فقط یك روز پس از انتشار این نسخه، یك نقص امنیتی جدی شناسایی شد، آنقدر جدی كه موزیلا فایرفاكس 16 را از بخش دانلود وب‌سایت خود بیرون كشید و وقفه‌ای در به‌روزرسانی مرورگر كاربران ایجاد كرد، ولی بعد از مدت كوتاهی شركت موزیلا اعلام كرد نسخه 16.0.1 مرورگر فایرفاكس برای دانلود دردسترس بوده و به‌طور عادی كار خود را شروع كرده است. واكنش سریعی كه موزیلا نشان داد كاملا شایسته قدردانی است. مقایسه سرعت انتشار فایرفاكس 16.0.1 با مایكروسافت كه آخرین بسته امنیتی مرورگرها را ارائه كرد ذهن را منفجر می‌كند! مساله از این قرار است كه در ماه گذشته یك نقطه آسیب‌پذیر جدید در ادوبی فلش شناسایی شد كه البته چندان هم غافلگیركننده نبود. آنچه تعجب برانگیز است این كه مایكروسافت و ادوبی بیش از دو هفته برای برطرف كردن حفره امنیتی حالت ویندوز 8 اینترنت اكسپلورر 10 زمان صرف كردند. در هر صورت امیدواریم مایكروسافت و ادوبی از این اتفاق درس گرفته باشند و به‌روزرسانی‌های آینده در اجراكننده فلش اكسپلورر 10 بهنگام‌تر شود. به‌هرحال مایكروسافت برای آن كه بتواند كاربران مرورگر خود را در حالت امن نگه دارد، راه سختی درپیش دارد درحالی كه رقبای او یعنی گوگل و موزیلا سریع‌تر و بهتر به اتفاقات واكنش نشان می‌دهند. فایرفاكس 16.0.1 فایرفاكس 15.0.1 و نسخه‌های پیش از آن بطور خودكار می‌توانند به آخرین نسخه پایدار فایرفاكس یعنی 16.0.1 به‌روزرسانی شوند. این نسخه آخر از لحاظ ظاهری تغییر چندانی نداشته و كاربران تغییر خاصی را احساس نمی‌كنند ولی در زیر پوسته آن، فایرفاكس 16.0.1 یك تجربه مرورگری روان‌تر را با بهره‌گیری از قابلیت «جمع‌آوری افزایشی موارد غیرمصرفی» (incremental garbage collection ) ارائه كرده است. قابلیت جمع‌آوری افزایشی موارد غیرمصرفی، روشی را كه فایرفاكس از آن برای آزادسازی حافظه استفاده نشده بهره می‌برد، تغییر داد. فایرفاكس16.0.1 اكنون قادر است برنامه‌های كاربردی حساس تحت وب و بازی‌های آنلاین را با كارایی بالاتر و به‌صورت روان‌تر اجرا كند. موزیلا در بلاگ خود جزئیات این قابلیت را به این صورت شرح داد: هدف اصلی جمع‌آورنده موارد غیرمصرفی، جمع كردن حافظه‌ای است كه برنامه‌های جاوااسكریپت دیگر از آنها استفاده نمی‌كند. این فضای احیا شده می‌تواند دوباره استفاده شود. این رخداد معمولا هر پنج ثانیه یا بیشتر اتفاق می‌افتد. قبل از ورود GC افزایشی، فایرفاكس نمی‌توانست ‌كاری را در خلال پاكسازی حافظه انجام دهد؛ نمی‌توانست به كلیك‌های ماوس، رسم تصاویر متحرك یا اجرای كد جاوااسكریپت پاسخ دهد. بیشتر این پاكسازی‌ها سریع انجام می‌شد ولی برخی نیز صدها میلی‌ثانیه زمان می‌برد. این زمان افول می‌توانست باعث یك تجربه كاربری ناامیدكننده شود. این قابلیت جدید به‌وسیله تقسیم كار یك GC به بخش‌های كوچك‌تر مشكلات را حل كرد. بجای انجام یك پاكسازی 500 میلی‌ثانیه‌ای، یك جمع‌آورنده افزایشی ممكن است به 50 بخش قسمت شود كه هركدام 10 میلی‌ثانیه برای تكمیل احتیاج دارد. در میان این بخش‌ها فایرفاكس برای پاسخگویی به كلیك‌های ماوس و رسم تصاویر متحرك آزاد است. آخرین نسخه فایرفاكس با یك پشتیبانی اولیه از برنامه‌های كاربردی تحت وب منتشر شد كه توسعه‌دهندگان موزیلا مدتی روی آن فعالیت می‌كردند. تصور می‌شود این برنامه‌های وب، یك جایگزین مناسب برای برنامه‌هایی باشد كه در فروشگاه وب‌كروم در دسترس است. با سیستم‌عامل فایرفاكس كه قرار است اوایل سال بعد منتشر شود، موزیلا قصد دارد فروشگاه برنامه‌های وب مختص به خود را به‌صورت «بازار موزیلا» (Mozilla Marketplace) عرضه كند. فایرفاكس 16.0.1 همچنین یك قابلیت منحصر به فرد برای توسعه‌دهندگان ارائه كرده است؛ یك ابزار «خط فرمان» (command line) كه در ابزار توسعه‌دهندگان وب دردسترس است. این ابزار خط‌فرمان، یك كنترل ساده كیبورد را در ابزار توسعه‌دهندگان فایرفاكس ارائه می‌كند. فایرفاكس یك حالت جدید خواندن برای اندروید معرفی كرده است كه مشاهده، خواندن و به‌اشتراك‌گذاری مقالات و داستان‌ها را از تلفن‌های هوشمند یا تبلت ساده‌تر می‌كند. برای استفاده از این حالت كافی است آیكون «Reader» را كه در نوار شگفت‌انگیز (Awesome Bar) قرار دارد بفشارید. این كار به‌وسیله فرمت دوباره تصاویر و افزایش اندازه فونت، حالت خواندن را فعال كرده تا یك شیوه لذت‌بخش برای خواندن آنلاین محتوا آن هم بدون هیچ گونه تبلیغاتی به كاربر هدیه كند. ایرادهای رفع شده در فایرفاكس 16.0.1 ایرادها و مشكلات زیادی در این نسخه از فایرفاكس حل شد كه در این قسمت تیتروار به برخی از آنها می‌پردازیم. نقاط آسیب‌پذیری كه در فایرفاكس 16 وجود داشت رفع شد، پشتیبانی اولیه از برنامه‌های كاربردی وب (در ویندوز، لینوكس و مك) صورت گرفت، زبان‌های آكولی (زبان مردم شمال اوگاندا و سودان جنوبی) و قزاقستانی اضافه شد، پاسخگویی جاوااسكریپت به‌علت جمع‌آوری افزایشی موارد غیرمصرفی بهبود یافت، نوار ابزار جدید توسعه‌دهندگان با دكمه‌هایی برای دسترسی سریع به ابزار ایجاد شد، شمارش خطاها برای كنسول وب و یك خط فرمان جدید برای دسترسی سریع به كیبورد فراهم آمد، تصاویر متحرك، جابه‌جایی‌ها، تبدیلات و گرادیان‌های 3 CSSپشتیبانی شد، فهرست فایل‌هایی كه بتازگی اجرا شده بود پیاده‌سازی شد، پشتیبانی از MD5 به‌عنوان یك الگوریتم هش در امضاهای دیجیتال متوقف و مسیر معكوس تصاویر متحرك پیاده‌سازی شد و.... موضوعات شناخته شده موجود با وجود مشكلاتی كه در نسخه 16.0.1 فایرفاكس برطرف شد هنوز مواردی وجود دارد كه تیم موزیلا برای رفع آنها ‌بسختی تلاش می‌كند. برای مثال اگر قصد دارید یك پروفایل قفل‌شده از فایرفاكس را استفاده كنید، این مرورگر از كار خواهد ایستاد یا برای برخی كاربران كه در پنجره اصلی جیمیل حركت می‌كنند این اتفاق كندتر از معمول انجام می‌گیرد و مواردی از این دست. كاربرانی كه قبلا هم از فایرفاكس استفاده می‌كردند باید یك اطلاعیه به‌روزرسانی در مرورگر خود ببینند. اگر این اطلاعیه را ندیدید باید به قسمت درباره فایرفاكس كه در بخش كمك‌رسانی (Help » About Firefox) وجود دارد، بروید تا به‌طور دستی وجود فایل به‌روزرسانی بررسی شود. كاربران جدید می‌تواند آخرین نسخه پایدار فایرفاكس را از طریق وب‌سایت موزیلا یا دیگر سایت‌های دانلود، دریافت كنند. آرشیو جزئیات نسخه‌های قدیمی‌تر فایرفاكس در فایرفاكس 15 اگر افزونه‌ها را نصب كنید از فناوری‌های جدید بهینه‌سازی حافظه سود خواهید برد. تكنیك جدید بهینه‌سازی به‌وسیله افزونه‌ها، نقص‌های حافظه را بررسی می‌كند. در فایرفاكس 14.0.1 موتور جستجوی پیش‌فرض فایرفاكس، جستجوی گوگل است، هنگامی كه به‌وسیله آن جستجویی انجام می‌دهید با استفاده از اتصالات HTTPS این كار انجام می‌گیرد. این نسخه آخر از لحاظ ظاهری تغییر چندانی نداشته و كاربران تغییر خاصی را احساس نمی‌كنند ولی در زیر پوسته آن، فایرفاكس 16.0.1 یك تجربه مرورگری روان‌تر را با بهره‌گیری از قابلیت «جمع‌آوری افزایشی موارد غیرمصرفی» (incremental garbage collection) ارائه كرده است موزیلا قابلیت «كلیك برای اجرا» را همانند قابلیت «كلیك برای اجرای افزونه‌ها»ی موجود در گوگل كروم، برای فایرفاكس 14.0.1 پیاده‌سازی كرد. قابلیت جدید «كلیك برای اجرا» (كه به‌طور پیش‌فرض غیرفعال است) در زمان بارگذاری صفحه، افزونه‌ها را غیرفعال می‌كند و در صورتی كه بخواهید محتوای آن افزونه بارگذاری شود، می‌توانید تنها با یك كلیك در محوطه مربوط، آن را فعال كنید. موزیلا كماكان قابلیت‌های «كلیك برای اجرا» و «ترجیحات درون محتوا» را به‌طور پیش‌فرض غیرفعال قرار داده است. اگر به این قابلیت‌ها احتیاج دارید باید به‌طور دستی و از طریق وارد كردن دستور about:config preferences در نوار آدرس، آنها را فعال كنید. 

 حاصل این پردازش احتمال وقوع سه حالت است: ۱) اجازه عبور بسته صادر می شود. ۲) بسته حذف می شود. ۳) بسته حذف می شود و پیام مناسبی به مبدا ارسال بسته فرستاده می شود. ● ساختار و عملكرد با این توضیح، دیواره آتش محلی است برای ایست بازرسی بسته های اطلاعاتی به گونه ای كه بسته ها براساس تابعی از قواعد امنیتی و حفاظتی پردازش شده و برای آنها مجوز عبور یا عدم عبور صادر شود. همانطور كه همه جا ایست بازرسی اعصاب خردكن و وقت گیر است دیواره آتش نیز می تواند به عنوان یك گلوگاه باعث بالا رفتن ترافیك، تاخیر، ازدحام و بن بست شود. از آنجا كه معماری TCP/IP به صورت لایه لایه است (شامل ۴ لایه: فیزیكی، شبكه، انتقال و كاربردی) و هر بسته برای ارسال یا دریافت باید از هر ۴ لایه عبور كند بنابراین برای حفاظت باید فیلدهای مربوطه در هر لایه مورد بررسی قرار گیرند. بیشترین اهمیت در لایه های شبكه، انتقال و كاربرد است چون فیلد مربوط به لایه فیزیكی منحصر به فرد نیست و در طول مسیر عوض می شود. پس به یك دیواره آتش چند لایه نیاز داریم. سیاست امنیتی یك شبكه مجموعه ای از قواعد حفاظتی است كه بنابر ماهیت شبكه در یكی از سه لایه دیواره آتش تعریف می شوند. ● كارهایی كه در هر لایه از دیواره آتش انجام می شود عبارت است از: ۱) تعیین بسته های ممنوع (سیاه) و حذف آنها یا ارسال آنها به سیستم های مخصوص ردیابی (لایه اول دیواره آتش( ۲) بستن برخی از پورت ها متعلق به برخی سرویس ها مثلTelnet، FTP... (لایه دوم دیواره آتش( ۳) تحلیل برآیند متن یك صفحه وب یا نامه الكترونیكی یا .... (لایه سوم دیواره آتش) ۱) در لایه اول فیلدهای سرآیند بسته IP مورد تحلیل قرار می گیرد: ▪ آدرس مبدأ: برخی از ماشین های داخل یا خارج شبكه حق ارسال بسته را ندارند، بنابراین بسته های آنها به محض ورود به دیواره آتش حذف می شود. ▪ آدرس مقصد: برخی از ماشین های داخل یا خارج شبكه حق دریافت بسته را ندارند، بنابراین بسته های آنها به محض ورود به دیواره آتش حذف می شود. IP آدرس های غیرمجاز و مجاز برای ارسال و دریافت توسط مدیر مشخص می شود. ▪ شماره شناسایی یك دیتا گرام تكه تكه شده: بسته هایی كه تكه تكه شده اند یا متعلق به یك دیتا گرام خاص هستند حذف می شوند. ▪ زمان حیات بسته: بسته هایی كه بیش از تعداد مشخصی مسیریاب را طی كرده اند حذف می شوند. ▪ بقیه فیلدها: براساس صلاحدید مدیر دیواره آتش قابل بررسی اند. بهترین خصوصیت لایه اول سادگی و سرعت آن است چرا كه در این لایه بسته ها به صورت مستقل از هم بررسی می شوند و نیازی به بررسی لایه های قبلی و بعدی نیست. به همین دلیل امروزه مسیریاب هایی با قابلیت انجام وظایف لایه اول دیواره آتش عرضه شده اند كه با دریافت بسته آنها را غربال كرده و به بسته های غیرمجاز اجازه عبور نمی دهند. با توجه به سرعت این لایه هر چه قوانین سختگیرانه تری برای عبور بسته ها از این لایه وضع شود بسته های مشكوك بیشتری حذف می شوند و حجم پردازش كمتری به لایه های بالاتر اعمال می شود. ۲) در لایه دوم فیلدهای سرآیند لایه انتقال بررسی می شوند: ▪ شماره پورت پروسه مبدأ و مقصد: با توجه به این مسئله كه شماره پورت های استاندارد شناخته شده اند ممكن است مدیر دیواره آتش بخواهد مثلاً سرویس FTP فقط برای كاربران داخل شبكه وجود داشته باشد بنابراین دیواره آتش بسته های TCP با شماره پورت ۲۰ و ۲۱ كه قصد ورود یا خروج از شبكه را داشته باشند حذف می كند و یا پورت ۲۳ كه مخصوص Telnet است اغلب بسته است. یعنی بسته هایی كه پورت مقصدشان ۲۳ است حذف می شوند. ▪ كدهای كنترلی: دیواره آتش با بررسی این كدها به ماهیت بسته پی می برد و سیاست های لازم برای حفاظت را اعمال می كند. مثلاً ممكن است دیواره آتش طوری تنظیم شده باشد كه بسته های ورودی با SYN=۱ را حذف كند. بنابراین هیچ ارتباط TCP از بیرون با شبكه برقرار نمی شود. فیلد شماره ترتیب و :Acknowledgement بنابر قواعد تعریف شده توسط مدیر شبكه قابل بررسی اند. در این لایه دیواره آتش با بررسی تقاضای ارتباط با لایه TCP، تقاضاهای غیرمجاز را حذف می كند. در این مرحله دیواره آتش نیاز به جدولی از شماره پورت های غیرمجاز دارد. هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود و پورت های بیشتری بسته شوند بسته های مشكوك بیشتری حذف می شوند و حجم پردازش كمتری به لایه سوم اعمال می شود. ۳) در لایه سوم حفاظت براساس نوع سرویس و برنامه كاربردی صورت می گیرد: در این لایه برای هر برنامه كاربردی یك سری پردازش های مجزا صورت می گیرد. بنابراین در این مرحله حجم پردازش ها زیاد است. مثلاً فرض كنید برخی از اطلاعات پست الكترونیكی شما محرمانه است و شما نگران فاش شدن آنها هستید. در اینجا دیواره آتش به كمك شما می آید و برخی آدرس های الكترونیكی مشكوك را بلوكه می كند، در متون نامه ها به دنبال برخی كلمات حساس می گردد و متون رمزگذاری شده ای كه نتواند ترجمه كند را حذف می كند. یا می خواهید صفحاتی كه در آنها كلمات كلیدی ناخوشایند شما هست را حذف كند و اجازه دریافت این صفحات به شما یا شبكه شما را ندهد. ● انواع دیواره های آتش دیواره های آتش هوشمند: امروزه حملات هكرها تكنیكی و هوشمند شده است به نحوی كه با دیواره های آتش و فیلترهای معمولی كه مشخصاتشان برای همه روشن است نمی توان با آنها مقابله كرد. بنابراین باید با استفاده از دیواره های آتش و فیلترهای هوشمند با آنها مواجه شد. از آنجا كه دیواره های آتش با استفاده از حذف بسته ها و بستن پورت های حساس از شبكه محافظت می كنند و چون دیواره های آتش بخشی از ترافیك بسته ها را به داخل شبكه هدایت می كنند، (چرا كه در غیر این صورت ارتباط ما با دنیای خارج از شبكه قطع می شود)، بنابراین هكرها می توانند با استفاده از بسته های مصنوعی مجاز و شناسایی پورت های باز به شبكه حمله كنند. بر همین اساس هكرها ابتدا بسته هایی ظاهراً مجاز را به سمت شبكه ارسال می كنند. یك فیلتر معمولی اجازه عبور بسته را می دهد و كامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را می دهد. بنابراین هكر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن كامپیوتر هدف اطمینان حاصل می كند. برای جلوگیری از آن نوع نفوذها دیواره آتش باید به آن بسته هایی اجازه عبور دهد كه با درخواست قبلی ارسال شده اند. حال با داشتن دیواره آتشی كه بتواند ترافیك خروجی شبكه را برای چند ثانیه در حافظه خود حفظ كرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد می توانیم از دریافت بسته های بدون درخواست جلوگیری كنیم. مشكل این فیلترها زمان پردازش و حافظه بالایی است كه نیاز دارند. اما در عوض ضریب اطمینان امنیت شبكه را افزایش می دهند. ● دیواره های آتش مبتنی بر پروكسی: دیواره های آتش هوشمند فقط نقش ایست بازرسی را ایفا می كنند و با ایجاد ارتباط بین كامپیوترهای داخل و خارج شبكه كاری از پیش نمی برد. اما دیواره های آتش مبتنی بر پروكسی پس از ایجاد ارتباط فعالیت خود را آغاز می كند. در این هنگام دیواره های آتش مبتنی بر پروكسی مانند یك واسطه عمل می كند، به نحوی كه ارتباط بین طرفین به صورت غیرمستقیم صورت می گیرد. این دیواره های آتش در لایه سوم دیواره آتش عمل می كنند، بنابراین می توانند بر داده های ارسالی در لایه كاربرد نیز نظارت داشته باشند. ● دیواره های آتش مبتنی بر پروكسی باعث ایجاد دو ارتباط می شود: ۱) ارتباط بین مبدا و پروكسی ۲ ارتباط بین پروكسی و مقصد حال اگر هكر بخواهد ماشین هدف در داخل شبكه را مورد ارزیابی قرار دهد در حقیقت پروكسی را مورد ارزیابی قرار داده است و نمی تواند از داخل شبكه اطلاعات مهمی به دست آورد. دیواره های آتش مبتنی بر پروكسی به حافظه بالا و CPU بسیار سریع نیاز دارند و از آنجایی كه دیواره های آتش مبتنی بر پروكسی باید تمام نشست ها را مدیریت كنند گلوگاه شبكه محسوب می شوند. پس هرگونه اشكال در آنها باعث ایجاد اختلال در شبكه می شود. اما بهترین پیشنهاد برای شبكه های كامپیوتری استفاده همزمان از هر دو نوع دیواره آتش است. با استفاده از پروكسی به تنهایی بارترافیكی زیادی بر پروكسی وارد می شود. با استفاده از دیواره های هوشمند نیز همانگونه كه قبلاً تشریح شد به تنهایی باعث ایجاد دیواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع دیواره آتش به صورت همزمان هم بار ترافیكی پروكسی با حذف بسته های مشكوك توسط دیواره آتش هوشمند كاهش پیدا می كند و هم با ایجاد ارتباط واسط توسط پروكسی از خطرات احتمالی پس از ایجاد ارتباط جلوگیری می شود. پياده سازي ديواره های آتش هر كاربر با تجربه اينترنت مي داند كه يك ديواره آتش چيست و چه كاربردي دارد. براي دانستن تعريف دقيق آن مي توانيد به مقاله ديواره آتش چيست مراجعه كنيد. در اين مقاله دسته بندي دقيقي از روش هاي توليد ديواره آتش ارائه نخواهد شد، بلکه تنها به مرور برخي از مهم ترين اين روش ها پرداخته مي شود. کليه اين روش ها مربوط به پياده سازي ديواره آتش تحت نسخه هاي مختلف سيستم عامل ويندوز مي باشد. از صحبت در مورد مزايا و معايب اين رويكردها در اين مقاله خودداري مي شود. براي اطلاعات بيشتر در اين زمينه مي توانيد به مقاله روش هاي مختلف پياده سازي ديواره آتش، مزايا و معايب رجوع کنيد. تكنولوژيهاي فيلترينگ ترافيك شبكه در ويندوز با وجود اين كه ويندوز 9X/ME و ويندوز XP/NT واسطهاي سوكت مشابه دارند و معماري NDIS نيز درايورهاي باينري miniport سازگار براي واسطهاي شبكه را پشتيباني مي كند، زير سيستمهاي داخلي شبكه آنها تفاوتهايي با هم دارند. در واقع، زيرسيستمهاي شبكه ويندوز NT/2000/XP خيلي پيچيده تر از ويندوز 9X/ME است، ولي هر دو قابل تقسيم به بخش هاي زير مي باشند: NDIS- : در سال 1989 Microsoft و 3com با هم (Network Driver Interface Specification) NDIS را گسترش دادند كه به درايورهاي شبكه اجازه مي دهد از سرويسهاي واسط شبكه براي مخفي كردن جزئيات عملکرد خودشان استفاده كنند. درايور شبكه با مشخصات ذكر شده NDIS-miniport ناميده مي شود. NDIS-miniport با نسخه هاي مختلف ويندوز سازگار است. -درايورهاي شبكه: توصيف جزئيات اين درايور خارج از حوصله اين مقاله مي باشد. به طور خلاصه يک درايور شبكه (به طور مثال TCP/IP ) در لايه پايين از توابع كتابخانه ايNDIS براي دستيابي به شبكه استفاده مي كند و ممکن است (TDI (Transport Data Information را در لايه بالايي ارائه دهد. واسط TDI ارائه شده مي تواند توسط Clientهاي متنوعي نظير بخشي از پياده سازي سوكت afd.sys (در ويندوزهاي NT/2000/XP) استفاده شود. -DLL هاي سطح كار بر كه واسط سوكت ويندوز را تشكيل مي دهند و عبارتند از : WS2_32.DLL ،msafd.dll ، wshtcpip.dll در زير به بررسي سريع روش هاي ممكن فيلترينگ ترافيك شبكه پرداخته خواهد شد. برخي از اين روش ها که در سطح کاربر کار مي کنند داراي محدوديت هاي فراواني هستند. به عنوان مثال نمي توانند از اتصال برنامه هايي که مستقيما از لايه TDI استفاده مي کنند جلوگيري نمايند. فيلترينگ ترافيك در سطح كار بر 1)Winsock layered service provider (lsp) اين رويكرد در msdn به خوبي مستند سازي شده است و داراي يك مثال مناسب (SPI.CPP) مي باشد. از مزاياي اين روش مي توان به امكان تعيين فرآيند هايي كه سوكت هاي ويندوز را فراخواني مي كنند اشاره كرد. اين روش مي تواند براي انجام اعمالي از قبيل کنترل كيفيت سرويس، رمز نگاري جريان دادها و ... استفاده شود. البته همان طور که گفته شدTCP/IP مي تواند مستقيماً از طريق TDI فراخواني شود، بنابراين اين روش براي مراقبت در برابر ويروس ها و اسب هاي تروا و ... استفاده نمي شود. به علاوه اين رويكرد روي مسيرياب قابل استفاده نيست، زيرا بسته هاي اطلاعاتي در سطح TCP/IP مسيريابي مي شوند (يا حتي در سطح کارت شبکه) 2) Windows 2000 Packet Filtering Interface ويندوز 2000 APIهايي را ارائه مي کند که برنامه هاي كاربردي سطح كاربر با استفاده از آن ها مي توانند مجموعه اي از فيلترها -كه توسط TCP/IP براي فيلتر كردن بسته ها استفاده مي شوند- را نصب كنند. البته قوانين فيلترينگ نسبتاً محدودند (بر مبناي عبور/انسداد براي آدرس هاي IP و اطلاعات port). هم چنين اين رويكرد فقط در ويندوز 2000 و نسخه هاي بالاتر قابل استفاده است. 3) جايگزيني Winsock DLL اين رويكرد با توجه به داشتن مشکلات امنيتي متعدد قابل اعتماد نمي باشد و لذا از بحث در مورد آن خودداري مي شود. 4) قلاب کردن کليه توابع ناامن استفاده از اين رويكرد نسبتاً مشكل بوده و نيازمند احتياط فراوان مي باشد، زيرا ممكن است بر روي ثبات و امنيت سيستم تاثير بگذارد. فيلترينگ ترافيك در سطح هسته ((kernel 1) kernel-mode sockets filter اين تكنولوژي براي ويندوزهاي NT/2000 قابل استفاده است. اين رويکرد با قرار گرفتن در مسير تمامي فراخواني ها از msafd.dll (پائين ترين لايه سطح كاربر در Winsock ) به ماژول afd.sys در سطح هسته (TDI-client، که در بالاترين سطح هسته قرار دارد و به عنوان بخشي از سوكتهاي ويندوز شناخته مي شود) و کنترل يا تغيير آن ها کار مي کند. اين روش، روش جالبي است ولي امكانات بيش تري نسبت به روش LSP ندارد. به علاوه، واسط AFD در نسخه هاي مختلف ويندوز متغير بوده است كه اين مساله باعث افزايش تغييرات لازم براي استفاده از اين رويکرد در اين نسخه ها مي شود. 2) TDI-FILTER driver اين تكنولوژي هم براي ويندوزهاي 9X/ME و هم براي ويندوزهايNT/2000 به كار مي رود. البته پياده سازي آن در اين دو تفاوت هاي فاحشي با هم دارد. براي ويندوز 98 مثالي در Vireo/Numega VtoolsD يافت مي شود. هم چنين براي ويندوز NT/2000 مثالي در سايت http://www.sourceforge.net وجود دارد. اين تكنولوژي، تکنولوژي معروفي است که در تعدادي از محصولات تجاري (مثل outpost) استفاده شده است. البته همانند ساير روش هايي که تاکنون بيان شد، اين رويكرد فقط مي تواند براي ساختن محصولات ردة ديوارة آتش شخصي استفاده شود و نمي تواند از پشتة TCP/IP شما در برابر حملات خرابكاران مراقبت كند. 3) NDIS Intermediate Driver Microsoft اين دسته از درايورها را دقيقا به منظور پياده سازي ديواره هاي آتش فراهم كرده است . البته اين درايورها براي ويندوز95 قابل پياده سازي نيست و در مورد ويندوزهاي 98/ME/NT نيز بهتر است از اين کار صرفنظر شود. نصب اين درايورها و هم چنين استفاده آنها براي كاربران خيلي راحت نيست. پشتيباني از درايوهايIM در ويندوز 2000/XP بهبود يافته است، ولي مساله ديگري که در اين مورد وجود دارد آن است که چنين درايورهايي بايد داراي امضاي ديجيتال ازMicrosof باشد، در غير اين صورت در هنگام نصب کاربر با پيغامي مبني بر عدم داشتن امضاي ديجيتال مواجه مي شود. مثالي در اين زمينه در DDK ويندوزهاي 2000 به بعد وجود دارد. 4) windows 2000 filter hook driver اين روش در مستندات DDK توضيح داده شده است و فقط براي ويندوز 2000 و نسخه هاي بالاتر قابل استفاده است. مثالي در اين زمينه در http://www.codeproject.com وجود دارد. 5) NDIS HOOKING FILTER DRIVER اين رويكرد بر مبناي قلاب کردن برخي توابع NDIS عمل مي کند بدين ترتيب کليه ترافيک ارسالي و دريافتي شبکه از مسير توابع قلاب شده عبور خواهد کرد. لذا مي توان محدوديت هاي مورد نظر را در اين نقطه اعمال نمود. 6) Miniport Hooking پايين ترين سطح براي پياده سازي يک ديواره آتش، سطح miniport مي باشد. البته نوشتن کد در اين سطح، دشواري هاي فراواني دارد و به همين دليل توصيه نمي شود. قتي قرار باشد از يك ساختمان و وسايل داخل آن محافظت كنيم، اولين كاري كه انجام می دهيم، كنترل مبادي ورود و خروج ساختمان است. به بيان ديگر فقط به افراد منتخبي ، اجازه وارد شدن (و يا خارج شدن) از ساختمان را می دهيم. معيار انتخاب افراد براي كسي كه مامور كنترل ورود و خروج است بايستي در چارچوب يك خط مشي امنيتي، از قبل مشخص باشد. در مورد شبكه‌هاي كامپيوتري نيز بطور مشخص، همين روال را پيش می گيريم. يعني مرزهاي شبكه داخلي خود را كنترل مي‌كنيم. منظور از مرز شبكه، لبه تماس شبكه داخلي با شبكه(هاي) خارجي نظير اينترنت، شبكه يكي از شعب سازمان و يا شبكه يك سازمان ديگر است. براي كنترل اين مرزها از Firewall استفاده مي‌شود با پياده‌سازي تكنيك‌هاي Packet Filtering، بخشي از وظايف يك Firewall را می توان به Router(هاي) لب مرز واگذار كرد. ولي Routerها به تنهايي قادر به انجام كل وظايف يك Firewall نيستند و استفاده از Firewallها امري اجتناب ناپذير است. دليل ناكافي بودن Packet Filtering در Router لب مرز دو چيز است: يكي اينكه اصولا" تمامي تكنيك‌هايي كه در Firewallها پياده سازي مي‌شوند، در Router قابل اجرا نيست و گذشته از آن، اصل دفاع لايه به لايه (يا دفاع در عمق) ميگويد كه محافظت بايستي در بيش از يك لايه انجام شود. (مانند دژهاي قديمي كه با لايه‌هاي مختلف (خندق، دروازه اصلي، دروازه‌هاي فرعي، برجها و ...) از آنها محافظت مي‌شد. در شكل‌هاي زير يك نمونه از پياده سازي Firewallها را مشاهده می كنيد. ----------------------------------------------------------------------------- ----------------------------- در شكل‌هاي فوق، Router لب مرز، ترافيك را در سطح IP كنترل می كند. اين Router اولين لايه دفاعي شبكه محسوب مي‌شود. همانطور كه مشاهده مي‌شود در اين Router فقط به كاربراني از اينترنت اجازه عبور داده مي‌ شود كه متقاضي يكي از سرويس‌هاي وب، پست الكترونيك و يا DNS باشند. در هر شكل ناحيه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در اين ناحيه سرورهايي را قرار ميدهيم كه بايستي از اينترنت ديده شوند مانند Web Server، E-Mail Server و DNS Server. اگر بخواهيم DMZ را با يك مثال روشنتر توصيف كنيم، بايستي بگوييم كه DMZ مانند نمايشگاه و فروشگاه يك شركت است كه تقريبا" به همه اجازه داده مي‌شود به داخل آن بيايند و از محصولات ما ديدن كنند، اصولا" نمايشگاه به همين منظور ايجاد شده، فلسفه وجودي Web Server اين است كه از اينترنت ديده شود. ناحيه ديگري كه در شبكه‌ها وجود دارد، ناحيه Private Network است. هيچ بسته‌اي از طريق اينترنت اجازه ورود به ناحيه اختصاصي شبكه ما را ندارد مگر آنكه يكي از طرف يكي از كاربران داخلي درخواست شده باشد. پس در ساده‌ترين شكل، شبكه ما از سه ناحيه Public Network، DMZ و Private Network تشكيل شده و در مرز هر كدام از اين نواحي بايستي تمهيدات كنترلي اتخاذ كرده و عبور و مرور بسته‌هاي اطلاعاتي را كنترل كنيم. در ادامه مقاله از اين سه بخش تحت عناوين Internat، DMZ و LAN نام خواهيم برد. ممكن است علاوه بر سه ناحيه فوق، در ناحيه LAN، بخشي داشته باشيم كه از نظر حساسيت در سطح بالاتري نسبت به ساير LAN باشد. اين ناحيه، ناحيه‌ايست كه سرورهاي حساس شبكه مانند سرور مالي و يا فايل سرور بخش تحقيق و توسعه قرارداد. براي اين ناحيه لازم است Firewall مجزايي پياده سازي شود. اين Firewall لايه‌اي است كه به لايه‌هاي امنيتي اضافه شده و دسترسي غير مجاز به اين ناحيه را مشكل‌تر مي‌كند: به شكل زير توجه كنيد: (Routerها با R و Firewallها با F مشخص شده‌اند) همانطور كه ملاحظه مي‌كنيد، R1 و R2 بعنوان Routerهاي لب مرز شبكه‌ها را از اينترنت جدا كرده‌اند. در كل مجموعه، يك DMZ داريم كه با F1 از بقيه مجموعه جدا شده است. F3 و F5 دو وظيفه بعهده دارند، يكي مرز بين اينترنت و LANهاي مربوط به خود را كنترل ميكنند، و ديگر اينكه ارتباط بين دو LAN را كنترل مي‌كنند اين ارتباط ممكن است Lease Line، Wireless و يا يك زوج سيم مسي باشد. اين Firewalها با پشتيباني از سرويس VPN، ارتباط داخلي امني را بين دفترمركزي و شعبه برقرار ميكنند. اما F2 و F4 نيز در شرايط مشابهي هستند، اين دو وظيفه جدا سازي منطقه حساس را از بقيه LAN بر عهده دارند و علاوه برآن F2 دو Subnet موجود در شبكه دفتر مركزي را نيز از هم جدا ميكند. جداسازي Subnetها از هم در راستاي محدود كردن حملات احتمالي است. اگر به نحوي يكي از Subnetها مورد حمله واقع شد، (مثلا" با Wormي كه از طريق e-mail و يا حتي از طريق ديسكت و CD وارد آن شده) اين آلودگي به همان Subnet محدود شده و ساير بخشهاي شبكه ايمن باقي بمانند. نتيجه گيري: ديديم كه برای تامين امنيت يك شبكه، Firewall اولين چيزی است كه بايستی پياده سازی شود. نكته حائز اهميت آنكه، نصب يك Firewall در شبكه به تنهايی امنيت آن شبكه را تامين نخواهد كرد، آنچه مهمتر است، تعريف قواعد كنترل (Rules) و اعمال تنظيمات اوليه و همچنين مهمتر از آن به روزرسانی قواعد برمبنای تكنيكهای نفوذ و حملات جديد است. 

 اقدام موزیلا در کندترکردن روند انتشار فایرفاکس روباه آتشین از سرعت خود می‌کاهد موزیلا پس از ارائه زمان‌بندی به‌روزرسانی جدید و سریع خود برای فایرفاکس، با مقاومت شدیدی از سوی کاربرانش مواجه شد و مجبور به معرفی یک نسخه کندتر از مرورگر خود گردید. در این طرح پیشنهادی، موزیلا هر 30 هفته یک نسخه «انتشار با پشتیبانی کامل» (ESR) جدید معرفی خواهد کرد. این زمان‌بندی 5 ‌بار آهسته‌تر از چرخه انتشار سریع برای فایرفاکس بود که در آن هر 6 هفته مرورگر به‌روزرسانی و هر نسخه برای 42 هفته پشتیبانی می‌شد. بعد از آن که موزیلا در ماه ژوئن اخباری دریافت کرد که طبق آن «برنامه انتشار سریع » برای بررسی این مرورگر از زمان مورد نیاز کاربران و وب‌سایت‌هایی که از آن استفاده می‌کنند پیشی گرفته است، تصمیم گرفت یک کارگروه اضطراری تشکیل دهد تا در رفع هرچه سریع‌تر این مساله اقدام شود. این طرح‌های پیشنهادی به تشکیلات، زمان اضافی خواهد داد تا بتواند روی نسخه جدید فایرفاکس و انتشار آن بیشتر دقت کند. البته این طرح‌ها حاصل تلاش و کار این گروه است. موزیلا تلاش می‌کند با ارائه طرح ESR به هدف خود برسد؛ مدرن‌کردن روند توسعه خود بدون جا ماندن مشتریانی که نسبت به بقیه کندتر هستند. اگر خیلی آهسته حرکت کند، خطر از دست دادن کاربرانی که قبلا جاذبه‌های گوگل کروم را دیده‌اند بسیار زیاد خواهد شد و همچنین ممکن است از بسیاری از فناوری‌های روز عقب بماند. اگر خیلی سریع حرکت کند ممکن است سازمان‌ها و کاربرانی که کندتر هستند به اینترنت اکسپلورر مایکروسافت پناه ببرند. تا زمانی که این شرکت تلاش می‌کند مشتریان کندتر را با آخرین به‌روزرسانی‌ها تطبیق دهد بدون این که مجبور باشد پشتیبانی زیادی انجام دهد، بیش از پیش متقاعد می‌شود که برنامه انتشار سریع بهترین راه برای حرکت به‌سمت جلو خواهد بود. البته برخی افراد در موزیلا حتی به فکر یک چرخه سریع‌تر هستند تا بتوانند سریع‌تر قابلیت‌ها را به کاربران ارائه کنند. این مساله به‌این معنی است که به‌روزرسانی‌های فایرفاکس صرفا فقط زود به زود نیستند، بلکه بدون هیچ‌گونه مشارکتی از سوی کاربران اعمال می‌شوند. منطق انتشار سریع طرح انتشار سریع برای 2 منظور طراحی شده است: قابلیت‌های جدید را زودتر به کاربران فایرفاکس ارائه کند و دیگر این که به روان‌ترسازی توسعه بپردازد. به‌جای یک سال انتظار یا بیشتر برای یک مجموعه بزرگ از قابلیت‌های جدید، کاربران فایرفاکس تنها چند هفته برای یک مجموعه هر چند کوچک‌تر منتظر خواهند ماند. دیگر هیچ‌گاه یک قابلیت تنها، یک نسخه کامل را نخواهد ساخت و به‌جای آن شش هفته منتظر خواهد ماند تا بقیه تغییرات ارائه شود. با متمرکزشدن روی یک زمان‌بندی به‌جای یک شماره نسخه، توسعه‌دهندگان می‌توانند با خیال راحت یک قابلیت را زمانی که کاملا به پایان رسید بیرون بفرستند و در اختیار کاربر قرار دهند. گوگل توانست با کروم در زمان‌بندی انتشار سریع پیشقدم شود. این شرکت ابتدا روندی 3 ماهه در پیش گرفت سپس آن را به یک چرخه 6 هفته‌ای تبدیل کرد. گوگل نسبت به مکانیزم انتشار سریع موزیلا 2 برتری داشت؛ این که این شرکت از ابتدا یک سازوکار به‌روزرسانی ساکت و بی‌سر و صدا به‌کار گرفت که به‌طور خودکار نسخه‌های جدید خودش را دانلود می‌کرد و هنگامی که کاربر، کار با مرورگر یا رایانه خود را از سر می‌گرفت خود به‌خود نصب می‌شد. این در حالی است که موزیلا قصد تغییر روند فعلی خود را دارد ؛ روندی که هر چند فوق‌العاده عمل نمی‌کند، ولی به‌اندازه کافی خوب است و توانسته دومین گروه بزرگ از کاربران مرورگرها در دنیای اینترنت را به خود جذب کند. دومین مزیت گوگل نسبت به موزیلا این است که کروم از یک سیستم افزونه‌ای استفاده می‌کند که این سیستم از فناوری‌های وب مانند HTML، CSS و JavaScript بهره می‌برد و همچنین به واسط‌های مرورگری‌ تکیه کرده است که شرکت گوگل سخت تلاش می‌کند آنها را پایدار و ثابت نگه دارد. نتیجه این مسائل سفارشی‌سازی‌هایی است که هنگام به‌روزرسانی مرورگر آسیب نمی‌بینند. اگرچه فایرفاکس یک سیستم مشابه در افزونه‌ها را اضافه می‌کند، ولی یک نسخه قدیمی‌تر از آن نیز وجود دارد که برای سازگاری و رفع مشکلات بسیار حساس‌تر است. موزیلا سخت در تلاش است تا این مشکلات را اصلاح کند. برای مثال به‌وسیله ثبت خودکار افزونه‌ها، آ‌نهایی که در دسترس هستند، قطعا با نسخه‌های جدید فایرفاکس سازگار خواهند بود. در حالت ایده‌آل توسعه‌دهندگان وب با صرف‌نظرکردن از شماره‌ نسخه‌ها وارد دوره جدیدی خواهند شد. به‌جای این که وب‌سایت‌ها و نرم‌افزارهای تحت وب را برای نسخه‌های شمارشی یک مرورگر تغییر دهند، می‌توانند از «ردیابی قابلیت» استفاده کنند و ببینند یک مرورگر از چه فناوری‌هایی پشتیبانی می‌کند تا بتوانند یک وب‌سایت کاملا مناسب برای آن ارائه کنند. در روند انتشار سریع، برخی موضوعات فرهنگی نیز وجود دارد. تعداد بسیاری از افراد توسط صنعت نرم‌افزار آموزش داده شده‌اند؛ صنعتی که در آن افزایش شماره نسخه اصلی، اصلی بسیار مهم است؛ چراکه تغییرات بزرگ را نشان می‌دهد. روند انتشار سریع که کاملا شماره‌های نسخه را به عنوان یک ابزار محض در ردیابی‌کردن کنار گذاشته، کاملا از این شیوه تغییرات جدا شده است. موضوعات کاربردی نیز در انتشار سریع دخیل هستند. آهنگ سریع‌تر انتشار به سازمان‌ها و تشکیلات بازه زمانی کوتاه‌تری برای تثبیت آن و استفاده از نسخه‌های جدید می‌دهد. همچنین فقدان نگهداری از نسخه‌های قدیمی‌تر می‌تواند برای سازمان‌ها خطرهای امنیتی زیادی در پی داشته باشد. برای کنار آمدن با کاربرانی که آهسته‌تر حرکت می‌کنند مانند مدارس، هر شرکتی راه‌حلی ارائه کرده است. برای مثال فایرفاکس نسخه ESR را پیشنهاد کرد. براساس این طرح پیشنهادی، نسخه ESR با راه‌حل‌هایی برای رفع حفره‌های بحرانی امنیتی و با خطر بالا خواهد آمد که از طریق کانال توزیع خود و درکنار فایرفاکس معمولی تست می‌شود و احتمالا شروعی برای فایرفاکس 8 یا 9 خواهد بود. هنوز سریع‌تر؟ آیا چرخه 5 هفته‌ای امکان‌پذیر است؟ یک قابلیت جدید که به‌این شیوه توسعه می‌یابد باید در عرض 3 هفته به مرورگرهای کاربران برسد ؛ چرا که باید حدود یک هفته در آرورا (Aurora) و کانال‌های بتای فایرفاکس آزموده شود تا یک نسخه ثابت به‌وجود آید. قطعا موزیلا قصد کوتاه‌ترکردن این چرخه را دارد؛ ولی قبل از آن باید بتواند چرخه 6 هفته‌ای را از نظر روند، ابزار و محصول روان‌تر کند. هر زمان که موزیلا توانست به این منظور دست یابد می‌تواند این چرخه را کوتاه‌تر کند. همچنین موزیلا، فایرفاکس را به‌سمت یک روند به‌روزرسانی بی‌صدا حرکت می‌دهد؛ جایی که کاربران دیگر نیاز ندارند برای دریافت نسخه‌های جدید مرورگر، همانند امروز کار خاصی انجام دهند. یعنی در مواردی که نسخه جدید با افزونه جدید سازگار نیست، یک به‌روزرسانی ساده تنها کاری است که کاربر باید انجام دهد. یکی از پیچیدگی‌های این ایده، گذشتن از هشدارهای سیستم‌عامل است؛ مانند کنترل حساب کاربر ویندوز که مدام از کاربران می‌پرسد آیا واقعا قصد نصب نرم‌افزار را دارند یا خیر.