انجام پایان نامه

درخواست همکاری انجام پایان نامه  بانک مقالات رایگان انجام پایان نامه

سفارش پایان نامه

|

انجام پایان نامه ارشد

 پایان نامه 

پایان نامه‏ کامپیوتر

انجام پایان نامه‏ ارشد کامپیوتر

چکیده:



________________________________________
ديواره آتشين (Fire wall) سيستمى است بين كاربران يك شبكه محلى و يك شبكه بيرونى (مثل اينترنت( كه ضمن نظارت بر دسترسى ها، در تمام سطوح، ورود و خروج اطلاعات را تحت نظر دارد. بر خلاف تصور عموم كاربرى اين نرم افزارها صرفاً در جهت فيلترينگ سايت ها نيست. براى آشنايى بيشتر با نرم افزارهاى ديواره هاى آتشين، آشنايى با طرز كار آنها شايد مفيدترين راه باشد. در وهله اول و به طور مختصر مى توان گفت بسته هاى TCP/IP قبل و پس از ورود به شبكه وارد ديواره آتش مى شوند و منتظر مى مانند تا طبق معيارهاى امنيتى خاصى پردازش شوند. حاصل اين پردازش احتمال وقوع سه حالت است
-۱  اجازه عبور بسته صادر مى شود
- ۲ بسته حذف مى شود
-۳  بسته حذف مى شود و پيام مناسبى به مبدا ارسال بسته فرستاده مى شود.

• ساختار و عملكرد
با اين توضيح، ديواره آتش محلى است براى ايست بازرسى بسته هاى اطلاعاتى به گونه اى كه بسته ها براساس تابعى از قواعد امنيتى و حفاظتى پردازش شده و براى آنها مجوز عبور يا عدم عبور صادر شود. همانطور كه همه جا ايست بازرسى اعصاب خردكن و وقت گير است ديواره آتش نيز مى تواند به عنوان يك گلوگاه باعث بالا رفتن ترافيك، تاخير، ازدحام و بن بست شود.
از آنجا كه معمارى TCP/IP به صورت لايه لايه است (شامل ۴ لايه: فيزيكى، شبكه، انتقال و كاربردى) و هر بسته براى ارسال يا دريافت بايد از هر ۴ لايه عبور كند بنابراين براى حفاظت بايد فيلدهاى مربوطه در هر لايه مورد بررسى قرار گيرند. بيشترين اهميت در لايه هاى شبكه، انتقال و كاربرد است چون فيلد مربوط به لايه فيزيكى منحصر به فرد نيست و در طول مسير عوض مى شود. پس به يك ديواره آتش چند لايه نياز داريم.
سياست امنيتى يك شبكه مجموعه اى از قواعد حفاظتى است كه بنابر ماهيت شبكه در يكى از سه لايه ديواره آتش تعريف مى شوند. كارهايى كه در هر لايه از ديواره آتش انجام مى شود عبارت است از:
-۱ تعيين بسته هاى ممنوع (سياه) و حذف آنها يا ارسال آنها به سيستم هاى مخصوص رديابى (لايه اول ديواره آتش)
-۲ بستن برخى از پورت ها متعلق به برخى سرويس ها مثلTelnet، FTP و... (لايه دوم ديواره آتش)
-۳ تحليل برآيند متن يك صفحه وب يا نامه الكترونيكى يا .... (لايه سوم ديواره آتش)
•••
در لايه اول فيلدهاى سرآيند بسته IP مورد تحليل قرار مى گيرد:
آدرس مبدأ: برخى از ماشين هاى داخل يا خارج شبكه حق ارسال بسته را ندارند، بنابراين بسته هاى آنها به محض ورود به ديواره آتش حذف مى شود.
آدرس مقصد: برخى از ماشين هاى داخل يا خارج شبكه حق دريافت بسته را ندارند، بنابراين بسته هاى آنها به محض ورود به ديواره آتش حذف مى شود.
IP آدرس هاى غيرمجاز و مجاز براى ارسال و دريافت توسط مدير مشخص مى شود.
شماره شناسايى يك ديتا گرام تكه تكه شده: بسته هايى كه تكه تكه شده اند يا متعلق به يك ديتا گرام خاص هستند حذف مى شوند.
زمان حيات بسته: بسته هايى كه بيش از تعداد مشخصى مسيرياب را طى كرده اند حذف مى شوند.
بقيه فيلدها: براساس صلاحديد مدير ديواره آتش قابل بررسى اند.
بهترين خصوصيت لايه اول سادگى و سرعت آن است چرا كه در اين لايه بسته ها به صورت مستقل از هم بررسى مى شوند و نيازى به بررسى لايه هاى قبلى و بعدى نيست. به همين دليل امروزه مسيرياب هايى با قابليت انجام وظايف لايه اول ديواره آتش عرضه شده اند كه با دريافت بسته آنها را غربال كرده و به بسته هاى غيرمجاز اجازه عبور نمى دهند.
با توجه به سرعت اين لايه هر چه قوانين سختگيرانه ترى براى عبور بسته ها از اين لايه وضع شود بسته هاى مشكوك بيشترى حذف مى شوند و حجم پردازش كمترى به لايه هاى بالاتر اعمال مى شود.
•••
در لايه دوم فيلدهاى سرآيند لايه انتقال بررسى مى شوند:
شماره پورت پروسه مبدأ و مقصد: با توجه به اين مسئله كه شماره پورت هاى استاندارد شناخته شده اند ممكن است مدير ديواره آتش بخواهد مثلاً سرويس FTP فقط براى كاربران داخل شبكه وجود داشته باشد بنابراين ديواره آتش بسته هاى TCP با شماره پورت ۲۰ و ۲۱ كه قصد ورود يا خروج از شبكه را داشته باشند حذف مى كند و يا پورت ۲۳ كه مخصوص Telnet است اغلب بسته است. يعنى بسته هايى كه پورت مقصدشان ۲۳ است حذف مى شوند.
كدهاى كنترلى: ديواره آتش با بررسى اين كدها به ماهيت بسته پى مى برد و سياست هاى لازم براى حفاظت را اعمال مى كند. مثلاً ممكن است ديواره آتش طورى تنظيم شده باشد كه بسته هاى ورودى با SYN=1 را حذف كند. بنابراين هيچ ارتباط TCP از بيرون با شبكه برقرار نمى شود.
فيلد شماره ترتيب و :Acknowledgement بنابر قواعد تعريف شده توسط مدير شبكه قابل بررسى اند.
در اين لايه ديواره آتش با بررسى تقاضاى ارتباط با لايه TCP، تقاضاهاى غيرمجاز را حذف مى كند. در اين مرحله ديواره آتش نياز به جدولى از شماره پورت هاى غيرمجاز دارد. هر چه قوانين سخت گيرانه ترى براى عبور بسته ها از اين لايه وضع شود و پورت هاى بيشترى بسته شوند بسته هاى مشكوك بيشترى حذف مى شوند و حجم پردازش كمترى به لايه سوم اعمال مى شود.
•••
در لايه سوم حفاظت براساس نوع سرويس و برنامه كاربردى صورت مى گيرد:
در اين لايه براى هر برنامه كاربردى يك سرى پردازش هاى مجزا صورت مى گيرد. بنابراين در اين مرحله حجم پردازش ها زياد است. مثلاً فرض كنيد برخى از اطلاعات پست الكترونيكى شما محرمانه است و شما نگران فاش شدن آنها هستيد. در اينجا ديواره آتش به كمك شما مى آيد و برخى آدرس هاى الكترونيكى مشكوك را بلوكه مى كند، در متون نامه ها به دنبال برخى كلمات حساس مى گردد و متون رمزگذارى شده اى كه نتواند ترجمه كند را حذف مى كند. يا مى خواهيد صفحاتى كه در آنها كلمات كليدى ناخوشايند شما هست را حذف كند و اجازه دريافت اين صفحات به شما يا شبكه شما را ندهد.
• انواع ديواره هاى آتش
دیواره هاى آتش هوشمند:
امروزه حملات هكرها تكنيكى و هوشمند شده است به نحوى كه با ديواره هاى آتش و فيلترهاى معمولى كه مشخصاتشان براى همه روشن است نمى توان با آنها مقابله كرد. بنابراين بايد با استفاده از ديواره هاى آتش و فيلترهاى هوشمند با آنها مواجه شد.
از آنجا كه ديواره هاى آتش با استفاده از حذف بسته ها و بستن پورت هاى حساس از شبكه محافظت مى كنند و چون ديواره هاى آتش بخشى از ترافيك بسته ها را به داخل شبكه هدايت مى كنند، (چرا كه در غير اين صورت ارتباط ما با دنياى خارج از شبكه قطع مى شود)، بنابراين هكرها مى توانند با استفاده از بسته هاى مصنوعى مجاز و شناسايى پورت هاى باز به شبكه حمله كنند.
بر همين اساس هكرها ابتدا بسته هايى ظاهراً مجاز را به سمت شبكه ارسال مى كنند.
يك فيلتر معمولى اجازه عبور بسته را مى دهد و كامپيوتر هدف نيز چون انتظار دريافت اين بسته را نداشته به آن پاسخ لازم را مى دهد. بنابراين هكر نيز بدين وسيله از باز بودن پورت مورد نظر و فعال بودن كامپيوتر هدف اطمينان حاصل مى كند. براى جلوگيرى از آن نوع نفوذها ديواره آتش بايد به آن بسته هايى اجازه عبور دهد كه با درخواست قبلى ارسال شده اند.
حال با داشتن ديواره آتشى كه بتواند ترافيك خروجى شبكه را براى چند ثانيه در حافظه خود حفظ كرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد مى توانيم از دريافت بسته هاى بدون درخواست جلوگيرى كنيم.
مشكل اين فيلترها زمان پردازش و حافظه بالايى است كه نياز دارند. اما در عوض ضريب اطمينان امنيت شبكه را افزايش مى دهند.
ديواره هاى آتش مبتنى بر پروكسى:
ديواره هاى آتش هوشمند فقط نقش ايست بازرسى را ايفا مى كنند و با ايجاد ارتباط بين كامپيوترهاى داخل و خارج شبكه كارى از پيش نمى برد. اما ديواره هاى آتش مبتنى بر پروكسى پس از ايجاد ارتباط فعاليت خود را آغاز مى كند. در اين هنگام ديواره هاى آتش مبتنى بر پروكسى مانند يك واسطه عمل مى كند، به نحوى كه ارتباط بين طرفين به صورت غيرمستقيم صورت مى گيرد. اين ديواره هاى آتش در لايه سوم ديواره آتش عمل مى كنند، بنابراين مى توانند بر داده هاى ارسالى در لايه كاربرد نيز نظارت داشته باشند.
ديواره هاى آتش مبتنى بر پروكسى باعث ايجاد دو ارتباط مى شود:
۱ - ارتباط بين مبدا و پروكسى
۲ - ارتباط بين پروكسى و مقصد
حال اگر هكر بخواهد ماشين هدف در داخل شبكه را مورد ارزيابى قرار دهد در حقيقت پروكسى را مورد ارزيابى قرار داده است و نمى تواند از داخل شبكه اطلاعات مهمى به دست آورد.
ديواره هاى آتش مبتنى بر پروكسى به حافظه بالا و CPU بسيار سريع نياز دارند و از آنجايى كه ديواره هاى آتش مبتنى بر پروكسى بايد تمام نشست ها را مديريت كنند گلوگاه شبكه محسوب مى شوند. پس هرگونه اشكال در آنها باعث ايجاد اختلال در شبكه مى شود.
اما بهترين پيشنهاد براى شبكه هاى كامپيوترى استفاده همزمان از هر دو نوع ديواره آتش است. با استفاده از پروكسى به تنهايى بارترافيكى زيادى بر پروكسى وارد مى شود. با استفاده از ديواره هاى هوشمند نيز همانگونه كه قبلاً تشريح شد به تنهايى باعث ايجاد ديواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع ديواره آتش به صورت همزمان هم بار ترافيكى پروكسى با حذف بسته هاى مشكوك توسط ديواره آتش هوشمند كاهش پيدا مى كند و هم با ايجاد ارتباط واسط توسط پروكسى از خطرات احتمالى پس از ايجاد ارتباط جلوگيرى مى شود.
________________________________________

توضیح:
________________________________________
فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.
در این بخش در ابتدا چندین ویژگی فایروال را مشاهده رامشاهده می کنیم سپس انواع فایروال هایی که به طور جاری مورد استفاده عموم هستند را مشاهده می کنیم.
سر انجام به بررسی پیکربندی برخی از فایروالهایی که عمومیت دارند می پردازیم.
خصوصیات Firewall :
مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:
1-  توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار  می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.
2-  بازدید حجم بالایی از بسته های اطلاعات: یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.
3-  سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه  و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است.
4-  امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است:
الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.
ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.
 اصول طراحی Firewall :
کنترل سرویس:تعیین انواعی از خدمات شبکه که می تواند در داخل ویا خارج محدوده مورد نظر در دسترس باشد.فایروال می تواند فیلتری برای عبور مرور در واحد آدرس IP و شماره دریچه ی TCP  باشد ویا می تواند نماینده دریافت تقاضا ی دادن سرویس جهت دریافت ویا فشرده سازی اطلاعات قبل از ورود به گذرگاه باشد.و یا امکانات میزبان به سرور نرم افزاری خودشاز جمله خدمات شبکه و یا ارسال نامه را فراهم سازد.
مدیریت کنترل:اتخاذ دستور که مختص تقاضاهای آغازین است و مجاز توسط فایروال باشد.
USER CONTROl:کنترل دستیابی به خدمات مطابق با کاربرانی که مبادرت به دستیابی آن می  کنند.این خصوصیت به طور نمونه در محیط داخلی فایروال به کار برده می شود که به کاربران محلی این امکان را می دهد که حجم ترافیک داده های  کاربران خارجی را کاهش دهند.اخیرا برخی از تکنولوژیهای سند امنیتی چنین اند.بطوریکه در IPsec آماده می شوند.
کنترل رفتار:کنترل ها مخصوص خدمات هستند. برای مثال فایروال می تواندفیلتری برای
دادن ایمیل جهت حذف spam است ویافعال کردن دسته  خارجی به قسمتی ازاطلاعات در  سرور شبکه محلی است. قبل از بررسی جزءیات  انواع فایروال و پیکربندی آنها بهتر است خلاصه ای از انتظاراتمان را از فایروال بررسی کنیم امکاناتی که از فایروال انتظار داریم به صورت زیر است:
1-    فایروال  کانونی تعریف می کند که دسترسیهای غیر مجاز خارج از حفاظت شبکه را نگه می داردو از تخریب داده وآسیبهای سرویس دهی جلوگیری می کند.از آسیبهای جدی که از دستکاری داده و یا رها کردن شبکه است و امنیت انواع گوناگون کلاهبرداریهای IP و حجوم مسیریابیها جلوگیری می کند.از این رو امنیت را تضمین می کند.
2-    فایروال مکانهایی را برای نظارت بر EVENT هایی که به امنیت وابستهاند فراهم می کند .
3-    فایروال سکوی مناسبی برای عملکردهای جداگانه شبکه اینترنت است که امنیت ندارند.اینان شامل مترجم های آدرسند که آدرسهای محلی را به آدرس های شبکه می نگارندو عملکرد مدیریت شبکه که به بررسی موقعیت سیستم ویا عرف  تماسهای شبکه است می پردازند.
4-    فایروال می تواند سکوی خدمات IPsec باشد.استفاده از کانالهای محاوره ای قابلیتها را در بخش 13 توصیف می کند.فایروال می تواند قابلیت استفاده از شبکه خصوصی را فراهم سازد.
فایروال می تواند محدودیتهایی نیز بوجود آورد.که در ذیل آمده است:
1-فایروال در مقابل حمله های bypass نمی تواند محافظت کند.سیتم های داخلبی می توانند قابلیت تماس با ISP را دارا باشند.
2- فایروال نمی تواند در مقابل تهدید ها محافظت کند
3- فایروال در مقابل انتقال ویروسها توسط فایلهاو برنامه ها  نمی تواند محافظت






انجام پایان نامه

انجام پایان نامه کامپیوتر، انجام پایان نامه ارشد کامپیوتر، انجام پایان نامه، پایان نامه

برای دیدن ادامه مطلب از لینک زیر استفاده نمایید

 

سفارش پایان نامه

نقشه