ديوار آتش و نحوه عملكرد آن
ديوار آتش سيستمي است كه در بين كاربران يك شبكه محلي و شبكه بيروني مثل اينترنت قرار مي گيرد و ضمن نظارت بر دسترسي ها در تمام سطوح ورود و خروج اطلاعات را تحت كنترل دارد .
در شكل مدلي از ديواره آتش را مشاهده مي كنيد:
دراين شكل موقعيتي از ديواره آتش و نحوه بكارگيري آن نشان داده شده است.
در اين ساختار هر سازمان يا نهادي كه بخواهد ورود يا خروج اطلاعات داشته باشد و اين ورود و خروج را كنترل كند بايد در ابتدا موظف است تمام ارتباطات مستقيم شبكه محلي خود را با دنياي خارج قطع كرده و هرگونه ارتباط با دنياي خارج صرفا از طريق يك در وازه كه در شكل مشخص است انجام مي شود.
قبل از آنكه اجزاي يك ديواره آتش را تحليل كنيم بايد عملكرد كلي و مشكلات استفاده از اين ديواره آتش را بررسي كنيم .
در شكل زير مدل ساده تري از ديواره آتش را ميبينيم..
نحوه كار به شرح زير است :
بسته هاي IP قبل از مسير يابي بر روي شبكه اينترنت ابتدا وارد ديواره آتش مي شوند و منتظر مي مانند طبق معيار هاي حفاظتي و امنيتي پردازش شوند.پس از پردازش و تحليل بسته سه حالت زير ممكن است رخ دهد :
- اجازه عبور بسته صادر شود(Accept mode)
- بسته حذف گردد (Bloching mode)
- بسته حذف شده و پاسخ مناسبي به مبداء ارسال بسته فرستاده شود (Response mode) (به غير از پيغام حذف بسته ممكن است عملياتي نظير ثبت در فايل هاي ثبت رخداد –Event log- رد گيري و اخطار به خاطي ، جلوگيري از ادامه دسترسي به شبكه و توبيخ هم درنظر گرفت )
در واقع ديواره آتش محل است براي ايست و بازرسي بسته هاي اطلاعاتي به گونه اي كه بسته ها بر اساس تابعي از قواعد امنيتي و حفاظتي پردازش شده و براي آن ها مجوز عبور يا عدم عبور صادر شود.
اگر pمجموعه اي از بسته هاي ورودي به ديواره آتش باشد و s مجموعه متناهي از قواعد امنيتي باشد داريم:
X= F(P,S)
Fتابع عملكرد ديواره آتش وx نتيجه تحليل بسته است كه شامل سه حالت زير است :
- Response
- Accept
- Bloching
همانطور كه در همه جا عمليات ايست و بازرسي وقت گير و اعصاب خرد كن است ديواره آتش هم به عنوان يك گلوگاه مي تواند منجر به بالا رفتن ترافيك ، تأخير ازدحام و نهايتا بن بست شبكه بشود.
بن بست زماني رخ مي دهد كه بسته ها آنقدر در حافظه ديواره آتش معظل مي شوند تا ظول عمرشان تمام شود و فرستنده اقدام به ارسال مجدد آنها كرده و اين كاربه طور متناوب صورت مي گيرد.به همين دليل ديواره آتش نياز به طراحي صحيح و دقيق دارد تا از حالت گلوگاه خارج شود. لذا گفتني است تاخير در ديواره آتش اجتناب نا پذير است فقط بايد طوري صورت بگيرد كه بحران ايجاد نكند.
اگر از ديدگاه نظريه صف (Queuing theory) به يك ديواره آتش نگاه كنيم مي توان تخميني از تاخير تحميل شده به هر بسته را بدست آورد . معمولا تابع توزيع بسته ها را در شبكه اطلاعاتي پوآسون در نظر مي گيرند.
در شكل زير فرض كنيد n λ متوسط انتقال بسته هاي IP در واحد زمان از شبكه N به ديواره آتش باشد و m λ متوسط انتقال بسته در واحد زمان از شبكه M باشد .q را احتمال عبور بسته Pm و r را احتمال عبور بسته Pn فرض كنيد طبق شكل داريم :
متوسط بسته هاي حذف شده : =(1-q ) m λ+(1-r) n λ
r . m λ =: متوسط انتقال بسته از ديواره آتش به شبكهM
n λ r .= : متوسط انتقال بسته از ديواره آتش به شبكهN
طبق نظريه صف اگر ديواره آتش بخواهد از نقش گلوگاهي خود بكاهد بايستي به گونه اي طراحي شود كه نسبت متوسط خروجي بسته ها از ديواره آتش (μ ) به ورودي بسته ها (λ/ μ ) تا حد امكان زياد باشد كه اين كار منوط به افزايش سرعت پردازش ، داشتن حافظه كافي براي ذخيره بسته هاي پردازش نشده و هرچه سريعتر كردن تابع تصميم گيري مي باشد.
مشكل زماني حاد مي شود كه ديواره آتش مجبور باشد براي تصميم گيري و اجازه عبور تعداد زيادي از بسته ها را معطل نگه دارد تا تصميم گيري براي مجموعه اي از بسته ها ( مبتني بر سابقه يا stateful) انجام بشود .
اين موضوع در ادامه روشن تر مي شود .
در بحث بعدي به مباني طراحي ديواره آتش خواهيم پرداخت.
منبع: مهندسي اينترنت