دیوار آتش(2)

در مطلب قبلی به لایه اول دیوار آتش پرداختیم.

حالا می‌خواهیم به لایه دوم از سه لایه دیوار آتش بپردازیم.

لایه دوم دیوار آتش

 در این لایه از فیلدهای سرآیند لایه انتقال برای تحلیل بسته استفاده میشود. عمومیترین فیلدهـای بستههای لایۀ انتقال جهت بازرسی در دیوار آتش ، عبارتند از :

• شماره پورت پروسه مبداء و شماره پورت پروسه مقصد: با توجه بــه آنکـه پورتـهای اسـتاندارد شناخته شده هستند ممکن است مسئول یک دیوار آتش بخواهد سرویس ftp (انتقال فــایل) فقـط در محیط شبکه محلی امکان پذیر باشد و برای تمام ماشینهای خارجی این سرویس وجود نداشته باشـد بنابراین دیوار آتش میتواند بستههای TCP با شماره پورت 20 و 21( مربوط به ftp) کـه قصـد ورود یا خروج از شبکه را دارند ،حذف کند. یکی دیگر از سرویسهای خطرنـاک کـه ممکـن اسـت مـورد سوءاستفاده قرار گیرد Telnet است که میتوان براحتی پورت 23 را مسدود کرد یعنی بســتههائی کـه شماره پورت مقصدشان 23 است حذف شوند. 

• فیلد شماره ترتیبو فیلد Acknowledgment :این دو فیلد نیز بنا بر قواعد تعریف شــده توسـط مسئول شبکه قابل استفاده هستند.

• کدهای کنترلی (BITS Code TCP): در بخشهای قبلی با نقش کلیدی این بیتها آشنا شدید. دیـوار آتش با بررسی این کدها ، به ماهیت آن بسته پی برده و سیاستهای لازم را بر روی آن اعمال میکنـد. بعنوان مثال یک دیوار آتش ممکن است بگونهای تنظیم شود که تمام بستههایی که از بیرون به شبکه وارد میشوند و دارای بیت 1=SYN هستند را حذف کند. بدین ترتیب هیچ ارتباط TCP از بیرون بــه درون شبکه برقرار نخواهد شد.

از مهمترین خصوصیات این لایه آنست که تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگذرد و چون در ارتباط TCP ، تا مراحل “دست تکانی ســهگانـهاش” بـه اتمـام نرسـد انتقـال داده امکانپذیر نیست لذا قبل از هر گونه مبادله داده دیوار آتش میتواند مانع برقراری هر ارتباط غیر مجـاز شود . یعنی دیوار آتش میتواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نماید و در صورت غیر قابل اعتماد بودن ، مانع از برقراری ارتباط شود. دیوار آتش در این لایه نیاز بـه جدولی از شماره پورتهای غیر مجاز دارد.

منتظر مطالب بعدی باشید