ﺷﺒﻜﻪ
داده و ﺷ ﻜ
ااﻣﻨﻴﺖ ا
ﻓﺎﻳﺮوال )دﻳﻮاره آﺗﺶ(
ول 90-91
ل اول
ﻲ -ﻧﻴﻤﺴﺎل
ﻲ اﻣﻴﻨﻲ
ﻣﺮﺗﻀﻲ
ﺮ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ
http://dnsl.ce.sharif.edu
ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ
ﻣﻘﺪﻣﻪ
وﻳﮋﮔﻲﻫﺎي ﻓﺎﻳﺮوال
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
لﻫﺎ
ﻓﺎﻳﺮوال
ﭘﻴﻜﺮﺑﻨﺪي ﺮو
ﭘ ﺮ
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
2
ﻣﻘﺪﻣﻪ
ﮔﺴﺘﺮش ارﺗﺒﺎﻃﺎت ﺷﺒﻜﻪاي
ﻧﻴﺎز ﺑﻪ اﺳﺘﻔﺎده از زﻳﺮﺳﺎﺧﺖ اﻳﻨﺘﺮﻧﺖ ﺗﻮﺳﻂ ﻫﺮ ﻓﺮد
اﻳﺠﺎد ﺗﻌﺎﻣﻞ ﺑﻴﻦ ﺷﺒﻜﻪﻫﺎي ﻣﺨﺘﻠﻒ
ﻣﺸﻜﻞ ﺑﻮدن اﻳﺠﺎد اﻣﻨﻴﺖ در ﻫﺮ ﺳﻴﺴﺘﻢ درون ﺳﺎزﻣﺎﻧﻲ
اﺳﺘﻔﺎده ااز ﻓﺎ ال
ﻓﺎﻳﺮوال
ﺟﻠﻮي ﺟﺒﻬﻪ ﺎﺑﺎ ا ﻔﺎ
دﻓﺎﻋﻲ ﻠ
ﻳﻚ ﻻﻻﻳﻪ ﻓﺎ
ﻧﻴﺎز ﺑﻪ ﻚ
ﺎ
ﻦ اﻣﻨﻴﺖ اﺳﺖ.
ﻲ ﺗﺎﻣﻴﻦ
ﻲ از اﺳﺘﺮاﺗﮋي ﻛﻠﻲ
ﻋﻨﻮان ﺑﺨﺸﻲ
ﻓﺎﻳﺮوال ﺑﻪ ن
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
3
ﻓﺎﻳﺮوال ﭼﻴﺴﺖ؟
ﻧﻘﻄﻪ ﻛﻨﺘﺮل و ﻧﻈﺎرت ﺷﺒﻜﻪ
ﻳﻜﺪﻳﮕﺮ
اﻋﺘﻤﺎد ﻣﺨﺘﻠﻒ ﺑﺎ ﻳﻜﺪﻳﮕ
ﺳﻄﻮح اﻋﺘ ﺎد
ﺷﺒﻜﻪﻫﺎ ﺑﺎ ﺳﻄ ح
اﻣﻜﺎن اﺗﺼﺎل ﺷ ﻜﻪ
ﺗﺮاﻓﻴﻚ ﮔﺬرﻧﺪه از داﺧﻞ ﺑﻪ ﺧﺎرج و ﺑﺮﻋﻜﺲ ،ﺑﺎﻳﺪ از داﺧﻞ ﻓﺎﻳﺮوال
ﻋﻋﺒﻮر ﻛﻨﺪ.
ﺗﻨﻬﺎ اﻃﻼﻋﺎت و اﺷﺨﺎص ﻣﺠﺎز ،ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺳﻴﺎﺳﺖﻫﺎي ﺷﺒﻜﻪ
ﻛﻨﻨﺪ.
ﻓﺎﻳﺮوال ﻋﺒﻮر ﻛ ﺪ
ﺗﻮاﻧﻨﺪ از ﻓﺎ ال
ﻣﺤﻠﻲ ،ﻣﻲﺗ اﻧ ﺪ
ﻠ
ﻓﺎﻳﺮوال ﺧﻮد ﺑﺎﻳﺪ در ﻣﻘﺎﺑﻞ ﻧﻔﻮذ اﻳﻤﻦ ﺑﺎﺷﺪ )ﺑﺎ اﺳﺘﻔﺎده از
.((trusted system
t t d t
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
4
ﻓﺎﻳﺮوال ﭼﻴﺴﺖ؟
ﺳﺮوﻳﺲﻫﺎي ﻓﺮاﻫﻢ ﺷﺪه ﺗﻮﺳﻂ دﻳﻮاره آﺗﺶ:
ﻫﺎي آآن
ﻣﻨﺎﺑﻊ و ﺳﺮوﻳﺲ ﺎ
ﺷﺒﻜﻪ و ﺎ
ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ ﺑﻪ ﺷ ﻜ
اﻣﻜﺎن ﺎﺑﺎزرﺳﻲ و ﻛ ل
ا ﻜﺎ
اﻣﻜﺎن ﺛﺒﺖ ﺟﺮﻳﺎن ﺗﺮاﻓﻴﻚ
ﺗﺼﻔﻴﻪ ﺑﺮ اﺳﺎس ﻣﺤﺘﻮاي ﺑﺴﺘﻪﻫﺎ
ﻓﺮاﻫﻢﺳﺎزي ﺗﺮﺟﻤﻪ آدرس NATو ﻧﻈﺎرت ﺑﺮ اﺳﺘﻔﺎده
ﻣﺒﺘﻨﻲ ﺑﺑﺮ IPSec
ﺧﺼﻮﺻﻲ ﻣﺠﺎزي ) (VPNﻣ ﺘﻨ
ﻜﻪ ﺧﺼﻮﺻ
ﺷﺒﻜﻪ
ﭘﻴﺎدهﺳﺎزي ﺷ
ﭘ ﺎده
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
5
ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ
ﻣﻘﺪﻣﻪ
وﻳﮋﮔﻲﻫﺎي ﻓﺎﻳﺮوال
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
لﻫﺎ
ﻓﺎﻳﺮوال
ﭘﻴﻜﺮﺑﻨﺪي ﺮو
ﭘ ﺮ
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
6
ﻣﻜﺎﻧﻴﺰمﻫﺎي ﻛﻨﺘﺮﻟﻲ در ﻓﺎﻳﺮوال
Service Control
Service Control
Direction Control
Direction Control
اﻳﻨﻜﻪ درﺧﻮاﺳﺖ ﻳﻚ ﺳﺮوﻳﺲ از ﻛﺪام ﺳﻤﺖ ﻣﻲﺗﻮاﻧﺪ ارﺳﺎل و ﭘﺎﺳﺦ داده ﺷﻮد.
User Control
ﺳﺮوﻳﺲﻫﺎي اﻳﻨﺘﺮﻧﺘﻲ ﻗﺎﺑﻞ دﺳﺘﺮﺳﻲ
آدرس IPو ﭘﻮ ت
ﭘﻮرت
ل ﺑﺑﺮ اﺳﺎس آد س
ﻛﻨﺘﺮل
اﻋﻤﺎل ﻛﻨﺘ
اﺳﺘﻔﺎده از ﭘﺮوﻛﺴﻲ ﺑﺮاي ﺳﺮوﻳﺲﻫﺎي اﺳﺘﺎﻧﺪارد )(...،Telnet ،FTP
ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺲ ﺑﺮ اﺳﺎس ﺷﺨﺺ درﺧﻮاﺳﺖﻛﻨﻨﺪه
ﺮوﻳﺲﻫﺎ
ﻧﺤﻮه اﺳﺘﻔﺎده زاز ﺳﺮوﻳﺲ
ﻛﻨﺘﺮل ﻮ
: Behavior Controlﺮل
ﻣﺜﺎل :اﻧﺴﺪاد ﺳﺮوﻳﺲ اﻳﻤﻴﻞ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ spam
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
7
ﻣﺤﺪودﻳﺘﻬﺎي ﻓﺎﻳﺮوال
ﺗﻮاﻧﻨﺪ ﺑﺎ ﺣﻤﻼت زﻳﺮ ﻣﻘﺎﺑﻠﻪ ﻛﻨﻨﺪ:
ﻓﺎﻳﺮوالﻫﺎ ﻧﻤﻲ ا
ا
ﻲﻛﻨﻨﺪ.
ﺒﻮر ﻧﻤﻲ
ﻓﺎﻳﺮوال ﻋﺒﻮر
ﺣﻤﻼﺗﻲ ﻛﻪ زاز ﻳﺮو ل
ﻲ
ﺧﻄﺮات داﺧﻠﻲ
اﺗﺼﺎل ﻛﺎرﻛﻨﺎن از ﻃﺮﻳﻖ ﺧﻂ Dial‐up
ﻛﺎرﻣﻨﺪان ﻧﺎراﺿﻲ ﻳﺎ ﺳﺎده ﻟﻮح!
ﻣﻤﺎﻧﻌﺖ ﻛﺎﻣﻞ از اﻧﺘﻘﺎل وﻳﺮوسﻫﺎ و ﻓﺎﻳﻞﻫﺎي اﺟﺮاﻳﻲ ﻣﺨﺮب
ﭘﺸﺘﻴﺒﺎﻧﻲ آ ﺎ
آﻧﻬﺎ
ﺎ
ﻫﺎي ﻣﻮرد
ﻞﺎ
اﻧﻮاع ﻓﺎﻓﺎﻳﻞ
ﻋﺎﻣﻞﻫﺎﺎ و ا ا
ﺎﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺗﻨﻮع ﺳﻴﺴﺘﻢ ﺎ ﻞ
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
8
ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ
ﻣﻘﺪﻣﻪ
وﻳﮋﮔﻲﻫﺎي ﻓﺎﻳﺮوال
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
لﻫﺎ
ﻓﺎﻳﺮوال
ﭘﻴﻜﺮﺑﻨﺪي ﺮو
ﭘ ﺮ
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
9
ﻓﺎﻳﺮوالﻫﺎ
اﻧﻮاع ﻓﺎﻳﺮوال
ﻫﺎ
10
Packet Filters
Application‐Level Gateways
Circuit‐Level Gateways
(http://dnsl.ce.sharif.edu ) ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
90-91 ﻧﻴﻤﺴﺎل اول- ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
P k t Filters
Filt
Packet
ﻣﺒﻨﺎي ﻛﻠﻴﻪ ﺳﻴﺴﺘﻢﻫﺎي ﻓﺎﻳﺮوال اﺳﺖ.
ﻫﺮ ﺑﺴﺘﻪ IPرا ﭼﻚ ﻛﺮده )ﺻﺮﻓﻨﻈﺮ از ﻣﺤﺘﻮا( و ﺑﺮ اﺳﺎس ﻗﻮاﻋﺪ
اﻣﻨﻴﺘﻲ درﺑﺎره ﻋﺒﻮر آن ﺗﺼﻤﻴﻢ ﻣﻲﮔﻴﺮد:
P
Permit
اﺟﺎزه ﻋﺒﻮرit :
ا ﺎ
ﻣﻤﺎﻧﻌﺖ از ﻋﺒﻮرDeny :
ﻗﻮاﻋﺪ ﺑﺮ اﺳﺎس ﺳﺮآﻳﻨﺪ IPو ﻻﻳﻪ اﻧﺘﻘﺎل ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﻧﺪ.
ﻋﻤﺎل ااﺳﺖ.
ﻗﺎﺑﻞ ا ﺎل
ﺗﺼﻔﻴﻪ در ﻫﺮ دو ﺟﻬﺖ ﻗﺎ ﻞ
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
11
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
k Filters
il
Packet
دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺲﻫﺎ ﻗﺎﺑﻞ ﻛﻨﺘﺮل اﺳﺖ )ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرتﻫﺎ(.
ﻲ از دﻳﺪ ﻛﺎرﺑﺮان
ﻲ و ﭘﻨﻬﺎﻧﻲ
ﻣﺰﻳﺖ :ﺳﺎدﮔﻲ
ﺿﻌﻒ:
اﺣﺮاز ﻫﻮﻳﺖ
ﭘﺸﺘﻴﺒﺎﻧﻲ از اﺣ از
ﻋﺪم ﭘﺸﺘﻴﺒﺎﻧ
اﻋﻤﺎل ﻗﻮاﻋﺪ ﻣﺘﻨﺎﺳﺐ ﺑﺎ ﺑﺮﻧﺎﻣﻪ ﻣﺸﻜﻞ اﺳﺖ.
ﺑﺎﺷﺪ:
داﺷﺘﻪ ﺎﺷ
ﺗﻮاﻧﺪ وﺟﻮد اﺷ
ﻓﺮض ﻣﻲﺗ اﻧ
ﺶﻓ ض
ﺳﻴﺎﺳﺖ ﭘﻴﺶ
دو ﺎ
= Discardﻫﺮ آﻧﭽﻪ ﻛﻪ ﺻﺮﻳﺤﺎً اﺟﺎزه داده ﻧﺸﺪه ،ﻏﻴﺮﻣﺠﺎز اﺳﺖ.
= Forwardﻫﺮ آﻧﭽﻪ ﻛﻪ ﺻﺮﻳﺤﺎً ﻣﻤﻨﻮع ﻧﺸﺪه ،ﻣﺠﺎز اﺳﺖ.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
12
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
s
Packet Filte
Filters
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
13
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Packet Filters
ﺻﻮرت
ﻓﻴﻠﺪﻫﺎي ززﻳﺮ ت
اﺳﺎس ﻓ ﻠﺪﻫﺎ
ﻓﺎﻳﺮوالﻫﺎ ﺑﺮ ا ﺎ
ﻧﻮع ﻓﺎ ال
اﻳﻦ ﻧ ع
ﺑﺴﺘﻪﻫﺎ ددر ا ﻦ
ﺗﺼﻔﻴﻪ ﺘﻪ
ﺗ ﻔﻪ
ﻣﻲﮔﻴﺮد:
ﻧﻮع ﭘﺮوﺗﻜﻞ )(... ،ICMP ،TCP ،IP
آدرس IPﻣﺒﺪا و ﻣﻘﺼﺪ
ﭘﻮرت ﻣﺒﺪا و ﻣﻘﺼﺪ
ﺣﺎﻟﺖ ارﺗﺒﺎط )ﭘﺮﭼﻢﻫﺎي ACK ،SYNﻳﺎ RSTدر ،Related ،TCP
(Established
زﻣﺎن :ﻓﻌﺎل ﻛﺮدن ﺳﺮوﻳﺲ در ﻳﻚ ﺑﺎزه زﻣﺎﻧﻲ ﺧﺎص
واﺳﻂ ورودي/ﺧﺮوﺟﻲ )(eth1 ،eth0
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
14
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Packet Filters
ﻣﺜﺎل ) 1ﺗﻮﺿﻴﺢ :ﻗﻮاﻋﺪ از ﺑﺎﻻ ﺑﻪ ﭘﺎﻳﻴﻦ اﻋﻤﺎل ﻣﻲﺷﻮﻧﺪ(
ﻣﻴﺰﺑﺎن
ﺗﻮاﻧﻨﺪ ﺑﻪ ﺎ
ﭘﻮرت 25ااز (SMTPﻓﻘﻂ ﻣﻲﺗ اﻧ
ﻫﺎي ورودي ) ت
اﻳﻤﻴﻞ ﺎ
ا ﻞ
OUR_GWﻓﺮﺳﺘﺎده ﺷﻮﻧﺪ.
اﻳﻤﻴﻞﻫﺎي ورودي از SPIGOTﻣﺴﺪود ﻣﻲﺷﻮﻧﺪ.
port
theirhost
port
ourhost
action
comment
we don't trust these people
*
SPIGOT
*
*
block
connection
ti
t our SMTP portt
to
*
*
25
OUR GW
OUR-GW
allow
ll
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
A
15
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Packet Filters
ﻣﺜﺎل 2
ﺮض ).(default = deny
ﺶﻓﺮض
ﺻﺮﻳﺢ ﺳﻴﺎﺳﺖ ﭘﭘﻴﺶ
ن ﺮﺢ
ﺑﻴﺎن
اﻳﻦ ﻗﺎﻋﺪه ﺑﻪ ﺻﻮرت ﺿﻤﻨﻲ در اﻧﺘﻬﺎي ﻣﺠﻤﻮﻋﻪ ﻗﻮاﻋﺪ ﻣﻲآﻳﺪ.
port
comment
default
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
*
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
theirhost
*
port
*
ourhost
*
action
block
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
B
16
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Packet Filters
ﻣﺜﺎل 3
ﺎل ﻛﻨﺪ.
ﻞ اارﺳﺎل
ﻜﻪ اﻳاﻳﻤﻴﻞ
ﺷﺒﻜﻪ
ﺑﻴﺮون از ﺷ
اﻧﺪ ﺑﻪ ﺑ ن
ﺷﺒﻜﻪ ﻣﻲﺗﺗﻮاﻧﺪ
ﮔﺮه از داﺧﻞ ﺷ ﻜﻪ
ﻫﻫﺮ ﮔ ه
ﻣﺸﻜﻞ :ﻣﻤﻜﻦ اﺳﺖ ﺑﺠﺎي ﺳﺮوﻳﺲ اﻳﻤﻴﻞ ،ﺳﺮوﻳﺲ دﻳﮕﺮي روي ﭘﻮرت
25ﻗﺮار ﮔﺮﻓﺘﻪ ﺑﺎﺷﺪ .در اﻳﻦ ﺻﻮرت ﻧﻔﻮذﮔﺮ ﻣﻲﺗﻮاﻧﺪ ﺑﺴﺘﻪاي ﺑﺎ ﭘﻮرت
ﺳﺎل ﻛﻨﺪ!
ﻜﻪ اارﺳﺎل
ﺷﺒﻜﻪ
ﻣﺎﺷﻴﻦ ددر داﺧﻞ ﺷ
ﻣﺒﺪا 25راا ﺑﻪ ﻫﻫﺮ ﻣﺎﺷ ﻦ
ﻣ ﺪا
port
comment
connection to their SMTP port
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
25
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
theirhost
*
port
*
ourhost
*
action
allow
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
C
17
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Packet Filters
ﻣﺜﺎل 4
ﺜﺎل
ﺑﺴﺘﻪ ﻫﺎﻳﻲ ﻛﻪ ﻣﺒﺪا آﻧﻬﺎ ﻣﺘﻌﻠﻖ ﺑﻪ ﻟﻴﺴﺖ ﻣﺎﺷﻴﻦﻫﺎي ﻣﻴﺰﺑﺎن داﺧﻠﻲ و
دارﻧﺪ.
اﺟﺎزه ﻋﺒﻮر دا ﻧﺪ
ﺑﺎﺷﻨﺪ ،ا ﺎز
ﭘﻮرت 25از TCPﺎﺷﻨﺪ
آﻧﻬﺎ ،ت
ﻣﻘﺼﺪﺪ آﻧ ﺎ
ﻘ
ﺑﺴﺘﻪ ﻫﺎي ورودي ﺑﺎ ﭘﻮرت ﻣﻘﺼﺪ 25از TCPاﺟﺎزه ﻋﺒﻮر دارﻧﺪ ،ﺑﻪ
ﺷﺮﻃﻲ ﻛﻪ ﭘﺮﭼﻢ ACKآﻧﻬﺎ روﺷﻦ ﺑﺎﺷﺪ.
ﭘﺮﭼﻢ ACKﺗﺎﻳﻴﺪ ﻣﻲ ﻛﻨﺪ ﻛﻪ ﺑﺴﺘﻪ ﻫﺎ از ﻃﺮف ﻣﻘﺎﺑﻞ رﺳﻴﺪهاﻧﺪ.
comment
flags
our packets to their SMTP port
th i replies
their
li
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
ACK
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
port
dest
port
src
action
25
*
*
}{our hosts
allow
*
*
25
*
allow
ll
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
D
18
ﺣﻤﻼت وارده ﺑﻪ Packet Filters
ﺟﻌﻠﻲ
داﺧﻠﻲ ﺟﻌﻠ
ﻣﺒﺪا داﺧﻠ
آدرس ﻣ ﺪا
ﺧﺎرج ﺑﺎ آد س
ﺑﺴﺘﻪ از ﺧﺎ ج
ﻓﺮﺳﺘﺎدن ﺑ ﺘﻪ
آدرس :IPﻓ ﺳﺘﺎدن
ﺟﻌﻞ آد س
)ﺑﺎ ﻫﺪف دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺲﻫﺎﻳﻲ ﻛﻪ ﺻﺮﻓﺎً آدرس IPﻣﺒﺪا را ﺑﺮاي
دﺳﺘﺮﺳﻲ ﻛﻨﺘﺮل ﻣﻲﻧﻤﺎﻳﻨﺪ(.
ﺗﻌﻴﻴﻦ ﻣﺴﻴﺮ ﺗﻮﺳﻂ ﻣﺒﺪأ :ﻓﺮﺳﺘﻨﺪه ﻣﺴﻴﺮ اﻧﺘﻘﺎل ﺑﺴﺘﻪ را ﻣﺸﺨﺺ و
ﻫﻤﺮاه آن ﻣﻲﻓﺮﺳﺘﺪ و ﺑﺪﻳﻦ ﺗﺮﺗﻴﺐ ﻓﺎﻳﺮوال را دور ﻣﻲزﻧﺪ.
راه ﺣﻞ :اﻧﺴﺪاد ﺑﺴﺘﻪﻫﺎي ﻓﻮق
راه ﺣﻞ :اﻧﺴﺪاد ﺑﺴﺘﻪﻫﺎﻳﻲ ﻛﻪ ﺣﺎوي اﻃﻼﻋﺎت ﻣﺴﻴﺮ ﻫﺴﺘﻨﺪ.
ﺑﺴﺘﻪ ﻫﺎي IPﻗﻄﻌﻪ ﻗﻄﻌﻪ ﺷﺪه :ﺳﺮآﻳﻨﺪ ﺑﺴﺘﻪ اﺻﻠﻲ در ﺑﺴﺘﻪﻫﺎي
ﻛﻮﭼﻜﺘﺮ ﺷﻜﺴﺘﻪ ﻣﻲﺷﻮد.
راه ﺣﻞ :اﻧﺴﺪاد ﺑﺴﺘﻪﻫﺎي ﻛﻮﭼﻜﻲ ﻛﻪ ﮔﺰﻳﻨﻪ ﺗﻘﺴﻴﻢ IPآﻧﻬﺎ setﺷﺪه اﺳﺖ و
ﻳﺎ اﺑﺘﺪا ﺑﺎزﺳﺎزي ﺑﺴﺘﻪ اﺻﻠﻲ و ﺳﭙﺲ ﻛﻨﺘﺮل آن.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
19
ﻓﺎﻳﺮوالﻫﺎي ﺣﺎﻟﺘﻤﻨﺪ )(Stateful
ﻗﺪﻳﻤﻲ ،اﻃﻼﻋﺎت ﻻﻳﻪﻫﺎي ﺑﺎﻻﺗﺮ ﻣﺮﺑﻮط ﺑﻪ ﺑﺴﺘﻪﻫﺎ
در ﻓﺎﻳﺮوالﻫﺎي ﻗﺪﻳﻤ ،
در ﺗﺼﻔﻴﻪ آﻧﻬﺎ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻧﻤﻲﮔﺮﻓﺖ.
ارﺳﺎﻟﻲ
ﻚ ا ﺎﻟ
ﺗﺮاﻓﻴﻚ
اﺳﺎس ﺗ اﻓ
درﻳﺎﻓﺖ ﺑﺴﺘﻪ ،ﺑﺮ ا ﺎ
ل ﺎﻓ
ﻣﺜﺎل ،ﻛﻛﻨﺘﺮل
ﺑﻪ ﻃﻃﻮر ﺜﺎل
در اﺗﺼﺎل ﺑﻪ ﺳﺮورﻫﺎ،
آدرس ﭘﻮرت ﺳﺮور ﻣﻌﻤﻮﻻً زﻳﺮ 1024و ﺷﻨﺎﺧﺘﻪ ﺷﺪه اﺳﺖ.
ﻲ ﺗﻮاﻧﺪ ﻫﺮ ﻣﻘﺪار ﺑﺰرﮔﺘﺮ ﻣﺴﺎوي 1024ﺑﺎﺷﺪ.
آدرس ﭘﻮرت ﻣﺸﺘﺮي ﻣﻲ
ﻟﺬا ﻧﻤﻲﺗﻮان ﻗﺎﻋﺪهاي را ﺑﺮاي ﭘﻮرت ﻣﺒﺪا در ﺑﺴﺘﻪﻫﺎي ارﺳﺎﻟﻲ و ﭘﻮرت
ﻣﻘﺼﺪ در ﺑﺴﺘﻪﻫﺎي درﻳﺎﻓﺘﻲ در ﻧﻈﺮ ﮔﺮﻓﺖ.
ﺗﺼﻔﻴﻪ ﺣﺎﻟﺘﻤﻨﺪ ،اﻳﻦ ﻧﻴﺎز را ﺑﺮﻃﺮف ﻣﻲﻛﻨﺪ.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
20
ﻓﺎﻳﺮوالﻫﺎي
ﻓﺎﻳﺮوال
ﻫﺎي ﺣﺎﻟﺘﻤﻨﺪ
ﻧﻤﺎﻳﻨﺪ.
ﻧﮕﻬﺪاري ﻣﻲ ﺎ
ﺑﺮﻗﺮار ﺷﺪه ارا ﮕ ا
اﺗﺼﺎﻻت ﻗ ا
ﻣﺮﺑﻮط ﺑﻪ ا ﺎﻻ
اﻃﻼﻋﺎت ط
اﻃﻼ ﺎ
ﺻﺮﻓﺎً ﺑﺴﺘﻪﻫﺎي درﻳﺎﻓﺘﻲ در ﺻﻮرت ﺗﻌﻠﻖ ﺑﻪ ﻳﻜﻲ از اﺗﺼﺎﻻت ﺟﺎري
ﺷﻮﻧﺪ.
ﭘﺬﻳﺮﻓﺘﻪ ﻣﻲﺷ ﻧﺪ
ﺬ ﻓﺘﻪ
Connection State
Destination Port
Destination
Address
Source Port
Source Address
Established
80
210.9.88.29
1030
192.168.1.100
Established
80
216.32.42.123
1031
192.168.1.102
Established
25
173 66 32 122
173.66.32.122
1033
192 168 1 101
192.168.1.101
Established
79
177.231.32.12
1035
192.168.1.106
Established
80
192.168.1.6
1990
223.43.21.231
Established
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
80
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
192.168.1.6
2112
219.22.123.32
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
21
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Application Le el Gate
a
Application-Level
Gateway
ﺑﻴﺸﺘﺮ ﺑﻪ ﻋﻨﻮان Proxy Serverاﻃﻼق ﻣﻲﺷﻮد.
ﻲﻛﻨﺪ:
ﻛﺎرﺑﺮد ررا ﻳاﻳﻔﺎ ﻣﻲ
ﻻﻳﻪ رﺑﺮ
ﺗﺮاﻓﻴﻚ درر ﻳ
اﻧﺘﻘﺎل ﺮ ﻴ
ﺶ وواﺳﻂ ل
اﺻﻮﻻ ﻧﻘﺶ
ﻮ
ﻛﺎرﺑﺮ از proxyﺗﻘﺎﺿﺎي ﺳﺮوﻳﺲ ﻣﻲﻛﻨﺪ.
Proxyﺻﻼﺣﻴﺖ ﻛﺎرﺑﺮ ﺑﺮاي اﺳﺘﻔﺎده از ﺳﺮوﻳﺲ را ﺑﺮرﺳﻲ
ﻣﻲﻛﻨﺪ.
ﮔﻴﺮد و ﻗﻄﻌﺎت TCPررا ﻣﻨﺘﻘﻞ
ﻞ
ﻲ ﻴﺮ
س ﻣﻲ
ﻲ ﺗﻤﺎس
ﺮور اﺻﻠﻲ
Proxyyﺑﺑﺎ ﺳﺮور
ﻣﻲﻛﻨﺪ.
زي ﻧﺸﺪه ﺑﺑﺎﺷﺪ،
ﭘﻴﺎده ﺳﺎزي
pﭘﻴ
ﻣﻮردﻧﻈﺮﺮ درر proxyy
ﺮوﻳﺲ ﻮر
اﮔﺮﺮ ﻛﺪ ﺳﺮوﻳﺲ
ﺳﺮوﻳﺲ ﻏﻴﺮﻗﺎﺑﻞ دﺳﺘﺮﺳﻲ ﺧﻮاﻫﺪ ﺑﻮد.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
22
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Application Level Gateway
Application-Level
ﻣﺰاﻳﺎ
دارد.
ﺳﺮوﻛﺎر ا
ﻛﺎرﺑﺮدي ﻛﺎ
ﻫﺎي ﻛﺎ
ﺑﺮﻧﺎﻣﻪ ﺎ
ﺗﻨﻬﺎ ﺎﺑﺎ ﻟﻟﻴﺴﺖ ﻣﺤﺪودي ااز ﺎ
ﺎ
ﻲ اﺳﺖ.
ﺑﺎزرﺳﻲ
ردﻳﺎﺑﻲ و ﺑ زر
ﻗﺎﺑﻞ ر ﻳ ﺑﻲ
ﺳﺎدﮔﻲ ﺑﻞ
ﻲ
ورودي ﺑﺑﻪ
ﺗﺮاﻓﻴﻚ ورو ي
ﺮ ﻴ
ﻧﺴﺒﺖ ﺑﻪ ﺣﻤﻠﻪ DoSﻣﻘﺎومﺗﺮ اﺳﺖ.
اﻣﻜﺎن ﺗﺼﻔﻴﻪ ﺑﺮ اﺳﺎس ﻣﺤﺘﻮاي ﺑﺴﺘﻪﻫﺎ وﺟﻮد دارد.
ﻓﺮاﻫﻢ ﻣﻲﻛﻛﻨﺪ.
در ﻣﺠﻤﻮع ااﻣﻨﻴﺖ ﺑﻴﺸﺘﺮي ﻓ ا
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
23
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Application Le el Gate
a
Application-Level
Gateway
ﻣﻌﺎﻳﺐ
ﺟﺪﻳﺪ.
ﺎل ﺪ ﺪ
اﻳﺠﺎد ﻫﺮ اﺗاﺗﺼﺎل
ﺑﺮاي ا ﺎ
آﻣﺪه ا
ﺳﺮﺑﺎر ﺑﻮﺟﻮد آ ﺪ
ﺎ
ﻧﺪارﻧﺪ.
ﻣﺴﺘﻘﻴﻢ ر
ﻴﻢ
ارﺗﺒﺎط
ﻢ رﺒ
ﻴﻦ ﺑﺑﺎ ﻫﻢ
ﻃﺮﻓﻴﻦ
ﺮ
ﺑﺎ ﺗﻐﻴﻴﺮ Proxy Serverﻫﺎ ﻣﻤﻜﻦ اﺳﺖ ﻣﺠﺒﻮر ﺑﻪ ﺗﻐﻴﻴﺮ
ﭘﻴﻜﺮﺑﻨﺪي ﻣﺸﺘﺮيﻫﺎ ﺑﺎﺷﻴﻢ.
در ﻣﺠﻤﻮع ﻛﺎرآﻳﻲ ﻛﻤﺘﺮي دارد.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
24
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Application Le el Gate
a
Application-Level
Gateway
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
25
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Ci
Circuit-Level
it L
lG
Gateway
t
در واﻗﻊ ﻳﻚ ﻓﺎﻳﺮوال در ﻻﻳﻪ ﻧﺸﺴﺖ از ﻣﺪل OSIاﺳﺖ.
ﺻﺮﻓﺎً ﻛﻨﺘﺮل ﻣﻲﻛﻨﺪ ﻛﻪ ﻳﻚ ارﺗﺒﺎط ﺑﺮﻗﺮار ﺷﻮد ﻳﺎ ﻧﻪ.
ﺗﺮاﻓﻴﻚ )ﺗﻚﺗﻚ ﺑﺴﺘﻪﻫﺎ( ﻛﻨﺘﺮل ﻧﻤﻲﺷﻮد.
ارﺗﺒﺎط اﻧﺘﻬﺎ ﺑﻪ اﻧﺘﻬﺎ ) (end‐to‐endﺑﺮﻗﺮار ﻧﻤﻲﺷﻮد.
ﻳﻜﻲ ﺑﺎﺎ ﺰ ﺎن
ﻣﻴﺰﺑﺎن
داﺧﻠﻲ و ﻜ
ﻣﻴﺰﺑﺎن داﺧﻠ
ﻳﻜﻲ ﺑﺎﺎ ﺰ ﺎن
ارﺗﺒﺎط ﺟﺪاﮔﺎﻧﻪ ،TCPﻜ
ددو ا ﺗ ﺎط
ﺧﺎرﺟﻲ ﺑﺮﻗﺮار ﻣﻲﺷﻮد.
اﻏﻠﺐ ﺑﺮاي ﻣﺨﻔﻲ ﻧﻤﻮدن ﺷﺒﻜﻪ داﺧﻠﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮد.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
26
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Ci c it Le el Gate
a
Circuit-Level
Gateway
ﻋﻤﻮﻣﺎ وﻗﺘﻲ ﻛﺎرﺑﺮان داﺧﻠﻲ ﻗﺎﺑﻞ اﻋﺘﻤﺎد ﻫﺴﺘﻨﺪ ،ﺑﻪ ﻛﺎر ﻣﻲرود.
ﻳﻦ ﺣﺎﻟﺖ :
درر اﻳﻦ
ﺑﺮاي ارﺗﺒﺎﻃﺎت ورودي از proxyاﺳﺘﻔﺎده ﻣﻲﺷﻮد.
ﺑﺮاي ارﺗﺒﺎﻃﺎت ﺧﺮوﺟﻲ از circuit‐level gatewayاﺳﺘﻔﺎده
ﻣﻲﺷﻮد ،ﺗﺎ دﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮوﻳﺲﻫﺎي ﺑﻴﺮوﻧﻲ ﻛﻨﺘﺮل ﺷﻮد.
SOCKSﻳﻜﻲ از ﭘﻴﺎدهﺳﺎزيﻫﺎي circuit‐level gateway
اﺳﺖ ﻛﻪ ﻧﺴﺨﻪ 5آن در RFC 1928آﻣﺪه اﺳﺖ.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
27
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
Ci c it Le el Gate
a
Circuit-Level
Gateway
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
28
ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ
ﻣﻘﺪﻣﻪ
وﻳﮋﮔﻲﻫﺎي ﻓﺎﻳﺮوال
اﻧﻮاع ﻓﺎﻳﺮوالﻫﺎ
لﻫﺎ
ﻓﺎﻳﺮوال
ي ﺮ
ﭘﻴﻜﺮﺑﻨﺪي
ﭘ ﺮ
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
29
Bastion Host
اﺳﺖ.
داﺧﻠﻲ ا ﺖ
ﺷﺒﻜﻪ داﺧﻠ
اﻋﺘﻤﺎد ددر ﺷ ﻜﻪ
ﻗﺎﺑﻞ اﻋﺘ ﺎد
اﻣﻨﻴﺖ و ﻗﺎ ﻞ
ﻧﻈﺮ ا ﻨ ﺖ
ﺑﺤﺮاﻧﻲ از ﻧﻈ
ﻳﻚ ﻧﻘﻄﻪ اﻧ
ﻚ
ﻋﻤﻮﻣﺎ Proxy Serverﻫﺎ ﻳﺎ Circuit‐level Gatewayﻫﺎ روي آن
ﻧﺼﺐ ﻣﻲﺷﻮﻧﺪ.
ﻳﻚ ﻧﺴﺨﻪ اﻣﻦ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ روي آن اﺟﺮا ﻣﻲﺷﻮد.
ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻣﻲﻛﻨﻨﺪ.
وﻳﺴﻬﺎ راا ﭘﺸﺘﻴﺒﺎﻧ
ﺳﺮوﻳﺴﻬﺎ
زﻳﺮﻣﺠﻤﻮﻋﻪاي از وﻳﮋﮔﻴﻬﺎي ﺳ
Proxy ﻫﺎ زﻳ ﻣﺠﻤﻮﻋﻪ
Proxy ﻫﺎ دﺳﺘﺮﺳﻲ ﺑﻪ ﻣﻴﺰﺑﺎنﻫﺎي ﺧﺎﺻﻲ را ﻣﺠﺎز ﻣﻲﺷﻤﺎرﻧﺪ.
ﺛﺒﺖ ﻣﻲﻛﻨﻨﺪ.
اﻣﻨﻴﺘﻲ ارا ﺛ ﺖ
وﻗﺎﻳﻊ ا ﻨ ﺘ
ﺟﺰﻳﻴﺎت ﻗﺎ
Proxy ﻫﺎ ﺰ ﺎت
Proxy ﻫﺎ از ﻫﻤﺪﻳﮕﺮ ﻣﺴﺘﻘﻞ ﻫﺴﺘﻨﺪ.
دﺳﺘﺮﺳﻲ ﺑﻪ
اﻧﺪازي ،ﺘ
زﻣﺎن اراه اﻧ ا
اﺑﺘﺪاي ﺎ
ﭘﻴﻜﺮﺑﻨﺪي در ا ﺘ ا
ﻓﺎﻳﻞ ﻜ
ﺧﻮاﻧﺪن ﻓﺎ ﻞ
ﺑﺠﺰ ﺧ اﻧ
دﻳﺴﻚ ﻧﺪارﻧﺪ )اﻣﻨﻴﺖ ﺑﻴﺸﺘﺮ در ﻣﻘﺎﺑﻞ وﻳﺮوﺳﻬﺎ و اﺳﺒﻬﺎي ﺗﺮوا(.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
30
ﭘﻴﻜﺮﺑﻨﺪي ﻓﺎﻳﺮواﻟﻬﺎ
Single Homed Bastion Host
Single-Homed
Bastion Host
Bastion Host + Packet‐Filter router
Packet Filter router
ﺑﺴﺘﻪﻫﺎي ورودي ﻓﻘﻂ ﺑﻪ ﻣﻘﺼﺪ Bastion Hostﻣﻲﺗﻮاﻧﻨﺪ ﻓﺮﺳﺘﺎده ﺷﻮﻧﺪ.
ﺑﺴﺘﻪ ﻫﺎ ﻓﻘﻂ از ﻣﺒﺪاء Bastion Hostﻣﻲ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺧﺎرج ﻓﺮﺳﺘﺎده ﺷﻮﻧﺪ.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
31
ﭘﻴﻜﺮﺑﻨﺪي ﻓﺎﻳﺮواﻟﻬﺎ
Dual Homed Bastion Host
Dual-Homed
اﻣﻜﺎن
ﻓﻴﺰﻳﻜﻲ ،ا ﻜﺎن
،Packet Filterاز ﻟﺤﺎظ ﻓ ﺰ ﻜ
ﻓﺎﻳﺮوال Packet Filter
ﺑﻪ ﻓﺎ ال
ﻧﻔﻮذ ﻪ
ﺻﻮرت ﻧﻔ ذ
ددر ت
دﺳﺘﺮﺳﻲ ﺑﻪ ﺷﺒﻜﻪ داﺧﻠﻲ وﺟﻮد ﻧﺪارد.
ﻣﺴﺘﻘﻴﻤﺎً ﺑﺎ
ﻛﺎرﮔﺰار اﻃﻼﻋﺎت ﻳﺎ ﺳﺎﻳﺮ ﻣﻴﺰﺑﺎنﻫﺎ )در ﺻﻮرت ﻟﺰوم( ﻣﻣﻲﺗﻮاﻧﻨﺪ ﻣﺴﺘﻘﻴﻤﺎ
ﻣﺴﻴﺮﻳﺎب ارﺗﺒﺎط داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
32
ﭘﻴﻜﺮﺑﻨﺪي ﻓﺎﻳﺮواﻟﻬﺎ
Screened subnet Firewall
Screened-subnet
ﻣﺴﻴﺮﻳﺎب.
اﺳﺘﻔﺎده از ددو
ﺎ
اﻳﺰوﻟﻪ ﺎﺑﺎ ا ﺘﻔﺎده
ﻣﺤﻴﻂ ا ﺰ ﻟﻪ
ﻳﻚ ﺤ ﻂ
اﻳﺠﺎد ﻚ
ا ﺠﺎد
ﺷﺒﻜﻪ داﺧﻠﻲ و اﻳﻨﺘﺮﻧﺖ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﺎ زﻳﺮﺷﺒﻜﻪ ) (subnetداﺧﻠﻲ ارﺗﺒﺎط
داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
اﻳﺠﺎد ﺳﻪ ﻻﻳﻪ دﻓﺎﻋﻲ و ﻓﺮاﻫﻢ آﻣﺪن اﻣﻨﻴﺖ ﺑﻴﺸﺘﺮ.
DMZ
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
33
ﭘﺎﻳﺎن
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ
http://dnsl.ce.sharif.edu
ﭘﺴﺖ اﻟﻜﺘﺮوﻧﻴﻜﻲ
[email protected]
ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91
اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ
ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu
34
© Copyright 2026 Paperzz