مقاله پایان نامه دیوار آتش مبتنی بر سیستم عامل لینوکس

توجه : به همراه فایل word این محصول فایل پاورپوینت (PowerPoint) و اسلاید های آن به صورت هدیه ارائه خواهد شد

  مقاله پایان نامه دیوار آتش مبتنی بر سیستم عامل لینوکس دارای ۱۵۸ صفحه می باشد و دارای تنظیمات در microsoft word می باشد و آماده پرینت یا چاپ است

فایل ورد مقاله پایان نامه دیوار آتش مبتنی بر سیستم عامل لینوکس  کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه  و مراکز دولتی می باشد.

توجه : در صورت  مشاهده  بهم ریختگی احتمالی در متون زیر ،دلیل ان کپی کردن این مطالب از داخل فایل ورد می باشد و در فایل اصلی مقاله پایان نامه دیوار آتش مبتنی بر سیستم عامل لینوکس،به هیچ وجه بهم ریختگی وجود ندارد

بخشی از متن مقاله پایان نامه دیوار آتش مبتنی بر سیستم عامل لینوکس :

پیشگفتار:
این قابلیت که بتوان یک کامپیوتر را در هر کجا به کامپیوتری دیگر در جایی دیگر متصل کرد، به منزله یک سکه دو رو است؛ برای اشخاصی که در منزل هستند گردش در اینترنت بسیار لذت بخش است در حالی که برای مدیران امنیت در سازمان ها، یک کابوس وحشتناک به حساب می‎آید.
«دیوار آتش» پیاده سازی مدرنی از روش قدیمی حصارهای امنیتی است: خندقی عمیق دور تا دور قلعه حفر می کردند. این الگو همه را مجبور می‌کند تا برای ورود یا خروج از قلعه، از یک پل متحرک و واحد بگذرند و بتوان همه را توسط پلیس حراست بازرسی کرد. در دنیای شبکه های کامپیوتری، همین راهکار ممکن خواهد بود: یک سازمان می‎تواند هر تعداد شبکه محلی داشته باشد که به صورت دلخواه به هم متصل شده اند، اما تمام ترافیک ورودی یا خروجی سازمان صرفاً از طریق یک پل متحرک (همان دیوار آتش) میسر است.

مطالب این پایان نامه در دو فصل تنظیم شده است. فصل اول به معرفی دیوارهای آتش می پردازد. در این فصل، مطالبی از قبیل اثرات مثبت و منفی دیوار آتش، تواناییها و ناتواناییهای آن، نحوه عملکرد دیوارهای آتش، انواع دیوار آتش، معماری های دیوار آتش و نحوه انتخاب، پیاده سازی و آزمایش یک دیوار آتش بررسی می‎شوند. این فصل،‌ یک دید جامع در مورد نحوه انتخاب دیوار آتش منطبق با سیاست امنیتی سازمان می‎دهد. فصل دوم به پیاده سازی نرم افزاری یک دیوار آتش فیلتر کننده بسته با استفاده از ابزار ارائه شده در سیستم عامل لینوکس، یعنی iptables می پردازد. در این فصل، مطالبی از قبیل نحوه پیکربندی سیستم مبتنی بر لینوکس به عنوان یک مسیریاب، جداول و زنجیرها، قوانین و تطبیق ها و اهداف، پیکربندی iptables، مشخصات فیلترسازی، تعمیم ها، مشخصات هدف، ترکیب NAT با فیلترسازی بسته و نحوه ذخیره و بازیابی دستورات iptables بررسی می‎شوند. این فصل، نحوه نوشتن قوانین دیوار آتش فیلتر کننده بسته را به منظور کنترل مناسب ترافیک ورودی یا خروجی توضیح می‎دهد.

فهرست مطالب
فهرست مطالب ۳
فهرست شکل ها ۹
فهرست جدول ها ۱۱
چکیده (فارسی) ۱۲
فصل اول: دیوارهای آتش شبکه ۱۳
۱-۱ : مقدمه ۱۴
۱-۲ : یک دیوار آتش چیست؟ ۱۵
۱-۳ : دیوارهای آتش چه کاری انجام می دهند؟ ۱۶
۱-۳-۱ : اثرات مثبت ۱۶
۱-۳-۲ : اثرات منفی ۱۷
۱-۴ : دیوارهای آتش، چه کارهایی را نمی توانند انجام دهند؟ ۱۸
۱-۵ : چگونه دیوارهای آتش عمل می‌کنند؟ ۲۰
۱-۶ : انواع دیوارهای آتش ۲۱
۱-۶-۱ : فیلتر کردن بسته ۲۲
۱-۶-۱-۱ : نقاط قوت ۲۴
۱-۶-۱-۲ : نقاط ضعف ۲۵
۱-۶-۲ : بازرسی هوشمند بسته ۲۸
۱-۶-۲-۱ : نقاط قوت ۳۱
۱-۶-۲-۲ : نقاط ضعف ۳۲
۱-۶-۳ : دروازه برنامه های کاربردی و پراکسیها ۳۲
۱-۶-۳-۱ : نقاط قوت ۳۵
۱-۶-۳-۲ : نقاط ضعف ۳۶
۱-۶-۴ : پراکسیهای قابل تطبیق ۳۸
۱-۶-۵ : دروازه سطح مداری ۳۹
۱-۶-۶ : وانمود کننده ها ۴۰
۱-۶-۶-۱ : ترجمه آدرس شبکه ۴۰
۱-۶-۶-۲ : دیوارهای آتش شخصی ۴۲
۱-۷ : جنبه های مهم دیوارهای آتش کارآمد ۴۲
۱-۸ : معماری دیوار آتش ۴۳
۱-۸-۱ : مسیریاب فیلترکننده بسته ۴۳
۱-۸-۲ : میزبان غربال شده یا میزبان سنگر ۴۴
۱-۸-۳ : دروازه دو خانه ای ۴۵
۱-۸-۴ : زیر شبکه غربال شده یا منطقه غیرنظامی ۴۶
۱-۸-۵ : دستگاه دیوار آتش ۴۶
۱-۹ : انتخاب و پیاده سازی یک راه حل دیوار آتش ۴۸
۱-۹-۱ : آیا شما نیاز به یک دیوار آتش دارید؟ ۴۸
۱-۹-۲ : دیوار آتش، چه چیزی را باید کنترل یا محافظت کند؟ ۴۹
۱-۹-۳ : یک دیوار آتش، چه تأثیری روی سازمان، شبکه و کاربران
خواهد گذاشت؟ ۵۰
۱-۱۰ : سیاست امنیتی ۵۱
۱-۱۰-۱ : موضوعات اجرایی ۵۲
۱-۱۰-۲ : موضوعات فنی ۵۳
۱-۱۱ : نیازهای پیاده سازی ۵۴
۱-۱۱-۱ : نیازهای فنی ۵۴
۱-۱۱-۲ : معماری ۵۴
۱-۱۲ : تصمیم گیری ۵۵
۱-۱۳ : پیاده سازی و آزمایش ۵۶
۱-۱۳-۱ : آزمایش، آزمایش، آزمایش! ۵۷
۱-۱۴ : خلاصه ۵۸

فصل دوم: پیاده سازی دیوار آتش با استفاده از iptables 60
۲-۱ : مقدمه ۶۱
۲-۲ : واژگان علمی مربوط به فیلترسازی بسته ۶۲
۲-۳ : انتخاب یک ماشین برای دیوار آتش مبتنی بر لینوکس ۶۵
۲-۴ : به کار بردن IP Forwarding و Masquerading 65
۲-۵ : حسابداری بسته ۷۰
۲-۶ : جداول و زنجیرها در یک دیوار آتش مبتنی بر لینوکس ۷۰
۲-۷ : قوانین ۷۴
۲-۸ : تطبیق ها ۷۵
۲-۹ : اهداف ۷۵
۲-۱۰ : پیکربندی iptables 76
۲-۱۱ : استفاده از iptables 77
۲-۱۱-۱ : مشخصات فیلترسازی ۷۸
۲-۱۱-۱-۱ : تعیین نمودن آدرس IP مبدأ و مقصد ۷۸
۲-۱۱-۱-۲ : تعیین نمودن معکوس ۷۹
۲-۱۱-۱-۳ : تعیین نمودن پروتکل ۷۹
۲-۱۱-۱-۴ : تعیین نمودن یک رابط ۷۹
۲-۱۱-۱-۵ : تعیین نمودن قطعه ها ۸۰
۲-۱۱-۲ : تعمیم هایی برای iptables (تطبیق های جدید) ۸۲
۲-۱۱-۲-۱ : تعمیم های TCP 82
۲-۱۱-۲-۲ : تعمیم های UDP 86
۲-۱۱-۲-۳ : تعمیم های ICMP 86
۲-۱۱-۲-۴ : تعمیم های تطبیق دیگر ۸۷
۲-۱۱-۳ : مشخصات هدف ۹۲
۲-۱۱-۳-۱ : زنجیرهای تعریف شده توسط کاربر ۹۲
۲-۱۱-۳-۲ : هدف های تعمیمی ۹۲
۲-۱۱-۴ : عملیات روی یک زنجیر کامل ۹۴
۲-۱۱-۴-۱ : ایجاد یک زنجیر جدید ۹۴
۲-۱۱-۴-۲ : حذف یک زنجیر ۹۴
۲-۱۱-۴-۳ : خالی کردن یک زنجیر ۹۵
۲-۱۱-۴-۴ : فهرست گیری از یک زنجیر ۹۵
۲-۱۱-۴-۵ : صفر کردن شمارنده ها ۹۵
۲-۱۱-۴-۶ : تنظیم نمودن سیاست ۹۵
۲-۱۱-۴-۷ : تغییر دادن نام یک زنجیر ۹۶
۲-۱۲ : ترکیب NAT با فیلترسازی بسته ۹۶
۲-۱۲-۱ : ترجمه آدرس شبکه ۹۶
۲-۱۲-۲ : NAT مبدأ و Masquerading 98
۲-۱۲-۳ : NAT مقصد ۹۹
۲-۱۳ : ذخیره نمودن و برگرداندن قوانین ۱۰۱
۲-۱۴ : خلاصه ۱۰۲
نتیجه گیری ۱۰۵
پیشنهادات ۱۰۵

فهرست شکل ها
فصل اول
شکل ۱-۱ : نمایش دیوار آتش شبکه ۱۵
شکل ۱-۲ : مدل OSI 22
شکل ۱-۳ : دیوار آتش از نوع فیلترکننده بسته ۲۳
شکل ۱-۴ : لایه های OSI در فیلتر کردن بسته ۲۳
شکل ۱-۵ : لایه های OSI در بازرسی هوشمند بسته ۲۸
شکل ۱-۶ : دیوار آتش از نوع بازرسی هوشمند بسته ۳۰
شکل ۱-۷ : لایه مدل OSI در دروازه برنامه کاربردی ۳۳
شکل ۱-۸ : دیوار آتش از نوع دروازه برنامه کاربردی ۳۴
شکل ۱-۹ : مسیریاب فیلتر کننده بسته ۴۴
شکل ۱-۱۰ : دیوار آتش میزبان غربال شده یا میزبان سنگر ۴۵
شکل ۱-۱۱ : دروازه دو خانه ای ۴۶
شکل ۱-۱۲ : زیر شبکه غربال شده یا منطقه غیرنظامی ۴۶
شکل ۱-۱۳ : دستگاه دیوار آتش ۴۷
فصل دوم
شکل ۲-۱ : یک سیستم مبتنی بر لینوکس که به عنوان یک مسیریاب به
جلو برنده پیکربندی شده است. ۶۷
شکل ۲-۲ : تغییر شکل شبکه ۱۰۱۲۰ به عنوان آدرس ۶۶۱۵۱ IP 69
شکل ۲-۳ : مسیر حرکت بسته شبکه برای filtering 72
شکل ۲-۴ : مسیر حرکت بسته شبکه برای Nat 73
شکل ۲-۵ : مسیر حرکت بسته شبکه برای mangling 73

فهرست جدول ها
فصل اول
فصل دوم
جدول ۲-۱ : جداول و زنجیرهای پیش فرض ۷۱
جدول ۲-۲ : توصیف زنجیرهای پیش فرض ۷۱
جدول ۲-۳ : هدف های پیش فرض ۷۶
جدول ۲-۴ : حالت های ردیابی ارتباط ۹۱
جدول ۲-۵ : سطوح ثبت وقایع ۹۳
جدول ۲-۶ : ماجول های کمکی NAT 97

چکیده:
تأمین امنیت شبکه، بخش حساسی از وظایف هر مدیر شبکه محسوب می‎شود. از آنجاییکه ممکن است محافظت های متفاوتی موردنیاز باشد، لذا مکانیزم های گوناگونی هم برای تأمین امنیت در شبکه وجود دارد. یکی از این مکانیزم ها استفاده از دیوار آتش می‎باشد. مدیر شبکه باید درک بالایی از انواع دیوار آتش، نقاط قوت و ضعف هر نوع، حملات تهدید کننده هر نوع، معماری های دیوار آتش، تأثیرات آن بر شبکه و کاربران، سیاست امنیتی سازمان و همچنین نیازهای فنی پیاده سازی داشته باشد تا بتواند راه حل مناسب را انتخاب و به درستی پیاده سازی نماید و سپس آنرا مورد آزمایش قرار دهد. در همین راستا، سیستم عامل «Linux» برای پیاده سازی نرم افزاری دیوار آتش فیلتر کننده بسته، ابزاری را به نام «iptables» در اختیار کاربر قرار می‎دهد تا با استفاده از دستورات این ابزار بتواند قوانین و فیلترهای موردنیاز را برای کنترل مطلوب دسترسی، خواه از داخل شبکه به خارج و خواه بالعکس، پیکربندی نماید.

فصل اول

دیوارهای آتش شبکه

فصل اول: دیوارهای آتش شبکه
۱-۱ : مقدمه
امروزه با وجود طیف گسترده راه حل‌های دیوار آتش، انتخاب و پیاده سازی دیوار آتش به فرایندی زمان گیر مبدل شده است. روش جذاب در راه حل‌های دیوار آتشی که به بازار عرضه شده اند، به همراه ادعاهای نصب و مدیریت آسان، ممکن است سازمانها را به سمتی سوق دهد که بدون آنکه به طور کامل نیاز به راه حل دیوار آتش را بررسی نمایند، تصمیم به پیاده سازی آن بگیرند. با اتخاذ تصمیمات عجولانه، سازمانها اثراتی را که یک راه حل دیوار آتش بر شبکه موجود و کاربران آنها می‌گذارد، نادیده می‌گیرند.

چه متغیرهایی باید در هنگام تعیین نیاز به یک دیوار آتش، مورد توجه قرار گیرند؟ سازمانهایی که اتصال به اینترنت یا هر شبکه نامطمئن دیگر دارند، ممکن است نیاز به پیاده سازی یک راه حل دیوار آتش داشته باشند. به هر حال، این سازمانها باید اثراتی را که یک دیوار آتش بر سرویسهای شبکه، منابع و کاربران آن خواهد گذاشت مورد توجه قرار دهند و نحوه قرارگیری دیوار آتش براساس نیازهای تجاری خاص آنها و زیربنای شبکه را در نظر بگیرند. سازمانها باید نیازهای ویژه خود را مشخص کنند، زیربنای فعلی شبکه خود را تجزیه و تحلیل نمایند و از اطلاعات بدست آمده به عنوان مبنایی برای تصمیمات خود استفاده کنند. در برخی موارد، ممکن است بعد از بررسی تمام متغیرها، دریابند که یک راه حل دیوار آتش، ضروری نیست و یا پیاده سازی آن غیرعملی است.

۱-۲ : یک دیوار آتش چیست؟
دیوارهای آتش شبکه، سدی مابین شبکه‌ها به وجود می‌آورند که از ترافیک (traffic) ناخواسته یا بدون مجوز (unauthorized) جلوگیری می‌کند.
تعریف: دیوار آتش شبکه، سیستم یا گروهی از سیستمهاست که با استفاده از قوانین (rules) یا فیلترهای از پیش پیکربندی شده، دسترسی مابین دوشبکه- یک شبکه مطمئن (Trusted) و یک شبکه نامطمئن (Untrusted)- را کنترل می‌کند.

شکل ۱-۱: نمایش دیوار آتش شبکه
ممکن است دیوارهای آتش، فقط از یک مسیریاب (router)، چندین مسیریاب، یک سیستم میزبان یا چندین میزبان اجرا کننده نرم افزار دیوار آتش، دستگاههای سخت افزاری مخصوصی که برای تأمین سرویسهای دیوار آتش طراحی شده اند، یا هر ترکیبی از آنها تشکیل شده باشد. این موارد از نظر طراحی، کاربردی بودن، معماری و هزینه متغیر هستند. بنابراین، برای پیاده سازی موفق یک راه حل دیوار آتش در یک سازمان، مهم است که دریابیم که هر راه حل دیوار آتشی چه کاری می‌تواند انجام دهد و چه کاری نمی‌تواند انجام دهد. راه حلهای دیوار آتش می‌توانند هم اثرات مثبت بر شبکه بگذارند و هم اثرات منفی.

۱-۳ : دیوارهای آتش چه کاری انجام می‌دهند؟
۱-۳-۱ : اثرات مثبت
اگر دیوارهای آتش، به درستی پیاده سازی شوند می‌توانند دسترسی به شبکه و از شبکه را کنترل کنند. دیوارهای آتش طوری می‌توانند پیکربندی شوند که از دسترسی کابران بیرونی یا بدون مجوز به شبکه‌ها و سرویسهای داخلی یا محرمانه جلوگیری نمایند؛ و نیز می‌توانند طوری پیکربندی شوند که از دسترسی کاربران داخلی به شبکه‌ها و سرویس‌های بیرونی یا بدون مجوز جلوگیری کنند. برخی از دیوارهای آتش می‌توانند داخل یک سازمان طوری قرار بگیرند که دسترسی به سرویسها را مابین بخشها و دیگر شبکه‌های محرمانه کنترل کنند.

• تأیید اعتبار کاربر (User authentication): دیوارهای آتش می‌توانند طوری پیکربندی شوند که نیاز به تأیید اعتبار کاربر داشته باشند. این مورد به مدیران شبکه امکان می‌دهد که دسترسی کاربران خاصی را به سرویسها و منابع خاصی کنترل نمایند. تأیید اعتبار، این امکان را نیز به مدیران شبکه می‌دهد که فعالیت معینی از کاربر و تلاشهای بدون مجوز برای دستیابی به شبکه‌ها و سرویسهای محافظت شده را دنبال کنند.

• نظارت و ثبت وقایع (Auditing and logging): دیوارهای آتش می‌توانند امکانات نظارت و ثبت را در اختیارمان قرار دهند. با پیکربندی دیوار آتش جهت نظارت و ثبت فعالیت، می‌توان اطلاعات را نگهداری نمود و در آینده مورد تجزیه و تحلیل قرار داد. دیوارهای آتش می‌توانند بر اساس اطلاعاتی که جمع آوری کرده اند، آمارهایی تولید نمایند. این آمارها می‌تواند در اتخاذ تصمیمات خط مشی (Policy) که مربوط به دستیابی به شبکه و سودمندی آن است، مفید واقع شود.
• امنیت (Security): برخی از دیوارهای آتش به گونه ای عمل می‌کنند که می‌توانند شبکه‌های مطمئن یا داخلی را از شبکه‌های نامطمئن یا بیرونی پنهان کنند. این لایه امنیتی اضافه می‌تواند از سرویس‌ها در مقابل پویش‌های ناخواسته محافظت نماید.

دیوارهای آتش همچنین می‌توانند یک نقطه مرکزی برای مدیریت امنیت ایجاد کنند. این مسئله، زمانی که منابع انسانی و مالی یک سازمان محدود باشد می‌تواند بسیار مفید واقع گردد.

۱-۳-۲ : اثرات منفی
اگرچه راه حلهای دیوار آتش مزایای بسیاری دارند، اما ممکن است برخی اثرات منفی نیز بر جای بگذارند.
• گلوگاههای ترافیکی (Traffic bottlenecks): در بعضی از شبکه‌ها، دیوارهای آتش، یک گلوگاه ترافیکی ایجاد می‌کنند. با عبور دادن تمام ترافیک شبکه از دیوار آتش، امکان متراکم شدن شبکه بیشتر می‌شود.

• نقطه شکست واحد (Single point of failure): دیوارهای آتش می‌توانند یک نقطه شکست واحد ایجاد نمایند. در اغلب پیکربندیهایی که دیوارهای آتش تنها ارتباط مابین شبکه‌ها هستند، اگر به درستی پیکربندی نشوند و یا در دسترس نباشند، هیچ ترافیکی را از خود عبور نخواهند داد.
• محروم سازی کاربر (User frustration): دیوارهای آتش ممکن است کاربران را ناامید سازند زمانیکه منابع شبکه یا سرویسهای آن مسدود باشند یا در دسترس کاربران نباشند و یا برای دستیابی نیاز به تأیید اعتبار باشد و کاربران کلمه عبورشان را فراموش کرده باشند.

• مسئولیتهای مدیریتی بیشتر: اغلب یک دیوار آتش، مسئولیتهای مدیریتی شبکه را بیشتر می‌کند و عیب یابی شبکه را پیچیده تر می‌سازد. اگر مدیران شبکه زمانی را برای پاسخ به هر اخطار و بررسی ثبت وقایع به طوری منظم صرف نکنند، هرگز متوجه نخواهند شد که آیا دیوار آتش وظیفه خود را به درستی انجام می‌دهد یا نه. تمام دیوارهای آتش نیاز به پشتیبانی اجرایی مداوم، نگهداری کلی، به روز رسانیهای نرم افزاری، وصله‌های امنیتی (patch) و اداره مناسب حوادث دارند که بر مسئولیتهای مدیران شبکه می‌افزاید.

۱-۴ : دیوارهای آتش، چه کارهایی را نمی‌توانند انجام دهند؟
رایج ترین تصور غلط در مورد دیوارهای آتش، این است که دیوارهای آتش، امنیت شبکه شما را تضمین می‌کنند. یک دیوار آتش نمی‌تواند و تضمین نمی‌کند که شبکه شما صددرصد امن است. برای حفاظت بیشتر، یک دیوار آتش بهتر است به همراه دیگر معیارهای امنیت استفاده شود. حتی در آن صورت نیز، هیچ تضمینی وجود ندارد که شبکه، صددرصد امن باشد.

دیوارهای آتش نمی‌توانند هیچ حفاظتی در مقابل حملات درونی انجام دهند. برای آنکه یک دیوار آتش، مؤثر واقع شود، باید تمام ترافیک از آن عبور کند. معمولاً‌ کاربران شبکه مطمئن یا درونی، بدون نیاز به عبور از دیوار آتش، به سرویسهای حفاظت شده دسترسی دارند. امروزه درصد زیادی از حوادث امنیتی، از درون شبکه مطمئن ناشی می‌شوند.

دیوارهای آتش نمی‌توانند در مقابل دسترسی ناخواسته یا بدون مجوز از طریق درهای پشتی (back doors) شبکه شما، محافظت کنند. معمولاً درهای پشتی زمانی ایجاد می‌شوند که یک کاربر درونی از طریق یک مودم غیرمجاز با بیرون تماس می‌گیرد و با یک شبکه نامطمئن، ارتباط برقرار می‌کند.
در بیشتر پیاده سازیها، دیوارهای آتش نمی‌توانند حفاظتی در مقابل ویروسها یا کد مخرب (malicious code) انجام دهند. از آنجاییکه بیشتر دیوارهای آتش، فیلد بارکاری (payload) بسته را بررسی نمی‌کنند، از تهدیدهایی که ممکن است در بسته‌ها باشد، آگاه نیستند.

سرانجام، هیچ دیوارآتشی نمی‌تواند در مقابل خط مشهای ناکافی یا بدمدیریت شده، محافظتی انجام دهد. اگر یک کلمه عبور، اعلان شود شبکه شما در خطر است. برخی از نفوذهای امنیتی به این دلیل رخ می‌دهند که کاربران به طور غیرعمدی، کلمه عبورشان را اعلان می‌کنند یا اینکه ایستگاه کاری خود را به صورت باز رها می‌کنند.

۱-۵ : چگونه دیوارهای آتش عمل می‌کنند؟
اکنون که یک دیوار آتش را تعریف نمودیم و به تواناییها و ناتواناییهای آن اشاره نمودیم، نوبت به بررسی نحوه عملکرد دیوارهای آتش فرا می‌رسد.
دیوارهای آتش شبکه برای اتخاذ تصمیم در مورد کنترل دسترسی از دو نگرش منطق طراحی امنیتی استفاده می‌کنند. این دو نگرش، منطق متضادی دارند اما هدف هر دو، کنترل دسترسی است. این دو نگرش عبارتند از:
• هر چیزی که به طور مشخص اجازه داده نشود، رد می‌شود.
• هر چیزی که به طور مشخص رد نشود، اجازه داده می‌شود.
هر نگرش طرفدارانی دارد، اما نگرشی که اغلب توصیه می‌شود، این است که هر چیزی که به طور مشخص اجازه داده نشود، رد می‌شود. این نگرش، در مقابل دسترسی ناخواسته یا غیرمجاز، حالتی آینده نگر (proactive) پیش می‌گیرد. این نگرش، براساس این اصل کار می‌کند که کل دسترسی، تا زمانیکه یک قانون یا فیلتر پیکربندی شود که به طور مشخص اجازه دسترسی دهد، رد می‌شود. این نگرش، به طور پیش فرض امنیت بیشتری را تأمین می‌کند، اما می‌تواند خیلی محدود کننده محسوب شود. در بسیاری حالات، ترافیک قانونی تا زمانیکه متغیرهای صحیح تعیین شود و قوانین یا فیلترهایی پیکربندی شوند و پیاده سازی شوند که اجازه عبور را به ترافیک بدهند، منتظر می‌ماند.

منطق طراحی متضاد، یعنی هر چیزیکه به طور مشخص رد نشود، اجازه داده می‌شود، در مقابل دسترسی ناخواسته یا غیرمجاز، حالتی واکنشی (reactive) از خود نشان می‌دهد. این نگرش، براساس این اصل کار می‌کند که کل دسترسی، تا زمانیکه یک قانون یا فیلتر پیکربندی شود که به طور مشخص آنرا رد کند، اجازه داده می‌شود. این نگرش، امنیت کمتری را تأمین می‌کند اما انعطاف پذیرتر محسوب می‌شود زیرا ترافیک قانونی، دیگر منتظر نمی‌ماند.

۱-۶ : انواع دیوارهای آتش
منطق طراحی امنیت یک دیوار آتش، با استفاده از برخی روشهای غربال کردن بسته (packet screening) اجرا می‌شود. هر روش از اطلاعات لایه‌های متفاوتی از مدل OSI استفاده می‌کند. اساس این روشها بر مبنای این است که چگونه دیوارهای آتش از هر دو مورد قوانین و فیلترهای از پیش پیکربندی شده و دیگری اطلاعات جمع آوری شده از بسته‌ها و نشستها (sessions) برای تعیین اجازه عبور یا رد ترافیک استفاده می‌کنند. سه روش معروف عبارتند از: فیلتر کردن بسته (packet filtering)، بازرسی هوشمند بسته (stateful packet inspection) و دروازه برنامه‌های کاربردی و پراکسیها
(application gateways/proxies). روشهای ترکیبی غربال کردن بسته، اغلب دو یا تعداد بیشتری از این روشها را ترکیب می‌کنند تا امنیت و کارایی بیشتری حاصل شود.

شکل ۱-۲ : مدل OSI
۱-۶-۱ : فیلتر کردن بسته (Packet Filtering)
این روش، ساده ترین روش غربال کردن بسته می‌باشد. یک دیوار آتش از نوع فیلترکننده بسته دقیقاً همان کاری را انجام می‌دهد که از نام آن برمی‌آید. رایجترین پیاده سازی آن، روی یک مسیریاب یا بر روی دروازه دو خانه ای (dual-homed gateway) انجام می‌شود. فرایند فیلتر کردن بسته به روش زیر صورت می‌گیرد: هنگامی‌که هر بسته از دیوار آتش عبور می‌کند، بررسی می‌شود و اطلاعاتی که درون سرآیند (header) آن قرار دارد با یک مجموعه قوانین یا فیلترهای از پیش پیکربندی شده مقایسه می‌شود. براساس نتایج مقایسه، یک تصمیم اجازه ورود (allow) یا رد کردن (deny) گرفته می‌شود. هر بسته به طور جداگانه و بدون توجه به دیگر بسته‌هایی که قسمتی از همان ارتباط هستند، بررسی می‌شود.

شکل ۱-۳ : دیوار آتش از نوع فیلترکننده بسته
معمولاً یک دیوار آتش از نوع فیلتر کننده بسته، یک دیوار آتش لایه شبکه نامیده می‌شود زیرا عمل فیلتر کردن به طور عمده در لایه شبکه (لایه سوم) یا لایه انتقال (لایه چهارم) از مدل مرجع OSI انجام می‌شود.
شکل ۱-۴ : لایه‌های OSI در فیلتر کردن بسته
قوانین یا فیلترهای مربوط به فیلتر کننده بسته می‌توانند طوری پیکربندی (configure) شوند که براساس یک یا چند مورد از متغیرهای زیر، اجازه ورود یا رد کردن ترافیک را صادر کنند:
• Source IP address (مبدأ)
• Destination IP address (مقصد)
• نوع پروتکل (TCP یا UDP)
• Source Port
• Destination Port
لازم به ذکر است که تمام دیوارهای آتش توانایی انجام بعضی شکلهای فیلتر کردن بسته را دارند.

۱-۶-۱-۱ : نقاط قوت
فیلتر کردن بسته به طور شاخصی سریعتر از دیگر روشهای غربال کردن بسته عمل می‌کند. از آنجاییکه فیلتر کردن بسته در لایه‌های پائین تر مدل OSI انجام می‌شود، لذا زمان کمتری صرف انجام پردازش روی بسته می‌شود و اگر به درستی پیاده سازی شود، تأثیر بسیار اندکی بر روی عملکرد (Performance) کلی شبکه بر جای می‌گذارد.

دیوارهای آتش از نوع فیلتر کننده بسته می‌توانند به صورت شفاف یا پنهان از دید کاربر (transparent) پیاده سازی شوند. این نوع دیوارهای آتش معمولاً به پیکربندی اضافه ای برای کاربران نیاز ندارند. تنها نشانه ای که ممکن است کاربران از روی آن متوجه شوند که دیوار آتشی وجود دارد، این است که نتوانند به منبع (resource) یا سرویسی که مسدود (block) شده است، دسترسی یابند.

دیوارهای آتش از نوع فیلترکننده بسته، معمولاً گران نیستند. بسیاری از وسایل سخت افزاری و بسته‌های نرم افزاری، ویژگیهای فیلتر کردن بسته را به عنوان بخشی از خصوصیات استاندارد خود دارا هستند. اگر سازمانی در حال حاضر یک وسیله یا بسته نرم افزاری با قابلیت‌های فیلتر کردن بسته داشته باشد، علاوه بر عدم نیاز به صرف زمان برای طراحی و پیکربندی قوانین یا فیلترها، دیگر نیازی به هزینه‌های اضافی هم نخواهد بود.

دیوارهای آتش از نوع فیلتر کننده بسته، معمولاً نسبت به دیگر انواع دیوارهای آتش، بهتر مقیاس (scale) می‌شوند. این موضوع شاید با این واقعیت توجیه شود که سربار (overhead) ناشی از پردازشی که در دیگر انواع دیوار آتش وجود دارد، در این نوع وجود ندارد.

دیوارهای آتش از نوع فیلتر کننده بسته، مستقل از برنامه کاربردی
(application independent) هستند. تصمیمات، برمبنای اطلاعات درون سر آیند بسته اتخاذ می‌شود و نه بر مبنای اطلاعات مرتبط با یک برنامه کاربردی خاص.
۶-۱-۱-۲ نقاط ضعف:
دیوارهای آتش از نوع فیلتر کننده بسته، اجازه برقراری یک ارتباط مستقیم مابین دو نقطه انتهایی (endpoints) را می دهند. اگرچه این روش غربال کردن بسته، برای اجازه ورود دادن یا رد کردن ترافیک مابین دو شبکه، پیکربندی می‎شود اما مدل سرویس دهنده/ مشتری (client / server) هرگز نقض نمی‎شود.
دیوارهای آتش از نوع فیلتر کننده بسته سریع هستند و معمولاً تأثیری بر روی عملکرد شبکه نمی‌گذارند، اما اغلب یک نگرش همه یا هیچ چیز (all- or- nothing) محسوب می‌شود. اگر پورتها (ports) باز باشند، برای کل ترافیک عبوری از آن پورت باز هستند و در نتیجه یک حفره امنیتی (hole) در شبکه شما باقی می‌ماند.

تعریف کردن قوانین و فیلترهای یک دیوار آتش از نوع فیلتر کننده بسته ممکن است به کار پیچیده ای تبدیل شود. مدیر شبکه باید درک خوبی از سرویسها و پروتکلها (protocol) داشته باشد تا بتواند نیازهای امنیتی سازمان را به مجموعه دقیقی از قوانین یا فیلترهای اجازه یا رد ترجمه نماید. در بعضی حالات، ممکن است کار پیکربندی قوانین یا فیلترها آنقدر پیچیده شود که پیاده سازی را غیرممکن سازد. قوانین یا فیلترهای دسترسی طولانی می‌تواند تأثیر منفی روی عملکرد شبکه بگذارد و بستر خطا را فراهم سازد. هنگامی‌که تعداد قوانین یا فیلترها افزایش می‌یابد، مدت زمانی که دیوار آتش صرف اتخاذ تصمیمات مقایسه ای می‌کند افزایش می‌یابد و امکان اینکه یک قانون یا فیلتر، نادرست باشد نیز اضافه خواهد شد.

آزمایش صحت قوانین یا فیلترهای دیوار آتش از نوع فیلتر کننده بسته ممکن است دشوار باشد. حتی اگر قوانین یا فیلترها ساده به نظر آیند، بررسی درستی یک قانون از طریق آزمایش می‌تواند فرایندی زمان گیر باشد. گاهی اوقات نتایج آزمایش می‌تواند گمراه کننده و غیردقیق باشد.