معرفی انواع دیوار آتش یا فایروال و پیاده سازی نرم افزاری یک دیوار آتش فیلتر کنندة بسته در سیستم عامل لینوکس - 106 صفحه فایل ورد

اختصاصی از کوشا فایل معرفی انواع دیوار آتش یا فایروال و پیاده سازی نرم افزاری یک دیوار آتش فیلتر کنندة بسته در سیستم عامل لینوکس - 106 صفحه فایل ورد دانلود با لینک مستقیم و پرسرعت .

چکیده:

تأمین امنیت شبکه، بخش حساسی از وظایف هر مدیر شبکه محسوب می‎شود. از آنجاییکه ممکن است محافظت های متفاوتی موردنیاز باشد، لذا مکانیزم های گوناگونی هم برای تأمین امنیت در شبکه وجود دارد. یکی از این مکانیزم ها استفاده از دیوار آتش می‎باشد. مدیر شبکه باید درک بالایی از انواع دیوار آتش، نقاط قوت و ضعف هر نوع، حملات تهدید کنندة هر نوع، معماری های دیوار آتش، تأثیرات آن بر شبکه و کاربران، سیاست امنیتی سازمان و همچنین نیازهای فنی پیاده سازی داشته باشد تا بتواند راه حل مناسب را انتخاب و به درستی پیاده سازی نماید و سپس آنرا مورد آزمایش قرار دهد. در همین راستا، سیستم عامل «Linux» برای پیاده سازی نرم افزاری دیوار آتش فیلتر کنندة بسته، ابزاری را به نام «iptables» در اختیار کاربر قرار می‎دهد تا با استفاده از دستورات این ابزار بتواند قوانین و فیلترهای موردنیاز را برای کنترل مطلوب دسترسی، خواه از داخل شبکه به خارج و خواه بالعکس، پیکربندی نماید.

فصل دوم: پیاده سازی دیوار آتش با استفاده از iptables

2-1 : مقدمه

انجمن کد منبع باز (open source community)، در ایجاد نرم افزار دیوار آتش که به طور ایده آلی برای شبکه با هر اندازه ای مناسب باشد، حضور برتری داشته است. سیستم عامل لینوکس (Linux) نیز طبیعتاً از قابلیتهای مسیریابی (route) بسته ها و فیلتر کردن آنها پشتیبانی می‌کند. سیستم زیرمجموعة هستة لینوکس (Linux Kernel Subsystem) که پردازش بسته های شبکه را بر عهده دارد، Netfilter نام دارد و iptables، دستوراتی برای پیکربندی آن است. تا نسخة 2/2 هستة لینوکس،‌از ipchains و قبل از آن نیز از ipfwadm استفاده می‎شد اما در نسخه های جدیدتر از 2/2 باید از iptables استفاده کنیم. بستة نرم افزاری iptables از عملیات تغییر شکل (masquerading) و فیلترسازی (filtering) که در هستة 3/2 و بعد از آن وجود دارند، پشتیبانی می‌کند. بنابراین به منظور استفاده از iptables، باید هسته را کامپایل مجدد (recompile) کنیم تا netfilter نصب شود و نیز باید بستة نرم افزاری iptables را نصب کنیم. بسته به نسخة هستة سیستم، می‎توان از این برنامه های کاربردی برای پیکربندی سیستم لینوکس استفاده کرد تا به عنوان یک مسیریاب عمل کند، در این صورت تضمین می‎شود که بسته ها از یک شبکه به شبکه ای دیگر فرستاده شوند و مسیریاب لینوکسی، هیچ ترافیکی را بررسی یا فیلتر نخواهد کرد.

امکان دیگری که ipchains و iptables فراهم می سازد، پیکربندی مسیریاب لینوکسی برای تغییر شکل دادن ترافیک یا بررسی و مسدود نمودن آن است، مثلاً با بازنویسی سرآیندهای IP، اینگونه به نظر خواهد رسید که یک بسته، از یک میزبان معین ناشی شده است.

2-2 : واژگان علمی مربوط به فیلترسازی بسته (Packet Filtering Terminology)

رابط (interface) : معمولاً منظور، یک کارت رابط شبکه (NIC) است. بیشتر دیوارهای آتش، چندین NIC دارند و باید به درستی آنها را پیکربندی کنیم تا ترافیک را فیلتر کنند. لینوکس، رابط اول را با eth0 ، دومی را با eth1، سومی را با eth2 و … نشان می‎دهد.

چند خانه ای (چند محلی) (Multihomed): منظور، میزبانی است که حداقل دو رابط داشته باشد. معمولاً یک رابط در معرض یک شبکة عمومی قرار می‎گیرد و یک رابط نیز فقط برای شبکة مطمئن، باز (open) است. به این ترتیب، مسیریاب یا دیوار آتش قادر خواهند بود تا بسته ها را به سمت اینترنت حرکت دهند.

ورودی (Ingress) : ترافیک ورودی به یک میزبان شبکه یا رابط را گویند.

خروجی (Egress) : ترافیک خروجی از یک میزبان شبکه یا رابط را گویند.

قانون (Rule) : یک مدخل (entry) در پایگاه دادة دیوار آتش که تعیین می‌کند چگونه با بستة IP برخورد خواهد شد. اگر یک بستة IP، مطابق با شرایط یک قانون ویژه باشد، آنگاه به عنوان مثال، بسته دور انداخته می‎شود (drop) ؛ اگرچه یک دیوار آتش همچنین می‎تواند یک بسته را به طرف میزبان یا پورت دیگری حرکت دهد یا می‎تواند یک بسته را به منظور پردازش، به سمت قانون دیگری روانه کند.

Source IP address (مبدأ) : آدرس IP جاییکه بسته در آنجا ایجاد شده است. یک دیوار آتش، این آدرس را از درون یک بسته می خواند تا معین کند که کدام قوانین خود را اعمال نماید.

Source Port : پورتی که بسته در آنجا ایجاد شده است. تقریباً همیشه، پورت مبدأ به آدرس IP مبدأ مرتبط است.

Destination IP address (مقصد): آدرس IP میزبانی که یک بسته به آن فرستاده می‎شود. یک دیوار آتش، این آدرس را از درون یک بسته می خواند تا تعیین کند که چگونه یک قانون را اعمال نماید.

Destination Port : پورتی که بستة IP به آن تحویل داده می‎شود. تقریباً‌ همیشه، پورت مقصد به آدرس IP مقصد مرتبط است.

Private IP addresses (اختصاصی): نیروی کار مهندسی اینترنت یا IETF
(Internet Engineering Task Force) برای نگهداری آدرسهای IP، آدرسهای IP شبکه ای زیر را به عنوان “اختصاصی” معرفی نموده است. این بدان معناست که شبکه های زیر باید پشت دیوارهای آتش و مسیریاب ها به کار گرفته شوند:

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

هر چند ممکن است بتوان این پروتکل ها را با استفاده از یک مسیریاب لینوکسی، مسیردهی نمود، اما مسیریاب های اینترنت، بسته های علامت گذاری شده با این آدرس های IP را به جلو حرکت نخواهند داد. اگر بخواهیم ترافیک را از شبکه های اختصاصی به سمت اینترنت حرکت دهیم، باید این ارتباط ها را تغییر شکل (masquerade) دهیم یا اینکه از ترجمة آدرس شبکه/ پورت (NAT/PAT) استفاده کنیم.

تغییر شکل (Masquerading): قابلیت تغییر آدرس IP مبدأ یا مقصد یک بسته برای آنکه این بسته را بتوان به سمت اینترنت، مسیردهی نمود.

تغییر ساختار بسته (Packet mangling) : تغییر دادن در فیلدهای سرآیند بسته (از قبیل آدرسهای شبکه و آدرسهای پورت) یا فیلد بارکاری (payload) را گویند.

ترجمة آدرس شبکه (NAT) : ترجمة آدرس شبکه، نوعی تغییر ساختار بسته است که شامل رونویسی (overwrite) آدرسهای مبدأ و یا مقصد و یا آدرسهای پورت می‎باشد. واژة “NAT مبدأ” یا (Source NAT) SNAT اشاره به NATای دارد که شامل تغییرات در آدرس و یا پورت مبدأ باشد و “NAT مقصد” یا (Destination NAT) DNAT نیز اشاره به NATای دارد که دربرگیرندة تغییرات در آدرس یا پورت مقصد باشد. Masquerading، نوع خاصی از SNAT است که در آن یک کامپیوتر، بسته ها را بازنویسی (rewrite) می‌کند تا به نظر برسد که آنها از خودش ناشی شده اند.

2-3 : انتخاب یک ماشین برای دیوار آتش مبتنی بر لینوکس

برخلاف آنچه تصور می شود، لزومی ندارد که یک دیوار آتش، قدرتمندترین سیستم شبکه باشد. یک شبکة کوچک را توسط یک سیستم پنتیوم 3 یا پنتیوم 4 (Pentium) با 128 مگابایت RAM و یک پردازندة 500 مگاهرتزی به خوبی می‎توان سرویس دهی نمود. شبکه های بزرگتر، ممکن است به یک سیستم قوی تر نیاز داشته باشند. ملاحظات برای سیستمهای قوی تر، ممکن است شامل موارد زیر باشد:

• یک پردازندة یک گیگاهرتزی (GHZ)
• حداقل 256 مگابایت RAM
• کارت های I/O و کارتهای رابط شبکة با کیفیت بالا و شاید RAID 0 برای پردازش های سریعتر داده ها
• درایوهای دیسک سخت از نوع SCSI به خاطر سریع تر بودن و بادوام تر بودن نسبت به درایوهای نوع IDE

فهرست مطالب

فهرست مطالب3

فهرست شکل ها9

فهرست جدول ها11

چکیده (فارسی)12

فصل اول: دیوارهای آتش شبکه13

1-1 : مقدمه14

1-2 : یک دیوار آتش چیست؟15

1-3 : دیوارهای آتش چه کاری انجام می دهند؟16

1-3-1 : اثرات مثبت16

1-3-2 : اثرات منفی17

1-4 : دیوارهای آتش، چه کارهایی را نمی توانند انجام دهند؟18

1-5 : چگونه دیوارهای آتش عمل می‌کنند؟20

1-6 : انواع دیوارهای آتش21

1-6-1 : فیلتر کردن بسته22

1-6-1-1 : نقاط قوت24

1-6-1-2 : نقاط ضعف25

1-6-2 : بازرسی هوشمند بسته28

1-6-2-1 : نقاط قوت31

1-6-2-2 : نقاط ضعف32

1-6-3 : دروازة برنامه های کاربردی و پراکسیها32

1-6-3-1 : نقاط قوت35

1-6-3-2 : نقاط ضعف36

1-6-4 : پراکسیهای قابل تطبیق38

1-6-5 : دروازة سطح مداری39

1-6-6 : وانمود کننده ها40

1-6-6-1 : ترجمة آدرس شبکه40

1-6-6-2 : دیوارهای آتش شخصی42

1-7 : جنبه های مهم دیوارهای آتش کارآمد42

1-8 : معماری دیوار آتش43

1-8-1 : مسیریاب فیلترکنندة بسته43

1-8-2 : میزبان غربال شده یا میزبان سنگر44

1-8-3 : دروازة دو خانه ای45

1-8-4 : زیر شبکة غربال شده یا منطقة غیرنظامی46

1-8-5 : دستگاه دیوار آتش46

1-9 : انتخاب و پیاده سازی یک راه حل دیوار آتش48

1-9-1 : آیا شما نیاز به یک دیوار آتش دارید؟48

1-9-2 : دیوار آتش، چه چیزی را باید کنترل یا محافظت کند؟49

1-9-3 : یک دیوار آتش، چه تأثیری روی سازمان، شبکه و کاربران

           خواهد گذاشت؟50

1-10 : سیاست امنیتی 51

1-10-1 : موضوعات اجرایی52

1-10-2 : موضوعات فنی53

1-11 : نیازهای پیاده سازی54

1-11-1 : نیازهای فنی54

1-11-2 : معماری54

1-12 : تصمیم گیری55

1-13 : پیاده سازی و آزمایش56

1-13-1 : آزمایش، آزمایش، آزمایش!57

1-14 : خلاصه 58

فصل دوم: پیاده سازی دیوار آتش با استفاده از iptables60

2-1 : مقدمه61

2-2 : واژگان علمی مربوط به فیلترسازی بسته62

2-3 : انتخاب یک ماشین برای دیوار آتش مبتنی بر لینوکس65

2-4 : به کار بردن IP Forwarding و Masquerading65

2-5 : حسابداری بسته70

2-6 : جداول و زنجیرها در یک دیوار آتش مبتنی بر لینوکس70

2-7 : قوانین74

2-8 : تطبیق ها75

2-9 : اهداف75

2-10 : پیکربندی iptables76

2-11 : استفاده از iptables77

2-11-1 : مشخصات فیلترسازی78

2-11-1-1 : تعیین نمودن آدرس IP مبدأ و مقصد78

2-11-1-2 : تعیین نمودن معکوس79

2-11-1-3 : تعیین نمودن پروتکل79

2-11-1-4 : تعیین نمودن یک رابط79

2-11-1-5 : تعیین نمودن قطعه ها80

2-11-2 : تعمیم هایی برای iptables (تطبیق های جدید)82

2-11-2-1 : تعمیم های TCP82

2-11-2-2 : تعمیم های UDP86

2-11-2-3 : تعمیم های ICMP86

2-11-2-4 : تعمیم های تطبیق دیگر87

2-11-3 : مشخصات هدف92

2-11-3-1 : زنجیرهای تعریف شده توسط کاربر92

2-11-3-2 : هدف های تعمیمی 92

2-11-4 : عملیات روی یک زنجیر کامل94

2-11-4-1 : ایجاد یک زنجیر جدید94

2-11-4-2 : حذف یک زنجیر 94

2-11-4-3 : خالی کردن یک زنجیر 95

2-11-4-4 : فهرست گیری از یک زنجیر 95

2-11-4-5 : صفر کردن شمارنده ها95

2-11-4-6 : تنظیم نمودن سیاست95

2-11-4-7 : تغییر دادن نام یک زنجیر96

2-12 : ترکیب NAT  با فیلترسازی بسته96

2-12-1 : ترجمة آدرس شبکه96

2-12-2 : NAT مبدأ و Masquerading98

2-12-3 : NAT مقصد99

2-13 : ذخیره نمودن و برگرداندن قوانین101

2-14 : خلاصه102

نتیجه گیری105

پیشنهادات105

فهرست شکل ها

فصل اول

شکل 1-1 : نمایش دیوار آتش شبکه15

شکل 1-2 : مدل OSI22

شکل 1-3 : دیوار آتش از نوع فیلترکنندة بسته23

شکل 1-4 : لایه های OSI در فیلتر کردن بسته23

شکل 1-5 : لایه های OSI در بازرسی هوشمند بسته28

شکل 1-6 : دیوار آتش از نوع بازرسی هوشمند بسته30

شکل 1-7 : لایة مدل OSI در دروازة برنامة کاربردی33

شکل 1-8 : دیوار آتش از نوع دروازة برنامة کاربردی34

شکل 1-9 : مسیریاب فیلتر کنندة بسته44

شکل 1-10 : دیوار آتش میزبان غربال شده یا میزبان سنگر45

شکل 1-11 : دروازة دو خانه ای46

شکل 1-12 : زیر شبکة غربال شده یا منطقة غیرنظامی46

شکل 1-13 : دستگاه دیوار آتش47

فصل دوم

 شکل 2-1 : یک سیستم مبتنی بر لینوکس که به عنوان یک مسیریاب به

       جلو برنده پیکربندی شده است.67

شکل 2-2 : تغییر شکل شبکة 10.1.2.0 به عنوان آدرس 66.1.5.1    IP69

شکل 2-3 : مسیر حرکت بستة شبکه برای filtering72

شکل 2-4 : مسیر حرکت بستة شبکه برای Nat73

شکل 2-5 : مسیر حرکت بستة شبکه برای mangling73

فهرست جدول ها

فصل اول

فصل دوم

جدول 2-1 : جداول و زنجیرهای پیش فرض71

جدول 2-2 : توصیف زنجیرهای پیش فرض71

جدول 2-3 : هدف های پیش فرض76

جدول 2-4 : حالت های ردیابی ارتباط91

جدول 2-5 : سطوح ثبت وقایع93

جدول 2-6 : ماجول های کمکی NAT97

آر اس فایروال اورجینال نسخه 2.9.7

اختصاصی از کوشا فایل آر اس فایروال اورجینال نسخه 2.9.7 دانلود با لینک مستقیم و پرسرعت .

...

دانلود ترجمه مقاله فایروال

اختصاصی از کوشا فایل دانلود ترجمه مقاله فایروال دانلود با لینک مستقیم و پرسرعت .

- Background and Firewall Basics

Before being able to understand a complete discussion of firewalls, it's important to understand the basic principles that make firewalls work.

What is a network firewall?

A firewall is a system or group of systems that enforces an access control policy between two or more networks. The actual means by which this is accomplished varies widely, but in principle, the firewall can be thought of as a pair of mechanisms: one which exists to block traffic, and the other which exists to permit traffic. Some firewalls place a greater emphasis on blocking traffic, while others emphasize permitting traffic. Probably the most important thing to recognize about a firewall is that it implements an access control policy. If you don't have a good idea of what kind of access you want to allow or to deny, a firewall really won't help you. It's also important to recognize that the firewall's configuration, because it is a mechanism for enforcing policy, imposes its policy on everything behind it. Administrators for firewalls managing the connectivity for a large number of hosts therefore have a heavy responsibility.

Why would I want a firewall?

The Internet, like any other society, is plagued with the kind of jerks who enjoy the electronic equivalent of writing on other people's walls with spraypaint, tearing their mailboxes off, or just sitting in the street blowing their car horns. Some people try to get real work done over the Internet, and others have sensitive or proprietary data they must protect. Usually, a firewall's purpose is to keep the jerks out of your network while still letting you get your job done.

Many traditional-style corporations and data centers have computing security policies and practices that must be followed. In a case where a company's policies dictate how data must be protected, a firewall is very important, since it is the embodiment of the corporate policy. Frequently, the hardest part of hooking to the Internet, if you're a large company, is not justifying the expense or effort, but convincing management that it's safe to do so. A firewall provides not only real security--it often plays an important role as a security blanket for management

اصول پیش زمینه و firewall

قبل از اینکه بتوانیم بحث کاملی از firewall ها را درک کنیم ، مهم است اصولی که باعث کار firewall می شوند را بدانیم .

یک شبکه firewall چیست ؟

firewall (دیوار آتش) یک سیستم یا مجموعه ای از سیستمهاست که رویه ی کنترل دستیابی بین دو شبکه یا بیشتر را اجرا می کند . ابزارهای موجود برای انجام این کار بسیار متفاوتند ، اما اصولا firewall را می توان با عنوان دو مکانیسم در نظر گرفت : اولی برای مسدود کردن ترافیم است . و دیگری امکان ترافیک را مجاز می داند . بعضی firewall ها تاکید بیشتری برانسداد ترافیک دارند در حالی که بعضی دیگر اجازه ترافیک می دهند . احتمالا مهمترین مورد برای تشخیص یک firewall این است که آن یک رویه ی کنترل دستیابی اجرا می کند . اگر که شما ایده ی خوبی در مورد اینکه چه نوع دستیابی را قبول و کدام را رد کنید ، نداشته باشید ، یک firewall در حقیقت به شما کمک نخواهد کرد . و همچنین تشخیص پیکر بندی firewall هم مهم است ، به خاطر اینکه آن یک مکانیسم است برای اعمال رویه تحمیل می کنده رویه اش را بر هر چیز در پس آن . مدیران firewall اتصالشمار زیادی از میزبانان را کنترل می کنند. ، بنابراین مسئولیت سنگینی دارند .

چرا من یک firewall می خواهم ؟

اینترنت ، مانند هر اجتماع دیگر با انواع افراد احمق ونادانی که از معادل الکترونیکی نوشتن روی دیوارها با اسپری رنگی لذت می برند یا باکس پست را تکه تکه می کنند یا فقط وسط خیابان می نشینند و بوق ماشین شان را به صدا در می آورند مختل می شود . بعضی افراد سعی دارند روی اینترنت کار واقعی انجام دهند و بعضی دیگر هم داده های حساس و شخصی دارند که باید پشتیبانی کنند . معمولا هدف یک firewall دور نگه داشتن این افراد نادان از شبکه شماست در حالی که اجازه می دهد به کارتان هم ادامه دهید .

دانلود پاور پوینت ارائه فایروال

اختصاصی از کوشا فایل دانلود پاور پوینت ارائه فایروال دانلود با لینک مستقیم و پرسرعت .

مقدمه

شبکه ، نقطه ورود به یک برنامه وب است و اولین لایه حفاظتی به منظور کنترل دستیابی به سرویس دهندگان متعدد موجود در محیط عملیاتی را فراهم می نماید . با این که سرویس دهندگان توسط سیستم های عامل نصب شده بر روی خود حفاظت می گردند ولی نمی بایست به این موضوع صرفا" اکتفاء نمود و لازم است که تدابیر لازم به منظور حفاظت آنها در مقابل سایر تهدیدات ( نظیر ارسال سیلابی ‌از بسته های اطلاعاتی از طریق لایه شبکه ) نیز اندیشیده گردد .

ایمن سازی شبکه ، شامل حفاظت از دستگاه های شبکه ای و داده مبادله شده بر روی آنها می باشد . روتر ،‌ فایروال و سوئیچ عناصر اولیه زیرساخت یک شبکه را تشکیل می دهند . شکل زیر نحوه استفاده از عناصر فوق را در یک شبکه نشان می دهد .

مقدمه
عناصر موجود در زیرساخت شبکه
فایروال ( firewall ) چیست؟
نسل های متفاوت فایروال
روند شکل گیری فایروال ها
ایجاد یک منطقه استحفاظی ( security perimeter )
فایروال چه کار می کند ؟
فایروال ها چگونه کار می کنند؟
بهینه سازی استفاده از فایروال
فایروال در برابر چه خطراتی از ما محافظت می کنند؟
چه نوع فایروال هائی وجود دارد ؟
انواع فایروال
لایه های دیواره آتش
موقعیت یابی برای فایروال
نحوه پیکربندی بهینه یک فایروال به چه صورت است ؟
انواع دیواره های آتش
نحوه استفاده از فایروال ویندوز XP
ضرورت استفاده از فایروال
نحوه فعال نمودن فایروال در ویندوز XP
آیا می توان بیش از یک فایروال نرم افزاری را بر روی یک سیستم نصب نمود ؟
فایروال بر روی چه برنامه هائی تاثیر می گذارد ؟
چگونه می توان فایروال را برای یک برنامه خاص فعال نمود ؟
آیا فایروال با بازی های اینترنتی کار می کند ؟
آیا باز نمودن پورت های فایروال خطرناک است؟
چگونه می توان صفحه مربوط به نمایش پیام های هشداردهنده امنتی فایروال ویندز را غیرفعال نمود ؟
فایروال ویندوز چه کارهایی می کند و چه کارهایی نمی کند!
آشنایی با فایروال McAfee Personal Firewall Plus

چرا فایروال ها همیشه کافی نیستند؟
نکاتی در رابطه با استفاه از فایروال

دانلود تحقیق فایروال های سخت افزاری

اختصاصی از کوشا فایل دانلود تحقیق فایروال های سخت افزاری دانلود با لینک مستقیم و پرسرعت .

...