فایروال (Firewall)

احتمالا شما با مفهوم فایروال (Firewall) آشنا هستید , فایروال یک سیستم امنیتی است که با هدف محافظت شبکه یک سازمان در مقابل تهدیدهای خارجی طراحی شده است
این سیستم امنیتی که معمولا ترکیبی از سخت افزار و نرم افزار است , از ارتباط مستقیم کامپیوترهای موجود در شبکه سازمان با کامپیوترهای موجود در شبکه سازمان با کامپیوترهای خارج از شبکه جلوگیری می کند

فایروال های مختلفی موجود است و همه آنها دقیقا نامزد برای دستیابی صفحات امن نیستند
فایروال ها شاید به منظور محدود کردن اتصال به و از محتویات اطلاعات حساس و یا برنامه ها از قبیل حسابداری و ساختمان های کارکنان است

checkpoint VPN-1 ماشینی است که سیاست امنیتی سازمان و عمل ها را به عنوان یک اصل اجرای امنیتی اجرا می کند
اغلب فایروال را security Gateway خواهیم نامید

به منظور فهمیدن قابلیت پایه ای فایروال , مشاهده مختصری از وضع مدل OSI مفید است

لایه اول شبکه (فیزیکی)
بیانگر اتصالات فیزیکی سخت افزاری یا رسانه های مورد احتیاج بوده از قبیل کارت های شبکه , کابل ها یا هاب ها است

لایه دوم شبکه (پیوند داده)
بیانگر بسته بندی و نشانی دهی داده ها و مدیریت جریان انتقالات است
MAC آدرس ها بوسیله تولیدکنندگان در اینترفیس های شبکه قرار داده شده اند
یک مثال از یک وسیله فیزیکی که در این لایه انجام وظیفه می کند سوئیچ است

لایه سوم شبکه (شبکه)
بیانگر انتقال ترافیک شبکه به مقصد مورد نظر در WAN ها است
یک مثال از یک وسیله فیزیکی که در این لایه به انجام وظیفه می پردازد روتر است

لایه چهارم شبکه (انتقال)
بیانگر و مسئول کیفیت خدمات است و هم مسئول تحویل درسا اطلاعات , از جمله کارهایی که در این لایه انجام می شوند, می توان به خطایابی و تصحیح خطاها اشاره نمود

لایه پنجم شبکه (نشست)
این لایه وظیفه مدیریت جزئیاتی را بر عهده دارد که دو وسیله ارتباطاتی می بایست درباره آن توافق نمایند

لایه ششم شبکه (نمایش)
این لایه مسئول فرمت کردن اطلاعات را برای نمایش یا چاپ را برعهده دارد

لایه هفتم شبکه (کاربرد)
این لایه در واقع بالاترین لایه در مدل مرجع OSI است
این لایه دارای سیگنال هایی است که کارهای مفیدی برای کاربر از جمله انتقال فایل یا دستیابی به یک کامپیوتر راه دور را انجام می دهد
مثال های این لایه عبارتند از HTTP,FTP,Telnet,POP3,SMTP

مکانیزم ها (طرز کار) برای کنترل ترافیک شبکه
هر فایروال باید اجازه و یا رد ترافیک را مبتنی بر قانون های تعریف شده صریح بدهد

chekpoint از تکنولوژی های ذیل برای موافقت یا رد ترافیک شبکه استفاده می کند
Packet Filtering
Stateful Inspection
Smart Defense-Application Intelligence

Packet Filtering
اساسا , پیغام ها به بسته ها تقسیم شده اند که شامل اطلاعات و آدرس مقصد هستند.بسته ها به صورت واحد از یک وسیله به یک وسیله دیگر خیلی اوقات به مسیرهای مختلف انتقال می یابند
زمانی که بسته ها به مقصدشان رسیدند , به پیغام اصلی برگردانده می شوند
packet filtering فرآیند کنترل دستیابی به شبکه بر اساسنشانی های IP است.فایروال ها اغلب فیلترهایی دارند که امکان ورود به یک شبکه محلی یا خروجی از آن را برای کاربران فراهم نموده و یا از این کار پیشگیری می کنند
Packet Filtering ها معمولا درلایه سوم (network) و چهارم (Transport) مدل OSI به انجام وظیفه می پردازند

در کل , قانون ها شامل عنصرهای ذیل هستند
Source address
Destination address
Source port
Destination port
Protocol

فایروال packet filter از آن نوع فایروال هایی (firewall ) هستند که امنیت کمتری دارند زیرا آنها نمی توانند مقادیری که برای ارتباط معین شده است را بفهمند

StateFul Inspection
stateful inspection یک تکنولوژی است که checkpoint , ترکیبات اطلاع لایه چهارم در استاندارد معماری فایروال packet filter توسعه و انحصار داده شده است
sateful اصطلاحی در ارتباط با سیستم یا فرآیندی که برتمامی جزئیات وضعیت فعالیتی که در آن شرکت دارد نظارت می کند.به عنوان مثال , سیستمی که پیام ها را مدیریت می کند , محتوای پیام ها را نیز در نظر دارد
به عنوان مثال , فایروال های stateful inspection یک درجه امنیت در برابر port scanning , بوسیله بستن تمام پورت ها تا زمانی که پورت ویزه احتیاج باشد را تامین می کند
ماشین بازرسی کردن )inspect engine) , checkpoint مکانیزمی است که برای استخراج کردن اطلاعات در جدول وضعیت پویا برای ارزیابی کردن اتصالات بعدی نگه داری شده است
inspect engine واردکردن policie های امنیتی بر روی security gateway را که مستقر هستند را اجرا می کند

Application Intelligence
یک نوع رشد از حملات مبادرت به بهربرداری کردن از آسیب پذیری در برنامه های شبکه , نسبت به هدف فایروال های سرراست است
application intelligence یک مجموعه از قابلیتهای پیشرفته , درست شده در checkpoint defence است که حملات لایه application را پیدا و پیش گیری می کند
application inteligence اصولا با دفاع کردن از لایه application کار می کند

Security policy management
check point به واسطه سرتاسر امنیت چهار لایه های بحرانی از امنیت شبکه به فضای احاطه شده شبکه , هسته , وب و نقطه پایانی شبکه را فراهم کرده است
این معماری امنیت متحد شده در تنظیمات policy , monitoring , logging , آنالیز و گزارش گیری در یک مرکز کنترل داده شده است

سیستم check point برای یکی شدن مدیریت شبکه (Secuity Management Architecture (SMART نامیده شده است
یک برنامه واحد به نام smart console به منظور تهیه همه عنصرهای لازم برای رسیدن به تمام متحدشده ها مورد استفاده قرار می گیرد

اجزای smart console
smart console از چندین اتاقک برای استفاده اداره کردن اجزای VPN-1 شامل شده است
این اتاقک ها شامل موارد زیر است

smart dash board
smart view tracker
smart portal
smart directory
smart view monitor
smart map
smart update
smart LSM
eventia reporter
Eventia analyzer

Smart dashboar
یک رابط کاربر جامع منفرد برای معین و اداره کردن عناصر چندگانه از یک security policy و امنیت فایروال , VPN , NAT , محتویات و دستیابی امنیت وب , desktop secuity و امنیت آنتی ویروس ها , QOS است
smart dashboar چک پوینت به شما اجازه معین کردن security ها و قوانین را می دهد
۹ نوع tab به منظور , معین کردن , پیکربندی یا اداره کردن شبکه های چک پوینت (check point) موجود است

۱.Seurity policy
پارامترهای مفید برای معین کردن پایگاه قانون (rule base) برای شبکه هایتان فراهم شده است , در اینجا , شما چگونگی اتصالات اجازه و یا رد شده , تصدیق و پنهان شده را تعیین می کنید.

۲.Network Address Translation policy
چگونگی آدرس IP رزرو شده داخلی به آدرس IP های خارجی مورد تائید را تعیین خواهد کرد.

۳.Smart Defense
یک مشاهده از انواع حملات و مکانیزم های مکاتبه کننده از محافظت شان , امنیت پیکربندی های شبکه , application intelligence , web intelligence و ایجاد ساختن پروفایل های smart defense برای gateway های مختلف را می دهد

۴.content inspection
پیکربندی های اسکنهای آنتی ویروس یکی شده و پارامترهای مناسب web filtering را انجام می دهد

۵.Smart Defense Service
به روز رسانی اتوماتیک smart defense , web intelligence با جدیدترین update و توانایی و مشاهده آخرین محتویات امنیت مورد احتیاج توسط check point را می دهد

۶.connectra
تمامی اتصالات gateway , کاربرها و برنامه هایی که تعریف و پیکربندی شده ,( Integrity Clientless Security(ICS و میزان های Smart defense که بر روی gateway خاصی فعال شده است را اجرا می کند

۷.VPN Manager policy
به منظور اداره اتصالات VPN استفاده می شود

۸.Qualiy Of service(QOS) Policy
تخصیص پهنای باند منابع در میان اتصالات , توان عملیاتی بیشینه سازی را تعیین می کنند

۹.Desktop Security policy
به منظور کنترل دستیابی به Desk top ها , به هر دوی شبکه محلی و آنهایی که اتصالات remote هستند استفاده شده است

smart view tracker
برای اداره و پیکربندی log ها و اعلام خطرها استفاده می شود

Smart view monitor
مبتنی بر  تکنولوژی  smart view monitor, SMARTیک اینترفیس مرکزی برای مانیتورینگ فعالیت شبکه و اجرای برنامه های checkpoint را فراهم می کند.

Smart Map
یک ابزار تجسم فکری امنیتی است که جزئیات را در نقشه گرافیکی از یک توسعه سازمان یافته را فراهم می کند

نصب اجزای فایروال بر روی کامپیوتر

مراحل مختلفی که اجزای VPN-1 بر روی یک کامپیوتر نصب شده اند
محصولات checkpoint مبتنی بر سه رده معماری تکنولوژی  , که یک نوعی از قرارگیری ترکیب شده از یک security gateway , smart center server و یک smart console که معمولا smart dashboard است می باشد .اینها راه های مختلف قرار دادن اجزایشان است
در همه قرار گیری ها , smart console می تواند در هر ماشینی نصب شود.

قرارگیر وضع یکتا (stand-alone deployment)
ساده ترین قرارگیری است که smart center server و gateway در یک ماشین نصب شده اند

قرارگیری توزیع شده (distributed deployment)
قرارگیری مجموعه بیشتری است که gatway , smart center server برروی ماشینهای مختلفی قرار گرفته اند.

اجازه ها (licenses)
برای استفاده معین محصولات checkpoint و خصوصیات است checkpoint احتیاج به استفاده smart update برای مدیریت اجازه ها دارد.

دخول به سیستم (login)
مراحلی که مدیر سیستم به smart center server با استفاده از یک smart console متصل می شود را گوئیم.
روش توصیه شده برای دخول به سیستم smart center server استفاده از یک certificate است

objects
تعریف و اداره کردن اجزای واقعی شبکه از قبیل کاربرها , geteway ها و سرورها و شبکه ها در smart dashboard را گوئیم

بسته policy
مجموعه ای از policy ها که برروی gateway اجرا و انتخاب شده اند را گوئیم.این policy ها ممکن است شامل انواع مختلف policy ها از قبیل security policy یا QOS Policy باشد.

security policy
تعریف های قوانین و شرایط که کدام ارتباط تائید شده به ورود و خروج از سازمان باشد را گوئیم

log server
مخزن برای ورودی های log تولید شده بر gateway را گوئیم.یک log معمولا بر روی ماشین مشابه که به عنوان smart center server است نصب می شود.

smart dashboard
smart console برای ساختن , تغییر و نصب policy ها استفاده شده است.

users( کاربران)
به افرادی که در smart dashboard به عنوان کاربر یک سازمان تعریف شده است را گوییم.به عنوان مثال کاربران ممکن است کارمندان یک سازمان تعریف شده باشند

Secure Internal Communication)SIC)
SIC خصوصیات chekpoint است که اجازه ها را از قبیل security gateway ها , smart center server ها را متقاعد می کند که آزادانه و بی خطر از یک فرآیند ارتباطات ساده استفاده کنند.

میزان های امنیت برای اطمینان بی خطری از SIC به این قرار است:
certificate ها برای تصدیق (authentication)
مبنای استاندارد های SSL برای ایجاد کانال بی خطر
۳DES برای پنهان کردن

Internet Certificate Authority(ICA)
ICA در هنگامی که فرآیند نصب smart center server صورت می گیرد ساخته می شود. ICA مسئول صادر کردن certificate های SIC , VPN certificate برای gateway و کاربران است

SIC
certificate هایی است که برای smart center server و اجزایشان و مدیریت های ابزار برای فعال سازی اتصال بی خطر برای تمامی بهره برداری های وابسته checkpoint به عنوان مثال نصب policy بر اجزاه ها , ورود به سیستم , اتصال smart center server و امثال آن صادر می شود

Virula Private Network(VPN) certificate for gateways
برای فراهم ساختن کارآمد و تصدیق قوی یکپارچه در ایجاد پنهان کردن بسته VPN است

کاربران
برای فعال کردن تصدیق قوی بین کاربران دستیابی از راه دور و gateway ها است