حاصل این پردازش احتمال وقوع سه حالت است: ۱) اجازه عبور بسته صادر می شود. ۲) بسته حذف می شود. ۳) بسته حذف می شود و پیام مناسبی به مبدا ارسال بسته فرستاده می شود. ● ساختار و عملكرد با این توضیح، دیواره آتش محلی است برای ایست بازرسی بسته های اطلاعاتی به گونه ای كه بسته ها براساس تابعی از قواعد امنیتی و حفاظتی پردازش شده و برای آنها مجوز عبور یا عدم عبور صادر شود. همانطور كه همه جا ایست بازرسی اعصاب خردكن و وقت گیر است دیواره آتش نیز می تواند به عنوان یك گلوگاه باعث بالا رفتن ترافیك، تاخیر، ازدحام و بن بست شود. از آنجا كه معماری TCP/IP به صورت لایه لایه است (شامل ۴ لایه: فیزیكی، شبكه، انتقال و كاربردی) و هر بسته برای ارسال یا دریافت باید از هر ۴ لایه عبور كند بنابراین برای حفاظت باید فیلدهای مربوطه در هر لایه مورد بررسی قرار گیرند. بیشترین اهمیت در لایه های شبكه، انتقال و كاربرد است چون فیلد مربوط به لایه فیزیكی منحصر به فرد نیست و در طول مسیر عوض می شود. پس به یك دیواره آتش چند لایه نیاز داریم. سیاست امنیتی یك شبكه مجموعه ای از قواعد حفاظتی است كه بنابر ماهیت شبكه در یكی از سه لایه دیواره آتش تعریف می شوند. ● كارهایی كه در هر لایه از دیواره آتش انجام می شود عبارت است از: ۱) تعیین بسته های ممنوع (سیاه) و حذف آنها یا ارسال آنها به سیستم های مخصوص ردیابی (لایه اول دیواره آتش( ۲) بستن برخی از پورت ها متعلق به برخی سرویس ها مثلTelnet، FTP... (لایه دوم دیواره آتش( ۳) تحلیل برآیند متن یك صفحه وب یا نامه الكترونیكی یا .... (لایه سوم دیواره آتش) ۱) در لایه اول فیلدهای سرآیند بسته IP مورد تحلیل قرار می گیرد: ▪ آدرس مبدأ: برخی از ماشین های داخل یا خارج شبكه حق ارسال بسته را ندارند، بنابراین بسته های آنها به محض ورود به دیواره آتش حذف می شود. ▪ آدرس مقصد: برخی از ماشین های داخل یا خارج شبكه حق دریافت بسته را ندارند، بنابراین بسته های آنها به محض ورود به دیواره آتش حذف می شود. IP آدرس های غیرمجاز و مجاز برای ارسال و دریافت توسط مدیر مشخص می شود. ▪ شماره شناسایی یك دیتا گرام تكه تكه شده: بسته هایی كه تكه تكه شده اند یا متعلق به یك دیتا گرام خاص هستند حذف می شوند. ▪ زمان حیات بسته: بسته هایی كه بیش از تعداد مشخصی مسیریاب را طی كرده اند حذف می شوند. ▪ بقیه فیلدها: براساس صلاحدید مدیر دیواره آتش قابل بررسی اند. بهترین خصوصیت لایه اول سادگی و سرعت آن است چرا كه در این لایه بسته ها به صورت مستقل از هم بررسی می شوند و نیازی به بررسی لایه های قبلی و بعدی نیست. به همین دلیل امروزه مسیریاب هایی با قابلیت انجام وظایف لایه اول دیواره آتش عرضه شده اند كه با دریافت بسته آنها را غربال كرده و به بسته های غیرمجاز اجازه عبور نمی دهند. با توجه به سرعت این لایه هر چه قوانین سختگیرانه تری برای عبور بسته ها از این لایه وضع شود بسته های مشكوك بیشتری حذف می شوند و حجم پردازش كمتری به لایه های بالاتر اعمال می شود. ۲) در لایه دوم فیلدهای سرآیند لایه انتقال بررسی می شوند: ▪ شماره پورت پروسه مبدأ و مقصد: با توجه به این مسئله كه شماره پورت های استاندارد شناخته شده اند ممكن است مدیر دیواره آتش بخواهد مثلاً سرویس FTP فقط برای كاربران داخل شبكه وجود داشته باشد بنابراین دیواره آتش بسته های TCP با شماره پورت ۲۰ و ۲۱ كه قصد ورود یا خروج از شبكه را داشته باشند حذف می كند و یا پورت ۲۳ كه مخصوص Telnet است اغلب بسته است. یعنی بسته هایی كه پورت مقصدشان ۲۳ است حذف می شوند. ▪ كدهای كنترلی: دیواره آتش با بررسی این كدها به ماهیت بسته پی می برد و سیاست های لازم برای حفاظت را اعمال می كند. مثلاً ممكن است دیواره آتش طوری تنظیم شده باشد كه بسته های ورودی با SYN=۱ را حذف كند. بنابراین هیچ ارتباط TCP از بیرون با شبكه برقرار نمی شود. فیلد شماره ترتیب و :Acknowledgement بنابر قواعد تعریف شده توسط مدیر شبكه قابل بررسی اند. در این لایه دیواره آتش با بررسی تقاضای ارتباط با لایه TCP، تقاضاهای غیرمجاز را حذف می كند. در این مرحله دیواره آتش نیاز به جدولی از شماره پورت های غیرمجاز دارد. هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود و پورت های بیشتری بسته شوند بسته های مشكوك بیشتری حذف می شوند و حجم پردازش كمتری به لایه سوم اعمال می شود. ۳) در لایه سوم حفاظت براساس نوع سرویس و برنامه كاربردی صورت می گیرد: در این لایه برای هر برنامه كاربردی یك سری پردازش های مجزا صورت می گیرد. بنابراین در این مرحله حجم پردازش ها زیاد است. مثلاً فرض كنید برخی از اطلاعات پست الكترونیكی شما محرمانه است و شما نگران فاش شدن آنها هستید. در اینجا دیواره آتش به كمك شما می آید و برخی آدرس های الكترونیكی مشكوك را بلوكه می كند، در متون نامه ها به دنبال برخی كلمات حساس می گردد و متون رمزگذاری شده ای كه نتواند ترجمه كند را حذف می كند. یا می خواهید صفحاتی كه در آنها كلمات كلیدی ناخوشایند شما هست را حذف كند و اجازه دریافت این صفحات به شما یا شبكه شما را ندهد. ● انواع دیواره های آتش دیواره های آتش هوشمند: امروزه حملات هكرها تكنیكی و هوشمند شده است به نحوی كه با دیواره های آتش و فیلترهای معمولی كه مشخصاتشان برای همه روشن است نمی توان با آنها مقابله كرد. بنابراین باید با استفاده از دیواره های آتش و فیلترهای هوشمند با آنها مواجه شد. از آنجا كه دیواره های آتش با استفاده از حذف بسته ها و بستن پورت های حساس از شبكه محافظت می كنند و چون دیواره های آتش بخشی از ترافیك بسته ها را به داخل شبكه هدایت می كنند، (چرا كه در غیر این صورت ارتباط ما با دنیای خارج از شبكه قطع می شود)، بنابراین هكرها می توانند با استفاده از بسته های مصنوعی مجاز و شناسایی پورت های باز به شبكه حمله كنند. بر همین اساس هكرها ابتدا بسته هایی ظاهراً مجاز را به سمت شبكه ارسال می كنند. یك فیلتر معمولی اجازه عبور بسته را می دهد و كامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را می دهد. بنابراین هكر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن كامپیوتر هدف اطمینان حاصل می كند. برای جلوگیری از آن نوع نفوذها دیواره آتش باید به آن بسته هایی اجازه عبور دهد كه با درخواست قبلی ارسال شده اند. حال با داشتن دیواره آتشی كه بتواند ترافیك خروجی شبكه را برای چند ثانیه در حافظه خود حفظ كرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد می توانیم از دریافت بسته های بدون درخواست جلوگیری كنیم. مشكل این فیلترها زمان پردازش و حافظه بالایی است كه نیاز دارند. اما در عوض ضریب اطمینان امنیت شبكه را افزایش می دهند. ● دیواره های آتش مبتنی بر پروكسی: دیواره های آتش هوشمند فقط نقش ایست بازرسی را ایفا می كنند و با ایجاد ارتباط بین كامپیوترهای داخل و خارج شبكه كاری از پیش نمی برد. اما دیواره های آتش مبتنی بر پروكسی پس از ایجاد ارتباط فعالیت خود را آغاز می كند. در این هنگام دیواره های آتش مبتنی بر پروكسی مانند یك واسطه عمل می كند، به نحوی كه ارتباط بین طرفین به صورت غیرمستقیم صورت می گیرد. این دیواره های آتش در لایه سوم دیواره آتش عمل می كنند، بنابراین می توانند بر داده های ارسالی در لایه كاربرد نیز نظارت داشته باشند. ● دیواره های آتش مبتنی بر پروكسی باعث ایجاد دو ارتباط می شود: ۱) ارتباط بین مبدا و پروكسی ۲ ارتباط بین پروكسی و مقصد حال اگر هكر بخواهد ماشین هدف در داخل شبكه را مورد ارزیابی قرار دهد در حقیقت پروكسی را مورد ارزیابی قرار داده است و نمی تواند از داخل شبكه اطلاعات مهمی به دست آورد. دیواره های آتش مبتنی بر پروكسی به حافظه بالا و CPU بسیار سریع نیاز دارند و از آنجایی كه دیواره های آتش مبتنی بر پروكسی باید تمام نشست ها را مدیریت كنند گلوگاه شبكه محسوب می شوند. پس هرگونه اشكال در آنها باعث ایجاد اختلال در شبكه می شود. اما بهترین پیشنهاد برای شبكه های كامپیوتری استفاده همزمان از هر دو نوع دیواره آتش است. با استفاده از پروكسی به تنهایی بارترافیكی زیادی بر پروكسی وارد می شود. با استفاده از دیواره های هوشمند نیز همانگونه كه قبلاً تشریح شد به تنهایی باعث ایجاد دیواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع دیواره آتش به صورت همزمان هم بار ترافیكی پروكسی با حذف بسته های مشكوك توسط دیواره آتش هوشمند كاهش پیدا می كند و هم با ایجاد ارتباط واسط توسط پروكسی از خطرات احتمالی پس از ایجاد ارتباط جلوگیری می شود. پياده سازي ديواره های آتش هر كاربر با تجربه اينترنت مي داند كه يك ديواره آتش چيست و چه كاربردي دارد. براي دانستن تعريف دقيق آن مي توانيد به مقاله ديواره آتش چيست مراجعه كنيد. در اين مقاله دسته بندي دقيقي از روش هاي توليد ديواره آتش ارائه نخواهد شد، بلکه تنها به مرور برخي از مهم ترين اين روش ها پرداخته مي شود. کليه اين روش ها مربوط به پياده سازي ديواره آتش تحت نسخه هاي مختلف سيستم عامل ويندوز مي باشد. از صحبت در مورد مزايا و معايب اين رويكردها در اين مقاله خودداري مي شود. براي اطلاعات بيشتر در اين زمينه مي توانيد به مقاله روش هاي مختلف پياده سازي ديواره آتش، مزايا و معايب رجوع کنيد. تكنولوژيهاي فيلترينگ ترافيك شبكه در ويندوز با وجود اين كه ويندوز 9X/ME و ويندوز XP/NT واسطهاي سوكت مشابه دارند و معماري NDIS نيز درايورهاي باينري miniport سازگار براي واسطهاي شبكه را پشتيباني مي كند، زير سيستمهاي داخلي شبكه آنها تفاوتهايي با هم دارند. در واقع، زيرسيستمهاي شبكه ويندوز NT/2000/XP خيلي پيچيده تر از ويندوز 9X/ME است، ولي هر دو قابل تقسيم به بخش هاي زير مي باشند: NDIS- : در سال 1989 Microsoft و 3com با هم (Network Driver Interface Specification) NDIS را گسترش دادند كه به درايورهاي شبكه اجازه مي دهد از سرويسهاي واسط شبكه براي مخفي كردن جزئيات عملکرد خودشان استفاده كنند. درايور شبكه با مشخصات ذكر شده NDIS-miniport ناميده مي شود. NDIS-miniport با نسخه هاي مختلف ويندوز سازگار است. -درايورهاي شبكه: توصيف جزئيات اين درايور خارج از حوصله اين مقاله مي باشد. به طور خلاصه يک درايور شبكه (به طور مثال TCP/IP ) در لايه پايين از توابع كتابخانه ايNDIS براي دستيابي به شبكه استفاده مي كند و ممکن است (TDI (Transport Data Information را در لايه بالايي ارائه دهد. واسط TDI ارائه شده مي تواند توسط Clientهاي متنوعي نظير بخشي از پياده سازي سوكت afd.sys (در ويندوزهاي NT/2000/XP) استفاده شود. -DLL هاي سطح كار بر كه واسط سوكت ويندوز را تشكيل مي دهند و عبارتند از : WS2_32.DLL ،msafd.dll ، wshtcpip.dll در زير به بررسي سريع روش هاي ممكن فيلترينگ ترافيك شبكه پرداخته خواهد شد. برخي از اين روش ها که در سطح کاربر کار مي کنند داراي محدوديت هاي فراواني هستند. به عنوان مثال نمي توانند از اتصال برنامه هايي که مستقيما از لايه TDI استفاده مي کنند جلوگيري نمايند. فيلترينگ ترافيك در سطح كار بر 1)Winsock layered service provider (lsp) اين رويكرد در msdn به خوبي مستند سازي شده است و داراي يك مثال مناسب (SPI.CPP) مي باشد. از مزاياي اين روش مي توان به امكان تعيين فرآيند هايي كه سوكت هاي ويندوز را فراخواني مي كنند اشاره كرد. اين روش مي تواند براي انجام اعمالي از قبيل کنترل كيفيت سرويس، رمز نگاري جريان دادها و ... استفاده شود. البته همان طور که گفته شدTCP/IP مي تواند مستقيماً از طريق TDI فراخواني شود، بنابراين اين روش براي مراقبت در برابر ويروس ها و اسب هاي تروا و ... استفاده نمي شود. به علاوه اين رويكرد روي مسيرياب قابل استفاده نيست، زيرا بسته هاي اطلاعاتي در سطح TCP/IP مسيريابي مي شوند (يا حتي در سطح کارت شبکه) 2) Windows 2000 Packet Filtering Interface ويندوز 2000 APIهايي را ارائه مي کند که برنامه هاي كاربردي سطح كاربر با استفاده از آن ها مي توانند مجموعه اي از فيلترها -كه توسط TCP/IP براي فيلتر كردن بسته ها استفاده مي شوند- را نصب كنند. البته قوانين فيلترينگ نسبتاً محدودند (بر مبناي عبور/انسداد براي آدرس هاي IP و اطلاعات port). هم چنين اين رويكرد فقط در ويندوز 2000 و نسخه هاي بالاتر قابل استفاده است. 3) جايگزيني Winsock DLL اين رويكرد با توجه به داشتن مشکلات امنيتي متعدد قابل اعتماد نمي باشد و لذا از بحث در مورد آن خودداري مي شود. 4) قلاب کردن کليه توابع ناامن استفاده از اين رويكرد نسبتاً مشكل بوده و نيازمند احتياط فراوان مي باشد، زيرا ممكن است بر روي ثبات و امنيت سيستم تاثير بگذارد. فيلترينگ ترافيك در سطح هسته ((kernel 1) kernel-mode sockets filter اين تكنولوژي براي ويندوزهاي NT/2000 قابل استفاده است. اين رويکرد با قرار گرفتن در مسير تمامي فراخواني ها از msafd.dll (پائين ترين لايه سطح كاربر در Winsock ) به ماژول afd.sys در سطح هسته (TDI-client، که در بالاترين سطح هسته قرار دارد و به عنوان بخشي از سوكتهاي ويندوز شناخته مي شود) و کنترل يا تغيير آن ها کار مي کند. اين روش، روش جالبي است ولي امكانات بيش تري نسبت به روش LSP ندارد. به علاوه، واسط AFD در نسخه هاي مختلف ويندوز متغير بوده است كه اين مساله باعث افزايش تغييرات لازم براي استفاده از اين رويکرد در اين نسخه ها مي شود. 2) TDI-FILTER driver اين تكنولوژي هم براي ويندوزهاي 9X/ME و هم براي ويندوزهايNT/2000 به كار مي رود. البته پياده سازي آن در اين دو تفاوت هاي فاحشي با هم دارد. براي ويندوز 98 مثالي در Vireo/Numega VtoolsD يافت مي شود. هم چنين براي ويندوز NT/2000 مثالي در سايت http://www.sourceforge.net وجود دارد. اين تكنولوژي، تکنولوژي معروفي است که در تعدادي از محصولات تجاري (مثل outpost) استفاده شده است. البته همانند ساير روش هايي که تاکنون بيان شد، اين رويكرد فقط مي تواند براي ساختن محصولات ردة ديوارة آتش شخصي استفاده شود و نمي تواند از پشتة TCP/IP شما در برابر حملات خرابكاران مراقبت كند. 3) NDIS Intermediate Driver Microsoft اين دسته از درايورها را دقيقا به منظور پياده سازي ديواره هاي آتش فراهم كرده است . البته اين درايورها براي ويندوز95 قابل پياده سازي نيست و در مورد ويندوزهاي 98/ME/NT نيز بهتر است از اين کار صرفنظر شود. نصب اين درايورها و هم چنين استفاده آنها براي كاربران خيلي راحت نيست. پشتيباني از درايوهايIM در ويندوز 2000/XP بهبود يافته است، ولي مساله ديگري که در اين مورد وجود دارد آن است که چنين درايورهايي بايد داراي امضاي ديجيتال ازMicrosof باشد، در غير اين صورت در هنگام نصب کاربر با پيغامي مبني بر عدم داشتن امضاي ديجيتال مواجه مي شود. مثالي در اين زمينه در DDK ويندوزهاي 2000 به بعد وجود دارد. 4) windows 2000 filter hook driver اين روش در مستندات DDK توضيح داده شده است و فقط براي ويندوز 2000 و نسخه هاي بالاتر قابل استفاده است. مثالي در اين زمينه در http://www.codeproject.com وجود دارد. 5) NDIS HOOKING FILTER DRIVER اين رويكرد بر مبناي قلاب کردن برخي توابع NDIS عمل مي کند بدين ترتيب کليه ترافيک ارسالي و دريافتي شبکه از مسير توابع قلاب شده عبور خواهد کرد. لذا مي توان محدوديت هاي مورد نظر را در اين نقطه اعمال نمود. 6) Miniport Hooking پايين ترين سطح براي پياده سازي يک ديواره آتش، سطح miniport مي باشد. البته نوشتن کد در اين سطح، دشواري هاي فراواني دارد و به همين دليل توصيه نمي شود. قتي قرار باشد از يك ساختمان و وسايل داخل آن محافظت كنيم، اولين كاري كه انجام می دهيم، كنترل مبادي ورود و خروج ساختمان است. به بيان ديگر فقط به افراد منتخبي ، اجازه وارد شدن (و يا خارج شدن) از ساختمان را می دهيم. معيار انتخاب افراد براي كسي كه مامور كنترل ورود و خروج است بايستي در چارچوب يك خط مشي امنيتي، از قبل مشخص باشد. در مورد شبكه‌هاي كامپيوتري نيز بطور مشخص، همين روال را پيش می گيريم. يعني مرزهاي شبكه داخلي خود را كنترل مي‌كنيم. منظور از مرز شبكه، لبه تماس شبكه داخلي با شبكه(هاي) خارجي نظير اينترنت، شبكه يكي از شعب سازمان و يا شبكه يك سازمان ديگر است. براي كنترل اين مرزها از Firewall استفاده مي‌شود با پياده‌سازي تكنيك‌هاي Packet Filtering، بخشي از وظايف يك Firewall را می توان به Router(هاي) لب مرز واگذار كرد. ولي Routerها به تنهايي قادر به انجام كل وظايف يك Firewall نيستند و استفاده از Firewallها امري اجتناب ناپذير است. دليل ناكافي بودن Packet Filtering در Router لب مرز دو چيز است: يكي اينكه اصولا" تمامي تكنيك‌هايي كه در Firewallها پياده سازي مي‌شوند، در Router قابل اجرا نيست و گذشته از آن، اصل دفاع لايه به لايه (يا دفاع در عمق) ميگويد كه محافظت بايستي در بيش از يك لايه انجام شود. (مانند دژهاي قديمي كه با لايه‌هاي مختلف (خندق، دروازه اصلي، دروازه‌هاي فرعي، برجها و ...) از آنها محافظت مي‌شد. در شكل‌هاي زير يك نمونه از پياده سازي Firewallها را مشاهده می كنيد. ----------------------------------------------------------------------------- ----------------------------- در شكل‌هاي فوق، Router لب مرز، ترافيك را در سطح IP كنترل می كند. اين Router اولين لايه دفاعي شبكه محسوب مي‌شود. همانطور كه مشاهده مي‌شود در اين Router فقط به كاربراني از اينترنت اجازه عبور داده مي‌ شود كه متقاضي يكي از سرويس‌هاي وب، پست الكترونيك و يا DNS باشند. در هر شكل ناحيه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در اين ناحيه سرورهايي را قرار ميدهيم كه بايستي از اينترنت ديده شوند مانند Web Server، E-Mail Server و DNS Server. اگر بخواهيم DMZ را با يك مثال روشنتر توصيف كنيم، بايستي بگوييم كه DMZ مانند نمايشگاه و فروشگاه يك شركت است كه تقريبا" به همه اجازه داده مي‌شود به داخل آن بيايند و از محصولات ما ديدن كنند، اصولا" نمايشگاه به همين منظور ايجاد شده، فلسفه وجودي Web Server اين است كه از اينترنت ديده شود. ناحيه ديگري كه در شبكه‌ها وجود دارد، ناحيه Private Network است. هيچ بسته‌اي از طريق اينترنت اجازه ورود به ناحيه اختصاصي شبكه ما را ندارد مگر آنكه يكي از طرف يكي از كاربران داخلي درخواست شده باشد. پس در ساده‌ترين شكل، شبكه ما از سه ناحيه Public Network، DMZ و Private Network تشكيل شده و در مرز هر كدام از اين نواحي بايستي تمهيدات كنترلي اتخاذ كرده و عبور و مرور بسته‌هاي اطلاعاتي را كنترل كنيم. در ادامه مقاله از اين سه بخش تحت عناوين Internat، DMZ و LAN نام خواهيم برد. ممكن است علاوه بر سه ناحيه فوق، در ناحيه LAN، بخشي داشته باشيم كه از نظر حساسيت در سطح بالاتري نسبت به ساير LAN باشد. اين ناحيه، ناحيه‌ايست كه سرورهاي حساس شبكه مانند سرور مالي و يا فايل سرور بخش تحقيق و توسعه قرارداد. براي اين ناحيه لازم است Firewall مجزايي پياده سازي شود. اين Firewall لايه‌اي است كه به لايه‌هاي امنيتي اضافه شده و دسترسي غير مجاز به اين ناحيه را مشكل‌تر مي‌كند: به شكل زير توجه كنيد: (Routerها با R و Firewallها با F مشخص شده‌اند) همانطور كه ملاحظه مي‌كنيد، R1 و R2 بعنوان Routerهاي لب مرز شبكه‌ها را از اينترنت جدا كرده‌اند. در كل مجموعه، يك DMZ داريم كه با F1 از بقيه مجموعه جدا شده است. F3 و F5 دو وظيفه بعهده دارند، يكي مرز بين اينترنت و LANهاي مربوط به خود را كنترل ميكنند، و ديگر اينكه ارتباط بين دو LAN را كنترل مي‌كنند اين ارتباط ممكن است Lease Line، Wireless و يا يك زوج سيم مسي باشد. اين Firewalها با پشتيباني از سرويس VPN، ارتباط داخلي امني را بين دفترمركزي و شعبه برقرار ميكنند. اما F2 و F4 نيز در شرايط مشابهي هستند، اين دو وظيفه جدا سازي منطقه حساس را از بقيه LAN بر عهده دارند و علاوه برآن F2 دو Subnet موجود در شبكه دفتر مركزي را نيز از هم جدا ميكند. جداسازي Subnetها از هم در راستاي محدود كردن حملات احتمالي است. اگر به نحوي يكي از Subnetها مورد حمله واقع شد، (مثلا" با Wormي كه از طريق e-mail و يا حتي از طريق ديسكت و CD وارد آن شده) اين آلودگي به همان Subnet محدود شده و ساير بخشهاي شبكه ايمن باقي بمانند. نتيجه گيري: ديديم كه برای تامين امنيت يك شبكه، Firewall اولين چيزی است كه بايستی پياده سازی شود. نكته حائز اهميت آنكه، نصب يك Firewall در شبكه به تنهايی امنيت آن شبكه را تامين نخواهد كرد، آنچه مهمتر است، تعريف قواعد كنترل (Rules) و اعمال تنظيمات اوليه و همچنين مهمتر از آن به روزرسانی قواعد برمبنای تكنيكهای نفوذ و حملات جديد است. 

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: