیت فایروال را مانیتور نخواهد کرد .

جهت دریافت مشاوره رایگان و یا اطلاع از تعرفه خدمات  نگهداری و نصب شبکه و پیکربندی فایروال و دریافت پیش فاکتور، با کارشناسان ما از طریق شماره تلفن ۵۷۸۰۱۰۰۰ در ارتباط باشید.

برچسب ها:,

دیدگاهتان را بنویسید

پیشگام رایانه

خدمات شبکه

زمینه های فعالیت شرکت

آدرس : مرزداران ( بین یادگار امام و آریا فر) - خیابان نارون - نبش کوچه سپهر چهارم - پلاک ۲ - واحد ۴

تلفن : 1000 5780 – 021

فکس : 57801000 – 021  داخلی صفر

کدپستی : 1463857563

  • This field is for validation purposes and should be left unchanged.