دیواره آتش حالتمند
گمان میرود که این مقاله ناقض حق تکثیر باشد، اما بدون داشتن منبع امکان تشخیص قطعی این موضوع وجود ندارد. اگر میتوان نشان داد که این مقاله حق نشر را زیر پا گذاشته است، لطفاً مقاله را در ویکیپدیا:مشکلات حق تکثیر فهرست کنید. اگر مطمئنید که مقاله ناقض حق تکثیر نیست، شواهدی را در این زمینه در همین صفحهٔ بحث فراهم آورید. خواهشمندیم این برچسب را بدون گفتگو برندارید. (ژوئیه ۲۰۱۲) |
فایروال(دیواره آتش)حالتمند ویرایش
فایروال(دیواره آتش)حالتمند:در رشته کامپیوتر، یک فایروال حالتمند فایروالی است که وضعیت اتصالات شبکه نظیر جریانهای TCP، ارتباطات UDPعبورکننده از آن را پیگیری مینماید. این فایروالها تنها اجازه عبور بستههای مرتبط با یک اتصال فعال شناخته شده را صادر مینماید.
تاریخچه ویرایش
پیش از ظهور فایروالهای حالتمند معمولاً stateless مورد استفاده قرار میگرفتند. این فیلترهای بسته در لایه ۳ عمل میکنند و از آنجا که تنها به بخشهای هدر هر یک بسته توجه میکنند عملکرد کارآمدتری دارند. یک اشکال این فیلترهای بسته اطلاعاتی غیرحالتمند بودن آن هاست. در چنین فایروالهایی هیچ گونه راهی برای تشخیص اینکه یک بسته مشخص بخشی از یک اتصال موجود است یا در حال تلاش برای برقراری یک اتصال جدید است وجود ندارد. یک نمونه کلاسیک از عملیات شبکه که ممکن است با استفاده از یک فایروال غیرحالتمند به شکست بینجامد پروتکل انتقال پرونده (FTP) است. از لحاظ طراحی چنین پروتکلهایی به منظور عملکرد مناسب میبایست قابلیت بازنمودن اتصالات به در گاههای دلخواه را داشته باشند. از آنجا که یک فایروال حالتمند راهی برای اطلاع از اینکه بسته هدایت شونده به شبکه حفاظت شده بخشی از یک نشست FTPی قانونی است یا خیرندارد بنابراین بسته را رها خواهد نمود. فایروالهای حالتمند این مشکل را از طریق نگهداری یک جدول از اتصالات آزاد و مربوط کردن هوشمندانه درخواستهای اتصالات جدید با اتصالات قانونی موجود حل نمودهاست.
توصیف ویرایش
یک فایروال (دیواره آتش) حالتمند قابلیت نگهداری ویژگیهای قابل توجهی از هر اتصال در حافظه خود از ابتدا تا انتها را داراست. شدیدترین بررسی cpu در زمان راه اندازی اتصال انجام میشود. پس از این مرحله تمامی بستهها به سرعت پردازش میشوند. فایروالهای حالتمند به hankshake-سه مسیره به پروتکل TCP زمانی که پروتکل مورد استفاده TCP است توصیف میشود، وابستهاست. زمانی که پروتکل UDP است فایروال حالتمند هیچ گونه وابستگی به TCP ندارد. به منظور جلوگیری از پر شدن جدول وضعیت، در صورتی که در طی یک زمان مشخص هیچ گونه ترافیکی عبور داده نشود جلسات متوقف خواهند شد. این اتصالات قدیمی از جدول وضعیت حذف میگردند. از اینروست که بسیاری از برنامههای کاربردی، برنامه ممانعت از قطع اتصال توسط فایروال در طول دورههای فعایت عدم کاربردی، پیغامهای زنده نگهدارنده را به آن ارسال میکنند. بسیاری از فایروالهای حالتمند توانایی ردیابی وضعیت جریانها در پروتکلهای بدون اتصال را دارند. UDP HOLE PUNCHING تکنیک مرتبط با UDP است. چنین نشستهایی معمولاً درست پس از مشاهده اولین بسته توسط فایروال به وضعیت برقراری میرسند. فایروالهای حالتمند با ادامهٔ وضعیت اتصال، کارآمدی افزودهای را از لحاظ بازرسی بسته فراهم میآورند. دلیل این مسئله آنست که فایروال برای اتصالات موجود تنها نیازمند بررسی جدول وضعیت میباشد.
فیلترهای سطح کاربردی(نرمافزاری) ویرایش
از آنجایی که فیلتر نمودن بسته به تنهایی به عنوان ارائهٔ پشتیبانی کافی تلقی نمیگردد، آنچه به منظور ترافیک شبکه مرتبط نظیر به نظیر، ضروری به نظر میرسد فایروالی است که عملیات فیلترینگ نرمافزاری را نیز به انجام رساند. که میتوان آن را به عنوان سطحی بر بازرسی حالتمند بسته مدنظر قرار داد. فایروالهای لایه کاربردی از جنبههای مختاف با فیلترینگ حالتمند بسته در دروازههای سطح مدار تفاوت دارند. فایروالهای لایه کاربردی از پروکسیهای کاربردی متعدد بر روی یک فایروال مجزا پشتیبانی میکنند. پروکسیها بین سرویس دهنده و سرویس گیرنده واقع شده و دادهها را بین این دو نقطه پایانی عبور میدهد. دادههای مشکوک دور انداخته شده و سرویس دهنده و گیرنده هیچ گاه به طور مستقیم با یکدیگر ارتباط برقرار نمیکنند.
نقاط ضعف,آسیب پذیریها ویرایش
این ریسک وجود دارد که آسیب پذیریهای موجود در رمزگشاهای منحصربهفرد پروتکل امکان بدست گیری کنترل فایروال توسط یک مهاجم را فراهم سازند. این نگرانی، ضرورت به روز رسانی نرمافزار فایروال را برجسته میسازد. فایروالهای حالتمن هم چنین احتمال فریب خوردن میزبانهای منحصربهفرد در پذیرش درخواست اتصالات خارجی را بالا میبرند. این احتمال تها از طریق بازرسی نرمافزار میزبان به طور کامل برطرف میگردد.