سلام دوستان عزیز یه نظر هم بدید بد نیست ها

فیلترهای قدیمی بسته محدودیت کاربرد دارند برای اینکه تنها در اطلاعات عنوان خاصی از بسته نگاه می کند و تصمیم گیری نمایند. چطور می توانیم این نظریه اساسی را بهبود دهیم تا فیلترهای قویتری را ایجاد کنیم ؟ فیلترهای حالت پذیر بسته با مسائل فیلترهای قدیمی بسته  و با افزودن هوش بیشتر به فرآیند تصمیم گیری فیلتر بسته سروکار دارند. علاوه بر تصمیم گیری ها بر اساس تمام اجزای مورد استفاده با فیلترقدیمی بسته، فیلترهای حالت پذیر به فرآیند و پردازش داده ها، حافظه اضافه نمایند. فیلتر حالت پذیر بسته  می تواند بسته های اولیه ای را بخاطر بسپارد که از درون دستگاه عبور می کنند و دوباره بسته های قبلی بر اساس این حافظه تصمیم گیری می کنند.

بدین خاطر حالت پذیر نامیده می شوند چون بسته ها را بخاطر می سپارند.

این شکل به خاطر سپاری در جدول حالت اجرا می گردد، مه بسیار دینامیکی می باشد برای اینکه اطلاعاتی را در مورد هر ارتباط فعال ذخیره نماید.

وقتی بسته که بخشی از شروع دوره کار می باشد ( بسته TCP با کدبیت SYN ) ارسال می گردد.جدول  حالت آنرا به اطر می سپارد. وقتی بسته جدیدی سعی می کند از طریق دستگاه عبور کند، فیلتر بسته جدول حالت و قاعده آن مورد ملاحظه قرار می گیرد. اگر قواعد امکان ارسال بسته ها را فراهم آورند و تنها اگر بخشی از ارتباط اولیه باشند، فیلترگیری حالت پذیر بسته به شرطی بسته را انتقال خواهد شد. از جهات دیگر از انتقال ACK جلوگیری خواهد شد، برای اینکه بخشی از ارتباط منطقی نمی باشد.

جدول حالت، بسته های گوناگون را در یک محدوده زمانی به خاطر خواهد سپرد که معمولابین 10 ثانی و 90 ثانیه می باشد، یا حتی طولانی ترین نیز می گردد. پس از آن دوره زمانی، اگر بسته های بیشتری با شکلی در جدول حالت همراه نباشد، آن شکل حذف می گردد، یعنی بسته های بیشتری برای ارسال از آن مجاز نمی باشد.

حال مثال قبلی از پاسخهای مجاز به درخواستهای وب با فرض در نظر بگیرید که هر بسته TCP، دروازه ای با شماره بالا می رود اگر بیت ACK تنظیم باشد هکر می تواند با استفاده ابزاری که بسته هایی را با کدبیت ACK تولید می نماید بطور ساده بسته هایی را از طریق این فیلتر ارسال می کند تا کل شبکه مورد حفاظت ما را بررسی کند. به عبارت دیگر، فیلتر حالت پذیر بسته در مقابل درخواست وب اصلی بسته ارسالی ACK را به یاد خواهد آورد.بنا براین ، تنها به بسته ACK اجازه دخول به شبکه را خواهد داد اگر سیستمی حاصل شود که به شکل SYN در جدول حالت منعکس می گردد. اگر هکر در تلاش برای ارسال بسته های ACK ار آدرس ها و دروازه ها برای حالتی باشد که SYN اولیه در آن وجود ندارد، فیلتر حالت پذیر بسته از انتقال بسته ها جلوگیری به عمل خواهد آورد.

علاو بر بخاطر سپردن کدبیت های TCP، فیلتر حالت پذیر بسته نیز می تواند بسته های UDP را تنها وقتی مجاز نماید که بسته ارسالی قبلی وجود داشته باشد. بعلاوه، فیلتر گیری حالت پذیر بسته نیز به لیمنی بیشتر سرویس هایی پیچیده تر کمک می نماید.

با این تکنیک ها، فیلترهای حالت پذیر بسته قابلیت بیشتری از نظر ایمنی از فیلتر های قدیمی بسته دارند. برای اینکه باید جدول های حالتشان را مد نظر بگیرند، فیلترهای حالت پذیر بسته تا اندازه ای کند تر از فیلترهای قدیمی بسته می باشند. البیته، این تغییر در حین کار معمولا به خاطر ایمنی که بسیار بهبود یافته است، غیر قابل اجتناب می باشد. بر اساس این مزایا، امروزه از راه حل های دیوار آتش بسیاری استفاده می نمایند که مبنا و اساس آنها تکنولوژییهای فیلتر گیری حالت پذیر بسته می باشد.

 فیلترهای قدیمی بسته برای بیش از یک دهه مورد استفاده قرار گرقتند، و می توانند روی مسیریاب یا دیواره آتش اجرا شوند. بر اساس نام آنها، فیلترهای بسته روی تک تک بسته ها، تحلیل اطلاعات و جهت عنوان آنها تاکید دارد. دستگاه قدیمی فیلتر بسته هر بسته عبوری از آنرا تحلیل می نماید تا تصمیم بگیرد آیا بسته باید از انتقال آن جلوگیری گردد. فیلترهای قدیمی بسته این تصمیم را با استفاده از اطلاعات زیر انجام می دهد.

آدرس IP مبدا : آیا بسته که از آدرس IP می آید، باید در هنگام ورود به شبکه مجوزداشته باشد؟ این اطلاعات از عنوان HP بسته جمع آوری می شود، دستگاه مبدا یا شبکه ارسال کننده را نشان می دهد.

آدرس IP مقصد : آیا بسته به سمت سرویس کننده ای که باید این نوع نقل و انتقال داده ها را دریافت نماید، ارسال می گردد؟ این زمینه، از عنوان IP بسته نیز دستگاه مورد نظر مقصد یا شبکه بسته را نشان می دهد.

دروازه TCP/UDPمبدا : درگاه مبد بسته چیست و آیا نرم افزار کاربردی خاصی دلالت می نماید؟ این اطلاعات از عنوان TCP یا UDP جمع آوری می گردد.

آدرس دروازهTCP/مقصد : دروازه مقصد ؟ چون سرویسهای متداول غالبا از دروازه های شناخت شده ای از RFC1700 استفاده می نمایند، از دروازه مقصد برای فراهم آوری امکان کاربردی بعضی از سرویسها استفاده می گردد، در حالیکه از مابقی صرف نظر می گردد. این اطلاعات نیز از عنوان TCP یا UDP بسته جمع آوری می گردد.

کد بیت TCP : آیا بسته دارای مجموعه بیت SYN می باشد. به این معنا که بخشی از شروع ارتباط می باشد، یا دارای مجموعه بیت  ACKمی باشد که بیانگر بخشی از ارتباطی است که قبلا برقرار شده است؟ از این اطلاعات می توان در انتخاب اینکه به بسته ها باید مجوز عبور داده شود یا تاخیر استفاده می گردد. البته، این داده ها در بسته های UDP ، که مفهومی از کدبیت هت ندارد، حضور ندارند.

پروتکل مورد استفاده : آیا باید در شبکه به این پروتکل مجوز بهره برداری داده شود، فیلتر بسته نرم افزاری ممکن است در حالی که از بکار رفتن UDP اجتناب می نماید به بسته های TCP اجازه استفاده دهد یا بالعکس.

جهت : آیا بسته بداخل دستگاه فیلتر بسته می اید یا از آن جدا می شود به دستگاه فیلتر بسته می تواند بر اساس گزینش، فیلتر عبوری بسته و بر مبنای جهت جریان بسته تصمیم بگیرد.

واسطه : آیااز شبکه مطمئن یا غیر مطمئنی ارسال می شود؟ دستگاه فیلتر بسته، بر مبنای واسطه ای که بسته را منتقل می کند، می تواند بسته هایی را ارسال نماید که جلوی انتقال داده ها را بگیرد. فیلترهای بسته (مسیریابها یا دیواره های آتش) با یکسری قواعد فیلتر گیری، با هر خط در مجموعه قواعد پیکربندی می شوند که مشخص می نماید آیا نوع داده شده بسته باید مورد قبول قرار گیرد یا باید حذف شود. این قواعد غالبا لیستهای کنترل دسترسی (ACLs) فیلتر گیری بسته نامیده می شون، بخصوص وقتی که بر روی مسیریابها اجرا می گردد. شرکتها تولید کننده نرم افزار هر کدام از یک نوع فیلتر گیری پشتیبانی می نماید که برای این قواعد، دارای دستور زبان مختص بخود می باشند، با یکسری تولیدات که زبان سفارشی را فراهممی آورند و مابقی که GUI را برای تعریف قواعد فیلترگیری بسته فراهم می آورند. بعضی از قواعد متداول فیلترگیری بسه با استفاده از زبان تعریف قابل درک طبیعی شرکت سازنده را تو جدول نوشتم.

سلام دوستان

دیواره های آتش ، ابزاری می باشند که جریان نقل و انتقال داده های عبوری بین شبکه ها را کنترل می نماید. این ابزار در مرز بین شبکه ها قرار می گیر ، و به صورت دروازه های عمل می کند که تصمیم می گیرند چه نوع ارتباطی باید مجاز و از چه ارتباطی باید مجاز باشد و از ارتباطی باید امتناع شود. با نگاه به سرویس ها ، آدرسها ، و احتمالا حتی کاربران مامور  نقل و انتقال داده ها ، دیواره های آتش تعیین می نماید که اتصالات باید از طریق شبکه دیگر منقل گردد. بدین صورت ، دیواره های آتش بیشتر می تواند به صورت ماموران ترافیکی شبکه عمل نماید.

اگر دیوار های آتش بطور صحیح پیکربندی شوند، سیستمهای یک سمت آن از حمله هکرها از سمت دیگر دیواره های آتش جلوگیری می نماید. هکرها تنها می توانند به سیستم های خفاظت شده به طریقی دسترسی پیدا نمایند که دیواره آتش به آنها اجازه می دهند. سازمانها و شرکتها بطور متداول از دیواره های آتش برای حفاظت فراساختار خود از اینترنت و از حملات ارتباطات حریف تجاری استفاده می کنند. بعلاوه، دیواره های آتش شبکه داخلی، در حال افزایش و حفاظت شبکه های حساس داخلی از دیگر شبکه های سازمان می باشند.

مقایسه دیگر برای تجسم دیواره آتش، دروازبان بازی فوتبال می باشد. کار دروازبان جلوگبری از گل زدن تیم مخالف می باشد. توپ فوتبال چیزی شبیه به بسته می ساشد. کار دیواره آتش جلوگیری از ارسال بسته های ناخواسته به داخل شبکه می باشد. البته ، دروازبان باید اجازه دهد که توپ از داخل دروازه بیرون کشیده شود ، در نهایت نیز بازی پایان خواهد یافت. دیوارهای آتش باید یکسری از ارتباطات از کار افتاده نیز اجازه عبور دهد، بنابراین کاربران داخلی می توانند به شبکه خارجی دسترسی پیدا نمایند ،در حالی که بیشتر ارتباطات ورودی رد می شوند ( بجز برای سرویسهای خاص).

نظر یادتون نره

حتما از آرشیو دیدن کنید

خوب بریم سر اموزش امروزمون

بلوک آدرسهای IP به سازمانهای مختلف و فراهم کنندگان سرویس اینترنتی گوناگون اختصاص داده می شود . سالها قبل زمانی که پیش بینی اتصال به اینترنت نیز قابل پیش بینی بود ، یکسری سازمانها شماره آدرس های اینترنتی تصادفی را انتخاب کردند و با استفاده از این آدرس های تصادفی IP ، ساخت شیکه های IP خود را آغاز نمودند و بنیانگذاران شبکه ای را خواهید دید که از شماره دلخواه خود استفاده می کنند (مثلا من خودم 4 را دوست دارم) و شبکه کلی را بر اساس آن شماره می سازند ( به هر موردی آدرس IP به شکل x.y.z.4 می دهد). این آدرسها غالبا به صورت آدرسهای منطقی نامگذاری می گردند برای اینکه بطور رسمی به سازمان دیگری اختصاص داده می شود. متاسفانه، اگر کسی با استفاده از آدرسهای منطقی بخواهد به اینترنت متصل گردد ، باید از دو شبکه در اینترنت با آدرسهای IP یکسان استفاده نماید. این وضعیت به طور جدی در مسیریابی تولید اشکال می نماید. برای اینکه مسیریابهای اینرنتی نمی دانند که داد و ستد داده های این آدرس دوبل مقصد را به کجا ارسال نمایند.

بعلاوه ، در تلاش به اتصال با اینترنت ، فضای آدرس IP با برای هر فرد وجود دارند. بنابراین ، IETF یکسری شماره آدرسها را برای ایجاد شبکه های خصوصی IP در مورد RFC 1819 تنظیم نمود می توانید شبکه  IP خود را با استفاده از آدرسهای تنظیم شده IP مثل 192.168.y.z  و 10x.y.zو yzیا  ، 172.16.y.z در این محل بسازید . اگر دادهایی را به یکی از آین آدرسها در اینترنت ارسال کنید ، آن داد هه از دست خواهند رفت ، برای اینکه این تنظیمات منحصر به فرد نمی باشد و غیرقابل مسیر نامیده می شوند برای اینکه هیچ مسیر یابی در اینترنت نخواهد دانست که به چه روشی به این آدرسهای غیر واحد دست پیدا نمایید.

چطور دسترسی به شبکه شبکه را پشتیبانی نماییم با استفاده ار آدرسهای منطقی یا تنظیمات توضیح داده شده در RFC 1918?

جواب ترسم این آدرسهای مساله ساز به آدرسهای معتبر IP در مسیر یاب شبکه یا دیواره آتش با استفاده ازتکنیکی می باشد که تفسیر آأرس شبکه (NAT) نام دارد. برای انجام NAT ، دروازه ای بین شبکه با آدرس منطقی یا تنظیم شده و اینترنت قرار می گیرد. وقتی هر بسته از شبکه داخلی به اینترنت می رود ، این دروازه آدرس منطقی یا غیر قابل مسیر یابی شبکه داخلی در عنوان بسته  را با آدرس IP واحد و قابل مسیریابی تویض می کند. وقتی پاسخها برمی گردند ، دروازه این بسته ها را دریافت خواهد نمود ، و آدرسهای مقصد IP را قبل از ارسال از طریق شبکه داخلی ، از نو بازنویسی می کند.

دروازه می تواند آدرسهایی را برای NAT بطریق مختلف طرح ریزی نماید که عبارتند از:

طرح ریزی برای آدرس مجزای IP خارجی : برای این نوع NAT، هر بسته ای که از شبکه داخلی بیرون می آید برای آدرس IP مجزایی طرح می شود. در اینترنت، تمام  داد وستدها داده ها از آدرس IP دستگاه NAT حاصل می گردد. این تکنیک آدرس دهی که راندمان بالایی دارد و بطور متداول برای اتصال یک شبکه بزرگ به اینترنت استفاده می شود، چون تعداد محدودی از آدرسهای IP در دسترس می باشند.

طرح ریزی تک به تک : دروازه می تواند هر دستگاه روی شبکه داخلی را به آدرس IP معتبر و واحد همراه با هر دستگاه طرح ریزی نماید. بنابراین ، به نظر می رسد داد و ستد داده ها از یک گروه آدرس IP به وجود می آید. این تکنیک غالبا برای طرح ریزی درخواستهای کاربر از طریق اینترنت به سرویس هنده های شبکه جانبی مثل سرویس دهنده وب استفاده می شود.

آدرس اختصاصی از لحاظ دینامیکی : دروازه می تواند تقسیم کننده تعداد زیادی از آدرس غیر قابل مسیر یابی IP به تعداد کمتری از آدرسهای معتبر IP باشد. این روش تکنیک های دیگر متداول تر است.

برای حفظ آدرسهای IP,NAT امروزه در اینترنت بسیار مورد استفاده قرار می گیرد. آیا NAT ایمنی را بهتر می سازد؟ به مخفی سازی کاربرد آدرس داخلی IP شبکه کمک می نماید. که هره می تواند استفاده کند تا نقشه توپولوژی شبکه را به وجود آورد. البته ، خود NAT ایمنی بسیاری پیشنهاد می کند. در حالی که هکرها نمی توانند بطور مستقیم بسته هایی را از طریق دروازه NAT ارسال نمایند. دروازه NAT آدرسهایی را از سوی هکر ترسیم می نماید. بدین دلیل ، اگر ایمنی لازم باشد تکنیکهای NAT باید با اجرای دیواره آتش ایمن ترکیب شود.

برای انتقال پی درپی داده ها به دنبال هم از طریق شبکه بسته ها باید از مبداءشان به مقصدشان حمل شوند تعیین مسیر فرایند انتقال بسته ای از یک شبکه به شبکه دیگر با هدف پیش بردن بسته به سمت مقصدش در مسیری با راندمان نسبی می باشد تعیین مسیر با مسیریاب ها اجرا می گردد مسیریابها مسیری راتعیین 

می نمایند که بسته باید از طریق شبکه انتخاب نماید و این مسیر از پرشی به پرش دیگر تعیین می شود و

بسته ها را دسته بندی و برای انتقال از طریق شبکه به قطعات منظم تقسیم می نماید

بیشتر شبکه های امروزی از مسیریابی دینامیکی استفاده می کنند که مسریابها خود مسیری را که بسته ها استفاده خواهند رانمود را تعیین می نمایند .مسیریاب ها در بین خودشان با استفاده از مسیریابی تبادل اطلاعات می نمایند و بهترین مسیرها را یرای انتقال بسته ها تعیین می کنند تعداد زیادی از پروتکل های مسیریابی با پیچیدگی های مختلف اختراع شده اند که عبارتند از:

Border Gateway (BGP),Open Shortest Path First (OSP),Routing Information Protocol (RIP).

گزینه مسیر یابی دیگر دارای مسیر های ثابت می باشند. در مسیر ثابت، تمام داد و ستد داده ها با همان آدرس مقصد همیشه در یک جهت ارسال می گردند (بدون توجه به صدمه اجتناب ناپذیر در ارتباط با هر مورد ظرفیت دیگر) از مسیرهای ثالث غالبا برای مسیر یابهایی استفاده می شود که در آن به ندرت مسیر یابهایی تغییر می نماید ، و نسبت به موارد ایمنی ،  دینامیکی ، مسیر هایی مطلوب و دلخواه نمی باشند . مسیر های ثالث غالبا در دروازه اینترنتی را می سازند ، به شدت مرزبندی می شوند.

IP گزینه مسیر یابی دیگری را ارایه می نمایدکه مسیر یابی مبدا دستگاه مبدا بسته ای را ایجاد می نماید و مسیری را تعیین خواهد نمود که بسته ها می باشند که بسته از طریق آن از درون شبکه عبور خواهد نمود.