Firewall

‫دﻳﻮار آﺗﺶ )‪(Firewall‬‬

‫ﭼﮕﻮﻧﻪ از ﻳﻚ ﺷﺒﻜﻪ و ﺧﻮدﻣﺎن ﻣﺤﺎﻓﻈﺖ ﻛﻨﻴﻢ؟‬

‫ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﻳﻚ ﺳﺎﺧﺘﻤﺎن ﺑﺎ دﻳﻮارﻫﺎي ﻣﺤﻜﻢ و ﺣﺼﺎرﻫﺎﻳﻲ ﺑﻪ ﻣﻨﻈﻮر ﻣﺘﻮﻗﻒ‬
‫ﻛﺮدن دﺷﻤﻦ از ورود ﺑﻪ ﺳﺎﺧﺘﻤﺎنﺗﺎن ﺑﺴﺎزﻳﺪ اﻣ‪‬ﺎ ﻳﻚ در ﻛﻮﭼﻚ و ﻣﺤﺎﻓﻈﺖ ﺷﺪه‬
‫ﺑﺮاي ورود دوﺳﺘﺎن ﺧﻮد ﺑﻪ ﺳﺎﺧﺘﻤﺎن ﺗﻌﺒﻴﻪ ﻛﻨﻴﺪ‪.‬‬
‫ﻣﺪتﻫﺎي ﻃﻮﻻﻧﻲ اﻳﻦ اﺳﺘﺮاﺗﮋي ﺑﺮاي ﻳﻚ ‪ closed network‬اﺳﺘﻔﺎده ﻣﻲﺷﺪ‪ .‬در‬
‫آن زﻣﺎن ﻫﻴﭻ اﺗﺼﺎل ﺧﺎرﺟﻲاي وﺟﻮد ﻧﺪاﺷﺖ و اﻳﻨﺘﺮﻧﺘﻲ ﻫﻢ وﺟﻮد ﻧﺪاﺷﺖ‪ .‬ﻫﻤﻪ‬
‫ﭼﻴﺰ ﺧﻮب ﺑﻮد ﺗﺎ وﻗﺘﻲﻛﻪ اﻳﻨﺘﺮﻧﺖ و ﺗﺠﺎرت اﻟﻜﺘﺮوﻧﻴﻚ ﻇﻬﻮر ﻛﺮد‪.‬‬
‫ﺑﺎ ورود اﻳﻨﺘﺮﻧﺖ‪ ،‬ﺗﺠﺎرت اﻟﻜﺘﺮوﻧﻴﻚ و رﺷﺪ ﻛﺎرﺑﺮدﻫﺎي واﺑﺴﺘﻪ ﺑﻪ آﻧﻬﺎ‪closed ،‬‬
‫‪ network‬دﻳﮕﺮ ﻧﻤﻲﺗﻮاﻧﺴﺖ ﺑﺴﺘﻪ ﺑﻤﺎﻧﺪ و ﺷﺒﻜﻪﻫﺎي ﺧﺼﻮﺻﻲ ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻋﻤﻮﻣﻲ‬
‫وﺻﻞ ﺷﺪﻧﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪2‬‬

 (Firewall) ‫دﻳﻮار آﺗﺶ‬

Intrusion Detection ،‫ﻫﺎ‬Firewall ‫دﺳﺘﮕﺎهﻫﺎي اﻣﻨﻴﺘﻲ ﻣﺨﺘﻠﻔﻲ ﻣﺜﻞ‬

‫ﻫﺎ‬VPN ‫ و‬authentication and access control ‫ دﺳﺘﮕﺎهﻫﺎي‬،‫ﻫﺎ‬System
‫ ﺑﺮاي درك ﺑﻬﺘﺮ اﻳﻦ دﺳﺘﮕﺎهﻫﺎ ﺟﺪول زﻳﺮ ﻳﻚ ﻗﻴﺎس اﻧﺠﺎم داده‬.‫ﭘﻴﺎدهﺳﺎزي ﺷﺪﻧﺪ‬
.‫اﺳﺖ‬

No Description Security Devices

1 ‫ ﻗﻔﻞ و ﻛﻠﻴﺪ‬،‫درﺑﺎن‬ Firewall

2 ‫ﭘﺎﺳﭙﻮرت و وﻳﺰا‬ Access cards, Biometrics

3 ‫ﻧﻈﺎرت‬ Intrusion Detection System/ Intrusion Prevention system

4 ‫ﺑﺪرﻗﻪ ﻛﺮدن ﻣﻬﻤﺎﻧﺎن ﺗﺎ آزﻣﺎﻳﺸﮕﺎه ﺷﻤﺎ‬ Virtual Private Network (VPN)

5 ‫ ﺳﮓﻫﺎي ﻧﮕﻬﺒﺎن‬،‫ﻧﮕﻬﺒﺎنﻫﺎ‬ Intrusion Detection System/ Intrusion Prevention system

‫ﺪ ﻣﻬﺪي ﻓﻴﺾ‬‫ﺪ ﻣﺤﻤ‬‫ ﺳﻴ‬:‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‬ 3

 ‫دﻳﻮار آﺗﺶ )‪(Firewall‬‬

‫واژهي ﻓﺎﻳﺮوال در دﻧﻴﺎي واﻗﻌﻲ ﺑﻪ ﻣﻌﻨﻲ ﻳﻚ دﻳﻮار ﺳﺎﺧﺘﻪ ﺷﺪه ﺑﺮاي ﻣﺤﺎﻓﻈﺖ‬
‫در ﻣﻘﺎﺑﻞ آﺗﺶ و ﻛﻨﺪ ﻛﺮدن ﺳﺮاﻳﺖ آﺗﺶ ﺑﻪ داﺧﻞ ﺳﺎﺧﺘﻤﺎن اﺳﺖ‪ .‬اﻳﻦ‬
‫ﻣﻔﻬﻮم در ﺷﺒﻜﻪ ﻧﻴﺰ ﻫﻤﻴﻦﻃﻮر ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮد‪.‬‬
‫ﻳﻚ ﻓﺎﻳﺮوال ﺷﺒﻜﻪ ﻗﺼﺪ دارد دﺳﺘﺮﺳﻲ ﻛﺎرﺑﺮان ﻏﻴﺮﻣﺠﺎز ﺑﻪ ﺷﺒﻜﻪ و‬
‫ﺳﺮوﻳﺲﻫﺎي ﺷﺒﻜﻪﻫﺎي ﺧﺎرﺟﻲ دﻳﮕﺮ را ﻣﺘﻮﻗﻒ ﻛﻨﺪ‪ .‬راﻳﺞﺗﺮﻳﻦ آراﻳﺶ ﻓﺎﻳﺮوال‬
‫ﺑﻴﻦ ﺷﺒﻜﻪي ﻣﻄﻤﺌﻦ ﻳﻚ ﺳﺎزﻣﺎن و ﺷﺒﻜﻪي ﻧﺎﻣﻄﻤﺌﻦ‪ ،‬اﻳﻨﺘﺮﻧﺖ‪ ،‬اﺳﺖ )ﺷﻜﻞ زﻳﺮ(‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪4‬‬

 ‫وﻇﺎﻳﻒ اﺻﻠﻲ دﻳﻮار آﺗﺶ )‪(Firewall‬‬

‫ﻳﻚ ﻓﺎﻳﺮوال در دﻧﻴﺎي ﺷﺒﻜﻪ ﺗﺮاﻓﻴﻚﻫﺎي ورودي ﺑﻪ ﺷﺒﻜﻪ را ﺑﺎزرﺳﻲ ﻣﻲﻛﻨﺪ و ﺑﺮ‬
‫اﺳﺎس ﻗﻮاﻧﻴﻨﻲ ﻛﻪ ﺗﻮﺳﻂ ﺷﺒﻜﻪ و ﻣﻨﺎﺑﻌﺶ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮد اﻳﻦ ﺗﺮاﻓﻴﻚ را از دﻳﻮار‬
‫ﻋﺒﻮر ﻣﻲدﻫﺪ‪.‬‬
‫ﻓﺎﻳﺮوال ﻣﺜﻞ ﻳﻚ ﻧﮕﻬﺒﺎن اﻣﻨﻴﺘﻲ ﻋﻤﻞ ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻌﻤﻮﻻً درﻛﻨﺎر در اﺻﻠﻲ ﻧﺸﺴﺘﻪ‬
‫اﺳﺖ و ﻫﻮﻳﺖ ﺷﻤﺎ را ﭼﻚ ﻣﻲﻛﻨﺪ و در ﺻﻮرت ﺗﺎﺋﻴﺪ ﻫﻮﻳﺖ ﺑﻪ ﺷﻤﺎ اﺟﺎزه ورود‬
‫ﻣﻲدﻫﺪ‪.‬‬
‫ﻓﺎﻳﺮوال ﺳﻪ وﻇﻴﻔﻪي اﺻﻠﻲ دارد )ﺑﺴﺘﻪ ﺑﻪ ﻧﻮع ﻓﺎﻳﺮوال(‪:‬‬
‫‪:Packet Filtering -1‬‬
‫ﻓﺎﻳﺮوال ﺑﺴﺘﻪﻫﺎي ‪ IP‬را ﻓﻴﻠﺘﺮ ﻣﻲﻛﻨﺪ‪ .‬ﺳﺮآﻳﻨﺪ ‪ IP‬ﺗﻤﺎم ﺑﺴﺘﻪﻫﺎﻳﻲ ﻛﻪ ﺑﻪ‬
‫ﻓﺎﻳﺮوال ﺷﺒﻜﻪ وارد ﻣﻲﺷﻮﻧﺪ ﻳﺎ از آن ﺧﺎرج ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺑﺎزرﺳﻲ ﻣﻲﺷﻮد‪ .‬ﻓﺎﻳﺮوال‬
‫ﺗﺼﻤﻴﻢ واﺿﺤﻲ ﺑﺮاي ﻫﺮ ﺑﺴﺘﻪاي ﻛﻪ وارد ﻣﻲﺷﻮد اﺗﺨﺎذ ﻣﻲﻛﻨﺪ ﻛﻪ آﻳﺎ ﺑﻪ ﺑﺴﺘﻪ‬
‫اﺟﺎزه ورود داده ﺷﻮد ﻳﺎ ﻧﻪ؟‬
‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪5‬‬
 ‫وﻇﺎﻳﻒ اﺻﻠﻲ دﻳﻮار آﺗﺶ )‪(Firewall‬‬

‫‪Stateful Packet Filtering -2‬‬

‫در اﻳﻨﺠﺎ ﻓﻴﻠﺘﺮ ﻛﺮدن ﺑﺴﺘﻪﻫﺎ ﻓﺮاﺗﺮ از ﻓﻴﻠﺘﺮ ﻛﺮدن ﻋﺎدي ﺑﺴﺘﻪﻫﺎ اﺳﺖ‪ .‬در اﻳﻦ ﻧﻮع‬
‫ﻓﻴﻠﺘﺮﻳﻨﮓ‪ ،‬ﺣﺎﻟﺖ )‪ (state‬ﺟﺮﻳﺎنﻫﺎي اﺗﺼﺎﻟﻲ ﺑﺮاي ﺗﻤﺎم ﺑﺴﺘﻪﻫﺎ در دو ﺟﻬﺖ‬
‫ﻧﮕﻬﺪاري ﻣﻲﺷﻮد‪ .‬ﻫﻤﭽﻨﻴﻦ ﺗﻤﺎﻣﻲ آدرسﻫﺎي ‪ IP‬ﻛﻪ اﺧﻴﺮاً در اﺗﺼﺎﻻت در‬
‫ﻫﺮ ﻟﺤﻈﻪ از زﻣﺎن اﺳﺘﻔﺎده ﺷﺪهاﻧﺪ ﻧﻴﺰ ﻧﮕﻬﺪاري ﻣﻲﺷﻮد‪.‬‬
‫‪Application Level Gateway (Proxy) -3‬‬
‫ﻓﺎﻳﺮوال ﻫﻤﭽﻨﻴﻦ ﺗﻮاﻧﺎﻳﻲ ﺑﺮرﺳﻲ ﻛﺮدن ﭘﺮوﺗﻜﻞﻫﺎي ﻻﻳﻪي ﻛﺎرﺑﺮد را دارد‪ .‬اﻳﻦ‬
‫ﻛﺎر ﻣﺴﺘﻠﺰم اﻳﻦ اﺳﺖ ﻛﻪ ﻓﺎﻳﺮوال ﺑﺮﺧﻲ ﭘﺮوﺗﻜﻞﻫﺎي ﻻﻳﻪي ﻛﺎرﺑﺮد را درك ﻛﻨﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪6‬‬

‫‪Packet Filtering‬‬

‫ﻳﻚ ﻓﻴﻠﺘﺮ ﺑﺴﺘﻪ‪ ،‬ﺑﺴﺘﻪﻫﺎﻳﻲ ﻛﻪ ﺑﻪ ﺷﺒﻜﻪ وارد ﻳﺎ ﺧﺎرج ﻣﻲﺷﻮﻧﺪ را ﻓﻴﻠﺘﺮ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻓﺎﻳﺮوال ﻫﺮ ﺑﺴﺘﻪي ‪ IP‬را ﺑﺎزرﺳﻲ ﻣﻲﻛﻨﺪ و ﺗﺼﻤﻴﻢ ﻣﻲﮔﻴﺮد‪ .‬ﻫﺮ ﺑﺴﺘﻪ ﺑﺎ ﻣﺠﻤﻮﻋﻪاي‬
‫از ﻗﺎﻧﻮنﻫﺎي ﻓﻴﻠﺘﺮ ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮد و ﺑﺮ اﺳﺎس ﻫﺮ ﻣﻄﺎﺑﻘﺘﻲ ﺑﺴﺘﻪ ﻣﺠﺎز‪ ،‬رد ﻳﺎ دور‬
‫اﻧﺪاﺧﺘﻪ ﻣﻲﺷﻮد‪ .‬ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﺑﺮ روي ﻻﻳﻪي اﻧﺘﻘﺎل و ﻛﺎرﺑﺮد ﻣﺪل ﻣﺮﺟﻊ ‪OSI‬‬
‫ﻳﺎ ‪ TCP‬و ﻻﻳﻪي ‪ IP‬ﻣﺠﻤﻮﻋﻪ ﭘﺮوﺗﻜﻞ ‪ TCP/IP‬اﻧﺠﺎم ﻣﻲﺷﻮد )ﻣﺜﻞ ﺷﻜﻞ اﺳﻼﻳﺪ‬
‫‪.(8‬‬
‫ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﺣﺎﻟﺖ ﻳﺎ وﺿﻌﻴﺖ را ﺑﻪ ﺧﺎﻃﺮ ﻧﻤﻲآورد و ﺑﻨﺎﺑﺮاﻳﻦ ﺑﻪ اﻳﻦ‬
‫ﻧﻮع ﻓﺎﻳﺮوال‪ stateless firewall ،‬ﮔﻮﻳﻨﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪7‬‬

‫‪Packet Filtering‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪8‬‬

‫‪Packet Filtering‬‬

‫ﻓﻴﻠﺘﺮﻫﺎي ﺑﺴﺘﻪ ﻣﻌﻤﻮﻻً ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ را ﺑﺮ اﺳﺎس ﻓﺎﻛﺘﻮرﻫﺎي زﻳﺮ رد ﻳﺎ ﻗﺒﻮل‬

‫ﻣﻲﻛﻨﻨﺪ‪:‬‬
‫‪ ‬آدرسﻫﺎي ‪ IP‬ﻣﺒﺪا و ﻣﻘﺼﺪ‬
‫‪ ‬ﭘﺮوﺗﻜﻠﻲ ﻣﺜﻞ ‪ UDP ،TCP‬ﻳﺎ ‪ICMP‬‬
‫‪ ‬آدرسﻫﺎي ﭘﻮرت ﻣﺒﺪا ﻳﺎ ﻣﻘﺼﺪ ﭘﺮوﺗﻜﻞ ‪ TCP‬ﻳﺎ ‪UDP‬‬
‫‪ ‬ﭘﺮﭼﻢﻫﺎ در ﺳﺮآﻳﻨﺪ ‪ TCP‬ﻣﺜﻞ ‪ CLOSE ،ACK‬و ‪SYNC‬‬
‫‪ ‬ﭘﺮﭼﻢ ﺗﻜﻪ ﺗﻜﻪ ﺷﺪن )‪IP (Fragmentation‬‬
‫‪ ‬ﺟﻬﺖ ﺑﺴﺘﻪ – وارد ﺷﻮﻧﺪه )‪ (inbound‬ﻳﺎ ﺧﺎرج ﺷﻮﻧﺪه )‪(outbound‬‬
‫‪ ‬واﺳﻂ ﻓﻴﺰﻳﻜﻲ‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪9‬‬

 ‫ﭼﮕﻮﻧﻪ ﻳﻚ ﻓﺎﻳﺮوال ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻛﺎر ﻣﻲﻛﻨﺪ؟‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪10‬‬

 ‫ﭼﮕﻮﻧﻪ ﻳﻚ ﻓﺎﻳﺮوال ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻛﺎر ﻣﻲﻛﻨﺪ؟‬

‫ﻳﻚ ﻓﺎﻳﺮوال ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﺑﺎ ﻣﺠﻤﻮﻋﻪاي از ﻗﻮاﻧﻴﻦ ﻛﻪ ﺑﺮاي رد ﻳﺎ ﻗﺒﻮل ﺑﺴﺘﻪ‬

‫ﺗﻌﺮﻳﻒ ﻣﻲﮔﺮدﻧﺪ‪ ،‬ﭘﻴﻜﺮﺑﻨﺪي ﻣﻲﺷﻮد‪ .‬وﻗﺘﻲ ﻛﻪ ﻓﺎﻳﺮوال ﻳﻚ ﺑﺴﺘﻪ را درﻳﺎﻓﺖ ﻛﺮد‪،‬‬
‫ﻓﻴﻠﺘﺮ ﻗﻮاﻧﻴﻦ ﺗﻌﺮﻳﻒ ﺷﺪه ﺑﺮاي آدرس ‪ ،IP‬ﺷﻤﺎرهي ﭘﻮرت‪ ،‬ﭘﺮوﺗﻜﻞ و ﻏﻴﺮه را ﭼﻚ‬
‫ﻣﻲﻛﻨﺪ‪ .‬اﮔﺮ ﺑﺎ ﻗﺎﻧﻮن ﻣﻄﺎﺑﻘﺖ داﺷﺖ‪ ،‬ﺑﺴﺘﻪ ﻗﺒﻮل ﻣﻲﺷﻮد ﺳﭙﺲ ﺑﺴﺘﻪ ﺗﻮﺳﻂ ﺷﺒﻜﻪ‬
‫ﭘﺬﻳﺮﻓﺘﻪ ﻣﻲﺷﻮد در ﻏﻴﺮ اﻳﻨﺼﻮرت ﺑﺴﺘﻪ رد ﻣﻲﺷﻮد‪.‬‬
‫ﺑﺮاي درك ﭘﻴﻜﺮﺑﻨﺪي ﻗﻮاﻧﻴﻦ ﻓﻴﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﺷﻤﺎ ﻧﻴﺎز دارﻳﺪ ﻛﻪ اﺑﺘﺪا ﭘﺮوﺗﻜﻞ‬
‫‪ TCP/IP‬را درك ﻛﻨﻴﺪ و اﻳﻦﻛﻪ ﺑﺴﺘﻪي ‪ IP‬ﭼﻴﺴﺖ و ﭼﮕﻮﻧﻪ در ﻫﺮ ﻻﻳﻪ ﺑﺴﺘﻪﻫﺎي‬
‫‪ IP‬ﻣﺪﻳﺮﻳﺖ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫‪RFC‬ﻫﺎي ‪ 791‬و ‪ 793‬ﺟﺰﺋﻴﺎت ﭘﺮوﺗﻜﻞ ‪ IP‬و ﭘﺮوﺗﻜﻞ ‪ TCP‬را ﻋﺮﺿﻪ ﻣﻲﻛﻨﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪11‬‬

 ‫ﭼﮕﻮﻧﻪ ﻳﻚ ﻓﺎﻳﺮوال ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻛﺎر ﻣﻲﻛﻨﺪ؟‬

‫از ﻧﻘﻄﻪ ﻧﻈﺮ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ‪ ،‬ﺳﺮآﻳﻨﺪ ‪ IP‬ﻣﺤﺘﻮي ﺳﻪ ﻗﺴﻤﺖ ﻣﻬﻢ اﻃﻼﻋﺎت اﺳﺖ‪:‬‬
‫‪ ‬آدرس ‪ IP‬ﻣﺒﺪا ‪ -‬ﻃﻮل آن ‪ 4‬ﺑﺎﻳﺖ اﺳﺖ و ﻣﻌﻤﻮﻻً ﺑﻪ ﺻﻮرت ‪192.168.2.34‬‬
‫ﻧﻮﺷﺘﻪ ﻣﻲﺷﻮد‪.‬‬
‫‪ ‬آدرس ‪ IP‬ﻣﻘﺼﺪ – ﻃﻮل آن ‪ 4‬ﺑﺎﻳﺖ اﺳﺖ و ﻣﺜﻞ آدرس ﻣﺒﺪا ﻧﻮﺷﺘﻪ ﻣﻲﺷﻮد‪.‬‬
‫‪ ‬ﭘﺮوﺗﻜﻞ ‪ – IP‬ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﻛﻪ آﻳﺎ ﺑﺴﺘﻪي ﻣﺮﺑﻮط ﺑﻪ ﭘﺮوﺗﻜﻞ ‪ UDP ،TCP‬و‬
‫ﻳﺎ ‪ ICMP‬اﺳﺖ‪.‬‬
‫اﮔﺮ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺷﺒﻜﻪ ﻛﻮﭼﻚﺗﺮ از ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﻣﺒﺪا ﺑﺎﺷﺪ‪ ،‬آﻧﮕﺎه ﻣﻤﻜﻦ اﺳﺖ ﺑﺴﺘﻪي‬
‫‪ IP‬ﺑﻪ ﻳﻚ ﺳﺮي ﺑﺴﺘﻪﻫﺎي ﻛﻮﭼﻚﺗﺮ ﻛﻪ ‪ Fragment‬ﻧﺎﻣﻴﺪه ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺗﻘﺴﻴﻢ‬
‫ﮔﺮدد‪ Fragmenting .‬ﺳﺎﺧﺘﺎر ﺑﺴﺘﻪي ‪ IP‬را ﺗﻐﻴﻴﺮ ﻧﻤﻲدﻫﺪ اﻣﺎ ﻳﻚ ‪ flag‬در‬
‫داﺧﻞ ﺑﺴﺘﻪي ‪ IP‬ﻗﺮار ﻣﻲدﻫﺪ ﻛﻪ ﺗﻮﺿﻴﺢ ﻣﻲدﻫﺪ ﺑﺪﻧﻪ ﺷﺎﻣﻞ ﻗﺴﻤﺘﻲ از ﻳﻚ ﺑﺴﺘﻪ‬
‫ﻣﻲﺑﺎﺷﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪12‬‬

 ‫ﭼﮕﻮﻧﻪ ﻳﻚ ﻓﺎﻳﺮوال ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻛﺎر ﻣﻲﻛﻨﺪ؟‬

‫ﺳﺮآﻳﻨﺪ ﺑﺴﺘﻪي ‪ TCP‬ﻣﺤﺘﻮي اﻃﻼﻋﺎت زﻳﺮ اﺳﺖ‪:‬‬

‫‪ ‬آدرس ﭘﻮرت ﻣﺒﺪا – ﻳﻚ ﻋﺪد ‪ 2‬ﺑﺎﻳﺘﻲ اﺳﺖ ﻛﻪ ﻓﺮآﻳﻨﺪ ﻛﺎرﺑﺮدياي ﻛﻪ ﺑﺴﺘﻪ‬
‫ﺑﻪ آن ﺗﻌﻠﻖ دارد را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ ‬آدرس ﭘﻮرت ﻣﻘﺼﺪ – ﻳﻚ ﻋﺪد ‪ 2‬ﺑﺎﻳﺘﻲ اﺳﺖ ﻛﻪ ﻓﺮآﻳﻨﺪ ﻛﺎرﺑﺮدياي ﻛﻪ ﺑﺴﺘﻪ‬
‫ﺑﻪ آن ﺑﺎﻳﺪ ﺑﺮﺳﺪ را ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ ‬ﻓﻴﻠﺪ ﭘﺮﭼﻢ ‪ – TCP‬ﻣﺤﺘﻮي اﻃﻼﻋﺎت ﭘﺮوﺗﻜﻞ ‪ TCP‬ﻣﺜﻞ اﻳﺠﺎد اﺗﺼﺎل‪،‬‬
‫ﺧﺎﺗﻤﻪي اﺗﺼﺎل و ﺳﺎﻳﺰ ﺑﺴﺘﻪ اﺳﺖ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪13‬‬

 ‫ﻳﻚ ﻧﻤﻮﻧﻪ از ﻗﻮاﻧﻴﻦ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ‬

‫ﺑﻪ ﻃﻮر ﻣﺜﺎل ﺷﻤﺎ ﻣﻲﺧﻮاﻫﻴﺪ اﺟﺎزه دﻫﻴﺪ ﻛﻪ ﺗﻤﺎم ﺗﺮاﻓﻴﻚ ‪ IP‬ﺑﻴﻦ ﻳﻚ ﻣﻴﺰﺑﺎن‬
‫ﺧﺎرﺟﻲ )‪ (162.22.34.56‬و ﻳﻚ ﻣﻴﺰﺑﺎن در داﺧﻞ ﺷﺒﻜﻪ )ﻛﻼس ‪(10.1.1.2 ،A‬ﻋﺒﻮر‬
‫ﻛﻨﺪ‪ .‬ﺟﺪول زﻳﺮ ﻟﻴﺴﺘﻲ از ﻗﻮاﻧﻴﻦ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ را ﻧﻤﺎﻳﺶ ﻣﻲدﻫﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪14‬‬

 ‫ﻳﻚ ﻧﻤﻮﻧﻪ از ﻗﻮاﻧﻴﻦ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ‬

‫ﭼﻨﺪ ﻧﻤﻮﻧﻪ از ﻗﻮاﻧﻴﻦ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﺑﻪ ﺷﺮح زﻳﺮ اﺳﺖ‪:‬‬

‫• ﺳﺮوﻳﺲﻫﺎي ‪ e‐mail‬و ‪ HTTP‬را اﺟﺎزه ﻣﻲدﻫﺪ اﻣﺎ ﺳﺮوﻳﺲﻫﺎﻳﻲ ﻣﺜﻞ ‪TFTP‬‬
‫و ‪ Telnet‬را ﺑﻠﻮﻛﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫• ﺗﻤﺎﻣﻲ اﺗﺼﺎﻻت ورودي از ﺳﻴﺴﺘﻢﻫﺎي ﺧﺎرﺟﻲ ﺑﻪ ﻏﻴﺮ از اﺗﺼﺎﻻت ‪ SMTP‬را‬
‫ﺑﻠﻮﻛﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫• ﭘﻮرت ‪ 443‬ﺑﺮاي ﺗﻤﺎﻣﻲ آدرسﻫﺎي ﻣﻘﺼﺪ را اﺟﺎزه ﻣﻲدﻫﺪ‪(HTTPS) .‬‬
‫• ﭘﻮرت ‪ 80‬ﺑﺮاي ﺗﻤﺎﻣﻲ آدرسﻫﺎي ﻣﻘﺼﺪ را اﺟﺎزه ﻣﻲدﻫﺪ‪(HTTP) .‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪15‬‬

 ‫ﻣﺰاﻳﺎ و ﻣﻌﺎﻳﺐ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ‬

‫ﻣﻬﻢﺗﺮﻳﻦ ﻣﺰﻳﺖ ﻓﺎﻳﺮوال ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻗﻮاﻧﻴﻦ ﺳﺎدهي آن اﺳﺖ‪ allow :‬ﻳﺎ‬
‫‪.deny‬‬
‫‪ ‬اﮔﺮ ﻣﺤﻞ ﻗﺮارﮔﻴﺮي ﻓﺎﻳﺮوال ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ درﺳﺖ اﻧﺘﺨﺎب ﺷﻮد ﻣﻲﺗﻮاﻧﺪ ﻛﻞ‬
‫ﺷﺒﻜﻪ را ﻣﺤﺎﻓﻈﺖ ﻛﻨﺪ‪ .‬ﺑﻴﺸﺘﺮ روﺗﺮﻫﺎ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ را ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫اﮔﺮ ﺷﻤﺎ ﻳﻚ روﺗﺮ ﺑﻌﺪ از ﺳﺮوﻳﺲدﻫﻨﺪهي اﻳﻨﺘﺮﻧﺖ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﻛﻪ ﻓﻴﻠﺘﺮﻳﻨﮓ‬
‫ﺑﺴﺘﻪي آن ﻓﻌﺎل ﺑﺎﺷﺪ آﻧﮕﺎه ﺷﻤﺎ ﻣﻲﺗﻮاﻧﻴﺪ ﺗﻤﺎم ﺷﺒﻜﻪ را ﺑﺪون در ﻧﻈﺮ ﮔﺮﻓﺘﻦ‬
‫ﺳﺎﻳﺰ ﺷﺒﻜﻪ‪ ،‬ﻣﺤﺎﻓﻈﺖ ﻛﻨﻴﺪ‪.‬‬
‫‪ ‬ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ در اﻛﺜﺮ روﺗﺮﻫﺎ وﺟﻮد دارد‪ .‬ﻓﺮوﺷﻨﺪهﻫﺎي ﺑﺮﺟﺴﺘﻪي ﺷﺒﻜﻪ ﻣﺜﻞ‬
‫ﺳﻴﺴﻜﻮ‪ ،‬ژوﻧﻴﭙﺮ و ‪ ،HP‬ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ را در روﺗﺮﻫﺎي ‪ edge‬و ‪ core‬ﺧﻮد ﺑﺎ‬
‫ﻋﻨﻮان )‪ Access Control Lists (ACL‬ﻗﺮار دادهاﻧﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪16‬‬

 ‫ﻣﺰاﻳﺎ و ﻣﻌﺎﻳﺐ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ‬

‫ﻓﺎﻳﺮوالﻫﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻣﻌﺎﻳﺒﻲ ﻧﻴﺰ دارﻧﺪ‪:‬‬

‫‪ ‬ﭘﻴﻜﺮﺑﻨﺪي ﻗﻮاﻧﻴﻦ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﺳﺨﺖ اﺳﺖ‪ .‬ﺷﻤﺎ ﻧﻴﺎز ﺑﻪ ﻣﻬﺎرت ﺑﺴﻴﺎر زﻳﺎد و‬
‫اﺳﺘﺮاﺗﮋي ﻣﻨﺎﺳﺐ ﺑﺮاي ﭘﻴﻜﺮﺑﻨﺪي درﺳﺖ آن دارﻳﺪ‪.‬‬
‫‪ ‬ﺣﺘﻲ اﮔﺮ آنرا ﭘﻴﻜﺮﺑﻨﺪي ﻛﺮدﻳﺪ‪ ،‬ﺑﺴﻴﺎر ﺳﺨﺖ اﺳﺖ ﻛﻪ ﺑﻪ ﻃﻮر ﻛﺎﻣﻞ آنرا ﺗﺴﺖ‬
‫ﻛﻨﻴﺪ و ﺗﺎﻳﻴﺪ ﻛﻨﻴﺪ ﻛﻪ آﻳﺎ ﺑﻪ درﺳﺘﻲ ﻛﺎر ﻣﻲﻛﻨﺪ ﻳﺎ ﻧﻪ؟‬
‫‪ ‬اﻳﻦ ﻧﻮع ﻓﺎﻳﺮوال ﻳﻚ ﻣﺎﺷﻴﻦ ﺑﺪون وﺿﻌﻴﺖ اﺳﺖ‪ .‬ﻳﻌﻨﻲ وﺿﻌﻴﺖ ﺑﺴﺘﻪي‬
‫ﻗﺒﻠﻲ را ﺑﻪ ﺧﺎﻃﺮ ﻧﻤﻲآورد‪ .‬ﻓﺎﻳﺮوالﻫﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪي ﺑﺪون وﺿﻌﻴﺖ در‬
‫ﺑﺮاﺑﺮ ﺣﻤﻠﻪﻫﺎ آﺳﻴﺐﭘﺬﻳﺮ ﻫﺴﺘﻨﺪ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ﺑﻌﻀﻲ ﺣﻤﻠﻪﻫﺎ ‪ ،spoofing ،‬ﻣﻲﺗﻮاﻧﻨﺪ‬
‫ﺑﻪ راﺣﺘﻲ از ﻗﻮاﻧﻴﻦ ﻓﺎﻳﺮوال ﻋﺒﻮر ﻛﻨﻨﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪17‬‬

 ‫ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ‪stateful‬‬

‫ﻣﻬﻢﺗﺮﻳﻦ ﻋﻴﺐ ﻓﺎﻳﺮوالﻫﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ اﻳﻦ ﺑﻮد ﻛﻪ ﺑﺪون وﺿﻌﻴﺖ ﺑﻮدﻧﺪ‪ .‬ﻳﻌﻨﻲ‬
‫وﺿﻌﻴﺖ ﺑﺴﺘﻪي ﻗﺒﻠﻲ را ﺑﻪ ﺧﺎﻃﺮ ﻧﻤﻲآورد‪ .‬اﻳﻦ ﻣﻮﺿﻮع ﺑﺎﻋﺚ ﻣﻲﺷﺪ ﻛﻪ ﺑﺴﻴﺎري از‬
‫ﺑﺴﺘﻪﻫﺎي ﻧﺎﻣﻄﻠﻮب از ﻓﺎﻳﺮوال ﻋﺒﻮر ﻛﻨﻨﺪ‪.‬‬
‫اﻳﻦ ﺧﻄﺮﻫﺎ ﺑﺮاي ﻓﺎﻳﺮوالﻫﺎي اوﻟﻴﻪي ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻏﻴﺮﻗﺎﺑﻞ اﺟﺘﻨﺎب ﺑﻮد‪ .‬از اﻳﻦرو‬
‫ﺗﻤﺎﻣﻲ ﻓﺎﻳﺮوالﻫﺎي ﻣﺪرن ﻓﺮاﺗﺮ از ﻓﺎﻳﺮوالﻫﺎي ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪ ﻋﻤﻞ ﻣﻲﻛﻨﻨﺪ و‬
‫ﻫﻤﻪي آﻧﻬﺎ ‪ stateful‬ﻫﺴﺘﻨﺪ‪ .‬ﻳﻌﻨﻲ ﻓﺎﻳﺮوال ردﭘﺎي وﺿﻌﻴﺖ اﺗﺼﺎل ﺑﺮاي‬
‫ﺗﻤﺎﻣﻲ ﺑﺴﺘﻪﻫﺎ در دو ﺟﻬﺖ )ورود و ﺧﺮوج ﺑﻪ ﻓﺎﻳﺮوال( را ﻧﮕﻬﺪاري ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻓﺎﻳﺮوالﻫﺎي ‪ stateful‬ﻫﻤﭽﻨﻴﻦ ﺗﻤﺎﻣﻲ آدرسﻫﺎي ‪ IP‬ﻛﻪ اﺧﻴﺮاً ﺑﻪ ﻓﺎﻳﺮوال‬
‫ﻣﺘﺼﻞ ﺷﺪﻧﺪ را ﻧﮕﻬﺪاري ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﺰﻳﺖ اﺻﻠﻲ ﻓﺎﻳﺮوال ‪ stateful‬اﻳﻦ اﺳﺖ ﻛﻪ ‪ admin‬ﻧﻴﺎز ﻧﻴﺴﺖ ﻗﻮاﻧﻴﻦ ﻓﻴﻠﺘﺮﻳﻨﮓ‬
‫ﮔﺴﺘﺮدهاي ﺑﻨﻮﻳﺴﺪ ﻛﻪ ﻣﺸﺨﺺ ﻛﻨﺪ ﺗﻤﺎﻣﻲ ﺳﺮوﻳﺲﻫﺎي ‪ TCP‬ﻣﺠﺎز ﻫﺴﺘﻨﺪ ﻳﺎ‬
‫ﻏﻴﺮﻣﺠﺎز‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪18‬‬

‫)‪Network Address Translator (NAT‬‬

‫ﻃﻮل آدرس ‪ 32 IP‬ﺑﻴﺖ اﺳﺖ و ﺑﺎ اﻟﮕﻮي ﺟﺎري ﺣﺪاﻛﺜﺮ ﺗﻌﺪاد ﻣﻴﺰﺑﺎﻧﻲ ﻛﻪ ﻣﻲﺗﻮاﻧﻴﻢ‬
‫داﺷﺘﻪ ﺑﺎﺷﻴﻢ ﺣﺪود ‪ 4‬ﻣﻴﻠﻴﺎرد ﻣﻲﺑﺎﺷﺪ‪ .‬اﻳﻦ ﻣﻮﺿﻮع ﺗﻌﺪاد ﻣﻴﺰﺑﺎنﻫﺎﻳﻲ ﻛﻪ ﻣﻲﺗﻮاﻧﻨﺪ‬
‫ﺑﻪ اﻳﻨﺘﺮﻧﺖ وﺻﻞ ﺷﻮﻧﺪ را ﻣﺤﺪود ﻣﻲﻛﻨﺪ‪ .‬از آﻧﺠﺎﻳﻲ ﻛﻪ اﻛﺜﺮ ﻣﻴﺰﺑﺎنﻫﺎﻳﻲ ﻛﻪ در‬
‫ﺷﺮﻛﺖﻫﺎ ﻫﺴﺘﻨﺪ ﻧﻴﺎز ﺑﻪ ارﺗﺒﺎط ﺑﺎ اﻳﻨﺘﺮﻧﺖ دارﻧﺪ‪ 4 ،‬ﻣﻴﻠﻴﺎرد آدرس ﺑﻪ زودي ﺑﻪ‬
‫ﭘﺎﻳﺎن ﻣﻲرﺳﺪ‪ .‬در ﺳﺎل ‪1994‬راه ﺣﻞ ﻛﻮﺗﺎه ﻣﺪﺗﻲ ﺑﺮاي اﻳﻦ ﻣﺸﻜﻞ ﺑﺎ ﻧﺎم ‪NAT‬‬
‫ﭘﻴﺸﻨﻬﺎد ﺷﺪ‪ NAT.‬ﻧﻪ ﺗﻨﻬﺎ ﻣﺸﻜﻞ ﻗﺒﻠﻲ را ﺣﻞ ﻣﻲﻛﺮد ﺑﻠﻜﻪ ﻳﻜﻲ از روشﻫﺎﻳﻲ ﺑﻮد‬
‫ﻛﻪ از ﻃﺮﻳﻖ آن ﻫﻮﻳﺖ ﺷﺒﻜﻪي داﺧﻠﻲ ﻣﺤﺎﻓﻈﺖ ﻣﻲﺷﺪ‪ RFC791 .‬ﻣﺠﻤﻮﻋﻪاي از‬
‫آدرسﻫﺎي ‪ IP‬در ﻫﺮ ﻛﻼس را ﺑﻪ ﻋﻨﻮان ادرسﻫﺎي ﺧﺎص ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ﻓﻘﻂ‬
‫در ﺷﺒﻜﻪي ﺧﺼﻮﺻﻲ اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ و ﺑﻘﻴﻪي آدرسﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ ﻋﻨﻮان آدرس‬
‫ﻋﻤﻮﻣﻲ اﺳﺘﻔﺎده ﺷﻮﻧﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪19‬‬

‫)‪Network Address Translator (NAT‬‬

‫ﺑﺎزهي رزرو ﺷﺪه ﺑﺮاي ﺷﺒﻜﻪي ﺧﺼﻮﺻﻲ ﺑﻪ ﺷﺮح زﻳﺮ اﺳﺖ‪:‬‬

‫)‪• 10.0.0.0 – 10.255.255.255 (10/8 prefix‬‬

‫)‪• 172.16.0.0 – 172.31.255.255 (172.16/12 prefix‬‬

‫)‪• 192.168.0.0 – 192.168.255.255 (192.168/16 prefix‬‬

‫دﻟﻴﻞ ﻋﻤﺪه ﺑﺮاي اﻳﻦ ﻣﻮﺿﻮع اﻃﻤﻴﻨﺎن از اﻳﻦ اﺳﺖ ﻛﻪ آدرسﻫﺎي ‪ IP‬ﺑﻪ ﺻﻮرت ﻛﺎرا‬
‫)ﻛﺎرآﻣﺪ( ﺗﺨﺼﻴﺺ داده ﺷﻮﻧﺪ‪ .‬ﺑﺎزهي ﺧﺼﻮﺻﻲ آدرس ‪ ،IP‬ﺑﻪ ﻃﻮر ﻣﺜﺎل‬
‫‪ ،10.0.0.0/8‬در اﻳﻨﺘﺮﻧﺖ اﺳﺘﻔﺎده ﻧﻤﻲﺷﻮد‪ ،‬وﻗﺘﻲﻛﻪ ﺑﺨﻮاﻫﻴﻢ ﺑﻪ دﻧﻴﺎي ﺧﺎرج‬
‫وﺻﻞ ﺷﻮﻳﻢ اﻳﻦ آدرس ﺑﺎﻳﺪ ﺑﺎ ﻳﻚ آدرس ﻋﻤﻮﻣﻲ ﺟﺎﻳﮕﺰﻳﻦ ﺷﻮد‪ .‬اﻳﻦ ﻛﺎر ﺑﺎ اﺳﺘﻔﺎده‬
‫از ‪ NAT‬اﻧﺠﺎم ﻣﻲﺷﻮد‪ .‬ﺑﻪ ﻃﻮر ﻣﺜﺎل‪ ،‬ﻳﻚ ﻣﻴﺰﺑﺎن ﻛﻪ آدرس ‪ IP‬آن )آدرس ‪IP‬‬
‫ﻣﺒﺪا( ‪ 10.62.1.3‬اﺳﺖ‪ .‬ﺑﻌﺪ از ‪ NATing‬آدرس ﻣﺒﺪا ﺑﻮﺳﻴﻠﻪي آدرس ﻋﻤﻮﻣﻲ‬
‫‪ 23.2.23.3‬ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﺷﻮد‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪20‬‬

‫)‪Network Address Translator (NAT‬‬

‫ﻛﺎﻣﭙﻴﻮﺗﺮ )ﻣﻴﺰﺑﺎن( ﻣﻘﺼﺪ ﻓﻘﻂ آدرس ‪ IP‬ﻋﻤﻮﻣﻲ را ﻣﻲﺑﻴﻨﺪ و آدرس ﺷﺒﻜﻪي‬

‫داﺧﻠﻲ ﻫﻴﭽﮕﺎه در ﺟﻬﺎن ﺧﺎرج ﺷﻨﺎﺧﺘﻪ ﻧﻤﻲﺷﻮد‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ‪ NAT‬ﻣﺤﺎﻓﻈﺖ از ﻣﻨﺎﺑﻊ‬
‫ﺷﺒﻜﻪي داﺧﻠﻲ را ﻓﺮاﻫﻢ ﻣﻲﻛﻨﺪ‪ .‬اﻳﻦ ﻓﺮآﻳﻨﺪ در ﺷﻜﻞ زﻳﺮ ﻧﻤﺎﻳﺶ داده ﺷﺪه اﺳﺖ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪21‬‬

‫)‪Network Address Translator (NAT‬‬

‫ﺑﻮﺳﻴﻠﻪي ‪ ،NATing‬ﺷﺮﻛﺖﻫﺎ ﻣﻲﺗﻮاﻧﻨﺪ ﻓﻘﻂ ﻳﻚ آدرس ‪ IP‬ﻋﻤﻮﻣﻲ داﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬

‫ﻫﺮ ﻣﻴﺰﺑﺎن داﺧﻠﻲ ﻛﻪ ﻣﻲﺧﻮاﻫﺪ ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻳﺎ ﻳﻚ ﺷﺒﻜﻪي ﺧﺎرﺟﻲ وﺻﻞ ﺷﻮد در‬
‫ﻓﺎﻳﺮوال ﻋﻤﻞ ‪ NAT‬روي آن اﻧﺠﺎم ﻣﻲﺷﻮد‪ .‬ﻣﻴﺰﺑﺎن داﺧﻠﻲ ﻫﻴﭽﮕﺎه ﻧﻤﻲداﻧﺪ ﻛﻪ‬
‫‪ NATing‬اﻧﺠﺎم ﺷﺪه اﺳﺖ‪ .‬ﺑﻨﺎﺑﺮاﻳﻦ ‪ NAT‬آدرسﻫﺎي ‪ IP‬را ذﺧﻴﺮه ﻣﻲﻛﻨﺪ‪ .‬اﮔﺮ‬
‫ﺑﻴﺶ از ﻳﻚ ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮي داﺧﻠﻲ ﺑﺨﻮاﻫﺪ ﺑﺎ اﻳﻨﺘﺮﻧﺖ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻛﻨﺪ ﻛﺎري‬
‫ﻛﻪ ‪ NAT‬در ﻓﺎﻳﺮوال اﻧﺠﺎم ﻣﻲدﻫﺪ اﻳﻦ اﺳﺖ ﻛﻪ آدرس ‪ IP‬ﻣﺒﺪا را ﺗﻐﻴﻴﺮ ﻣﻲدﻫﺪ‪،‬‬
‫ﺷﻤﺎره ﭘﻮرت ﻣﺒﺪا را ﻧﻴﺰ ﺑﺎ ﻳﻚ ﺷﻤﺎره ﭘﻮرت ﺟﺪﻳﺪ ﺑﺎﻻﺗﺮ از ‪ 1023‬ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻛﻨﺪ‬
‫و ﺑﻪ ﺻﻮرت ﻣﻮﻗﺘﻲ ﺷﺮاﻳﻂ ﺟﺪﻳﺪ را در ﻣﺪت اﺗﺼﺎل ﻧﮕﻬﺪاري ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ NATing‬ﺑﻪ ﻋﻨﻮان ﻳﻚ اﻗﺪام اﻣﻨﻴﺘﻲ اﺳﺎﺳﻲ ﺑﻪ ﻛﺎر ﻣﻲرود ﻛﻪ ﻣﻲﺗﻮاﻧﺪ‬
‫ﺣﻤﻠﻪﻛﻨﻨﺪهي ﺧﺎرﺟﻲ را ﺑﺮاي ﺑﻪ دﺳﺖ آوردن آدرس ‪ IP‬ﺷﺒﻜﻪي داﺧﻠﻲ ﺑﻪ زﺣﻤﺖ‬
‫ﺑﻴﺎﻧﺪازد‪ .‬ﻫﻨﮕﺎﻣﻲﻛﻪ ‪ NATing‬اﻧﺠﺎم ﻣﻲﺷﻮد‪ ،‬ﻓﺎﻳﺮوال آدرس ‪ IP‬ﻣﺒﺪا را ﺑﺎزﻧﻮﻳﺴﻲ‬
‫ﻣﻲﻛﻨﺪ و آدرس ﻣﺒﺪا ﺗﻐﻴﻴﺮﻳﺎﻓﺘﻪ و آدرس‪ IP‬ﻣﻘﺼﺪ را در ﺳﺮآﻳﻨﺪ ‪ IP‬ﻗﺮار ﻣﻲدﻫﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪22‬‬

‫‪Network Address Translator (NAT) ‐ Static Translation‬‬

‫‪ NAT‬ﻣﻲﺗﻮاﻧﺪ ﺗﺮﺟﻤﻪ )ﻧﮕﺎﺷﺖ( اﺳﺘﺎﺗﻴﻚ ﻳﺎ داﻳﻨﺎﻣﻴﻚ )ﭘﻮﻳﺎ( داﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬در ‪NAT‬‬
‫اﺳﺘﺎﺗﻴﻚ‪ ،‬ﺷﻜﻞ ﺗﺮﺟﻤﻪ ﻫﻤﻴﺸﻪ ﻳﻚ روش ﺧﺎص ﺛﺎﺑﺖ اﺳﺖ‪ .‬در ‪ NAT‬اﺳﺘﺎﺗﻴﻚ‪،‬‬
‫ﺗﻌﺪاد زﻳﺎدي آدرسﻫﺎي ‪ IP‬داﺧﻠﻲ ﺑﻪ ﺗﻌﺪاد زﻳﺎدي آدرسﻫﺎي ﺧﺎرﺟﻲ ﺑﻪ ﺻﻮرت‬
‫ﻳﻚ ﺑﻪ ﻳﻚ ﺗﺮﺟﻤﻪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻫﻨﮕﺎﻣﻲ ﻛﻪ اﻳﻦ روش ﭘﻴﻜﺮﺑﻨﺪي ﺷﺪ‪ ،‬ﺑﻪ ﺻﻮرت ﺛﺎﺑﺖ‬
‫ﺑﺎﻗﻲ ﻣﻲﻣﺎﻧﺪ و ﺗﻐﻴﻴﺮي ﻧﻤﻲﻛﻨﺪ‪ .‬اﻳﻦ روش ﺑﺮاي وب ﺳﺮوري ﻛﻪ از ﻃﺮﻳﻖ آدرﺳﻲ‬
‫ﺛﺎﺑﺖ دراﻳﻨﺘﺮﻧﺖ در دﺳﺘﺮس اﺳﺖ‪ ،‬ﻣﻔﻴﺪ ﻣﻲﺑﺎﺷﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪23‬‬

‫‪Network Address Translator (NAT) ‐ Static Translation‬‬

‫ﺷﻜﻞ زﻳﺮ ﻣﺜﺎﻟﻲ از ‪ NAT‬اﺳﺘﺎﺗﻴﻚ را ﻧﻤﺎﻳﺶ ﻣﻲدﻫﺪ‪ .‬ﻫﺮ آدرس داﺧﻠﻲ‬

‫)‪ 172.16.1.2 ،172.16.1.1‬و ‪ (172.16.1.3‬ﺑﻪ ﺻﻮرت ﻳﻚ ﺑﻪ ﻳﻚ ﺑﻪ آدرسﻫﺎي‬
‫ﺟﻬﺎﻧﻲ )‪ 11.1.1.2 ،11.1.1.1‬و ‪ (11.1.3.2‬ﺗﺮﺟﻤﻪ ﺷﺪهاﻧﺪ‪.‬‬

‫‪Static NAT‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪24‬‬

‫‪Network Address Translator (NAT) ‐ Dynamic Translation‬‬

‫در ‪ NAT‬ﭘﻮﻳﺎ‪ ،‬ﺗﺮﺟﻤﻪ ﺑﻪ وﺻﺮت اﺳﺘﺎﺗﻴﻚ ﻧﻴﺴﺖ‪ .‬ﺗﺮﺟﻤﻪ ﺑﺮ اﺳﺎس آدرس ‪ IP‬ﻣﻮﺟﻮد‬
‫از ﻣﺨﺰﻧﻲ از آدرسﻫﺎي ﻋﻤﻮﻣﻲ ﻣﻲﺑﺎﺷﺪ‪ .‬وﻗﺘﻲﻛﻪ ﻣﻴﺰﺑﺎن داﺧﻠﻲ ﺷﺒﻜﻪ درﺧﻮاﺳﺖ‬
‫دﺳﺘﺮﺳﻲ ﺑﻪ اﻳﻨﺘﺮﻧﺖ را ﻣﻲدﻫﺪ‪ NAT ،‬ﭘﻮﻳﺎ ﻳﻚ آدرس ‪ IP‬ﻛﻪ ﺗﺨﺼﻴﺺ داده ﻧﺸﺪه‬
‫و ﺗﻮﺳﻂ ﻫﻴﭻ ﻣﻴﺰﺑﺎﻧﻲ اﺳﺘﻔﺎده ﻧﺸﺪه را از ﻣﺨﺮن آدرسﻫﺎ ﺑﺮداﺷﺘﻪ و ﺑﻪ ﻣﻴﺰﺑﺎن‬
‫اﺧﺘﺼﺎص ﻣﻲدﻫﺪ‪ NAT .‬ﭘﻮﻳﺎ ﻫﻨﮕﺎﻣﻲﻛﻪ آدرسﻫﺎي ﻛﻤﻲ ﻣﻮﺟﻮد ﺑﺎﺷﺪ و ﺗﻌﺪاد‬
‫زﻳﺎدي ﻣﻴﺰﺑﺎن ﺑﺨﻮاﻫﻨﺪ ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﺷﻮﻧﺪ‪ ،‬ﻣﻔﻴﺪ اﺳﺖ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪25‬‬

‫)‪Port Address Translation (PAT‬‬

‫وﻗﺘﻲ ﻛﻪ ﻳﻚ آدرس ﺟﻬﺎﻧﻲ داﺷﺘﻪ ﺑﺎﺷﻴﺪ و ﭼﻨﺪﻳﻦ ﻣﻴﺰﺑﺎن در داﺧﻞ ‪ LAN‬ﺑﺨﻮاﻫﻨﺪ‬

‫ﺑﻪ اﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﮔﺮدﻧﺪ آﻧﮕﺎه ﻣﺎ از ﭼﻴﺰي ﺑﻪ ﻧﺎم ‪Port Address‬‬
‫)‪ Translation (PAT‬ﺑﺎﻳﺪ اﺳﺘﻔﺎده ﻛﻨﻴﻢ‪ .‬اﻳﻦ ﻣﻮﻗﻌﻴﺖ را ‪) overloading‬اﺿﺎﻓﻪ‬
‫ﺑﺎر( ﮔﻮﻳﻨﺪ‪ NAT/PAT box .‬ﺑﻪ ﻳﻚ روش ﺑﺮاي ﻧﮕﻬﺪاري آدرسﻫﺎي ﻣﺤﻠﻲ ﻛﻪ‬
‫ﻣﻲﺧﻮاﻫﻨﺪ ﺑﻪ اﻳﻨﺘﺮﻧﺖ وﺻﻞ ﺷﻮﻧﺪ‪ ،‬ﻧﻴﺎز دارد‪ .‬اﻳﻦ ﺗﺮﺟﻤﻪ ﺗﻮﺳﻂ ﭘﻮرتﻫﺎي‬
‫‪ TCP/UDP‬اﻧﺠﺎم ﻣﻲﺷﻮد‪ TCP/UDP .‬از ﺷﻤﺎرهي ﭘﻮرتﻫﺎي ‪ 16‬ﺑﻴﺘﻲ اﺳﺘﻔﺎده‬
‫ﻣﻲﻛﻨﺪ ﻛﻪ اﺟﺎزه ﻣﻲدﻫﺪ ‪ 65536‬ﺳﺮوﻳﺲ ﻣﺘﻔﺎوت ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ ﺑﺎﺷﻨﺪ‪ .‬وﻗﺘﻲ‬
‫ﺗﺮﺟﻤﻪ اﻧﺠﺎم ﻣﻲﺷﻮد‪ PAT ،‬ﺳﻌﻲ ﻣﻲﻛﻨﺪ اﮔﺮ ﺷﻤﺎرهي ﭘﻮرت اﺻﻠﻲ اﺳﺘﻔﺎده ﻧﺸﺪه‬
‫ﺑﺎﺷﺪ از ﺷﻤﺎرهي ﭘﻮرت اﺻﻠﻲ اﺳﺘﻔﺎده ﻛﻨﺪ‪ .‬اﮔﺮ ﺷﻤﺎره ﭘﻮرت اﺻﻠﻲ در دﺳﺘﺮس ﻧﺒﻮد‬
‫آﻧﮕﺎه از ﺷﻤﺎره ﭘﻮرت ﻣﻮﺟﻮد ﺑﻌﺪي اﺳﺘﻔﺎده ﻣﻲﻛﻨﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪26‬‬

‫)‪Port Address Translation (PAT‬‬

‫ﻣﺰاﻳﺎ‪:‬‬
‫‪ ‬ﭼﻨﺪ ﻣﻴﺰﺑﺎن داﺧﻠﻲ ﻣﻴﺘﻮاﻧﻨﺪ ﻳﻚ آدرس ﺟﻬﺎﻧﻲ را ﺑﻪ اﺷﺘﺮاك ﺑﮕﺬارﻧﺪ‪.‬‬
‫‪ ‬ﺷﺒﻜﻪي داﺧﻠﻲ ﻫﻴﭽﮕﺎه در ﻣﻌﺮض دﻳﺪ ﺷﺒﻜﻪ ﻋﻤﻮﻣﻲ ﺧﺎرﺟﻲ ﻗﺮار ﻧﻤﻲﮔﻴﺮد‬
‫ﺑﻨﺎﺑﺮاﻳﻦ ﺣﻤﻠﻪ از ﺧﺎرج ﺑﺴﻴﺎر ﺳﺨﺖ اﺳﺖ‪.‬‬
‫ﻣﻌﺎﻳﺐ‪:‬‬
‫ﺗﻌﺪاد اﺗﺼﺎلﻫﺎي ﺳﺨﺖاﻓﺰاري ﻣﺤﺪودي را ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻪ اﻳﻦ ﻣﻌﻨﻲ ﻛﻪ اﮔﺮ‬
‫در ﻳﻚ زﻣﺎن ﺗﻌﺪاد زﻳﺎدي ﻣﻴﺰﺑﺎن درﺧﻮاﺳﺖ اﺗﺼﺎل داﺷﺘﻪ ﺑﺎﺷﻨﺪ آﻧﮕﺎه ﺳﺨﺖ اﻓﺰار‬
‫ﭘﻮرتﻫﺎي آزادش ﻣﻤﻜﻦ اﺳﺖ ﺗﻤﺎم ﺷﻮد‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪27‬‬

‫)‪Application Level Gateway (Application Proxy‬‬

‫ﻫﻤﺎﻧﻄﻮر ﻛﻪ از ﻧﺎﻣﺶ ﻣﺸﺨﺺ اﺳﺖ‪Application Level Gateway (ALG) ،‬‬

‫ﺗﻤﺎﻣﻲ ﺑﺴﺘﻪﻫﺎ ﺗﺎ ﻻﻳﻪي ﻛﺎرﺑﺮد را ﺑﺮرﺳﻲ ﻣﻲﻛﻨﺪ و ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ آﻳﺎ ﻳﻚ ﺑﺴﺘﻪ‬
‫ﻣﺠﺎز اﺳﺖ ﻳﺎ ﻏﻴﺮﻣﺠﺎز؟‬
‫‪ ALG‬اﻣﻨﻴﺖ ﺑﺎﻻﺗﺮي ﻧﺴﺒﺖ ﺑﻪ ‪ packet filtering‬دارد ﺑﻪ ﺧﺎﻃﺮ اﻳﻦﻛﻪ ﺑﺮرﺳﻲ‬
‫ﺑﺴﺘﻪﻫﺎ ﺗﺎ ﻻﻳﻪي ﻛﺎرﺑﺮد اﻧﺠﺎم ﻣﻲﺷﻮد )ﺷﻜﻞ زﻳﺮ(‪ .‬اﻣﺎ ﺑﻪ زﻣﺎن ﭘﺮدازش ‪CPU‬‬
‫ﺑﻴﺸﺘﺮ و اﻃﻼﻋﺎت ﺿﺮوري در ﻣﻮرد ﭘﺮوﺗﻜﻞﻫﺎي ﻻﻳﻪي ﻛﺎرﺑﺮد ﻧﻴﺎز دارد‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪28‬‬

‫‪Application Level Gateway (Application Proxy) ‐ cont.‬‬

‫‪ ALG‬ﺑﻪ ﺻﻮرت ﻣﺴﺘﻘﻞ اﺟﺮا ﻣﻲﺷﻮد‪ ،‬اﻃﻼﻋﺎت را ﻛﭙﻲ و از ﻃﺮﻳﻖ ‪gateway‬‬

‫ارﺳﺎل ﻣﻲﻛﻨﺪ و ﺑﻪ ﻋﻨﻮان ‪ proxy server‬ﻛﺎر ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ ALG‬از ارﺗﺒﺎط ﻣﺴﺘﻘﻴﻢ ﺑﻴﻦ ﺳﺮور ﻣﻮرد اﻋﺘﻤﺎ ﻳﺎ ﻛﻼﻳﻨﺖ و ﻣﻴﺰﺑﺎن ﻏﻴﺮﻗﺎﺑﻞ اﻋﺘﻤﺎد‬
‫ﺟﻠﻮﮔﻴﺮي ﻣﻲﻛﻨﺪ‪Proxy .‬ﻫﺎ ﻣﺨﺼﻮص ﻛﺎرﺑﺮد ﻫﺴﺘﻨﺪ‪ .‬ﻫﺮ ﻛﺎرﺑﺮد ﺟﺪﻳﺪ ﻛﻪ ﺑﻪ‬
‫داﺧﻞ ﺷﺒﻜﻪ وارد ﻣﻲﺷﻮد ﺿﺮوري اﺳﺖ ﻛﻪ ﺑﻪ ‪ application proxy‬اﻃﻼع دﻫﺪ‪.‬‬
‫ﺑﺮاي اﻳﻦﻛﻪ ﻗﻮاﻧﻴﻦ ﺑﺎﻳﺪ اﻳﺠﺎد و ﺑﺮاي آن ﻛﺎرﺑﺮد اﺟﺮا ﺷﻮﻧﺪ‪.‬‬
‫‪ ALG‬ﺑﻴﻦ ﻓﺎﻳﺮوال ﺷﺒﻜﻪ و ﻣﻴﺰﺑﺎن ﻣﻮرد اﻋﺘﻤﺎد ﻗﺮار ﻣﻲﮔﻴﺮد )ﺷﻜﻞ اﺳﻼﻳﺪ ﺑﻌﺪ( و‬
‫ﻣﻲﺗﻮاﻧﺪ ﺑﺴﺘﻪﻫﺎي ﻻﻳﻪي ﻛﺎرﺑﺮد را ﻓﻴﻠﺘﺮ ﻛﻨﺪ‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪29‬‬

Application Level Gateway (Application Proxy) ‐ cont.

‫ﺪ ﻣﻬﺪي ﻓﻴﺾ‬‫ﺪ ﻣﺤﻤ‬‫ ﺳﻴ‬:‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‬ 30

‫‪Application Level Gateway (Application Proxy) ‐ cont.‬‬

‫‪ ALG‬ﺣﺎﻟﺖ اﺗﺼﺎل ‪ TCP‬و ‪ sequencing‬را ﺑﻪ ﻃﻮر ﻛﺎﻣﻞ ﻧﮕﻬﺪاري ﻣﻲﻛﻨﺪ‪.‬‬

‫‪ALG‬ﻫﺎ ﭘﺸﺖ ‪ NAT‬ﻳﺎ ﻓﺎﻳﺮوال اﺳﺘﻔﺎده ﻣﻲﺷﻮﻧﺪ‪ .‬در زﻳﺮ ﻣﺰاﻳﺎ و ﻣﻌﺎﻳﺐ ‪ ALG‬ذﻛﺮ‬
‫ﺷﺪه اﺳﺖ‪:‬‬
‫ﻣﺰاﻳﺎ‬
‫• اﺗﺼﺎل ﻣﺴﺘﻘﻴﻢ ﺑﻴﻦ ﻣﻴﺰﺑﺎنﻫﺎي داﺧﻠﻲ و ﺧﺎرﺟﻲ ﻣﺠﺎز ﻧﻴﺴﺖ‪.‬‬
‫• ﺗﺎﻳﻴﺪ ﺳﻄﺢ ﻛﺎرﺑﺮ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﺷﻮد‪.‬‬
‫• ﺑﺴﺘﻪ ﺗﺎ دادهي ﻛﺎرﺑﺮد ﺑﺮرﺳﻲ ﻣﻲﺷﻮد‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪31‬‬

‫‪Application Level Gateway (Application Proxy) ‐ cont.‬‬

‫ﻣﻌﺎﻳﺐ‬
‫• ﺗﻮان ﭘﺮدازﺷﻲ ﺑﻴﺸﺘﺮي ﻣﻮرد ﻧﻴﺎز اﺳﺖ‪.‬‬
‫• از ‪ packet filtering‬ﻛﻨﺪﺗﺮ اﺳﺖ‪.‬‬
‫• ﺗﻤﺎم ﭘﺮوﺗﻜﻞﻫﺎي ﻻﻳﻪي ﻛﺎرﺑﺮد ﭘﺸﺘﻴﺒﺎﻧﻲ ﻧﻤﻲﺷﻮد‪ .‬ﻫﻨﮕﺎﻣﻲﻛﻪ ﻳﻚ ﻛﺎرﺑﺮد ﺟﺪﻳﺪ‬
‫آﻣﺪ ‪Proxy‬ﻫﺎي ﻣﺘﻨﺎﻇﺮ ﺑﺎﻳﺪ ﭘﻴﺎدهﺳﺎزي ﺷﻮد‪.‬‬

‫ﺗﻬﻴﻪ ﻛﻨﻨﺪه‪ :‬ﺳﻴ‪‬ﺪ ﻣﺤﻤ‪‬ﺪ ﻣﻬﺪي ﻓﻴﺾ‬ ‫‪32‬‬