فايروال ( firewall ) چيست؟

يك فايروال از شبكه شما در برابر ترافيك ناخواسته و همچنين نفوذ ديگران به كامپيوتر شما حفاظت مي كند. توابع اوليه يك فايروال به اين صورت هستند كه اجازه مي دهند ترافيك خوب عبور كند و ترافيك بد را مسدود مي كنند! مهمترين قسمت يك فايروال ويژگي كنترل دستيابي آن است كه بين ترافيك خوب و بد تمايز قائل مي شود.

وقتي آن را نصب مي كنيد فايروال بين كامپيوتر شما و اينترنت قرار مي گيرد. فايروال به شما اجازه مي دهد صفحات وب را ببينيد و به آنها دسترسي داشته باشيد، فايل download كنيد، چت كنيد و ... . در حاليكه مطمئن هستيد افراد ديگري كه در اينترنت مشغول هستند نمي توانند به كامپيوتر شما دست درازي كنند. بعضي از فايروالها نرم افزارهايي هستند كه روي كامپيوتر اجرا مي شوند اما فايروالهاي ديگر به صورت سخت افزاري ساخته شده اند و كل شبكه را از حمله مصون مي كنند.

هر كسي كه از اينترنت استفاده مي كند بايد از بعضي از انواع فايروالها استفاده كند. برنامه هايي هستند كه مي توانند از اينترنت download شوند اين برنامه ها مي توانند تعداد زيادي آدرسهاي IP آسيب پذير براي نفوذ را پيدا مي كنند اين برنامه ها به راحتي download شده و اجرا مي شوند و براي سوء استفاده يا مشكل دار كردن كامپيوتر شما از طريق اين برنامه ها احتياجي به دانش شبكه نيست معمولاً همه انواع فايروالها از شما در برابر اين حملات حفاظت مي كنند.


فايروال هاي نرم افزاري

فايروال هاي نرم افزاري برنامه هايي هستند كه خود را بين درايو كارت شبكه (يا مودم) و كامپيوتر شما قرار مي دهند. آنها حملات را قبل از اينكه حتي سيستم شما آن را تأييد كند قطع مي كنند. تعداد زيادي فايروالهاي مجاني از اين نوع روي اينترنت وجود دارند.


فايروال NAT ساده

فايروالهايي كه براي broadband router ها ساخته شده اند و نرم افزارهايي مانند Microsoft ICS فايروالهاي بسيار ساده اي هستند. و اين فايروالها شبكه را با جلوگيري از ارتباط مستقيم هر كامپيوتر با كامپيوترهاي ديگر شبكه محافظت مي كنند. اين نوع فايروالها تقريباً هر نوع هكري را متوقف مي كنند. هكرهاي حرفه اي ممكن است بتوانند از اين فايروالها عبور كننداما تعداد چنين اشخاصي كم و احتمال آن ضعيف است.



فايروالهاي با ويژگي stateful packet inspection

نسل جديد فايروالهاي خانگي stateful packet inspection ناميده مي شوند. اين يك شكل پيشرفته از فايروال است كه هر پاكت اطلاعاتي را كه از فايروال عبور مي كند بازرسي مي كند. فايروال هر پاكت اطلاعاتي را براي رديابي هر نوعي از هك اسكن مي كند.بيشتر افراد هرگز با اين نوع حمله ها روبرو نمي شوند اما نواحي در اينترنت وجود دارند كه بيشتر مورد حمله هكرهاي حرفه اي واقع مي شوند.

به بيان ديگر:

فايروال نرم افزار و يا سخت افزاری است که اطلاعات ارسالی از طريق  اينترنت  به شبکه خصوصی و يا كامپيوتر شخصي  را فيلتر می نمايد. اطلاعات فيلترشده ، فرصت توزيع  در شبکه را بدست نخواهند آورد.

فرض کنيد، سازمانی دارای 500 کارمند باشد. سازمان فوق دارای ده ها کامپيوتر بوده که بر روی هر کدام يک کارت شبکه نصب شده و يک شبکه درون سازمانی ( خصوصی ) ايجاد شده است . سازمان فوق دارای يک يا چند خط اختصاصی ( T1 و يا T3 ) برای استفاده از اينترنت است . بدون استفاده از فايروال تمام کامپيوترهای موجود در شبکه داخلی، قادر به ارتباط با هر سايت و هر شخص بر روی اينترنت می باشند. کاربران مربوطه قادر به استفاده از برنامه هائی همچون FTP و يا Telnet بمنظور ارتباط مستقيم با افراد حقوقی و يا حقيقی موجود بر روی اينترنت می باشند. عدم رعايت مسائل ايمنی توسط پرسنل سازمان، می تواند زمينه دستيابی به اطلاعات موجود در شبکه داخلی را برای سارقين و متجاوزان اطلاعاتی اينترنت فراهم نمايد.

زمانيکه در سازمان فوق از فايروال استفاده گردد، وضعيت کاملا'  تغيير خواهد کرد. سازمان مربوطه می تواند برروی هر يک از خطوط ارتباطی اينترنت يک فايروال نصب نمايد.فايروال مجموعه سياست های امنيتی را پياده سازی می نمايد. مثلا' يکی از قوانين فوق می تواند بصورت زير باشد :

- تمام کامپيوترهای موجود در شبکه مجاز به استفاده از اينترنت می باشند ، فقط يک فرد مجاز به استفاده از سرويس FTP است و ساير پرسنل مجاز به استفاده از سرويس فوق نخواهند بود.

يک سازمان می تواند برای هر يک از سرويس دهندگان خود ( وب ، FTP،  Telnet و ... ) قوانين مشابه تعريف نمايد. سازمان قادر به کنترل پرسنل  بهمراه  ليست سايت های مشاهده  خواهد بود.  با استفاده از  فايروال يک سازمان قادر به کنترل کاربران شبکه  خواهد بود .

فايروال ها بمنظور کنترل ترافيک يک شبکه از روش های زير استفاده می نمايند:

- فيلتر نمودن بسته های اطلاعاتی . بسته های اطلاعاتی با استفاده ازتعدادی فيلتر، آناليز خواهند شد. بسته هائی که از آناليز فوق سربلند بيرون  آيند از فايروال عبور داده شده و  بسته ها ئی  که شرايط لازم را برای عبور از فايروال را نداشته باشند دور انداخته شده و از فايروال عبور نخواهند کرد.

- سرويس Proxy . اطلاعات درخواستی از طريق اينترنت توسط فايروال بازيابی و در ادامه در اختيار  درخواست کننده گذاشته خواهد شد. وضعيت فوق در موارديکه کامپيوتر موجود در شبکه داخلی، قصد ارسال  اطلاعاتی را برای خارج از شبکه خصوصی  داشته باشند ، نيز صدق می کند.

بهينه سازی استفاده از فايروال

فايروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا' سفارشی نصب و پيکربندی کرد. در اين راستا امکان اضافه  و يا حذف فيلترهای متعدد بر اساس شرايط متفاوت وجود خواهد داشت  :

- آدرس های IP . هر ماشين بر روی اينترنت دارای يک آدرس منحصر بفرد با نام IP است . IP يک عدد 32 بيتی بوده که بصورت چهار عدد دهدهی که توسط نقظه از هم جدا می گردند نمايش داده می شود (Octet) . در صورتيکه يک آدرس IP خارج از شبکه، فايل های زيادی را از سرويس دهنده می خواند ( ترافيک و حجم عمليات سرويس دهنده را افزايش خواهد داد) فايروال می تواند ترافيک از مبداء آدرس فوق و يا به مقصد آدرس فوق را بلاک نمايد.

- اسامی دامنه ها ( حوزه ) . تمام سرويس دهندگان بر روی اينترنت دارای اسامی منحصر بفرد با نام ' اسامی حوزه'  می باشند. يک سازمان می تواند با استفاده از فايروال، دستيابی به سايت هائی را غيرممکن  و يا صرفا' امکان استفاده از يک سايت خاص را برای پرسنل خود فراهم نمايد.

- پروتکل ها . پروتکل نحوه گفتگوی بين سرويس دهنده و سرويس گيرنده را مشخص می نمايد . پروتکل های متعدد با توجه به اهداف گوناگون در اينترنت استفاده می گردد.

مثلا'  http  پروتکل وب و Ftp پروتکل مربوط به دريافت و يا ارسال فايل ها است . با استفاده از فايروال می توان، ميدان  فيلتر نمودن را  بر روی  پروتکل ها متمرکز کرد.   برخی از پروتکل های رايج که می توان بر روی آنها فيلتر اعمال نمود بشرح زير می باشند :

§IP)Internet Protocol) پروتکل اصلی برای عرضه اطلاعات بر روی اينترنت است .

§TCP)Transport Control Protocol ) مسئوليت تقسيم يک بسته اطلاعاتی به بخش های کوچکتر را دارد.

§HTTP)Hyper Text Transfer Protocol) . پروتکل فوق برای عرضه  اطلاعات در وب است.

§FTP)File Transfer Protocol) . پروتکل فوق برای دريافت و ارسال فايل ها استفاده می گردد.

§UDP)User Datagram Protocol) . از پروتکل فوق برای اطلاعاتی که به پاسخ نياز ندارند استفاده می شود( پخش صوت و تصوير)

§ICMP)Internet control  Message Protocol). پروتکل فوق توسط روترها و بمنظور تبادل اطلاعات فی المابين استفاده می شود.

§SMTP)Simple Mail Transfer Protocol) . از پروتکل فوق برای ارسال e-mail استفاده می گردد.

§SNMP)Simple Network  Management Protocol).از پروتکل فوق بمنظور اخذ  اطلاعات از يک کامپيوتر راه دور استفاده  ميشود

§Telnet . برای اجرای دستورات بر روی يک کامپيوتر از راه دور استفاده می گردد.

- پورت ها . هر سرويس دهنده ، خدمات مورد نظر خود را با استفاده از پورت های شماره گذاری شده بر روی اينترنت ارائه می دهد. مثلا' سرويس دهنده وب اغلب از پورت 80 و سرويس دهنده Ftp از پورت 21 استفاده می نمايد.  يک سازمان ممکن است با استفاده از فايروال امکان دستيابی به پورت 21 را بلاک نمايد.

- کلمات و عبارات خاص . می توان با استفاده از فايروال کلمات و يا عباراتی را مشخص نمود تا امکان کنترل بسته های اطلاعاتی حاوی کلمات و عبارات فراهم گردد. هر بسته اطلاعاتی  که حاوی  کلمات مشخص شده  باشد  توسط فايروال بلاک خواهد شد.

همانگونه که اشاره شد فايروال ها به  دو صورت نرم افزاری وسخت افزاری استفاده می گردند.فايروال های نرم افزاری بر روی کامپيوتری نصب می گردند که خط اينترنت به آنها متصل است .کامپيوتر فوق بمنزله يک Gateway رفتار می نمايد چون تنها نقطه قابل تماس، بمنظور ارتباط کامپيوتر و اينترنت است . زمانيکه فايروال بصورت سخت افزاری در نظر گرفته شود ، تمام بخش فوق بصورت Gateway خواهد بود.  امنيت فايروال های سخت افزاری بمراتب بيشتر از فايروال های نرم افزاری است .

تهديدات

حمله کنندگان به شبکه های کامپيوتری از روش های متعددی استفاده می نمايند.

- Remote Login .  امکان برقراری ارتباط با کامپيوتر و کنترل آن توسط فرد غيرمجاز است .  دامنه عمليات فوق می تواند از مشاهده و دستيابی به برخی از فايل ها تا اجرای برخی برنامه ها بر روی کامپيوتر باشد.

-Application Backdoors . برخی از برنامه ها دارای امکانات ويژه ای برای دستيابی از راه دور می باشند. برخی ديگر از برنامه ها دارای اشکالاتی بوده بگونه ای که يک Backdoor را ايجاد و يا امکان دستيابی مخفی را ارائه می دهند. در هر حالت امکان کنترل برنامه فراهم خواهد گرديد.

- SMTP session hijacking . پروتکل SMTP رايج ترين روش برای ارسال e_mailاست . با دستيابی به ليستی از آدرس های e-mail ، يک شخص قادر به ارسال e-mail به هزاران کاربر ديگر خواهد شد.

- اشکالات سيستم های عامل .سيستم عامل نظير ساير برنامه های کاربردی ممکن است دارای Backdoors باشند.

- انفجار  E-mail  . يک شخص قادر به ارسال صدها و هزاران e-mail مشابه در مقاطع زمانی متفاوت است . با توجه به وضعيت فوق سيستم پست الکترونيکی قادر به دريافت تمام نامه های ارسالی نخواهد بود.

- ماکرو. اغلب برنامه های کاربردی اين امکان را برای کاربران خود فراهم می نمايند که مجموعه ای از اسکريپت ها را بمنظور انجام عمليات خاصی نوشته و نرم افزار مربوطه آنها را اجراء نمايد. اسکريپت های فوق ' ماکرو ' ناميده می شوند. حمله کنندگان به شبکه های کامپيوتری با آگاهی از واقعيت فوق، اقدام به ايجاد اسکريپت های خاص خود نموده که با توجه به نوع برنامه ممکن است داده ها را حذف  و يا باعث از کار افتادن کامپيوتر گردند.

- ويروس . رايج ترين روش جهت آسيب رساندن به اطلاعات،ويروس است . ويروس يک برنامه کوجک است که قادر به تکثير خود بر روی کامپيوتر ديگر است . عملکرد ويروس ها بسيار متفاوت بوده و از اعلام يک پيام ساده  تا حذف تمام داده ها  را می تواند شامل گردد.

سرويس دهنده Proxy

سرويس دهنده Proxy اغلب با يک فايروال ترکيب می گردد. سرويس دهنده Proxy بمنظور دستيابی به صفحات وب توسط ساير کامپيوترها استفاده می گردد. زمانيکه  کامپيوتری درخواست يک صفحه وب را می نمايد،  صفحه مورد نظر توسط سرويس دهنده Proxy بازيابی و در ادامه برای کامپيوتر متقاضی ارسال خواهد شد. بدين ترتيب تمام ترافيک ( درخواست و پاسخ ) بين درخواست کننده يک صفحه وب و پاسخ دهنده از طريق سرويس دهنده Proxy انجام می گيرد.

سرويس دهنده Proxy می تواند کارائی استفاده از اينترنت را افزايش دهد. پس از دستيابی  به يک صفحه وب ،  صفحه فوق بر روی سرويس دهنده Proxy  نيز ذخيره (Cache) می گردد. در صورتيکه در آينده قصد استفاده از صفحه فوق را داشته باشيد  صفحه مورد نظر از روی سرويس دهنده Proxy در اختيار شما گذاشته می شود( الزامی به برقراری ارتباط مجدد و درخواست صفحه مورد نظر نخواهد بود) .

آشنايي با فايروال ها

اگر مدت زيادي است كه با اينترنت سر و كار داريد، به احتمال زياد لغت فايروال (Firewall) برايتان آشناست.
فايروال درست مثل ديواره اي كه مانع گسترش آتش از قسمتي به قسمت ديگر مي شود، عمل كرده، از هجوم انواع خطرات به شبكه محلي شما جلوگيري مي كند.
به زبان ساده فايروال يك برنامه يا يك قطعه سخت افزاري است كه در محل اتصال شبكه شما به اينترنت قرار مي گيرد و اطلاعاتي را كه ميان رايانه هاي شما و اينترنت رد و بدل مي شود، كنترل مي كند.
براي اين كه با لزوم استفاده از فايروال آشنا شويد، فرض كنيد شبكه شما بدون استفاده از فايروال به اينترنت وصل شود. در اين صورت هر كسي مي تواند به آساني به هر يك از رايانه هايتان دست يابد، آن را بررسي و با آن اتصال FTP يا Telnet برقرار كند، در آن صورت فكرش را بكنيد كه شبكه شما چه وضعي خواهد داشت.
ولي با نصب يك فايروال در محل مناسب، اوضاع كاملا عوض مي شود. در اين صورت شما مي توانيد با تنظيم فيلترهاي فايروال، قوانين مورد نظر خود را روي شبكه تان اعمال كنيد.
تعيين كنيد كه كاربران شبكه شما مي توانند به چه سايت هايي وصل شوند و اجازه دارند چه فايل هايي را به اينترنت بفرستند و دريافت كنند؟
به اين ترتيب براحتي مي توانيد رايانه هايتان را مديريت كنيد.
حال كه اهميت فايروال روشن شد، به تنظيمات آن مي پردازيم.
فايروال قابل تنظيم است، يعني شما مي توانيد به تناسب كارتان و انتظاري كه از آن داريد فيلترهايي را به آن اضافه يا كم كنيد.
اين كه فايروال هنگام عبور دادن اطلاعات از خودش، به چه نوع اطلاعاتي توجه كند و كدام نوع آن را بررسي كرده و جلوي عبور آنها را بگيرد، به نظر شما بستگي دارد.
مي توانيد با تنظيم هر كدام از موارد زير به فايروال ديكته كنيد كه چطور عمل كند:
1. نشاني IP: اگر هنگام اداره شبكه محلي خود متوجه شديد كه رايانه اي از طريق
اينترنت مرتب به Server شبكه شما وصل مي شود و بار ترافيكي زيادي ايجاد مي كند، مي توانيد از فايروال خود بخواهيد كه به آن رايانه با نشاني IP مشخص، اجازه ورود به شبكه را ندهد.

2. نام حوزه (Domain name) : از آنجا كه نشاني IP يك عدد32 بيتي و استفاده از آن
راحت نيست، به همه Server ها در اينترنت علاوه بر نشاني IP يك نام حوزه اختصاص مي دهند.
شما مي توانيد فايروال را طوري تنظيم كنيد كه رايانه هاي شبكه محلي بتواند به سايت هاي خاصي ( با نشاني حوزه مشخص ) دسترسي داشته باشند. يا اينكه با مشخص كردن نام حوزه ها در فايروال، به رايانه هاي شبكه تان اجازه بدهيد كه از آن سايت ها ديدن كنند.
3. پورت و پروتكل : فايروال مي تواند از طريق شماره پورت هاي رايانه ها براي ارتباط با يكديگر به كار مي برند، اطلاعات رد و بدل شده را كنترل كند؛ همچنين مي توان كلمات و اصطلاحات خاصي را در بانك اطلاعاتي فايروال مشخص كرد.
در اين صورت هنگام وارد يا خارج شدن اطلاعات فايروال محتواي آنها را بررسي مي كند و اگر با كلمات خاصي كه برايش مشخص كرده ايم روبه رو شود، اجازه نمي دهد آن اطلاعات عبور كنند.
 فايروال در برابر چه خطراتي از شما محافظت مي كنند؟
1. ويروس ها: از معمولترين تهديدات براي هر رايانه به حساب مي آيند و معمولا برنامه
كوچكي هستند كه خود را روي رايانه هاي ديگر كپي كرده و به اين روش به سرعت در شبكه شما پخش مي شوند.
2. اشكالات برنامه ها و سيستم عامل ها: در بعضي برنامه ها امكان دسترسي به آن برنامه از راه دور ( Backdoor ) آن هم بدون امنيت كافي فراهم شده است. به اين ترتيب هكرها هم از آن استفاده كرده و از راه دور كنترل برنامه شما را به دست مي گيرند.
3. ماكروها: اگر فايروال ورود و خروج اطلاعات را كنترل نكند، هكرها مي توانند با فرستادن قطعه برنامه هاي ( كه ماكرو ناميده مي شود ) به رايانه ها، داده ها را پاك كنند يا تغيير دهند و كل شبكه را از كار بيندازند.
4. بمب هاي ايميل: در يك لحظه يك نامه صدها و هزاران بار براي يك سرويس دهنده
نامه الكترونيكي فرستاده مي شود و كار او را مختل مي كند تا جايي كه اين سيستم ديگر نمي تواند نامه ها را دريافت كند و از كار مي افتد.
5. در بسياري از مواردي كه به سايت ها حمله مي شود، هكرها براي وصل شدن به Server، سعي مي كند به اين درخواست ها پاسخ دهد، نمي تواند سيستم درخواست دهنده را پيدا كند و گيج مي شود.
به اين ترتيب وقتي تعداد اين نوع درخواست ها زياد باشد، Server كند مي شود در نهايت از كار مي افتد.هر فايروال با توجه به سطح امنيتي كه ايجاد مي كند، مي تواند در مقابل تعدادي از اين خطرات از شبكه ما محافظت كند.
منبع: اخبار فن آوري اطلاعات

ديوار آتش ويندوز XPرا چگونه فعال كنيم؟
از آنجايي كه اغلب كاربران نسخه حرفهاي ويندوز XP به اينترنت متصل هستند، لازم است كاربران روشهاي ممانعت از دسترسي هاي ناخواسته به سيستم خود را بدانند تا بدين طريق از نفوذ غيرمجاز به سيستم هاي خود، جلوگيري كنند .در اين مقاله سعي داريم نحوه پيكربندي ديوارهاي آتش موجود در نسخه هاي حرفه اي و خانگي ويندوز XP را به شما كاربران عزيز آموزش دهيم.
هشدار!
اين مقاله، در وهله اول مختص آموزش كاربران مبتدي و تازه كاري است كه در صدد پيكربندي و راه اندازي يك ديوار آتش براي سيستم خود هستند .بنابراين اگر شما جزء اين گروه از كاربران نيستيد، اين مقاله چندان مورد استفاده شما نخواهد بود.
از آنجايي كه شركت مايكروسافت در نسخه جديد ويندوز ويندوز XP حرفهاي قابليت دسترسي تمام كاربران به اينترنت را چه از طريق اتصالاتdialup ، كابلي، ISDN و يا LAN امكانپذير كرده است، لزوم استفاده از سيستمهاي حفاظتي براي جلوگيري از دسترسيهاي ناخواسته كاربران از طريق شبكه اينترنت، كاملا حياتي به نظر ميرسد .اين اولين باري است كه شركت مايكروسافت، نرمافزار حفاظتي ديوار آتش (firewall) را در سيستم عامل خود جاي داده است .هر دو نسخه خانگي و حرفهاي ويندوزXP ، مجهز به نرمافزار قابل پيكربندي ديوار آتش هستند .اين نرمافزار كه (Internet Connection Firewall) ICF ناميده ميشود، يك برنامه كاربردي است كه در هنگام اتصالتان به اينترنت مانع از دسترسي سايرين به سيستم شما ميشود .ديوار آتش هر گونه فعاليت غيرمجاز هكرها جهت نفوذ به سيستم شما را متوقف كرده و تلاشهاي ناموفق آنها را ثبت ميكند.
ديوار آتش مدتي است كه به شكل سختافزاري و يا نرمافزاري كاربرد دارد و اكثر شركتها براي بالا بردن درجه اطمينان و امنيت دادههاي خود، از هر دو شيوه سختافزاري و نرمافزاري استفاده ميكنند .همواره توجه داشته باشيد كه هر سيستم عاملي داراي درجات مختلف امنيتي است كه نميتواند صددرصد در مقابل نفوذ هكرها و تخريب آنها ايمن باشد، ولي در هر صورت نصب اين سيستمهاي حفاظتي جهت جلوگيري از نفوذ هكرها، بيتاثير نخواهد بود.
مايكروسافت نرم افزار ICF را به گونهاي ساخته است كه مستقل از نوع اتصال شبكه اي به اينترنت، كار مي كند .تمام اتصالات شبكه اي از ويژگيهاي مشتركي استفاده ميكنند كه ICF هم يكي از آنهاست .در نرم افزارICF ، امكان تغيير وضعيت مجازي به هر يك از اتصالات وجود دارد .به عنوان مثال، اگر اتصال اينترنتي شما از نوع مبتني بر مودم است، براي پيكربندي ICF مراحل زير را طي كنيد:
-1بررويگزينه Network Connections درمنويCommunications ، كليك كنيد.

-2بررويآيكني كه اتصال اينترنتي شما را نشان ميدهد، كليك راست كرده و سپس گزينه Properties را انتخاب كنيد .با اين عمل كادر محاورهاي Local Area Connection Properties ظاهر خواهد شد .
-3در كادر مزبور، بر روي زبانهAdvanced ، كليك كنيد شكل 1
- 4تنها گزينه موجود در صفحه باز شده را علامت دار كنيد تا برنامهICF ، فعال شود .
-5يكبار روي دكمه OK كليك كنيد تا مراحل انجام كار تكميل شود .براي فعال كردن برنامه مزبور مي بايست سيستم خود را مجددا راه اندازي يا بوت كنيد .
مديريت ديوارهاي آتش ومروري بر گزينه هاي پيشرفته آن
در هنگام استفاده از برنامهICF ، به چند نكته توجه داشته باشيد .بخصوص اگر مديريت ديوارهاي آتش يك سازمان يا شركت را برعهده داريد، ترفندهاي زير براي حل مشكلات احتمالي شما در حين كار با ICF يا هر نوع ديوار آتش ديگر، بسيار مفيد خواهند بود .
اگر شركت شما در حال حاضر از يك شبكه خصوصي مجازي (VPN) استفاده ميكند، اين امكان وجود دارد كه سرور ميزبان اين اتصال، از قبل داراي يك ديوار آتش باشد .در اين شرايط ممكن است برنامه ICF موجود بر روي سيستمهاي ويندوز XP و ديوارهاي آتش موجود بر روي سرورهاي ميزبانVPN ، با يكديگر تضاد (Conflict) پيدا كنند .اگر در اين شرايط برخي از سيستمهاي تحت XP شما از كار افتاد، ابتدا اطمينان حاصل كنيد كه تضاد مزبور با ICF اتفاق نيفتاده است .

اگر در شبكه شركت شما روي كنترلكنندههاي حوزه(domain controllers) ، ويندوز 2000 و يا XP نصب است و از سرورهايDHCP ، گيتويها و آدرسهاي IP ايستا استفاده ميكنند، از فعال كردن برنامه ICF بر روي سيستمهاي ويندوز XP اجتناب كنيد .
به ياد داشته باشيد كه اگر شبكه شما براي رسيدگي و مديريت نامه هاي الكترونيكي،از يك سرور راه دور ويژه استفاده مي كند، ديوار آتش نصب شده بر روي سيستم شما، نميگذارد سرور، خبرمربوط به ارسال نامه هاي الكترونيكي جديد را به كاربران MS Outlook 2000 اعلام كند .چرا كه فراخواني) RPC احضار يك برنامه روي يك سيستم راه دور از داخل يك برنامه ديگر (كه كار ارسال اين اعلاميهها را بر عهده دارد، در خارج از ديوار آتش، آغاز به كار ميكند .كاربرانOutlook 2000 ، همچنان قادر خواهند بود پيغامهاي پستالكترونيكي خود را به صورت عادي ارسال و يا دريافت كنند، ولي براي اطلاع از دريافت نامه هاي الكترونيكي جديد مي بايست به صورت دستي از طريق سيستم هاي خود اين كار را انجام دهند در اين صورت، فرآيند مزبور داخل ديوار آتش آغاز مي شود .
هرگز برنامه ديوار آتش ICF را از طريق آيكن Network Connection در اتصالات يا كامپيوترهاي واقع در يك شبكه محلي، شبكه VPN و يا كامپيوترهايي كه به اينترنت متصل نيستند، به كار نيندازيد.
براي پيكربندي برنامهICF ، گزينه ها و توابع متعددي وجود دارند كه براي مديران شبكه كاربرد فراواني خواهند داشت .به كمك اين توابع و گزينه هاي پيشرفته، مديران شبكه مي توانند نحوه ارتباط بين كلاينت ها و سرورها را تعريف كنند .
در عين حال لزومي ندارد اين توابع به صورت هفتگي ويا حتي ماهانه تغيير كنند .موارد فوق كاملا تحت تاثير سياستهاي امنيتي شركت شما و متاثر از آن خواهد بود .اگر شما بر روي سيستمي كار مي كنيد كه در يك شبكه VPN قرار دارد، تنظيمات مزبور را هرگز تغيير ندهيد، چرا كه شبكهVPN ، مشخصا براي كار با ويندوز XP تحت يك پروتكل از پيش تعريف شده، پيكربندي شده است .براي مشاهده توابع پيشرفته ICF مراحل زير را دنبال كنيد:
-1در پنجرهNetwork Connection ، بر روي شبكه خود كليكراست كرده و كادر محاورهاي Properties را انتخاب كنيد .
-2بر روي زبانه Advanced كليك كنيد .
-3بعد از فعال كردن تنها گزينه موجود در صفحه، بر روي دكمه settings در انتهاي صفحهAdvanced ، كليك كنيد .در اين وضعيت، صفحه مربوط به Advanced Settings مطابق شكل 2 ظاهر خواهد شد .
-4بهتر است قبل از تغيير هر يك از گزينه هاي اين صفحه با مدير سيستم خود مشورت كنيد، چرا كه هر كدام از آنها ميتوانند از طريق اينترنت امكان دسترسي ساير كاربران به سيستم شما و سرورهاي شبكه را مهيا سازند .اگر شما مدير شبكه هستيد، مي توانيد به دلخواه، ميزان نفوذ ساير كاربران به داخل ديوار آتش شبكه خود را در سطوح مختلف، تنظيم يا بين آنها سوئيچ كنيد .
-5بر روي دكمه OK كليك كنيد تا اين كادر محاورهاي بسته شود .

-6بر روي دكمه OK كليك كنيد تا كادر محاورهاي properties بسته شود .
رديابي و كنترل عملكرد يك ديوار آتش
تمام برنامه هاي ديوار آتش، قابليت تهيه گزارش را دارند، بعضي از برنامههاي پيشرفته تر حتي مي توانند با ارايه يك آدرسIP ، دفعات تلاش يك نفوذگر براي نفوذ به شبكه شركت شما را گزارش دهند .شركت مايكروسافت قابليت ثبت فعاليتهاي حفاظتي برنامه ICF در ويندوز XP را فراهم كرده است .در زير مراحلي كه براي ثبت وقايع توسط برنامه ICF لازم است، ارايه شده اند :
-1اتصال شبكهاي مورد استفاده براي دسترسي به اينترنت را باز كنيد .
-2بر روي آيكنInternet Connections ، كليك راست كرده و گزينه Properties را انتخاب كنيد .
-3بر روي زبانه Advanced كليك كرده و سپس تنها گزينه داخل صفحه را علامت دار كنيد .
-4بر روي دكمه Settings كليك كنيد.
-5روي زبانه Security Logging كليك كنيد تا گزينه هاي موجود در شكل 3 نمايان شوند .
-6يكبار بر روي گزينه Log dropped packets كليك كنيد تا آمار مربوط به تعداد دفعات تلاش جهت نفوذ به سيستم خود را پيگيري كنيد .
-7بر روي دكمه OK كليك كنيد تا قابليت ICF جهت ثبت وقايع فعال شود .
فرض كنيم شما در حال حاضر در اينترنت هستيد، بعد از انجام مرحله7 ، پيغامي دريافت خواهيد كرد مبني بر اينكه بار ديگر كه به شبكه وارد شويد، يك فايل ثبت وقايع (log file) ايجاد خواهد شد تا تمامي فعاليتها را ثبت كند .
مرورگر خود را ايمن كنيد
اولين مرحله در تامين امنيت اينترنتي در ويندوزXP ، مربوط به ارتباطاتي خواهد بود كه براي كنترل نامه هاي الكترونيكي، ارسال و دريافت پيغامها و بازديد از وب سايتها، ايجاد مي كنيد .علاوه بر تدابير امنيتي ويندوز XP كه براي اين گونه ارتباطات در نظر گرفته شده، نرم افزار ICF نيز به اين سيستم عامل افزوده شده تا سيستم كاربر را محافظت كند .در واقع ميتوان ICF را يك عامل اساسي در استراتژي امنيتي يك شبكه محسوب كرد .
در اين قسمت، نحوه پيكربندي يك مرورگر براي دستيابي به بالاترين سطح امنيتي مورد نظر شما توضيح داده مي شود .همواره به ياد داشته باشيد بين درجه اطمينان و امنيتي كه مرورگر شما ارائه مي دهد و سهولت نسبي گشت و گذار و استفاد از اينترنت، يك رابطه متقابل وجود دارد .با افزايش درجه امنيت مرورگر خود، به دليل كنترلهاي متعددي كه ميبايست انجام گيرد، سرعت گشت و گذار در اينترنت پايين خواهد آمد .هر چه درجه اطمينان و امنيت مرورگر شما بالاتر باشد، فايلها و اطلاعات مهم، در پشت ديوار آتش بهتر پنهان مي شود، بهگونهاي كه مرورگر ديگر نمي تواند به آنها دسترسي پيداكند .
شركت مايكروسافت در هنگام نصب ويندوز XP حرفه اي، گزينه مربوط به نصب Internet Explorer 6.0 را نيز در اختيار كاربران ميگذارد .اكنون بسياريازكارشناسان معتقدند كه نسخه IE 6.0 در بين تمام نسخه هاي قديمي اين مرورگر، از درجه اطمينان و سرعت بالاتري برخوردارستIE6 .، در رسيدگي و مديريت نامه هاي الكترونيكي، نسبت به Netscape Communicator عملكرد بهتري دارد .در حقيقتIE6 ، داراي ويژگيهاي امنيتي بسيار قوي است كه در صورت همراه شدن با گزينه هاي امنيتي ويندوزXP ، از حريم شخصي شما محافظت بيشتري مي كند .
براي تنظيم سطح امنيتي دلخواه درIE6.0 ، مراحل زير را دنبال كنيد:
IE6.0 -1را باز كنيد( اين نرمافزار همزمان با سيستم عامل XP نصب ميشود.(
-2از منويTools ، گزينه Internet Options را انتخاب كنيد.
-3بر روي زبانه Security كليك كنيد تا كادر محاورهاي شكل 4 نشان داده شود.
- 4توجه داشته باشيد كه در اين كادر محاورهاي، 4 ناحيه قابل پيكربندي وجود دارد .هر چه درجه امنيت اين نواحي بالاتر باشد، محدوديتهاي بيشتري در هنگام گشت و گذار در اينترنت
لحاظ خواهد شد .به منظور مقايسه، در زير تنظيمات پيش فرض
هر ناحيه ارايه شده است:
:Internetتمام وب سايتهاي جديدي كه شما قبلا از آنها بازديد نكرده ايد، در اين ناحيه قرار دارند .سطح امنيتي پيش فرض براي اين ناحيه Medium است.
:Locol intranetاين ناحيه شامل وب سايتهاي قابل دسترس در اينترانت شركت شماست .سطح امنيتي پيش فرض براي اين ناحيه Medium low است .
:Trusted sitesاين ناحيه در بدو امر خالي است اما شما مي توانيد سايتهايي را كه به آنها اطمينان داريد در اين ناحيه قرار دهيد تا دسترسي آنها را به سيستم خود، سرعت بخشيد .سطح امنيتي پيش فرض براي اين ناحيه Low است.
:Restricted sitesاين ناحيه در بدو امر خالي است اما تقريبا مانند حوزه قبلي است .شما مي توانيد سايتهايي را كه به آنها اعتماد نداريد ولي از آنها ديدن مي كنيد، در اين ناحيه ثبت كنيد .سطح امنيتي پيش فرض براي اين ناحيه High است.
-5براي تغيير سطح امنيتي هر يك از نواحي فوق، ابتدا بر روي ناحيه مورد نظر كليك كنيد، سپس توسط دكمه لغزنده پايين صفحه و واقع در ناحيهSecurity level for this zone ، سطح امنيتيمورد نظرتان را انتخاب كنيد.
-6بعد از تنظيم سطح امنيتي مورد نظر، روي دكمه Apply كليك كنيد تا موارد مزبور اعمال شوند .
-7روي دكمه OK كليك كنيد تا كادر محاورهاي Internet Options بسته شود.
در نظر داشته باشيد كه هر چه سطح امنيتي بالاتري را براي هر ناحيه تنظيم كنيد، محدوديت بيشتري براي دسترسي به منابع اينترنتي و استفاده از آن خواهيد داشت .