فایر وال

نسل های متفاوت فایروال ( بخش اول )
در دنیای امروز اکثر بنگاه های تجاری بر این اعتقاد هستند که دستیابی به اینترنت برای حضور فعال ، موثر و رقابتی در عرصه جهانی امری حیاتی و الزامی است . با این که مزایای اتصال به اینترنت کاملا" مشهود و قابل توجه است ، در این رابطه تهدیدات و خطراتی نیز وجود دارد . به عنوان نمونه ، زمانی که یک بنگاه تجاری شبکه خصوصی خود را به اینترنت متصل می نماید ، این موضوع صرفا" به این معنی نخواهد بود که وی امکان دستیابی کارکنان خود به اطلاعات و منابع خارج از سازمان را فراهم نموده است . سازمان فوق ، همچنین این امکان را فراهم نموده است که کاربران خارجی ( کاربران خارج از سازمان  )  نیز بتوانند به اطلاعات شخصی و خصوصی سازمان دسترسی داشته باشند .
هر بنگاه تجاری که در اندیشه اتصال به اینترنت است مجبور خواهد بود که با مسائل مربوط به امنیت شبکه نیز سرو کار داشته باشد .
در سالیان اخیر  فناوری های مختلفی به منظور تامین نظر بنگاه های تجاری در جهت افزایش امنیت و استفاده از مزایای متعدد اتصال به اینترنت ایجاد شده است . فناوری های فوق امکان نگهداری ، محرمانگی ، یکپارچگی و در دسترس بودن اطلاعات خصوصی و منابع شبکه را فراهم می نمایند . اکثر این تلاش ها با تمرکز بر روی فناوری های مختلف فایروال انجام شده است .

فایروال ، یک نقطه دفاعی بین دو شبکه را ایجاد  و  یک شبکه را در مقابل شبکه دیگر محافظت می نماید

معمولا" یک فایروال ، شبکه خصوصی یک سازمان را از یک شبکه عمومی که به آن متصل است محافظت می نماید . یک فایروال می تواند بسادگی یک روتر باشد که بسته های اطلاعاتی را فیلتر می نماید و یا پیچیده نظیر استفاده از چندین روتر و کامپیوتر که سرویس های فیلترینگ بسته های اطلاعاتی و پراکسی سطح برنامه را ارائه می نمایند .

روند شکل گیری فایروال ها
فناوری فایروال جوان است ولی به سرعت به سمت تکامل و رشد حرکت می نماید . اولین نسل معماری فایروال قدمتی به اندازه روتر دارد و اولین مرتبه در سال 1985 مطرح گردید. به این نوع فایروال ها ، فایروال های packet filter  گفته می شود . اولین مقاله ای که نحوه عملکرد فایروال های packet filter را تشریح می کرد تا سال 1988 ارائه نگردبد و در نهایت توسط Jeff Mogul از شرکت DEC ( برگرفته از  Digital Equipment Corporation ) انتشار یافت .
در فاصله بین سال های 1989 و 1990 ،  Dave Presotto و Howard Trickey از آزمایشگاه AT&T Bell نسل دوم معماری فایروال ها را معرفی کردند که از آن با نام فایروال های circuit level  نام برده می شود . آنان همچنین اولین مدل کاری از نسل سوم معماری فایروال ها را که به آن application layer  گفته می شود،  پیاده سازی کردند . آنان  هیچگونه مقاله ای که این معماری را تشریح و یا محصولی که بر اساس این معماری پیاده سازی شده باشد را ارائه نکردند .
در اواخر سال 1989 و اوایل سال 1990 بطور همزمان و مستقل کار مطالعاتی بر روی نسل سوم معماری فایروال ها توسط کارشناسان متعددی در امریکا انجام شد . در  فاصله سال های 1990 تا 1991 اولین مقالاتی که معماری فایروال های application layer را تشریح می کرد ،  توسط Marcus Ranum و  Bill Cheswick از آزمایشگاه AT&T Bell  ارائه گردید . ماحصل تلاش Marcus Ranum ارائه اولین محصول تجاری با نام SEAL توسط شرکت DEC بود .
در سال 1991 ، Bill Cheswick و Steve Bellovin تحقیق بر روی فیلترینگ پویای بسته های اطلاعاتی را آغاز و بر اساس معماری طراحی شده یک محصول داخلی را در لابراتور Bell پیاده سازی نمودند. این محصول هرگز جنبه تجاری پیدا نکرد و ارائه نگردید .  در سال 1992 ، Bob Braden و Annette DeSchon در موسسه علوم اطلاعات USC  شروع به تحقیق مستقل بر روی فایروال های فیلترینگ پویای بسته های اطلاعاتی برای سیستمی با نام Visas کردند . اولین محصول تجاری بر اساس معماری نسل چهارم در سال 1994 توسط شرکت  Check Point Software  ارائه گردید .
در سال 1996 ، Scott Wiegel در شرکت Global Internet Software Group یک لی اوت اولیه برای نسل پنجم معماری فایروال ها که به آن Kernel Proxy گفته می شود ، ارائه گردید . اولین محصول تجاری بر اساس این معماری در سال 1997 با نام Cisco Centri Firewall به بازار عرضه گردید.

ایجاد یک منطقه استحفاظی security perimeter
در زمان تعریف یک سیاست امنیتی برای شبکه می بایست رویه هائی به منظور حفاظت شبکه ، محتویات آن و نحوه استفاده کاربران از منابع موجود به دقت تعریف گردد .  سیاست های امنیتی شبکه دارای یک نقش کلیدی در تاکید و انجام سیاست های امنیتی تعریف شده در یک سازمان می باشند.
سیاست امنیتی شبکه بر روی کنترل ترافیک و استفاده از آن تاکید دارد و در آن به مواردی همچون منابع شبکه و تهدیدات مرتبط با هر یک ، استفاده ایمن از منابع شبکه ، مسئولیت کاربران و مدیران سیستم  و رویه های لازم به منظور برخورد با مسائل و مشکلات ایجاد شده به دلیل عدم رعایت مسائل امنیتی اشاره می گردد . سیاست های امنیتی بر روی نقاط حساس درون شبکه اعمال خواهد شد . به این نقاط و یا محدودهای استراتژیک، perimeter گفته می شود .

شبکه های perimeter
برای ایجاد مجموعه ای از شبکه های perimeter ، می بایست  پس از انتخاب شبکه هائی که قصد حفاظت از آنها را داریم ، مکانیزم های امنیتی لازم به منظور حفاظت شبکه را تعریف نمائیم . برای داشتن یک شبکه حفاظت شده ایمن ، فایروال می بایست به عنوان gateway  تمامی ارتباطات بین شبکه های تائید شده (trusted ) ، تائید نشده (untrusted) و ناشناخته (unknown) در نظر گرفته شود . 
هر شبکه می تواند شامل چندین شبکه perimeter درون خود باشد . این شبکه ها عبارتند از :

• outermost perimeter ( شبکه های  بیرونی )
• internal perimeters ( شبکه های داخلی )
• innermost perimeter ( شبکه های درونی )