فایروال چیست و چگونه کار می‌کند؟

فایروال‌های نسل بعدی NGFW

در این نوع فایل‌ها می‌توان پک‌ها را با حالت‌های مختلف اتصال، آدرس منبع و مقصد مورد فیلتر قرار داد. این همان جاییست که فایروال (firewall) نسل بعدی یا به اختصار NGFW وارد عمل خواهد شد. فایروال NGFW قوانینی را برای برنامه‌های کاربردی و کاربران مجاز جهت کاربری در نظر می‌گیرند و در داده‌های جمع آوری شده با فناوری‌های دیگر ترکیب می‌شوند تا تصمیمات آگاهانه‌تر درباره اینکه چه نوع ترافیک اجازه اتصال یا کاهش سرعت خواهد داشت، گرفته شود.

مثالی که می‌توان زد چنین است، برخی از این فایروال‌ (firewall) ها فیلتر کردن URL را انجام می‌دهند، می‌توانند اتصالات SSL را به اتمام برسانند و از شبکه‌های گسترده‌ای تعریف شده توسط نرم افزار (SD-WAN) پشتیبانی کنند تا کارایی نحوه اجرای دقیق SD-WAN در زمینه اتصال افزایش پیدا کند.

ویژگی‌هایی که از لحاظ زمانی توسط دستگاه‌های مختلف مورد استفاده قرار می‌گیرند و هم اکنون در بسیاری از انواع فایروال‌های نسل بعدی مشاهده می‌شوند، شامل موارد زیر هستند:

1- سیستم مقابله با نفوذ یا IPS

از آنجایی که تکنولوژی‌های فایروال (firewall) اولیه انواع خاصی از ترافیک شبکه را شناسایی و مسدود می‌سازد. IPS ها از امنیت بیشتری از قبیل ردیابی نشانه‌ها و تشخیص مبتنی آنومالی برای جلوگیری از تهدیدات ورود به شبکه بهره می‌گیرند. سیستم عامل‌های جداگانه، قابلیت‌های بیشتری در بحث IPS داشته و از ویژگی‌های استاندارد فایروال برخوردار هستند.

2- نظارت عمیق بسته یا DPI

DPI یک نوع فیلترینگ بسته محسوب می‌شود که به نظر فراتر از آنچه که بسته‌ها می‌خواهند و محتوای آنها را نظارت می‌کنند، نشان می‌دهد. برای مثال، چه کاربری در حال دسترسی است یا چه نوع داده‌ای در حال انتقال است. این اطلاعات می‌تواند سیاست‌های هوشمند و کارآمدی برای فایروال (firewall) را برای جلوگیری فراهم آورد. DPI می‌تواند برای پیش‌گیری یا ترافیک‌ها مورد استفاده قرار گیرد، اما محدودیت پهنای باند برنامه‌های کاربردی خاص را به استفاده از آن مجاز می‌سازد. همچنین می‌تواند یک ابزار در جهت محافظت از مالکیت معنوی یا اطلاعات حساس ناشی از ترک یک شبکه امن محسوب شود.

3- پایان کار SSL

ترافیک رمزگذاری شده SSL یا Secure Sockets Layer ایمنی به نظارت روی بسته عمیق می‌دهد زیرا محتوای آن قابل خواندن نیست. برخی از NGFW ها می‌توانند ترافیک SSL را پایان بخشند، آن را بررسی کرده، سپس یک اتصال SSL دوم را به آدرس مقصد مورد نظر ارسال می‌کنند. این می‌تواند مورد استفاده قرار گیرد تا برای مثال، مانع از ارسال اطلاعات اختصاصی خارج از شبکه امن توسط کارمندان مخرب شود. این در حالیست که اجازه می‌دهد تا از طریق ترافیک قانونی نیز عملیات ادامه یابد. در حالی که از این نظر، حفاظت از داده‌ها مناسب است، DPI می‌تواند نگرانی‌های امنیتی را به دنبال داشته باشد.

4- گودبرداری یا سندباکسینگ

ارتباط با منابع خارجی می‌تواند حاوی کد مخرب باشد. با استفاده از سندباکسینگ یا گودبرداری، برخی از NGFW ها می‌توانند این پیوست‌ها و هر کدام از آنها را جدا کرده و آنها را اجرا کنند و بدانند که آیا آن داده مخرب است یا خیر. ضعف این فرآیند این است که می‌تواند بسیاری از عملیات‌های پردازنده را مشغول کند و تاخیر قابل ملاحظه‌ای در ترافیک مبتنی بر فایروال تاخیری به وجود آورد.

ویژگی‌های دیگری نیز وجود دارد که می‌تواند در NGFWs نیز موجود باشد. آنها می‌توانند در جمع آوری داده‌های دیگر سیستم عامل‌ها، با استفاده از آن برای تعیین فایروال (firewall)، پشتیبانی کنند. به عنوان مثال، اگر یک کد جدید بدافزار توسط محققان شناسایی شده باشد، فایروال می‌تواند آن اطلاعات را دریافت کرده و ترافیک را که شامل کد است، فیلتر نماید.
گارتنر، پیشتر از اصطلاح NGFW استفاده کرده و اکنون می‌گوید که تجربیات قبلی فایروال‌ها قدیمی شدند و اکنون باید NGFW ها را تنها فایروال‌های سازمانی دانست.

فایروال‌های کاربردی در وب

این نوع فایروال‌ها به صورت منطقی میان سرورهایی که از برنامه‌های کاربردی وب و اینترنت پشتیبانی می‌کنند، آنها را در برابر حملات خاص HTML مانند اسکریپت Cross-site، انتقال SQL و دیگران محافظت می‌کند. آنها می‌توانند سخت افزاری باشند یا آن که مبتنی بر ابر عمل کنند و یا آن که با توجه به برنامه‌های خود تعیین کنند آیا هر مشتری در تلاش برای دسترسی به سرور مجاز جهت دسترسی است یا خیر.