سيستمعامل شبكه چيست؟

نرم افزاري است كهبه كامپيوتر امكان استفاده از منابع نرم افزاري وسخت افزاري را داده و عمليات سيستمرا تحت كنترل دارد. سيستم عاملهاي Dos , windows 3.1 به كامپيوتر امكان استفاده ازمنابع خوش را مي دهد و سيستم عاملهاي Windows 95 , Windows NT , Netware بهكامپيوتر امكان استفاده وبه اشتراك گذاشتن منابع ديگر كامپيوتر هاي روي شبكه را ميدهد بهر حال سيستم عامل شبكه كليه عمليات سيستم را تحت شبكه نظرات داشته و كنترل ميكند.

آشنائی با سيستم عامل روتر 

 IOS ( برگرفته از  Internetwork Operating System  ) ، نرم افزاری است كه از آن به منظور كنترل روتينگ و  سوئيچينگ دستگاه های بين شبكه ای استفاده می گردد . آشنائی با IOS برای تمامی مديران شبكه و به منظور مديريت و پيكربندی دستگاه هائی نظير روتر و يا سوئيچ الزامی است .
در اين مطلب پس از معرفی اوليه IOS به بررسی برخی از ويژگی های آن خواهيم پرداخت .

IOS و ضرورت استفاده از آن
يك روتر و يا سوئيچ بدون وجود يك سيستم عامل قادر به انجام وظايف خود نمی باشند(همانند يك كامپيوتر ) . شركت سيسكو ،‌  سيستم عامل Cisco IOS را برای طيف گسترده ای از محصولات شبكه ای خود طراحی و پياده سازی نموده است . نرم افزار فوق، جزء لاينفك در معماری نرم افزار روترهای سيسكو می باشد و همچنين به عنوان سيستم عامل در سوئيچ های  Catalyst ايفای وظيفه می نمايد . بدون وجود يك سيستم عامل ، سخت افزار قادر به انجام هيچگونه عملياتی نخو اهد بود . ( عدم تامين شرايط لازم برای بالفعل شدن پتانسيل های سخت افزاری ) .
IOS ،‌ سرويس های‌ شبكه ای زير را ارائه می نمايد :

• عمليات روتينگ و سوئيچينگ
• دستيابی ايمن و مطمئن به منابع  شبكه
• قابليت توسعه و تغيير پيكربندی شبكه

ماهيت اينترفيس IOS
نرم افزار IOS از يك اينترفيس خط دستوری و يا CLI ( برگرفته از command-line interface  ) استفاده می نمايد. IOS يك تكنولوژی كليدی است كه از آن در اكثر خطوط توليد محصولات شركت سيسكو استفاده می گردد . عملكرد IOS با توجه به نوع دستگاه های بين شبكه ای متفاوت می باشد .
برای دستيابی به محيط IOS از روش های متعددی استفاده می گردد :

• consolesession : در اين روش با استفاده از يك اتصال سريال با سرعت پائين، كامپيوتر و يا دستگاه ترمينال را مستقيما" به پورت كنسول روتر متصل می نمايند . (  سرويس شبكه ای خاصی بر روی روتر پيكربندی نشده است )
• ارتباط Dialup: در اين روش با استفاده از مودم و از طريق پورت كمكی ( AUX ) با روتر ارتباط برقرار می گردد . ( سرويس شبكه ای خاصی بر روی روتر پيكربندی نشده است ) .
• استفاده از telnet: در اين روش می بايست حداقل يكی از اينترفيس ها با يك آدرس IP پيكربندی گردد و virtualterminal sessions برای login و رمز عبور پيكربندی شده باشد .

برای دستيابی به بخش رابط كاربر روتر و يا سوئيچ از يك برنامه ترمينال استفاده می گردد .  HyperTerminal متداولترين گزينه در اين رابطه می باشد.

حالات متفاوت رابط كاربر روتر
اينترفيس خط دستور و  يا CLI روترهای سيسكو از يك ساختار سلسله مراتبی تبعيت می نمايد . ساختار فوق كاربران را ملزم می نمايد كه  برای انجام هر نوع عمليات خاص به يك mode بخصوص وارد شوند. مثلا" برای پيكربندی يك اينترفيس روتر ، كاربر می بايست به mode پيكربندی اينترفيس و يا interfaceconfiguration mode وارد شود . هر mode پيكربندی دارای يك prompt  مختص به خود می باشد كه از طريق آن می توان دستورات مربوطه را تايپ و از  توان عملياتی آنان استفاده نمود .
IOS ،‌ يك سرويس مفسر دستور با نام EXEC را ارائه می نمايد . پس از درج هر دستور ، EXEC صحت آن را بررسی و پس از تائيد آن را اجراء می نمايد .  نرم افزار IOS  در جهت افزايش امنيت ، دو سطح متفاوت دستيابی  user EXEC mode و  privileged EXEC mode  با ويژگی زير را برای سرويس مفسر دستور ( EXEC ) در نظر می گيرد:

• userEXEC mode: در اين mode صرفا" می توان تعداد محدودی از دستورات مانيتورينگ را اجراء نمود. به اين مد view only نيز گفته شده و  نمی توان دستوراتی را  كه باعث تغيير در پيكربندی روتر می گردند ،‌ اجراء نمود . 
• privileged EXEC mode: در اين mode می توان به تمامی دستورات روتر دستيابی داشت . برای استفاده از اين mode  و در جهت افزايش امنيت ، می توان روتر را بگونه ای پيكربندی نمود كه كاربران را ملزم به درج نام و رمز عبور جهت دستيابی به روتر نمايد  .  Global configuration mode و ساير حالات متفاوت پيكربندی صرفا" از طريق privileged EXEC mode قابل دستيابی می باشند .

• 
  شكل زير حالات متفاوت پيكربندی روتر را نشان می دهد .

همانگونه كه در شكل فوق مشاهده می گردد ،‌ جهت فلش قرمز رنگ به سمت Global Configuration Mode  و   Privileged mode  است . اين بدان معنی است كه جهت ورود به برخی حالات خاص پيكربندی می توان از طريق Global Configuration Mode  اقدام نمود و در برخی موارد ديگر اين كار از طريق  Privileged mode  انجام می گردد .
به منظور دستيابی به privileged EXEC mode  از طريق user EXEC mode ، از دستور enable استفاده می گردد . در صورتی كه روتر بگونه ای پيكربندی شده است كه جهت ورود به privileged EXEC mode  كاربران را ملزم به درج نام و رمز عبور می نمايد ، می بايست در اين مرحله رمز عبور را نيز وارد نمود. پس از درج صحيح رمز عبور ، به privilegedEXEC mode وارد شده و با درج يك علامت سوال می توان دستورات و گزينه های  متعدد موجود در اين mode را مشاهده نمود . شكل زير نحوه  حركت بين  user EXEC mode و  privileged EXEC mode    را نشان می دهد .

ويژگی نرم افزار IOS
شركت سيسكو تاكنون نسخه های متفاوتی از نرم افزار IOS را پياده سازی نموده است . هر image دارای ويژگی های مختص به خود می باشد .عليرغم تنوع بسيار گسترده IOS images برای دستگاه های سيسكو ، ساختار اوليه دستورات پيكربندی در آنان مشابه می باشد و در صورت كسب مهارت لازم به منظور پيكربندی و اشكال زدائی يك دستگاه خاص ، می توان از تجارب موجود در  ارتباط با ساير دستگاه ها نيز استفاده نمود .
اسامی در نظر گرفته شده  برای هر يك از نسخه های  IOS  از سه بخش عمده تشكيل می گردد :‌

• محيطی كه image بر روی آن اجراء می گردد
• ويژگی منحصربفرد image
• محل اجراء image و وضعيت فشرده بودن آن

با استفاده از Cisco SoftwareAdvisor می توان ويژگی های خاصی از IOS  را انتخاب نمود . نرم افزار فوق يك ابزار محاوره ای است كه پس از نمايش وضعيت موجود ،  امكان انتخاب گزينه هائی متناسب با واقعيت های شبكه را فراهم می نمايد .
يكی از مهمترين مواردی كه در زمان انتخاب يك IOS image جديد می بايست به آن توجه گردد ، سازگاری آن با حافظه فلش و RAM است . نسخه های جديدتر عموما"  دارای امكانات بيشتری بوده و به حافظه بيشتری نيز نياز خواهند داشت . با استفاده از دستور Show version می توان وضعيت image موجود و حافظه فلش را مشاهده نمود . قبل از نصب يك نسخه جديد از نرم افزار IOS ، می بايست وضعيت حافظه آن به منظور اطمينان از وجود ظرفيت كافی ، بررسی گردد .
برای مشاهده ميزان حافظه RAM ،‌ از دستور Show version استفاده می گردد :

برای مشاهده ميزان حافظه فلش می توان از دستور Show flash استفاده نمود .

شبكه network

گروهى از كامپيوترها وابزارهاى جانبى مرتبط كه توسط كانالى ارتباطاتى به يكديگر متصل شده اند و توانايى به اشتراك گذارى پرونده ها وساير منابع شبكه را بين كاربران متعددى دارند. يك شبكه نظير به نظير (peer_to_peer) كه تعداد اندكى از كاربران را در يك دفتر يا بخش متصل مى سازد، تا شبكه محلى (LAN) كه كاربران بسيارى را از طريق كابلهاى نصب شده دائمى و خطوط شماره گيرى به يكديگر متصل مى سازد; تا شبكه كلان شهرى (MAN ) يا شبكه گسترده (WAN) كه كاربرانى را در چندين شبكه گسترده شده در يك ناحيه جغرافيايى وسيع متصل مى سازد، همگى محدوده شبكه را تشكيل مى دهند.

   شبكه networkadapter

گروهى از كامپيوترها و وسايل مربوطه كه بهوسيله امكانات ارتباطاتى به هم متصل مى شوند. در شبكه ارتباطات دائمى بهوسيله كابلها و ارتباطات موقت بهوسيله تلفن يا خطوط ارتباطاتى ديگر برقرار مى گردد. شبكه مى تواند به كوچكى يك شبكه محلى باشد كه از چند كامپيوتر، چاپگر و تجهيزات ديگر تشكيل مى شود و يا مى تواند از چند كامپيوتر كوچك و بزرگ در يك ناحيه جغرافيايى وسيع تشكيل گردد.

   مدير شبكه networkadministrator

فردى كه مسئول عمليات روزانه ومديريت يك شبكه مى باشد; به عنوان مدير سيستم نيز شناخته مى شود.

   معمارى شبكه networkarchitecture

ساختار زيربنائى شبكه كامپيوترى از جمله سخت افزار، لايه هى عملياتى، رابط ها و پروتكلهاى (قواعد) كه جهت برقرارى ارتباطات و مخابره مطمئن اطلاعات مورد استفاده قرار مى گيرند.

   سيستم عامل شبكه network operatingsystem

سيستم عامل نصب شده روى سرويس دهنده يك شبكه محلى كه فعاليتهاى سرويس دهى به كامپيوترها و تجهيزات ديگر متسل به شبكه را هماهنگ مى كند. بر خلاف سيستم عامل تك كاربره كه امور اساسى مربوط به عملكرد يك كامپيوتر را بر عهده مى گيرد، سيستم عامل شبكه بايد به درخواستهاى ايستگاههاى كارى متعدد پاسخ داده و امورى چون دستيابى به شبكه، استفاده و به اشتراك گذارى منابع، حفاظت از داده ها و كنترل خطاها را نيز انجام دهد.

    سرويس دهنده شبكه، نگاه كنيد به servernetwork server

    نرم افزار پوسته ايستگاه كارى كه در NetWare 2.xوNetWare 3.x به كار    مى رفت. NETx.COM

اين برنامه در حافظه ايستگاه كارى بارگذارى مى شود و در هنگام در خواست منابع شبكه توسط ايستگاه كارى، انتقال را شروع مى كند. NETx.COMدر نگارشهاى قديمى تر Netwareخاص نگارش DOS در حال اجرا بر روى ايستگاه كارى بود. تنها راه براى برداشتنNETx.COMاز حافظه، راه اندازى مجدد ايستگاه كارى است. در NetWare 4.x، پيمانه قابل بارگذارى مجازى (VLM)، سازگارى با NETx.COMو نگارشهاى قديمى تر پوسته NetWare را فراهم مى آورد.

    شبكه عصبى neuralnetwork

نوع سيستم هوش مصنوعى كه از روى سلولهاى سيستم عصبى موجودات زنده مدل سازى شده و نحوه پردازش اطلاعات، فراگيرها و به خاطر سپردنهاى مغز را شبيه سازى مى كند.

    كامپيوتر كتابى notebookcomputer

كامپوترى كوچك و قابل حمل به اندازه اى حدود يك كتاب كامپيوترى، با صفحه تصويرى مسطح وصفحه كليدى كه بر روى هم تا مى خورند. يك كامپيوتر كتابى از كامپيوتر laptop سبك تر و كوچك تر است. پيشرفتهاى اخير در تكنولوژى باطرى اجازه مى دهد تا باطريها به مدت نه ساعت بين دو شارژ كار كنند. بعضى از مدلها براى ذخيره سازى برنامه و داده ها به جاى ديسك هاى سخت متعارف از حافظه پايدار (flash memory) استفاده مى كنند; ساير مدلهاى ديگر محدوده اى از برنامه هاى كاربردى تجارى را در ROM(حافظه فقط خواندنى) عرضه مى كنند. بسيارى از كامپيوترهاى كتابى اتصالهاى گسترش PCMCIA براى ابزارهاى جانبى اضافى، مانند مودمها، فكس مودمها و اتصالهاى شبكه اى ارائه مى دهند.

    Novell DOS

 نگارشى از DOS كه ابتدا توسط ديجيتال ريسرچ (Digital Research)طراحى شد و DR-DOS نام داشت، هم اكنون تحت مالكيت شركت ناول درآمده Novell DOS ناميده مى شود.

    خانواده اى از سيستم هاى عامل شبكه محلى كه توليد شركت Novell Incاست. novell network

اين سيستم عامل براى اجرا در كامپيوترهاى شخصى IBM و اپل مكينتاش طراحى شده و امكان به اشتراك گذارى فايل ها و منابع سيستمى از جمله ديسك هاى سخت و چاپگرها را براى كاربر فراهم مى سازد.

    يك كد كاراكترى با مقدار تهى يا خنثى كاراكتر. NUL

NUL گرچه قابل تشخيص بوده و در كامپيوتر فضايى اشغال كرده و به عنوان يك كاراكتر قابل ارسال و دريافت مى باشد اما هيچ چيزى را نشان نداده، روى صفحه نمايش با كاغذ فضايى را اشغال نكرده و عملى نيز مثل جلوبردن كاغذ در چاپگر هم انجام نمى دهد. اين كاراكتر در موارد زيادى چون پايان دادن به رشته ها و جا كردن بلوكهاى اطلاعات مورد استفاده قرار مى گيرد. در عمليات كامپيوترى، NUL مى تواند به عنوان ابزارى مورد استفاده قرار گيرد كه اطلاعات ارسال شده به آنها ناپديد مى گردد.

شبكه network

گروهى از كامپيوترها وابزارهاى جانبى مرتبط كه توسط كانالى ارتباطاتى به يكديگر متصل شده اند و توانايى به اشتراك گذارى پرونده ها وساير منابع شبكه را بين كاربران متعددى دارند. يك شبكه نظير به نظير (peer_to_peer) كه تعداد اندكى از كاربران را در يك دفتر يا بخش متصل مى سازد، تا شبكه محلى (LAN) كه كاربران بسيارى را از طريق كابلهاى نصب شده دائمى و خطوط شماره گيرى به يكديگر متصل مى سازد; تا شبكه كلان شهرى (MAN ) يا شبكه گسترده (WAN) كه كاربرانى را در چندين شبكه گسترده شده در يك ناحيه جغرافيايى وسيع متصل مى سازد، همگى محدوده شبكه را تشكيل مى دهند.

    شبكه networkadapter

گروهى از كامپيوترها و وسايل مربوطه كه بهوسيله امكانات ارتباطاتى به هم متصل مى شوند. در شبكه ارتباطات دائمى بهوسيله كابلها و ارتباطات موقت بهوسيله تلفن يا خطوط ارتباطاتى ديگر برقرار مى گردد. شبكه مى تواند به كوچكى يك شبكه محلى باشد كه از چند كامپيوتر، چاپگر و تجهيزات ديگر تشكيل مى شود و يا مى تواند از چند كامپيوتر كوچك و بزرگ در يك ناحيه جغرافيايى وسيع تشكيل گردد.

   مدير شبكه networkadministrator

فردى كه مسئول عمليات روزانه ومديريت يك شبكه مى باشد; به عنوان مدير سيستم نيز شناخته مى شود.

    معمارى شبكه networkarchitecture

ساختار زيربنائى شبكه كامپيوترى از جمله سخت افزار، لايه هى عملياتى، رابط ها و پروتكلهاى (قواعد) كه جهت برقرارى ارتباطات و مخابره مطمئن اطلاعات مورد استفاده قرار مى گيرند.

    سيستم عامل شبكه network operatingsystem

سيستم عامل نصب شده روى سرويس دهنده يك شبكه محلى كه فعاليتهاى سرويس دهى به كامپيوترها و تجهيزات ديگر متسل به شبكه را هماهنگ مى كند. بر خلاف سيستم عامل تك كاربره كه امور اساسى مربوط به عملكرد يك كامپيوتر را بر عهده مى گيرد، سيستم عامل شبكه بايد به درخواستهاى ايستگاههاى كارى متعدد پاسخ داده و امورى چون دستيابى به شبكه، استفاده و به اشتراك گذارى منابع، حفاظت از داده ها و كنترل خطاها را نيز انجام دهد.

    سرويس دهنده شبكه، نگاه كنيد به servernetwork server

    نرم افزار پوسته ايستگاه كارى كه در NetWare 2.xوNetWare 3.x به كار    مى رفت. NETx.COM

اين برنامه در حافظه ايستگاه كارى بارگذارى مى شود و در هنگام در خواست منابع شبكه توسط ايستگاه كارى، انتقال را شروع مى كند. NETx.COMدر نگارشهاى قديمى تر Netwareخاص نگارش DOS در حال اجرا بر روى ايستگاه كارى بود. تنها راه براى برداشتنNETx.COMاز حافظه، راه اندازى مجدد ايستگاه كارى است. در NetWare 4.x، پيمانه قابل بارگذارى مجازى (VLM)، سازگارى با NETx.COMو نگارشهاى قديمى تر پوسته NetWare را فراهم مى آورد.

    شبكه عصبى neuralnetwork

نوع سيستم هوش مصنوعى كه از روى سلولهاى سيستم عصبى موجودات زنده مدل سازى شده و نحوه پردازش اطلاعات، فراگيرها و به خاطر سپردنهاى مغز را شبيه سازى مى كند.

    كامپيوتر كتابى notebookcomputer

كامپوترى كوچك و قابل حمل به اندازه اى حدود يك كتاب كامپيوترى، با صفحه تصويرى مسطح وصفحه كليدى كه بر روى هم تا مى خورند. يك كامپيوتر كتابى از كامپيوتر laptop سبك تر و كوچك تر است. پيشرفتهاى اخير در تكنولوژى باطرى اجازه مى دهد تا باطريها به مدت نه ساعت بين دو شارژ كار كنند. بعضى از مدلها براى ذخيره سازى برنامه و داده ها به جاى ديسك هاى سخت متعارف از حافظه پايدار (flash memory) استفاده مى كنند; ساير مدلهاى ديگر محدوده اى از برنامه هاى كاربردى تجارى را در ROM(حافظه فقط خواندنى) عرضه مى كنند. بسيارى از كامپيوترهاى كتابى اتصالهاى گسترش PCMCIA براى ابزارهاى جانبى اضافى، مانند مودمها، فكس مودمها و اتصالهاى شبكه اى ارائه مى دهند.

   Novell DOS

 نگارشى از DOS كه ابتدا توسط ديجيتال ريسرچ (Digital Research)طراحى شد و DR-DOS نام داشت، هم اكنون تحت مالكيت شركت ناول درآمده Novell DOS ناميده مى شود.

    خانواده اى از سيستم هاى عامل شبكه محلى كه توليد شركت Novell Incاست. novell network

اين سيستم عامل براى اجرا در كامپيوترهاى شخصى IBM و اپل مكينتاش طراحى شده و امكان به اشتراك گذارى فايل ها و منابع سيستمى از جمله ديسك هاى سخت و چاپگرها را براى كاربر فراهم مى سازد.

    يك كد كاراكترى با مقدار تهى يا خنثى كاراكتر. NUL

NUL گرچه قابل تشخيص بوده و در كامپيوتر فضايى اشغال كرده و به عنوان يك كاراكتر قابل ارسال و دريافت مى باشد اما هيچ چيزى را نشان نداده، روى صفحه نمايش با كاغذ فضايى را اشغال نكرده و عملى نيز مثل جلوبردن كاغذ در چاپگر هم انجام نمى دهد. اين كاراكتر در موارد زيادى چون پايان دادن به رشته ها و جا كردن بلوكهاى اطلاعات مورد استفاده قرار مى گيرد. در عمليات كامپيوترى، NUL مى تواند به عنوان ابزارى مورد استفاده قرار گيرد كه اطلاعات ارسال شده به آنها ناپديد مى گردد.

 امنيت شبكه (Firewall)              

مركز تحقيقات كامپيوترى علوم اسلامى

معاونت فنى ـ بخش نرم‏افزار

بهروز مينايى

آيا شبكه شما از امنيت كافى برخوردار است؟

تامين امنيت كامل يك پايگاه عملا ممكن نيست، تنها راه تامين صد در صد ايمنى يك پايگاه، خارج كردن آن از اينترنت مى‏باشد. اما روشهايى وجود دارد كه از طريق آنها مى‏توان قابليت و توانايى پايگاههاى اينترنت را در مقابله با مهاجمين افزايش داد. متداول‏ترين روش براى اين منظور، ايجاد يك مكانيسم كنترلى به نام Firewall مى‏باشد. 

Firewall در حقيقت يك ديوار فيزيكى يا الكترونيك نمى‏باشد، بلكه انواع مختلفى از تركيب سيستم‏هاى (Setups) كامپيوترى يك Firewall را تشكيل مى‏دهد. 

در كوتاه مدت، هر نوع سيستم امنيتى مى‏تواند تا حد قابليت و توانايى خود، پاسخگوى نيازهاى شما باشد. اگر قيمت يك Firewall بيش از پانزده هزار دلار باشد، ميانگين قيمت هر كانال ارتباطى (امكان تردد از اين ديوار) حدود هزار و پانصد تا دو هزار و پانصد دلار خواهد بود، و اين مبلغ ممكن است بالاتر هم برود. 

اولين مرحله در تامين امنيت يك پايگاه، افزودن سخت افزار يا نرم‏افزار براى جبران كاستيها و نقايص امنيتى موجود در نرم افزار سيستم عامل شبكه مى‏باشد.  

سخت افزار افزودنى (onـadd) همان Firewall است و مفهوم اين عبارت اين است كه سخت افزار و نرم‏افزار به كمك يكديگر امنيت لازم را براى شبكه فراهم مى‏سازند. 

معمولا اصلاحات و ارتقاهاى سيستم‏هاى عامل، بسيارى از شكافهاى ايمنى را ترميم و مسدود مى‏نمايد، اما اين، به تنهايى، نياز به تامين امنيت بيشتر در پايگاههاى وب را برطرف نمى‏سازد. 

شايد اصلى‏ترين و مهم‏ترين بخش سخت‏افزار موجود در يك پايگاه وب، مسيرياب (router) باشد كه در واقع سوئيچى است كه براى برقرارى ارتباط يك پايگاه با اينترنت مورد استفاده قرار مى‏گيرد. 

اين دستگاه، اطلاعات ورودى و خروجى به يا از يك پايگاه را كه در بسته‏هاى اطلاعات (Data packets) مرتب شده‏اند كنترل مى‏نمايد. 

يك مسيرياب در سطحى پايين‏تر از سطح برنامه كاربردى، كه سطح انتقال (Transport) نيز ناميده مى‏شود، قرار دارد. 

افزودن اين سطح فيلترسازى تنها چند صد دلار هزينه در بر خواهد داشت. 
براى مثال، قيمت خط ارتباطى (Globe Trotter) ، از مسيريابهاى Firewall متعلق به شركت Open Raute Networks ، حدود 795 دلار مى‏باشد كه مى‏تواند علاوه بر فيلترسازى بسته‏هاى اطلاعات، مسيريابى و فشرده‏سازى داده‏ها را نيز صورت دهد. 

اين نوع Firewall ، يكى از اولين نمونه‏ها و Firewall ـهاى مخصوص فيلتر كردن بسته‏هاى اطلاعات (filterـPlacket) بوده كه اين نمونه در واقع به منزله مسيريابى بود كه نوع بسته‏هاى اطلاعاتى كه اجازه ورود از محوطه نا امن بيرون« insecureoutside » به محوطه امن داخل Secure inside و بالعكس دارند را تعيين مى‏كند؛ به اين فيلترها اصطلاحا فيلترهاى بسته‏اى گفته مى‏شود. فيلترهاى بسته‏اى، نياز به يك مدير پايگاه دارند تا مراقب انواع بسته‏هاى اطلاعات و كار آنها باشد. البته اين كار بر خلاف ظاهر آن، كار چندان ساده و آسانى نيست. 

يكى از كارهايى كه فيلترهاى بسته‏اى انجام مى‏دهند اين است كه مبادله بسته‏هاى اطلاعات با درگاههاى قراردادى دسترسى به خدمات شبكه (نظير FTP,Telnet و...) را بر اساس قواعد تنظيم شده از طرف مدير پايگاه، كنترل كنند. اين فيلترها همچنين انواع متفاوت بسته‏هاى اطلاعات (مانند بسته‏هاى قراردادهاى متفاوت ICMP,UDP,TCP و...) را نيز كنترل مى‏كنند . 

مبدا و مقصد بسته‏هاى اطلاعاتى را كه از طريق Firewall مبادله مى‏شود؛ نيز مى‏توان از طريق اين فيلترها كنترل نمود. كار فيلترها همانند باجه‏هاى عوارضى مى‏باشد كه در جلوى يك پل قرار گرفته و با چشم الكترونيكى مراقب رفت و آمد (و واگذارى اجازه به) اتومبيلهاى مجاز براى ورود هستند. 

به طور كلى، مطمئن‏ترين راه براى حفظ امنيت كامل يك سايت اين است كه به هيچ چيز اجازه ورود داده نشود، مگر اينكه مجوز ويژه براى اين كار در اختيار داشته باشد. 

يك فيلتر بسته‏اى مى‏تواند فيلتر مسيريابى نيز باشد، تا ارتباط را تنها با كامپيوترها، شبكه‏ها و سرويسهاى مشخص و مورد تاييد برقرار كند. 

حفظ و نگهدارى از ليست اجازه يا عدم اجازه ورود، خصوصا در وضعيتى كه تغييرات بسرعت در آن اتفاق مى‏افتد، دشوار به نظر مى‏رسد. از اين رو يك فيلتر مسيريابى يا بسته‏اى به تنهايى نمى‏تواند پاسخگوى نيازهاى امنيتى پايگاه باشد. 

اما در چند سال اخير آنچه كه به عنوان راه حل بهتر و مناسبتر به دست آمده است Firewall روى دروازها در لايه كاربرد (LevelـApplication) مى‏باشد كه همراه با يك Firewall در لايه مدار (LevelـCircuit) يا مسير ياب ويژه استفاده مى‏شود. دروازه مدار، يك سرور واسط (Proxy) بين مسيرياب و اينترنت نصب مى‏كند. اين پروكسى، سپس ارتباط واقعى بين منطقه حفاظت شده و اينترنت را كنترل مى‏كند. اين نوع Firewall براحتى نصب مى‏شود به طورى كه چندين شبكه حفاظت شده داخلى وجود خواهد داشت كه از طريق يك Firewall مشترك به اينترنت متصل هستند. 

در كتاب: Refelliny The Wily Hacker : Firewall نوشته ويليام آر چسويك و استيون بلووين، به بحث درباه Firewall مختلط (hybrid) در لايه‏هاى كاربرد و مدار پرداخته شده است. در اين نوع راه‏اندازى (Setup) ، دروازه فيلتركننده بسته‏ها به شبكه داخلى متصل مى‏شود و بعد به دروازه برنامه كاربردى از طريق فيلتر بسته‏اى ديگر به شبكه خارجى متصل مى‏شود. 

در هيچ زمانى، شبكه خارجى مستقيما به شبكه داخلى متصل نخواهد شد؛ چون همه چيز از طريق سرور واسط (Proxy) يا دروازه برنامه‏هاى كاربردى انجام مى‏شود. شبكه خارجى از طريق دروازه برنامه كاربردى به يك سرور واسط متعلق به درگاه ارتباطى شبكه داخلى متصل مى‏شود . آقاى چسويك (Cheswick) معتقد است كه در اين طريق، امنيت قابل ملاحظه‏اى (كه وى آن را homedـ Dual يا دو مرحله‏اى مى‏نامد) ايجاد مى‏شود كه البته نياز به حفظ و نگهدارى دارد. 

البته در اين مسير، مشكلاتى در عمل نيز وجود خواهد داشت. 
براى مثال، ممكن است بسته‏هاى نرم‏افزار تا زمانى كه Firewall اجازه نداده است، به مقصد نرسند. 

Firewall هاى مراقب وضعيت يا (WatchingـState) روش ديگر جلوگيرى از دسترسى افراد غير مجاز به شبكه يك شركت مى‏باشد. اين Firewall ها بسته‏هاى نرم‏افزار را همانند يك Firewall سطح مدارى كنترل مى‏كنند. اما مرحله اضافى همراه كردن درگاههاى سيستم عامل كامپيوترى با ارتباطاتى كه بسته‏ها توليد مى‏كنند را نيز شامل مى‏شود. 

هنگامى كه يك ارتباط بسته (قطع) مى‏شود، Firewall امان دسترسى به درگاههاى بسته را مسدود مى‏كند تا وقتى كه دوباره آنها از طريق درست و مورد تاييد بازگشايى شوند. با اعمال و به كارگيرى اين مرحله، مهاجمين ديگر قادر نخواهند بود تابا دستكارى در محافظهاى سيستم عامل به درگاهى دست يابند. 

Firewall مختلط در لايه‏هاى كاربرد و مدار كه توسط چسويك ارائه شد، به عنوان استاندارد اوليه در شركتهاى بزرگ مورد استفاده قرار گرفت. در حال حاضر نيز، از آنجا كه مراقبت وضعيت Watchingـ State نيز به آن افزوده شده است، اكثر محصولات جديد Firewall از يك دروازه در لايه كاربرد كه ارتباط اطلاعاتى را از طريق يك فيلتر بسته‏اى در لايه مدار ايجاد مى‏كند. استفاده مى‏نمايند. البته امكان ارتباط با لايه‏هاى مدارى، توانايى ترجمه آدرسهاى IP شبكه‏اى را به Firewall مى‏دهد. 

اين ترجمه، آدرسهاى IP واقعى در شبكه را از دسترسى افراد خارج از شبكه مخفى نگاه مى‏دارد و معادلهاى مجازى براى آنها فراهم مى‏سازد. همچنين استفاده از اين ترجمه، امكان سرقت آدرسهاى مزبور را نيز از مهاجمان سلب خواهد نمود. 

در بعضى مواقع، سيستمهاى Firewall از علائم و نشانه‏ها به عنوان يك ابزار ديگر امنيتى استفاده مى‏كنند. سرور Firewall متعلق به Border Ware يك Firewall مختلط با سبك چسويك مى‏باشد كه داراى امكان تشخيص هويت است. اين سرور Firewall اجازه (و امكان) دسترسى كاربران مورد تاييد به سرويسهاى شبكه از داخل و خارج را فراهم مى‏سازد . به عبارت ديگر، يك كاربر مى‏تواند از شبكه خارجى و در اينترنت به پايگاهى در شبكه Telnet نمايد، مشروط بر آنكه ابتدا هويت وى شناسايى گردد. 

البته امكان و اجازه دسترسى، تنها زمانى واگذار مى‏شود كه علامت و نشانه توسط سرور شناسايى شود. 

نوعى ديگر از سيستمهاى امنيتى نيز به نام Socks وجود دارد كه توابع كتابخانه‏اى آن را مى‏توان به برنامه‏هاى كاربردى مورد نظر براى تامين ارتباط امنيتى از طريق يك Firewall افزود. مزيت Sock اين است كه زمان كمترى را نسبت به نگارش يك پروكسى كامل، مى‏گيرد؛ چون در نگارش يك پروكسى، ابتدا بايد به متن اصلى برنامه كاربردى دسترسى پيدا كرد كه البته اين كار هميشه امكان پذير نيست؛ از اين رو كاربران بايد از برنامه‏هاى كاربردى موجود كه Socks براى آنها نوشته است، استفاده نمايند. 

انجمن NCSA ، كه يك گروه صنعتى است و محصولات Firewall را ارزيابى مى‏كند، اخيرا اقدام به انتشار گزارشى نمود كه در آن مشاغل ايالت متحده شامل دولتى، فدرال و محلى در آن قيد شده بود. اين گزارش مى‏تواند الگويى براى الگوهاى جديد كاربرد Firewall به حساب آيد. 44 درصد از پاسخگويان (در گزارش فوق) اظهار داشتند كه سيستم آنها مورد حملات خارجى قرار گرفته است و 89 درصد از پاسخگويان اظهار داشتند كه Firewall ها به طور مرتب اين حملات را دفع كرده‏اند. حملاتى كه پاسخگويان به آن اشاره كردند، شامل سرقت آدرسهاى IP ، حملات ارسال پست، حملات تخريب سرويسها و نيز پويش درگاهها مى‏باشد، كه هر يك از موارد فوق توسط ده درصد از پاسخگويان اشاره شده است. 

در گزارش NCSA ، حملات تخريب خدمات بيشترين نگرانى را براى 38 درصد از پاسخگويان باعث شده است. ارسال پستهاى زياد (بمباران پستى)، يكى از روشهاى حملات تخريب خدمات است كه موجب قطع ارتباطات شبكه و خرابى سيستم مى‏شود. 

بمباران پستى سعى مى‏كند تا كنترل مسيرياب را به دست گرفته و سپس يك آدرس پستى همراه با مقدار زيادى ترافيك به طرف سايت (مورد حمله قرار داده) سرازير مى‏كند. از ديگر روشهاى تخريب خدمات، مى‏توان به نفوذ در سرورهاى گمنام FTP ، انباشته كردن بافرهاى ورودى و نيز ارسال تعداد بسيار زياد درخواست ارتباط به سرورها براى هدر دادن حافظه موجود و از كار انداختن سيستم اشاره كرد. انجمن NCSA ، همچنين ارائه نرم‏افزار آزمون و تاييد Firewall به سازندگان سيستمهاى Firewall را تضمين نموده است. اطلاعات بيشتر در زمينه Firewall ها و نحوه فعلى حملات را مى‏توانيد در پايگاه وب NCSA (www .ncsa.com) بيابيد. 

آقاى سام گلسنر، از مديران انجمن NCSA معتقد است كه يك Firewall تاييد شده را مى‏توان براى حفاظت از يك شبكه داخلى در برابر مجموعه تهديدات پيكر بندى كرد و امكان اجراى مؤثر فعاليتهاى مهم و حساس در محيط اينترنت را فراهم نمود. به نظر ما تمامى سيستمهاى موجود در اينترنت بايد نگران احتمال حمله خرابكاران باشند، اما تمامى سيستمها به يك Firewall احتياج ندارند. اگر شما سرورى را در اينترنت تعبيه كنيد كه تاكنون به هيچ شبكه اينترنت متصل نشده است، يك مسير ياب حفاظتى براى تامين امنيت كافى خواهد بود. اما اگر اينترنت به شبكه‏هاى داخلى وصل شده باشد، يك Firewall ، حداقل چيزى است كه مى‏تواند امنيت لازمه را تامين نمايد. سيستمهايى كه بيشتر كارهاى اجرايى و تجارى را صورت مى‏دهند، بيشتر در معرض خطر قرار دارند كه از جمله اين سيستمها مى‏توان به صنايع بيمه و مالياتى اشاره كرد. 

اخيرا نيز تلاشهايى براى افزايش «كارايى» Firewall هاى لايه كاربرد، انجام شده است . 

Webstalker ، متعلق به Hay Stack در سطح سيستم عامل كار مى‏كند و اگر چه يك Firewall نيست، اما مى‏تواند رفتار روى سرور كه توسط يك Firewall حفاظت مى‏شود را كنترل نمايد و در مواردى هم چون دسترسى به فايل‏ها، ID User ، تغييرات ID و اجراى برنامه به كار مى‏رود و آنها را (گزينه‏هاى فوق) با پيش‏نويس (Profile) رفتار سيستم مقايسه مى‏نمايد. پرو فايل سيستم از خط مشى حفاظتى كه كاربر، در ارتباط با سيستم عامل انتخاب مى‏كند، مشتق شده است كه بيشتر شبيه راه‏اندازى جعبه Netra يا اجراى Turbo Tax مى‏باشد. هرگاه فرآيندى درحال نقض سياست (خط مشى) حفاظتى باشد، Webstalker در برابر آن از خود عكس العمل نشان داده و مدير سيستم را نيز از آن مطلع خواهد ساخت . 

Firewall هاى جديد، مانند AltaVista را مى‏توان براى قبول يا رد انواع مشخصى از بسته‏هاى اطلاعات، پيكربندى نمود. بارزترين نمونه، UDP مى‏باشد كه يك پروتكل انتقال داده‏ها بوده كه توسط سيستمهاى Conferencingـ Video مانند SeeMeـs CU' White Pine و نيز سيستمهاى مكالمه و شنوايى استفاده مى‏شود. هرگاه اين نوع بسته‏هاى اطلاعاتى در Firewall مسدود شود، كاربران ديگر امكان شركت در فعاليتهاى مبتنى بر UDP را نخواهند داشت. انسداد بسته‏هاى نرم‏افزارى UDP ، بدين معنى است كه كاربران ديگر شاهد جديدترين تغييرات و اصلاحات در وب نخواهند بود. تنها راه حل اين مشكل، فراهم كردن امكان دسترسى به بسته‏هاى نرم‏افزارى UDP مى‏باشد. بعضى از Firewall ها با استفاده از برنامه كاربردى پروكسى اين امكان را فراهم مى‏سازند. 

راه‏اندازى و نصب يك Firewall ممكن است وقت زيادى را صرف كند. يكى از جديدترين راهنماهاى بازاريابى، اين مشكل را با Firewall هاى loadـ Pre برطرف ساخته است. يكى از اين راهنماى بازارياب، شركت Point Software مى‏باشد كه 1ـ Firewall را عرضه كرده است و داراى سرورهاى d[1]' AST بوده و ويندوز NT را نيز به اجرا درمى‏آورد . اين شركت همچنين داراى بسته‏هاى نرم‏افزارى مشابهى براى Sun ، همراه با Solaris و IBM براى سيستمهاى AIX مى‏باشد. براى پشتيبانى از آدرسهاى اضافى IP مى‏توان Firewall.First را به 1ـ Firewall كامل ارتقاء نسخه كرد. 

شركت Raptur نيز داراى بسته‏هاى نرم‏افزارى مشابه با Firewall هاى Eagle خود براى Compaq و Digital مى‏باشد. 

نكته بعد درباره Firewall ها و امنيت داده‏ها، تهديد نهفته‏اى است كه از جاوا و اپلتهاى Active X ناشى مى‏شود. از اين رو مديران شبكه محدوديتهايى را براى استفاده از اپلتها در نظر گرفته‏اند. اين محدوديت تنها از طريق به كارگيرى پروكسى برنامه كاربردى كه براى شناسايى اين اپلتها در جريان داده‏ها پيكر بندى شده است، در سطح برنامه كاربردى روى مى‏دهد. اكثر Firewall ها فاقد اين مشخصه هستند. 

s Watclguard' Seatle Software را مى‏توان به عنوان اولين Firewall ذكر كرد كه داراى جاوا و فيلترهاى Active X مى‏باشد. ديگر فروشندگان از جمله 1ـ Network نيز قصد دارند اين فيلترها را به محصولات خود اضافه كنند. 

امروزه در بازار، محصولات Firewall مناسبى يافت مى‏شود. اولين مرحله در ارزيابى امنيت شركت خود، كسب اطمينان از وجود حفاظت و ايمنى در برابر تهاجم خارجى مى‏باشد. همچنين مطمئن شويد كه فيلترسازى بسته‏اى كه از ورود آدرسهاى اينترنت از خارج از سازمان شما جلوگيرى مى‏كند را در اختيار داريد. اينكار را مى‏توانيد با كنترل سرورهاى سازمانى خود صورت دهيد. سپس مناطق خاص شبكه خود را كنترل كنيد. اگر كاربران با اجراى امكانات تصويرى، كه اصلا به آن نيازى هم ندارند، موجب بار هزينه‏اى سنگينى براى شما مى‏شوند، مى‏توانيد به فيلترهاى برنامه‏كاربردى كه جريانات UDP را مسدود مى‏كنند، مراجعه كنيد. اگر برنامه‏هاى كاربردى شما مهم و حساس هستند، نيز ممكن است كه سعى كنيد حفاظت Firewall پيچيده‏ترى را براى خود فراهم كنيد. 

در هنگام تهيه Firewall ، سعى كنيد محصولى را انتخاب نمائيد كه مطابق نيازهاى شما باشد و قيمت آن نيز بودجه زيادى براى شركت شما تحميل ننمايد و هنگام ورود Firewall پيچيده‏تر به بازار، در صورت امكان از آن نيز بى بهره‏مند شويد. 

مسؤوليت حفظ و نگهدارى از مدار و پروكسيهاى برنامه كاربردى، بر عهده مدير شبكه مى‏باشد كه بايد مشخصات Firewall را به هنگام افزودن برنامه‏هاى كاربردى يا حذف برخى از آنها Update نمايد. چون اكثر Firewall ها به گونه‏اى اجرا مى‏شوند كه هر چيزى غير از موارد قيد شده را مسدود مى‏نمايند. كسانى كه مى‏خواهند براى اولين بار از يك برنامه كاربردى موجود در پشت Firewall استفاده كنند. با مشكلاتى روبرو خواهند شد . از اين رو بايد نيازهاى برنامه كاربردى تعيين شده و مطابق با آن، پروكسيهايى نيز تنظيم يابند. 

امنيت وب سايت، همانند ترمزهاى ضد قفل (lock brakesـanti) ماشين مى‏باشد؛ تا وقتى كه به آن نياز پيدا نكنيد، ارزش و اهميت آن براى شما ناشناخته مى‏ماند.