من يك مشكلي دارم، من نمي توانم يك ديواره آتش مناسب براي سرور ويندوزم پيدا كنم. در اصل وقتي افراد در اين باره از من پرسش مي كنند جواب مناسبي براي آنها ندارم.

اگر چه در حال حاضر بيشتر سرور هاي ما پشت ديواره آتش مي باشند، اما من علاقمندم كه يك حفاظت ديگر در خود سرور داشته باشم.

به نظر مي رسد كه اين راه حل مي تواند كافي باشد. من صبورانه منتظر يك شخص با استعداد هستم كه ديواره آتش ويندوز را با تمام خصوصيات به من معرفي كند تا من از توضيحات اضافه خودداري كنم زيرا كه راه درست آن است كه به سمت لينوكس با IPTable بروم. اما اين انتظار بيهوده است. گاهي اوقات من فكر مي كردم كه آخرين راه حل براي ديواره آتش ويندوز را پيدا كرده ام ولي بعد از مدتي مي ديدم كه اشتباه مي كرده ام و راههاي ديگر را امتحان مي كردم.

مطمئنا ما فيلتر كننده هاي TCP/IP داريم كه واقعا سريع مي باشد. اما بسيار محدود است و فقط براي بسياري از ترافيك هاي ابتدايي ورودي كاربرد دارد. اگرشما از فيلتر كننده هاي TCP/IP استفاده كنيد شما نياز داريد كه محافظت از لايه هاي ديگر را به طور اضافه نيز داشته باشيد.

IPSec نيز است. فقط شما يك مرتبه بين قاعده ها، مجموعه قاعده ها، فيلترها و مجموعه فيلتر هاي مختلف، دسته بندي ايجاد مي كنيد. شما حتي مي توانيد از يك رابط كاربر و يا از اسكريپت هاي مختلف استفاده كنيد ولي هر دو آنها گيج كننده هستند. به هر جهت وقتي كه شما تمام اين كارها را انجام دهيد و در شبكه خود اجرا كنيد مشاهده خواهيد كرد كه شبكه شما كندتر از قبل شده است. زيرا كه IPSec به همراه فيلترينگ بسته ها، شبكه را تا حدود 10% - 15% كند مي كند. راستي يك چيز ديگر هم وجود دارد كه باعث مي شود من از IPSec متنفر شوم: رويدادهاي آن توسط ثبت وقايع ويندوز(Windows Eventlog ) ، ثبت مي گردد. يعني شما نياز داريد كه روي تك تك رويدادها كليك كنيد تا مشخصات و خصوصيات آن را مشاهده كنيد و يا آن را به فرمتي ديگر در آوريد. همين موضوع كافي است كه من از هر دوي آنها فرار كنم.

ديواره آتش ارتباطات اينترنت ويندوز (ICF) تا حدودي بهتر است و با قاعده ها به طور قابل انعطاف تري برخورد مي كند. وقتي ويندوز 2003 با SP1 عرضه شد حتي ديواره آتش بهتر نيز شد. واقعا بايد اعتراف كرد كه ديواره آتش ويندوز يك پيشرفت بزرگ محسوب مي شود و جالب آنكه حتي از Group Policy ها نيز پشتيباني مي كند. متاسفانه ديواره آتش ويندوز به شما اجازه نمي دهد كه روي ترافيك بيروني هيچ قاعده اي داشته باشيد. به علاوه نياز دارد كه مديريت ارتباطات دسترسي ها از راه دور و همچنين سرويس هاي تلفني روشن شوند. مثلا هنگامي كه من نياز به يك ميل سرور و سرور وب امن دارم من نيازي به آنها ندارم.






RAS چطور ؟ شايد بدانيد كه آن نيز قابليت هاي فيلتر كردن بسته ها را دارد و در حقيقت يك API خوبي براي ابزارهاي ديگر دارد كه مي توانند اين كار را انجام دهند. اما اين فيلترها به شما اجازه نمي دهند كه در سطح پايين تر مانند فيلترينگ ICMP فيلتر ها را اعمال كنيد بنابراين اين هم به نظر مفيد نمي رسد.

ديواره هاي آتش شخصي مناسب و كاربردي نيز وجود دارد كه واقعا براي كامپيوترهاي روميزي بسيار مناسب و كارا مي باشد اما هيچكدام براي ويندوز سرور كارايي مناسب را ندارند.برخي از آنها از بقيه بهترند ولي باز هم تمامي آنها مشكلات خاص خود را دارند. مشكلاتي از قبيل ضعف در فايل هاي ثبت وقايع، قابليت هاي پيكربندي محدود، كند بودن و بدتر از همه آنكه در هنگام بار بالا صفحه آبي خطاي ويندوز را نمايش مي دهند!

مشكل ديواره هاي آتش شخصي اين است كه آنها بايد با محيط ويندوز مجتمع شوند. راههاي زيادي براي جلوگيري كردن از بسته ها در ويندوز وجود دارد اما هر كدام از آنها ضعف و زيانهاي خودشان را دارند و تمامي اين راهها به طور ضعيفي نيز مستند شده اند. بيشتر آنها نياز دارند كه با توابع بخش هسته ويندوز كار كنند و براي برخي از ابزارها نيز احتياج به نوشتن درايور است. تمامي آنها كار مي كنند، اما اگر اطمينان از اين بود كه صفحه آبي خطاي ويندوز نمايش داده نمي شود خيلي بهتر بود ولي خودتان امتحان كنيد، سرورهاي ما اغلب با بار بالا مواجهه مي شوند و شما در استفاده از يك ديواره آتش با صفحه آبي به طور متناوب مواجهه مي شويد. مشكل ديگر اين برنامه ها اين است كه در برخورد با برنامه هاي ديگر با مشكل مواجهه مي شوند. از همه مهمتر به دليل اينكه اين برنامه ها با برخي توابع نوشته مي شوند كه ممكن است بعد از نصب سرويس پك ها و hotfix ها ممكن است تغيير كند و مسايل بيشمار ديگري نيز وجود دارد.

ديواره هاي آتش شخصي نيز براي ويندوز هاي سروري كه بدون مراقبت هستند نيز به خوبي كار نمي كنند و هركدام از آنها نيز براي بيشتر ترافيك هاي شبكه نياز به اجازه كاربر دارند كه اين موضوع براي ويندوزهاي سرور به طور بديهي كار نمي كنند و برخي نيز به صورت يك برنامه مقيم در حافظه مي باشند كه حتي از Terminal Services نيز قابل دسترس نيستند!

آخرين تلاش من براي نصب يك ديواره آتش ويندوز سرور برنامه ISA 2004 مايكروسافت مي باشد. خيلي جالب آنكه اين برنامه به خوبي كار مي كند. هسته محافظ آن به خوبي يك ديواره آتش شخصي كار مي كند به علاوه آنكه در تعريف قاعده ها نيز به خوبي عمل مي كند. فقط يك مشكل بزرگ وجود دارد : برنامه ISA 2004 خيلي گرانتر از خود ويندوز سرور است و اين كار را كمي مشكل مي كند.

به نظر شما من بايد چه كار كنم؟ آخرين كاري كه كردم خريد يك ديواره آتش سخت افزاري كوچك بود!

البته زياد هم نااميد نباشيد. مايكروسافت روي يك سرويس فيلترينگ بسته ها(Windows Filtering Platform) در ويندوز لانگهورن كار مي كند كه در آينده منتشر خواهد شد. WFP يك موتور فيلترينگ بسته ها در سطح سيستم عامل مي باشد. شركت هاي ثانوي فقط كافي است كه برنامه هاي خود را پيكربندي كنند و روي قاعده ها كار كنند. WFP روي بسته ها در لايه هاي مختلف پشته جديد TCP/IP دسترسي ايجاد مي كند و همين امر باعث پشتيباني از فيلترينگ بعد از رمزنگاري بسته ها مي شود و حتي از IPSec نيز پشتيباني مي كند. WFP آوازيست كه از دور خوش است و در حال حاضر به درد من نمي خورد.

شما فكر مي كنيد كه پاسخ آن ساده است ولي اينگونه نيست و من هنوز مات و مبهوتم كه براي ديواره آتش ويندوز سرور خود چه راه حلي را پيدا كنم؟ راه حلي كه هنوز وجود ندارد.

منبع اصلی:SecurityFocus

مترجم : امير حسين شريفي
منبع: http://www.securepoint.ir/Articledet-f.asp?number=74


موضوعات مشابه: