فایروال حالتمند: تفاوت میان نسخه‌ها

در [[رشتهٔ کامپیوتر]] ، یک فایروال حالتمند(هر فایروالی که برنامهٔ بررسی حالتمند بسته (SPI) یا بررسی حالتمند را اجرا می کندمی‌کند) [[فایروال|فایروالی]] می باشدمی‌باشد که وضعیت اتصالات روی شبکه را نگه

می دارد(شبیه ارتباطات UDP و جریان هایجریان‌های TCP). فایروال طوری [[برنامه ریزیبرنامه‌ریزی]] شده تا بسته هایبسته‌های مشروع مربوط به اتصالات مختلف تمیز داده شوند. تنها بسته هایبسته‌های مربوط به اتصالات فعال شناخته شده، توسط فایروال مجوز می گیرندمی‌گیرند و دیگر بسته هابسته‌ها رد می شوندمی‌شوند.

قبل از ورود فایروال حالتمند، [[فایروال]] غیرحالتمند، فایروالی که در انزوا با هر [[فریم شبکه]] ( [[بسته]]) رفتار می کند،می‌کند، متعارف بود. مثل فیلتر بسته که در [[لایه شبکه]] کار می کندمی‌کند و کارایی مؤثرتری دارد زیرا تنها به [[سرآیند]] یک بسته نگاه می کندمی‌کند. غیر حالتمند بودن یکی از اشکالات فیلترهای محض بسته می باشدمی‌باشد.آن هاآن‌ها هیچ سابقه ایسابقه‌ای از بسته هایبسته‌های قبلی نگه نمی‌دارند که باعث آسیب پذیر بودن آن هاآن‌ها در مقابل [[حمله هایحمله‌های جاعلانه]] می شودمی‌شود. یک چنین فایروالی گاهی نمی‌تواند تعیین کند که آیا بستهٔ دریافتی مربوط به اتصال حاضر می باشدمی‌باشد یا اینکه سعی در برقراری اتصال جدید دارد یا [[بسته ای]] ولگرد است. فایروال هایفایروال‌های مدرن اتصال آگاه به سرپرست شبکه امکان کنترل دقیق تر ترافیک شبکه را می دهدمی‌دهد.{{سخ}}

مثال قدیمی از عملکرد شبکه در [[پروتکل انتقال فایل]] ممکن است که با فایروال هایفایروال‌های غیرحالتمند شکست بخورد. با این طراحی، این پروتکل هاپروتکل‌ها برای درست کار کردن نیاز به توانایی برقراری اتصال به پورت هایپورت‌های دلخواه بالا دارند. از آنجا که فایروال غیرحالتمند راهی برای شناخت بسته هایبسته‌های عازم به شبکهٔ امن (برای مثال، به پورت ۴۹۷۰ میزبان مقصد) که بخشی از یک نشست FTP مشروع است، راندارد، این بسته را دور می ریزد. فایروال هایفایروال‌های حالتمند این مشکلات را با نگهداری جدولی از اتصالات باز و دایر و مرتبط کردن هوشمندانهٔ درخواست هایدرخواست‌های اتصال جدید به اتصال مشروع موجود، حل می کنندمی‌کنند.{{سخ}}

اختراع فایروال هایفایروال‌های حالتمند معمولاً به Nir Zuk و تیم او در Check Point در اواسط دههٔ ۱۹۹۰ نسبت داده شده استشده‌است.{{سخ}}

تلاش هایتلاش‌های اولیه برای تولید فایروال در [[لایهٔ کاربرد]]، بالاترین لایه از [[مدل هفت لایهٔ OSI]] شروع شد. این متد به حد بالا و گزافی از قدرت محاسباتی نیاز دارد و به ندرت در پیاده سازی هایسازی‌های مدرن استفاده می شودمی‌شود.

یک فایروال حالتمند قادر به نگهداری ویژگی هایویژگی‌های ضروری هر اتصال، از برقراری تا اختتام در حافظه

می باشد. این [[ویژگی ها]]، که معروف به وضعیت اتصال می باشند،می‌باشند، شامل جزئیاتی مانند آدرس IP و پورت درگیر در اتصال و شماره ترتیب بسته هاییبسته‌هایی که در حال پیمایش اتصال هستند، می باشدمی‌باشد.{{سخ}}

بررسی هاییبررسی‌هایی که نیاز به ‍‍پردازش زیاد CPU دارند، در زمان [[راه اندازی]] اتصال انجام می شودمی‌شود. پس از این همهٔ بسته هابسته‌ها (برای این نشست) به علت سادگی و سرعت تعیین کردن تعلق بسته به نشست موجود یا از پیش برقرار شده، به سرعت پردازش می شوندمی‌شوند. به محض اینکه این نشست اختتام یافت، مدخل آن از جدول وضعیت دور انداخته می شودمی‌شود.{{سخ}}

فایروال حالتمند براساس [[دست دهی سه طرفه]] کار می کندمی‌کند که گاهی اوقات زمانیکهزمانی‌که پروتکل استفاده شده TCP باشد با "SYN ,SYN-ACK ,ACK" (استفاده از بیت هایبیت‌های همزمانی و تاییدتأیید را نشان می دهدمی‌دهد.) موجود در پروتکل TCP، توصیف می‌شود و زمانیکهزمانی‌که پروتکل UDP باشد، فایروال حالتمند وابسته به چیزی مرتبط با TCPنیست.{{سخ}}

زمانیکه یک مشتری اتصالی را برقرار میمی‌کند، کند، بسته ایبسته‌ای را ارسال می کندمی‌کند که بیتِ SYN (ی که در [[سرآیند]] [[بسته]] قرار گرفته استگرفته‌است) آن یک شده استشده‌است. همهٔ بسته هایبسته‌های با بیت SYN یک شده برای فایروال به عنوان اتصال جدید در نظر گرفته می شوندمی‌شوند. اگر سرویس مورد درخواست مشتری روی سرور قابل دسترس باشد، سرویس به بستهٔ SYN با بسته ایبسته‌ای که بیت SYN و ACK آن یک شده باشد، پاسخ می دهدمی‌دهد.{{سخ}}

سپس مشتری با بسته ایبسته‌ای که تنها بیت ACK آن یک شده است، جواب می دهد و اتصال وارد وضیت STSBLISHED می شودمی‌شود. همچنین یک فایروال همهٔ بسته هایبسته‌های خروجی را از خود عبور می دهد اما تنها اجازهٔ ورود بسته هاییبسته‌هایی را می دهد که بخشی از اتصال برقرار هستند، این گونه تضمین می کنندمی‌کنند که [[هکر|هکرها]] نمی‌توانند اتصالاتی که از داخل شبکه درخواست نشده اند را با ماشین مورد حفاظت برقرار کنند.{{سخ}}

برای جلوگیری از پرشدن جدول وضعیت، اگر برای دورهٔ معینی ترافیکی از آن اتصال عبور نکند، زمان نشست هانشست‌ها به پایان خواهد رسید. اتصالات تاریخ گذشته از جدول وضعیت دور ریخته می شوندمی‌شوند. به همین علت تعدادی از برنامه هایبرنامه‌های کاربردی پیام هایپیام‌های Keep alive را در زمان هایزمان‌های معینی ارسال می کنندمی‌کنند تا فایروال اتصال را در فواصل زمانی ای که کاربر فعالی وجود ندارد، قطع نکند، گرچه بعضی از فایروال هافایروال‌ها طوری سازماندهی شده اند که می توانندمی‌توانند این پیام هاپیام‌ها را به برنامه هایبرنامه‌های کاربردی ارسال کنند.{{سخ}}

تعدادی از فایروال هایفایروال‌های حالتمند قادر به ردیابی جریان هاجریان‌ها در پروتکل هایپروتکل‌های غیراتصال گرا هستند. تکنیک UDP hole punching مرتبط با UDP می باشدمی‌باشد. در این هااین‌ها معمولاً بعد از اولین بسته ایبسته‌ای که توسط فایروال دیده شود، نشست هانشست‌ها فوراً به وضعیت STABLISHED می رسند. نشست هانشست‌ها در پروتکل هایپروتکل‌های غیراتصال گرا تنها با به پایان رسیدن زمان نشست ها،به پایان خواهد رسید.{{سخ}}

با نگهداری مسیر وضعیت اتصال، فایروال هایفایروال‌های حالتمند با بازرسی بسته ها،بازده و کارایی افزوده فراهم می کنندمی‌کنند. به این دلیل است که فایروال به جای بررسی هر بسته در برابرمجموعهٔ قوانینش (که بسیار گسترده می باشدمی‌باشد)، تنها احتیاج به بررسی جدول وضعیت دارد. همچنین، از آنجا که در فایروال هایفایروال‌های حالتمند، در برابر ترافیک ورودی ابتدا بررسی جدول وضعیت به جای پرش به مجموعه قوانین فایروال، انجام می شود،می‌شود، مفهوم [[بازرسی عمیق بسته]] غیرمرتبط با فایروال هایفایروال‌های حالتمند می باشدمی‌باشد. در این مورد اگر جدول وضعیت با تغییرات مطابقت پیدا کرده باشد، آنگاه دیگر نیازی به بازرسی عمیق بسته نیست.{{سخ}}

بازرسی عمیق بسته با استفاده از ASIC- دستگاه هایدستگاه‌های شتاب داده شده ایشده‌ای که به طوربه‌طور خاص برای اداره کردن تراکنش هایتراکنش‌های [[لایه کاربرد]] مهندسی شده، حاصل شده استشده‌است.

هرچند، فیلترینگ بسته به تنهایی نمی‌تواند فراهم کنندهٔفراهم‌کنندهٔ مقدار کافی از محافظت باشد. به منظور سد کردن مؤثر راه ترافیک شبکهٔ [[نظیر به نظیر]] فایروالی نیاز است که فیلترینگ کاربرد انجام دهد تا بتواند در ادامهٔ بازرسی حالتمند بسته انجام شود. بازرسی حالتمند بسته می‌تواند نوع پروتکلی که از روی آن اطلاعات به هر پورت ارسال شده را تعیین کند، اما فیلترهای سطح کاربرد به چیزی که پروتکل برای آن استفاده شده نگاه می کنندمی‌کنند. برای مثال یک فیلتر سطح کاربرد ممکن است قادر به تشخیص تفاوت بین ترافیک HTTPای که برای دستیابی به [[صفحات وب]] استفاده می‌شود و ترافیک HTTPای که برای به اشتراک گذاریاشتراک‌گذاری فایل استفاده می شود،می‌شود، باشد، درحالیکه یک فایروالی که تنها فیلترینگ بسته را اجرا

می کند، با انواع مختلف ترافیک HTTP به طوربه‌طور یکسان برخورد می کندمی‌کند.{{سخ}}[[فایروال هایفایروال‌های سطح کاربرد]] از چند لحاظ با فیلترینگ حالتمند بسته و دروازه هایدروازه‌های سطح مدار فرق دارد. فایروال هایفایروال‌های سطح کاربرد از چندین [[پروکسی]] کاربرد بر روی یک فایروال منفرد حمایت می کندمی‌کند. پروکسی هاپروکسی‌ها بین مشتری و سرور قرار می گیرندمی‌گیرند و داده را بین این دو نقطهٔ انتهایی ردو بدل می کندمی‌کند.

دادهٔ مشکوک دور انداخته می‌شود و سرور و مشتری هرگز به طوربه‌طور مستقیم با هم ارتباط برقرار نمی‌کنند. ازآنجاکه پروکسی هایپروکسی‌های سطح کاربرد آگاه هستند، می توانند پروتکلمی‌توانند هایپروتکل‌های پیچیده مانند H.323 (که برای فرستادن صدا در اینترنت و کنفرانس ویدیویی استفاده می‌شود ) را ساده ترساده‌تر اداره کنند. فایروال هایفایروال‌های کاربرد می تونند برای مشتری و سرور ناپیدا باشند بطوریکهبطوری‌که نیاز به هیچ پیکربندی ای بر روی آن هاآن‌ها نیست، یا می توانندمی‌توانند نمایان باشند بطوریکهبطوری‌که آدرس مشتری و سرور را به طوربه‌طور مستقیم در اختیار سرور پروکسی می گذارد.

== آسیب پذیریآسیب‌پذیری ==

در کدگشاهای پروتکل هایپروتکل‌های انفرادی [[آسیب پذیریآسیب‌پذیری]] وجود دارد، آن هاآن‌ها به مهاجم اجازه می دهند که فایروال هافایروال‌ها را تحت [[کنترل خود]] دربیاورند. این نگرانی، نیاز به بروزآوری نرم‌افزار فایروال را برجسته می کندمی‌کند.{{سخ}}

فایروال هایفایروال‌های حالتمند همچنین احتمال فریب خورن میزبان هایمیزبان‌های انفرادی در درخواست خارجی اتصال را بالا می برند. این احتمال را می توانمی‌توان با بازرسی نرم‌افزار به طوربه‌طور کامل از بین برد. بعضی از فایروال هافایروال‌ها با این روش یعنی با نگاه ساده به یک [[صفحهٔ وب]] شکست خوردند.