پيشگفتار:
اين
قابليت كه بتوان يك كامپيوتر را در هر كجا به كامپيوتري ديگر در جايي ديگر متصل
كرد، به منزلة يك سكة دو رو است؛ براي اشخاصي كه در منزل هستند گردش در اينترنت
بسيار لذت بخش است در حالي كه براي مديران امنيت در سازمان ها، يك كابوس وحشتناك
به حساب ميآيد.
«ديوار
آتش» پياده سازي مدرني از روش قديمي حصارهاي امنيتي است: خندقي عميق دور تا دور
قلعه حفر مي كردند. اين الگو همه را مجبور ميكند تا براي ورود يا خروج از قلعه،
از يك پل متحرك و واحد بگذرند و بتوان همه را توسط پليس حراست بازرسي كرد. در
دنياي شبكه هاي كامپيوتري، همين راهكار ممكن خواهد بود: يك سازمان ميتواند
هر تعداد شبكة محلي داشته باشد كه به صورت دلخواه به هم متصل شده اند، اما تمام
ترافيك ورودي يا خروجي سازمان صرفاً از طريق يك پل متحرك (همان ديوار آتش) ميسر
است.
مطالب
اين پايان نامه در دو فصل تنظيم شده است. فصل اول به معرفي ديوارهاي آتش مي
پردازد. در اين فصل، مطالبي از قبيل اثرات مثبت و منفي ديوار آتش، تواناييها و
ناتواناييهاي آن، نحوة عملكرد ديوارهاي آتش، انواع ديوار آتش، معماري هاي ديوار
آتش و نحوة انتخاب، پياده سازي و آزمايش يك ديوار آتش بررسي ميشوند.
اين فصل، يك ديد جامع در مورد نحوة انتخاب ديوار آتش منطبق با سياست امنيتي
سازمان ميدهد. فصل دوم به پياده سازي نرم افزاري يك ديوار آتش
فيلتر كنندة بسته با استفاده از ابزار ارائه شده در سيستم عامل لينوكس، يعني iptables مي پردازد. در اين فصل، مطالبي از قبيل نحوة
پيكربندي سيستم مبتني بر لينوكس به عنوان يك مسيرياب، جداول و زنجيرها، قوانين و
تطبيق ها و اهداف، پيكربندي iptables، مشخصات فيلترسازي، تعميم ها، مشخصات هدف، تركيب NAT با فيلترسازي بسته و نحوة ذخيره و بازيابي
دستورات iptables بررسي ميشوند.
اين فصل، نحوة نوشتن قوانين ديوار آتش فيلتر كنندة بسته را به منظور كنترل مناسب
ترافيك ورودي يا خروجي توضيح ميدهد.
فهرست مطالب
فهرست
مطالب.................................. 3
فهرست
شكل ها................................. 9
فهرست
جدول ها................................ 11
چكيده
(فارسي)................................ 12
فصل
اول: ديوارهاي آتش شبكه................... 13
1-1 :
مقدمه............................... 14
1-2 : يك
ديوار آتش چيست؟.................. 15
1-3 :
ديوارهاي آتش چه كاري انجام مي دهند؟.. 16
1-3-1 :
اثرات مثبت.................... 16
1-3-2 :
اثرات منفي.................... 17
1-4 :
ديوارهاي آتش، چه كارهايي را نمي توانند انجام دهند؟ 18
1-5 :
چگونه ديوارهاي آتش عمل ميكنند؟...... 20
1-6 :
انواع ديوارهاي آتش.................. 21
1-6-1
: فيلتر كردن بسته................ 22
1-6-1-1 :
نقاط قوت................. 24
1-6-1-2 :
نقاط ضعف................. 25
1-6-2
: بازرسي هوشمند بسته............. 28
1-6-2-1
: نقاط قوت................. 31
1-6-2-2
: نقاط ضعف................. 32
1-6-3
: دروازة برنامه هاي كاربردي و پراكسيها 32
1-6-3-1 :
نقاط قوت................. 35
1-6-3-2 :
نقاط ضعف................. 36
1-6-4 :
پراكسيهاي قابل تطبيق.......... 38
1-6-5 :
دروازة سطح مداري.............. 39
1-6-6 :
وانمود كننده ها................ 40
1-6-6-1 :
ترجمة آدرس شبكه........... 40
1-6-6-2 :
ديوارهاي آتش شخصي........ 42
1-7 : جنبه
هاي مهم ديوارهاي آتش كارآمد.... 42
1-8 :
معماري ديوار آتش.................... 43
1-8-1 :
مسيرياب فيلتركنندة بسته......... 43
1-8-2 :
ميزبان غربال شده يا ميزبان سنگر 44
1-8-3 :
دروازة دو خانه اي............. 45
1-8-4 :
زير شبكة غربال شده يا منطقة غيرنظامي 46
1-8-5
: دستگاه ديوار آتش.............. 46
1-9 :
انتخاب و پياده سازي يك راه حل ديوار آتش 48
1-9-1 :
آيا شما نياز به يك ديوار آتش داريد؟ 48
1-9-2 :
ديوار آتش، چه چيزي را بايد كنترل يا محافظت كند؟ 49
1-9-3 : يك ديوار آتش، چه تأثيري
روي سازمان، شبكه و كاربران
خواهد گذاشت؟............... 50
1-10 : سياست امنيتي ....................... 51
1-10-1 : موضوعات اجرايي............... 52
1-10-2 : موضوعات فني................... 53
1-11 : نيازهاي پياده سازي................. 54
1-11-1 : نيازهاي فني................... 54
1-11-2 : معماري....................... 54
1-12 : تصميم گيري.......................... 55
1-13 : پياده سازي و آزمايش................ 56
1-13-1 :
آزمايش، آزمايش، آزمايش!...... 57
1-14 : خلاصه .............................. 58
فصل
دوم: پياده سازي ديوار آتش با استفاده از iptables 60
2-1 : مقدمه............................... 61
2-2 : واژگان علمي مربوط به
فيلترسازي بسته.. 62
2-3 : انتخاب يك ماشين براي ديوار
آتش مبتني بر لينوكس 65
2-4 : به كار بردن IP Forwarding و Masquerading.... 65
2-5 : حسابداري بسته....................... 70
2-6 : جداول و زنجيرها در يك ديوار
آتش مبتني بر لينوكس 70
2-7 : قوانين............................... 74
2-8 : تطبيق ها............................ 75
2-9 : اهداف............................... 75
2-10 : پيكربندي iptables..................... 76
2-11 : استفاده از iptables................... 77
2-11-1 :
مشخصات فيلترسازي.............. 78
2-11-1-1 : تعيين نمودن آدرس IP مبدأ و مقصد 78
2-11-1-2 : تعيين نمودن معكوس......... 79
2-11-1-3 : تعيين نمودن پروتكل........ 79
2-11-1-4 : تعيين نمودن يك رابط....... 79
2-11-1-5 : تعيين نمودن قطعه ها....... 80
2-11-2 :
تعميم هايي براي iptables (تطبيق هاي
جديد) 82
2-11-2-1 : تعميم هاي TCP........... 82
2-11-2-2 : تعميم هاي UDP........... 86
2-11-2-3 : تعميم هاي ICMP.......... 86
2-11-2-4 :
تعميم هاي تطبيق ديگر.... 87
2-11-3 :
مشخصات هدف................... 92
2-11-3-1 : زنجيرهاي تعريف شده توسط
كاربر 92
2-11-3-2 : هدف هاي تعميمي ......... 92
2-11-4 :
عمليات روي يك زنجير كامل....... 94
2-11-4-1 : ايجاد يك زنجير جديد........ 94
2-11-4-2 : حذف يك زنجير ............. 94
2-11-4-3 : خالي كردن يك زنجير ........ 95
2-11-4-4 : فهرست گيري از يك زنجير .... 95
2-11-4-5 : صفر كردن شمارنده ها...... 95
2-11-4-6 : تنظيم نمودن سياست........ 95
2-11-4-7 :
تغيير دادن نام يك زنجير.... 96
2-12 : تركيب NAT با فيلترسازي بسته........ 96
2-12-1 : ترجمة آدرس شبكه............... 96
2-12-2 : NAT مبدأ و Masquerading.......... 98
2-12-3 : NAT مقصد..................... 99
2-13 : ذخيره نمودن و برگرداندن
قوانين........ 101
2-14 : خلاصه............................... 102
نتيجه
گيري.................................... 105
پيشنهادات.................................... 105