افزایش امنیت شبکه با استفاده از firewall

افزایش امنیت شبکه با استفاده از firewall

یکی از بهترین گزینه ها جهت افزایش امنیت شبکه استفاده از firewall است که در دو نوع سخت افزاری و نرم افزاری است. در مورد firewall هم باید به اصل حداقل دسترسی مورد نیاز توجه نمود. در این مقاله توضیحاتی در مورد firewall بسیار کارآمد ویندوز توضیحاتی خدمتتان ارائه می‌گردد.

این نوع firewall که در شبکه domain استفاده می‌گردد بدین شکل است که باید یک DC group policy به نام دلخواه مثلا firewall ایجاد نمود. پس از آن رول های مورد نظر را در آن ایجاد می‌کنیم. مثلا یک رول جهت برقراری ارتباط مرورگر های مورد تایید مدیر شبکه یا اینترنت و همچنین امکان برقراری ارتباط updater های آن با اینترنت. بدین معنا که با نوشتن این رول فرضا مرورگر Firefox که مسیر نصب آن مشخص است می‌تواند با اینترنت ارتباط برقرار کند و همچنین آپدیت شود و یا فرضا برنامه ای خاص هم نصب است که مدیر شبکه نمی‌خواهد این برنامه آپدیت شود که برای آن رولی نمی‌نویسیم. برای کار کردن برنامه ای مانند outlook یک رول می‌نویسیم در قسمت

Group policy>>computer configuration>>windows settings >> security settings >> windows firewall with

advanced security >> outbound rules >> new rules

مثلا برای مجوز کار به outlook    آدرس mail server مثلا IP دامنه mail.name.com را همراه با پورت های مورد نیاز مثلا TCP 995,465 را در tab های مربوط تعریف می‌کنیم. مانند شکل زیر

و در انتهای کار گزینه firewall را برای inbound و outbound در حالت block قرار می‌دهیم و همچنین تغییرات زیر را اعمال می‌کنیم تا همواره رول های group policy که نوشتیم بر رول های داخلی اولویت داشته باشد.

Windows firewall with advanced security >> customize >> apply local firewall rules >> NO

و پس از آن هم قسمت group policy security این Group policy را به تمامی سیستم های مجموعه اعمال می‌کنیم.

بنابراین کامپیوتری که عضو domain شده است و این group policy روی آن اعمال شده کاملا تحت مدیریت firewall در DC است و کاربر حتی اگر روی آن سیستم دسترسی admin داشته باشد نمی‌تواند در firewall تغییری ایجاد کند مگر آنکه از عضویت domain خارج شود.

در مثال بالا دسترسی همه برنامه ها با خارج از سیستم کاربر قطع می‌شود مگر آنکه برای آن رول نوشته شود حتی کاربر نمیتواند با سیستم های شبکه داخلی ارتباط برقرار کند مگر آنکه برای آن رولی نوشته شود که مثلا با رنج 192.168.1.0/24 ارتباط برقرار شود.

نوشتن بعضی از رول ها در شبکه داخلی ممکن است لازم باشد مثلا DHCP service یا نوشتن رول برای sharing file and printer برای رنج های داخلی معمولا باید نوشته شود که البته بستگی به سیاست های مدیر شبکه دارد.

اگر نوشتن رولfile anf printer sharing   لازم بود با ورود به قسمت scope میتوان این رول را برای رنج داخلی یا رنج مورد نظر تعریف کرد که انجام این کار توصیه می‌گردد

نکته: توصیه می‌شود رول هایی که نوشته می‌شود با جزئیات باشد؛ مثلا بهتر است برای پورت های 443 و 80 رولی نوشته نشود چون تعداد زیادی از نرم افزارها از این پورت ها استفاده می‌کنند. به جای آن می‌توان برنامه های مورد نیاز را در firewall تعریف کرد؛ مثلا مرورگر IE یا Firefox یا google chrome و مثلا سرویس DNS.

مزایا و معایب firewall

معایب:

1. اگر کاربر نیاز به برنامه جدیدی داشته باشد که با خارج از سیستم ارتباط برقرار می‌کند نیاز به تعریف در firewall دارد.
2. اگر IP یکی از مقاصد تغییر کند نیاز به تعریف در firewall است؛ مثلا اگر آی پی mail server تغییر کند باید در firewall تغییر کند.
3. این روش برای windows 7 و به بالا کارآمد است.

مزایا:

1. اگر firewall به شرح بالا کانفیگ شود میزان قابل توجهی از ترافیک های ناخواسته و آپدیت شدن های غیر ضروری از بین می‌رود در نتیجه در مصرف اینترنت صرفه جویی می‌شود و سرعت کار با اینترنت بهتر می‌شود.
2. اگر برنامه ای نصب شده که نباید آپدیت شود با این روش جلوی آپدیت آن گرفته می‌شود.

با این روش جلوی کارکرد بسیاری از برنامه های مخرب و spy (جاسوسی) گرفته می‌شود در نتیجه امنیت شبکه بالا می‌رود.

با سپاس

حمید خسروی سامانی

کارشناس شبکه

انتشار این متن با ذکر آدرس سایتnet123.ir بلامانع است.