IT: تکنولوژی اطلاعات

Waf یک  ابزار امنیتی برای حفاظت web app های از کسانی که می خواهند از طریق آسیب پذیری های web app های به سیستم حمله کنند.

Waf یک ابزار برای کاهش فشار حملات می باشد و یک ابزار برای رفع آسیب پذیری ها در web app ها نیست که بصورت مکانیکال به بازرسی ارتباط بین website  و user بر اساس رول های تعریف شده در waf می پردازد.

با استفاده از waf  این نتایج برای ما حاصل می شود:

1-حفاظت از  web app از حملاتی که می خواهند از آسیب پذیری ها بهره برداری کنند.

2-شناسایی حملاتی که می خواهند از آسیب پذیری ها استفاده کنند.

3-حفاظت چندین web appاز حملات

تفاوت های بین WAF  و FIREWALL

Firewall یک نرم افزار یا سخت افزاری  است  که کنترل دسترسی  کاربران را بر اساس src add وadd dst و src port و dst port   اعمال میکند

با استفاده از فایروال  این امکان وجود دارد که  یکسری محدودیت ها برای ارتباط با سرویس های که روی  سرور وجود دارد اعمال کنیم. با محدود کردن  سرویس هایی که لازم نیستند که برای عموم باشند و بستن آنها  این امکان بوجود می آید که از  دسترسی های غیر مجاز به این سرویس ها جلوگیری شود.

فایروال نمیتواند از حملاتی که میخواهند از طریق آسیب پذیری ها نفوذ کنند جلوگیری کند و از طرف دیگر  waf میتواند محتوای packet ها را بازرسی کند و برای مثال با داشتن یک رول  در waf میتواند حملات مثل sql injection  را شناسایی کند و این امکان وجود دارد که این packet  ها را block کند.

تفاوت های بین WAF و IDPS

هر دو این سرویس ها امکان بازرسی کردن محتوای بسته ها را بر اساس رول های تعریف شده در آنها دارند

Ips یک نرم افزار یا سخت افزاری است که  ارتباط بین دستگاه های مختلف  را بر اساس رول های تعریف شده در آن بازرسی می کند.ips  حملات مختلفی را سناسایی میکند مثلا حملاتی که میخواهند از طریق آسیب پذیری هایی که در os  وجود دارد انجام شوند

Ips  حمله را   بر اساس رول های تعریف شده در ids  شناسایی  و آن را block  میکند.

انواع WAF  از لحاظ lisencing

1-    Waf  های تجاری

2-    Waf های open source

انواع  waf  از لحاظ مدل و فرم:

1-بصورت یک محیط مخصوص

2-بصورت یک نرم افزار

وقتي قرار باشد از يك ساختمان و وسايل داخل آن محافظت كنيم، اولين كاري كه انجام می دهيم، كنترل مبادي ورود و خروج ساختمان است. به بيان ديگر فقط به افراد منتخبي ، اجازه وارد شدن (و يا خارج شدن) از ساختمان را می دهيم. معيار انتخاب افراد براي كسي كه مامور كنترل ورود و خروج است بايستي در چارچوب يك خط مشي امنيتي، از قبل مشخص باشد.

در مورد شبكه‌هاي كامپيوتري نيز بطور مشخص، همين روال را پيش می گيريم. يعني مرزهاي شبكه داخلي خود را كنترل مي‌كنيم. منظور از مرز شبكه، لبه تماس شبكه داخلي با شبكه(هاي) خارجي نظير اينترنت، شبكه يكي از شعب سازمان و يا شبكه يك سازمان ديگر است.

براي كنترل اين مرزها از Firewall استفاده مي‌شود

 با پياده‌سازي تكنيك‌هاي Packet Filtering، بخشي از وظايف يك Firewall را می توان به Router(هاي) لب مرز واگذار كرد. ولي Routerها به تنهايي قادر به انجام كل وظايف يك Firewall نيستند و استفاده از Firewallها امري اجتناب ناپذير است. دليل ناكافي بودن Packet Filtering در Router لب مرز دو چيز است: يكي اينكه اصولا" تمامي تكنيك‌هايي كه در Firewallها پياده سازي مي‌شوند، در Router قابل اجرا نيست و گذشته از آن، اصل دفاع لايه به لايه (يا دفاع در عمق) ميگويد كه محافظت بايستي در بيش از يك لايه انجام شود. (مانند دژهاي قديمي كه با لايه‌هاي مختلف (خندق، دروازه اصلي، دروازه‌هاي فرعي، برجها و ...) از آنها محافظت مي‌شد.

در شكل‌هاي زير يك نمونه از پياده سازي Firewallها را مشاهده می كنيد.

----------------------------------------------------------------------------------------------------------

 در شكل‌هاي فوق، Router لب مرز، ترافيك را در سطح IP كنترل می كند. اين Router اولين لايه دفاعي شبكه محسوب مي‌شود. همانطور كه مشاهده مي‌شود در اين Router فقط به كاربراني از اينترنت اجازه عبور داده مي‌ شود كه متقاضي يكي از سرويس‌هاي وب، پست الكترونيك و يا DNS باشند.

 در هر شكل ناحيه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در اين ناحيه سرورهايي را قرار ميدهيم كه بايستي از اينترنت ديده شوند مانند Web Server، E-Mail Server و DNS Server. اگر بخواهيم DMZ را با يك مثال روشنتر توصيف كنيم، بايستي بگوييم كه DMZ مانند نمايشگاه و فروشگاه يك شركت است كه تقريبا" به همه اجازه داده مي‌شود به داخل آن بيايند و از محصولات ما ديدن كنند، اصولا" نمايشگاه به همين منظور ايجاد شده، فلسفه وجودي Web Server اين است كه از اينترنت ديده شود.

ناحيه ديگري كه در شبكه‌ها وجود دارد، ناحيه Private Network است. هيچ بسته‌اي از طريق اينترنت اجازه ورود به ناحيه اختصاصي شبكه ما را ندارد مگر آنكه يكي از طرف يكي از كاربران داخلي درخواست شده باشد.

 پس در ساده‌ترين شكل، شبكه ما از سه ناحيه Public Network، DMZ و Private Network تشكيل شده و در مرز هر كدام از اين نواحي بايستي تمهيدات كنترلي اتخاذ كرده و عبور و مرور بسته‌هاي اطلاعاتي را كنترل كنيم. در ادامه مقاله از اين سه بخش تحت عناوين Internat، DMZ و LAN نام خواهيم برد.

ممكن است علاوه بر سه ناحيه فوق، در ناحيه LAN، بخشي داشته باشيم كه از نظر حساسيت در سطح بالاتري نسبت به ساير LAN باشد. اين ناحيه، ناحيه‌ايست كه سرورهاي حساس شبكه مانند سرور مالي و يا فايل سرور بخش تحقيق و توسعه قرارداد. براي اين ناحيه لازم است Firewall مجزايي پياده سازي شود. اين Firewall لايه‌اي است كه به لايه‌هاي امنيتي اضافه شده و دسترسي غير مجاز به اين ناحيه را مشكل‌تر مي‌كند:

به شكل زير توجه كنيد: (Routerها با R و Firewallها با F مشخص شده‌اند)

همانطور كه ملاحظه مي‌كنيد، R1 و R2 بعنوان Routerهاي لب مرز شبكه‌ها را از اينترنت جدا كرده‌اند. در كل مجموعه، يك DMZ داريم كه با F1 از بقيه مجموعه جدا شده است. F3 و F5 دو وظيفه بعهده دارند، يكي مرز بين اينترنت و LANهاي مربوط به خود را كنترل ميكنند، و ديگر اينكه ارتباط بين دو LAN را كنترل مي‌كنند اين ارتباط ممكن است Lease Line، Wireless و يا يك زوج سيم مسي باشد. اين Firewalها با پشتيباني از سرويس VPN، ارتباط داخلي امني را بين دفترمركزي و شعبه برقرار ميكنند.

اما F2 و F4 نيز در شرايط مشابهي هستند، اين دو وظيفه جدا سازي منطقه حساس را از بقيه LAN بر عهده دارند و علاوه برآن F2 دو Subnet موجود در شبكه دفتر مركزي را نيز از هم جدا ميكند. جداسازي Subnetها از هم در راستاي محدود كردن حملات احتمالي است. اگر به نحوي يكي از Subnetها مورد حمله واقع شد، (مثلا" با Wormي كه از طريق e-mail و يا حتي از طريق ديسكت و CD وارد آن شده) اين آلودگي به همان Subnet محدود شده و ساير بخشهاي شبكه ايمن باقي بمانند.

نتيجه گيري:

برای پياده سازی و پيکربندی فايروال ها در يک شبکه از توپولوژی های متفاوتی استفاده می گردد . توپولوژی انتخابی به ويژگی های  شبکه و خواسته های موجود بستگی خواهد داشت . در اين رابطه گزينه های متفاوتی وجود دارد که در ادامه به بررسی برخی از نمونه های متداول در اين زمينه خواهيم پرداخت.

سناريوی اول : يک فايروال Dual-Homed
در اين توپولوژی که يکی از ساده ترين و در عين حال متداولترين روش استفاده از يک فايروال است ، يک فايروال مستقيما" و از طريق يک خط Dial-up ، خطوط ISDN و يا مودم های کابلی به اينترنت متصل می گردد. در توپولوژی فوق امکان استفاده از DMZ وجود نخواهد داشت .

برخی از ويژگی های اين توپولوژی  عبارت از :

• فايروال مسئوليت بررسی بسته های اطلاعاتی ارسالی با توجه به قوانين فيلترينگ تعريف شده بين شبکه داحلی و اينترنت و برعکس را برعهده دارد.

• فايروال از آدرس IP خود برای ارسال بسته های اطلاعاتی بر روی اينترنت استفاده می نمايد .

• دارای يک پيکربندی ساده بوده و در مواردی که صرفا" دارای يک آدرس IP معتبر ( Valid ) می باشيم ، کارساز خواهند بود .

• برای اتصال فايروال به اينترنت می توان از يک خط Dial-up معمولی ، يک اتصال ISDN و  مودم های کابلی  استفاده نمود .

سناريوی دوم : يک شبکه Two-Legged به همراه قابليت استفاده از يک ناحيه DMZ
در اين توپولوژی که نسبت به مدل قبلی دارای ويژگی های پيشرفته تری است ، روتر متصل شده به اينترنت به هاب و يا سوئيچ موجود در شبکه داخلی متصل می گردد .

برخی از ويژگی های اين توپولوژی عبارت از  :

• ماشين هائی که می بايست امکان دستيابی مستقيم به اينترنت را داشته باشند ( توسط فايروال فيلتر نخواهند شد ) ، به هاب و يا سوئيچ خارجی  متصل می گردند .

• فايروال دارای دو کارت شبکه است که يکی به هاب و يا سوئيچ خارجی و ديگری به هاب و يا سوئيچ داخلی متصل می گردد. ( تسهيل در امر پيکربندی فايروال )

• ماشين هائی که می بايست توسط فايروال حفاظت گردند به هاب و يا سوئيچ داخلی متصل می گردند .

• به منظور افزايش کارآئی و امنيت شبکه ، می توان  از سوئيچ در مقابل هاب استفاده نمود .

• در توپولوژی فوق امکان استفاده از سرويس دهندگانی نظير وب و يا پست الکترونيکی که می بايست قابليت دستيابی همگانی و عمومی  به آنان وجود داشته باشد از طريق ناحيه DMZ  فراهم می گردد .

• در صورتی که امکان کنترل و مديريت روتر وجود داشته باشد  ، می توان مجموعه ای ديگر از قابليت های فيلترينگ بسته های اطلاعاتی را نيز به خدمت گرفت . با استفاده از پتانسيل های فوق می توان يک سطح حفاظتی محدود ديگر متمايز از امکانات ارائه شده توسط فايروال ها را نيز پياده سازی نمود .

• در صورتی که امکان کنترل و مديريت روتر وجود نداشته باشد ، ناحيه DMZ بطور کامل در معرض استفاده عموم کاربران اينترنت قرار خواهد داشت . در چنين مواردی لازم است با استفاده از ويژگی ها و پتانسيل های ارائه شده توسط سيستم عامل نصب شده بر روی هر يک از کامپيوترهای موجود در ناحيه DMZ ، يک سطح مناسب امنيتی را برای هر يک از آنان تعريف نمود .

• پيکربندی مناسب ناحيه DMZ به دو عامل متفاوت بستگی خواهد داشت : وجود يک روتر خارجی و داشتن چندين آدرس IP 

• در صورتی که امکان ارتباط با اينترنت از طريق يک اتصال PPP ( مودم Dial-up ) فراهم شده است و يا امکان کنترل روتر وجود ندارد و يا صرفا" دارای يک آدرس IP می باشيم ، می بايست از يک راهکار ديگر در اين رابطه استفاده نمود . در اين رابطه می توان از دو راه حل متفاوت با توجه به شرايط موجود  استفاده نمود :

راه حل اول ، ايجاد و پيکربندی يک فايروال ديگر در شبکه است . راه حل فوق در مواردی که از طريق PPP به شبکه متصل می باشيم ، مفيد خواهد بود . در توپولوژی فوق ، يکی از ماشين ها به عنوان يک فايروال خارجی ايفای وظيفه می نمايد ( فايروال شماره يک ) . ماشين فوق مسئوليت ايجاد اتصال PPP و کنترل دستيابی به ناحيه DMZ را بر عهده خواهد داشت و فايروال شماره دو ،  مسئوليت حفاظت از شبکه داخلی را برعهده دارد . فايروال شماره يک از فايروال شماره دو  نيز  حفاظت می نمايد.

راه حل دوم، ايجاد يک فايروال  Three Legged است که در ادامه به آن اشاره خواهيم کرد .

سناريوی سوم : فايروال Three-Legged
در اين توپولوژی که نسبت به مدل های قبلی دارای ويژگی های پيشرفته تری است ، از يک کارت شبکه ديگر بر روی فايروال و برای ناحيه DMZ استفاده می گردد . پيکربندی فايروال بگونه ای خواهد بود که روتينگ بسته های اطلاعاتی بين اينترنت و ناحيه DMZ  با روشی متمايز و متفاوت از اينترنت و شبکه داخلی ،  انجام خواهد شد .

برخی از ويژگی های اين توپولوژی عبارت از :

• امکان داشتن يک ناحيه DMZ وجود خواهد داشت .

• برای سرويس دهندگان موجود در ناحيه DMZ می توان از آدرس های IP غيرمعتبر استفاده نمود .

• کاربرانی که از اتصالات ايستای PPP استفاده می نمايند نيز می توانند به  ناحيه DMZ دستيابی داشته و از خدمات سرويس دهندگان متفاوت موجود در اين ناحيه استفاده نمايند .

• يک راه حل مقرون به صرفه برای سازمان ها و ادارات کوچک است .

• برای دستيابی به ناحيه DMZ و شبکه داخلی می بايست مجموعه قوانين خاصی تعريف گردد و همين موضوع ، پياده سازی  و پيکربندی مناسب اين توپولوژی را اندازه ای پيجيده تر می نمايد .

• در صورتی که امکان کنترل روتر متصل به اينترنت وجود نداشته باشد ، می توان کنترل ترافيک ناحيه DMZ  را با استفاده از امکانات ارائه شده توسط فايروال شماره يک انجام داد .

• در صورت امکان سعی گردد که  دستيابی به ناحيه DMZ محدود شود .

برای پياده سازی و پيکربندی فايروال ها در يک شبکه از توپولوژی های متفاوتی استفاده می گردد . توپولوژی انتخابی به ويژگی های  شبکه و خواسته های موجود بستگی خواهد داشت . در اين رابطه گزينه های متفاوتی وجود دارد که در ادامه به بررسی برخی از نمونه های متداول در اين زمينه خواهيم پرداخت.
(برای آشنائی با فايروال ها و برخی از ويژگی های ارائه شده توسط آنان مطالعه مطلب  فايروال ها : يک ضرورت اجتناب ناپذير در دنيای امنيت اطلاعات  ، پيشنهاد می گردد ) .

سناريوی اول : يک فايروال Dual-Homed
در اين توپولوژی که يکی از ساده ترين و در عين حال متداولترين روش استفاده از يک فايروال است ، يک فايروال مستقيما" و از طريق يک خط Dial-up ، خطوط ISDN و يا مودم های کابلی به اينترنت متصل می گردد. در توپولوژی فوق امکان استفاده از DMZ وجود نخواهد داشت .

برخی از ويژگی های اين توپولوژی  عبارت از :

• فايروال مسئوليت بررسی بسته های اطلاعاتی ارسالی با توجه به قوانين فيلترينگ تعريف شده بين شبکه داحلی و اينترنت و برعکس را برعهده دارد.

• فايروال از آدرس IP خود برای ارسال بسته های اطلاعاتی بر روی اينترنت استفاده می نمايد .

• دارای يک پيکربندی ساده بوده و در مواردی که صرفا" دارای يک آدرس IP معتبر ( Valid ) می باشيم ، کارساز خواهند بود .

• برای اتصال فايروال به اينترنت می توان از يک خط Dial-up معمولی ، يک اتصال ISDN و  مودم های کابلی  استفاده نمود .

سناريوی دوم : يک شبکه Two-Legged به همراه قابليت استفاده از يک ناحيه DMZ
در اين توپولوژی که نسبت به مدل قبلی دارای ويژگی های پيشرفته تری است ، روتر متصل شده به اينترنت به هاب و يا سوئيچ موجود در شبکه داخلی متصل می گردد .

برخی از ويژگی های اين توپولوژی عبارت از  :

• ماشين هائی که می بايست امکان دستيابی مستقيم به اينترنت را داشته باشند ( توسط فايروال فيلتر نخواهند شد ) ، به هاب و يا سوئيچ خارجی  متصل می گردند .

• فايروال دارای دو کارت شبکه است که يکی به هاب و يا سوئيچ خارجی و ديگری به هاب و يا سوئيچ داخلی متصل می گردد. ( تسهيل در امر پيکربندی فايروال )

• ماشين هائی که می بايست توسط فايروال حفاظت گردند به هاب و يا سوئيچ داخلی متصل می گردند .

• به منظور افزايش کارآئی و امنيت شبکه ، می توان  از سوئيچ در مقابل هاب استفاده نمود .

• در توپولوژی فوق امکان استفاده از سرويس دهندگانی نظير وب و يا پست الکترونيکی که می بايست قابليت دستيابی همگانی و عمومی  به آنان وجود داشته باشد از طريق ناحيه DMZ  فراهم می گردد .

• در صورتی که امکان کنترل و مديريت روتر وجود داشته باشد  ، می توان مجموعه ای ديگر از قابليت های فيلترينگ بسته های اطلاعاتی را نيز به خدمت گرفت . با استفاده از پتانسيل های فوق می توان يک سطح حفاظتی محدود ديگر متمايز از امکانات ارائه شده توسط فايروال ها را نيز پياده سازی نمود .

• در صورتی که امکان کنترل و مديريت روتر وجود نداشته باشد ، ناحيه DMZ بطور کامل در معرض استفاده عموم کاربران اينترنت قرار خواهد داشت . در چنين مواردی لازم است با استفاده از ويژگی ها و پتانسيل های ارائه شده توسط سيستم عامل نصب شده بر روی هر يک از کامپيوترهای موجود در ناحيه DMZ ، يک سطح مناسب امنيتی را برای هر يک از آنان تعريف نمود .

• پيکربندی مناسب ناحيه DMZ به دو عامل متفاوت بستگی خواهد داشت : وجود يک روتر خارجی و داشتن چندين آدرس IP 

• در صورتی که امکان ارتباط با اينترنت از طريق يک اتصال PPP ( مودم Dial-up ) فراهم شده است و يا امکان کنترل روتر وجود ندارد و يا صرفا" دارای يک آدرس IP می باشيم ، می بايست از يک راهکار ديگر در اين رابطه استفاده نمود . در اين رابطه می توان از دو راه حل متفاوت با توجه به شرايط موجود  استفاده نمود :

راه حل اول ، ايجاد و پيکربندی يک فايروال ديگر در شبکه است . راه حل فوق در مواردی که از طريق PPP به شبکه متصل می باشيم ، مفيد خواهد بود . در توپولوژی فوق ، يکی از ماشين ها به عنوان يک فايروال خارجی ايفای وظيفه می نمايد ( فايروال شماره يک ) . ماشين فوق مسئوليت ايجاد اتصال PPP و کنترل دستيابی به ناحيه DMZ را بر عهده خواهد داشت و فايروال شماره دو ،  مسئوليت حفاظت از شبکه داخلی را برعهده دارد . فايروال شماره يک از فايروال شماره دو  نيز  حفاظت می نمايد.

راه حل دوم، ايجاد يک فايروال  Three Legged است که در ادامه به آن اشاره خواهيم کرد .

سناريوی سوم : فايروال Three-Legged
در اين توپولوژی که نسبت به مدل های قبلی دارای ويژگی های پيشرفته تری است ، از يک کارت شبکه ديگر بر روی فايروال و برای ناحيه DMZ استفاده می گردد . پيکربندی فايروال بگونه ای خواهد بود که روتينگ بسته های اطلاعاتی بين اينترنت و ناحيه DMZ  با روشی متمايز و متفاوت از اينترنت و شبکه داخلی ،  انجام خواهد شد .

برخی از ويژگی های اين توپولوژی عبارت از :

• امکان داشتن يک ناحيه DMZ وجود خواهد داشت .

• برای سرويس دهندگان موجود در ناحيه DMZ می توان از آدرس های IP غيرمعتبر استفاده نمود .

• کاربرانی که از اتصالات ايستای PPP استفاده می نمايند نيز می توانند به  ناحيه DMZ دستيابی داشته و از خدمات سرويس دهندگان متفاوت موجود در اين ناحيه استفاده نمايند .

• يک راه حل مقرون به صرفه برای سازمان ها و ادارات کوچک است .

• برای دستيابی به ناحيه DMZ و شبکه داخلی می بايست مجموعه قوانين خاصی تعريف گردد و همين موضوع ، پياده سازی  و پيکربندی مناسب اين توپولوژی را اندازه ای پيجيده تر می نمايد .

• در صورتی که امکان کنترل روتر متصل به اينترنت وجود نداشته باشد ، می توان کنترل ترافيک ناحيه DMZ  را با استفاده از امکانات ارائه شده توسط فايروال شماره يک انجام داد .

• در صورت امکان سعی گردد که  دستيابی به ناحيه DMZ محدود شود .

فايروال چه کار می کند ؟
فايروال ها حفاظت لازم در مقابل مهاجمان خارجی را ايجاد  و  يک لايه و يا پوسته حفاظتی پيرامون کامپيوتر و يا شبکه را در مقابل کدهای مخرب و يا ترافيک غيرضروری اينترنت ، ارائه می نمايند . با بکارگيری فايروال ها ، امکان بلاک نمودن داده از مکانی خاص  فراهم می گردد . امکانات ارائه شده توسط يک فايروال برای کاربرانی که همواره به اينترنت متصل و از امکاناتی نظير DSL و يا مودم های کابلی استفاده می نمايند ، بسيار حياتی و مهم می باشد.

چه نوع فايروال هائی وجود دارد ؟
فايروال ها به دو شکل  سخت افزاری ( خارجی ) و نرم افزاری ( داخلی ) ، ارائه می شوند  . با اينکه هر يک از مدل های فوق دارای مزايا و معايب خاص خود می باشند ، تصميم در خصوص استفاده از يک فايروال بمراتب مهمتر از تصميم در خصوص نوع فايروال است .

• فايروال های سخت افزاری : اين نوع از فايروال ها که به آنان فايروال های شبکه نيز گفته می شود ، بين کامپيوتر شما (و يا شبکه) و کابل و يا خط DSL  قرار خواهند گرفت . تعداد زيادی از توليد کنندگان و برخی از مراکز ISP دستگاههائی با نام "روتر" را ارائه می دهند که دارای يک فايروال نيز می باشند . فايروال های سخت افزاری در مواردی نظير حفاظت چندين کامپيوتر مفيد بوده و يک سطح مناسب حفاظتی را ارائه می نمايند( امکان استفاده از آنان به منظور حفاظت يک دستگاه کامپيوتر نيز وجود خواهد داشت ) . در صورتی که شما صرفا" دارای يک کامپيوتر پشت فايروال می باشيد و يا اين اطمينان را داريد که ساير کامپيوتر های موجود بر روی شبکه نسبت به نصب تمامی patch ها ، بهنگام بوده و عاری از ويروس ها و يا کرم ها می باشند ، ضرورتی به  استفاده از يک سطح اضافه حفاظتی (يک نرم افزار فايروال ) نخواهيد داشت . فايروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سيستم عامل اختصاصی خود می باشد . بنابراين بکارگيری آنان باعث ايجاد يک لايه دفاعی اضافه در مقابل تهاجمات می گردد .

• فايروال های نرم افزاری : برخی از سيستم های عامل دارای يک فايروال تعبيه شده درون خود می باشند . در صورتی که سيستم عامل نصب شده بر روی کامپيوتر شما دارای ويژگی فوق می باشد ، پيشنهاد می گردد که آن را فعال نموده تا يک سطح حفاظتی اضافی در خصوص ايمن سازی کامپيوتر و اطلاعات ، ايجاد گردد .(حتی اگر از يک فايروال خارجی يا سخت افزاری استفاده می نمائيد). در صورتی که سيستم عامل نصب شده بر روی کامپيوتر شما دارای يک فايروال تعيبه شده نمی باشد ، می توان اقدام به تهيه يک فايروال نرم افزاری کرد . با توجه به عدم اطمينان لازم در خصوص دريافت نرم افزار از اينترنت با استفاده از يک کامپيوتر محافظت نشده ، پيشنهاد می گردد برای نصب فايروال از CD و يا DVD مربوطه استفاده گردد .

نحوه پيکربندی بهينه يک فايروال به چه صورت است ؟
اکثر محصولات فايروال تجاری ( هم سخت افزاری و هم نرم افزاری ) دارای امکانات متعددی بمنظور پيکربندی بهينه می باشند . با توجه به تنوع بسيار زياد فايروال ها ، می بايست به منظور پيکربندی بهينه آنان به مستندات ارائه شده ، مراجعه تا مشخص گردد که آيا تنظميات پيش فرض فايروال نياز شما را تامين می نمايد يا خير ؟ . پس از پيکربندی يک فايروال يک سطح امنيتی و حفاظتی مناسب در خصوص ايمن سازی اطلاعات انجام شده است . لازم است به اين موضوع مهم اشاره گردد که پس از پيکربندی يک فايروال نمی بايست بر اين باور باشيم که سيستم ما همواره ايمن خواهد بود . فايروال ها يک سطح مطلوب حفاظتی را ارائه می نمايند ولی هرگز عدم تهاجم به سیستم شما را تضمين نخواهند کرد . استفاده از فايروال به همراه ساير امکانات حفاظتی نظير نرم افزارهای آنتی ويروس و رعايت توصيه های ايمنی می تواند يک سطح مطلوب حفاظتی را برای شما و شبکه شما بدنبال داشته باشد .