Firewall

فایروال (Firewall)

فایروال (Firewall) سامانه‌ای سخت‌افزاری، نرم‌افزاری، یا ترکیبی از هر دو است که نقش «دروازه‌بان» بین شبکه داخلی و منابع خارجی یا بخش‌های مختلف یک شبکه را بر عهده دارد. این سیستم با اعمال قوانین امنیتی مشخص، ترافیک ورودی و خروجی را بررسی کرده و تصمیم می‌گیرد کدام ارتباط اجازه عبور دارد و کدام باید مسدود شود.

هدف اصلی یک فایروال را میتوان به سه دسته تقسیم کرد :

کنترل دسترسی(Access Control)
محافظت از منابع داخلی(Resource Protection)
پایش و ثبت رخداد های ارتباطی(Traffic Monitoring and logging)

نقش و اهمیت فایروال در معماری امنیت

در معماری‌های امنیتی مانند Defense in Depth (دفاع در عمق)، فایروال‌ها معمولاً در لایه Perimeter Security و همچنین در بخش‌های داخلی (Internal Segmentation Firewall) قرار می‌گیرند. از وظایف اصلی فایروال ها در معماری ها امنیت میتوان به موارد زیر اشاره نمود :

جلوگیری از نفوذ مستقیم اینترنت بر سیستم‌های داخلی
مدیریت ارتباط بین بخش‌های مختلف شبکه (Segmentation).
اجرای سیاست‌های انطباق امنیتی مانند PCI DSS، ISO/IEC 27001، و NIST CSF.
نقش مهم در Zero Trust Architecture به عنوان کنترل‌کننده احراز دسترسی.

تاریخچه فایروال ها :

نسل اول (Packet Filters) – دهه ۱۹۸۰ و ۹۰فقط هدر بسته‌ها (IP, Port, Protocol) را بررسی می‌کند. سرعت بالا، ولی فاقد تحلیل عمیق.
نسل دوم (Stateful Inspection) – اواخر دهه ۹۰بررسی وضعیت ارتباط (Session State) و اطمینان از تطابق بسته‌ها با جریان مجاز.
نسل سوم (Application Layer / Proxy Firewall) – اوایل ۲۰۰۰تحلیل کامل محتوای درخواست‌ها در لایه ۷.
نسل چهارم (NGFW – Next-Generation Firewall) – ۲۰۱۰ به بعدترکیب کنترل ترافیک، جلوگیری از نفوذ (IPS/IDS)، شناسایی برنامه‌ها (App-ID)، و تجزیه‌و‌تحلیل تهدیدات.
نسل پنجم (AI-Driven / Cloud & Distributed Firewalls – حال حاضر)استفاده از یادگیری ماشین برای شناسایی رفتار غیرعادی، مدیریت متمرکز Cloud و قابلیت DevSecOps Integration.

معماری و ساختار داخلی فایروال :

Rule & Policy Engine: هسته تصمیم‌گیری که بر اساس سیاست‌ها ترافیک را اجازه یا رد می‌کند.

Packet Inspection Module: پردازش داده‌ها در لایه‌های OSI مختلف.
State Table: ذخیره وضعیت ارتباطات برای تحلیل جریان‌ها.
Logging & Reporting Module: ثبت وقایع و آنالیز عملکرد.
Threat Intelligence Integration: ارتباط با پایگاه‌های داده تهدیدات جهانی برای مسدود کردن IP و دامنه‌های خطرناک.
Management Interface: محیط گرافیکی یا CLI برای پیکربندی و مانیتورینگ.

معرفی انوع فایروال ها :

Packet-Filtering Firewall

مکانیزم ساده و سریع.
بدون نگهداری وضعیت اتصال.
مناسب محیط‌های کم‌ترافیک یا دستگاه‌های جانبی

Stateful Inspection Firewall

نگهداری اطلاعات اتصال‌ها در جدول (State Table).
جلوگیری از حملات Session Hijacking.
پرکاربرد در شبکه‌های سازمانی استاندارد.

Application Layer / Proxy Firewall

کار در لایه ۷، فیلتر بر اساس محتوا و پروتکل‌های خاص مانند HTTP، FTP.
امکان شناسایی حملات مانند SQL Injection یا XSS.

Next-Generation Firewall (NGFW)

شناسایی انواع برنامه‌ها حتی در صورت استفاده از پورت غیرمعمول.
یکپارچگی با IDS/IPS، VPN، Threat Prevention.
قابلیت تشخیص کاربر، گروه، و دستگاه.

Cloud Firewall

محیط مقیاس‌پذیر، مدیریت از راه دور، ادغام با سرویس‌های ابری مانند AWS Security Groups.

Host-based Firewall

حفاظت نقطه‌به‌نقطه روی دستگاه‌ها، بخشی از Endpoint Security.

نحوه عملکرد و مدیریت فایروال در شبکه (Traffic Flow Analysis) :

Packet Capture – دریافت بسته‌ها از Interface شبکه.
Header Analysis – بررسی آدرس مبدا، مقصد، پروتکل، پورت‌ها.
State Matching – تطبیق با جریان‌های مجاز (در Stateful).
Rule Evaluation – اجرای قوانین تعریف‌شده توسط ادمین.
Rule Evaluation – اجرای قوانین تعریف‌شده توسط ادمین.
Threat Scan – بررسی توسط ماژول‌های تشخیص تهدید (NGFW).

مزایا و محدودیت ها :

مزایا :

کنترل دقیق دسترسی
کاهش سطح حمله (Attack Surface)
پایش و ثبت وقایع امنیتی
اجرای سیاست های انطباق

محدودیت ها :

عدم شناسایی حملات داخلی بدون تحلیل رفتار
وابستگی به کیفیت Ruleها
نیاز به پیکربندی مستمر برای محیط‌های پویا

برندهای برتر فایروال :

Cisco Firepower
Fortinet Fortigate
Palo Alto Networks
Check point

جایگاه فایروال ها در امنیت مدرن :

امروزه فایروال‌ها دیگر تنها «جدار» شبکه نیستند، بلکه بخشی از یک اکوسیستم امنیتی هستند که شامل:

SIEM Integration (مثلاً با Splunk)
Threat Intelligence Feeds
SOAR Automation برای پاسخ سریع
Zero Trust Enforcement