தீச்சுவர் (வலையமைப்பு)
இக்கட்டுரை கூகுள் மொழிபெயர்ப்புக் கருவி மூலம் உருவாக்கப்பட்டது. இதனை உரை திருத்த உதவுங்கள். இக்கருவி மூலம்
கட்டுரை உருவாக்கும் திட்டம் தற்போது நிறுத்தப்பட்டுவிட்டது. இதனைப் பயன்படுத்தி இனி உருவாக்கப்படும் புதுக்கட்டுரைகளும் உள்ளடக்கங்களும் உடனடியாக நீக்கப்படும் |
ஒரு ஃபயர்வால் (firewall) என்பது ஒரு கணிணி அமைப்பின் அல்லது வலையமைப்பின் ஒரு பாகமாகும், இது அங்கீகரிக்கப்பட்ட தொடர்புகளை மட்டும் அனுமதித்து, மற்ற அங்கீகாரமற்ற அணுகுதல்களைத் தடுக்கும் வகையில் வடிவமைக்கப்பட்டிருக்கும். இது ஒரு குறிப்பிட்ட விதிமுறை தொகுப்பின் அடிப்படையிலோ அல்லது வேறு ஏதேனும் ஒரு வகையிலோ, வெவ்வேறு பாதுகாப்பு டொமைன்களுக்கு இடையில் அனைத்து (உள்ளே செல்லும் மற்றும் வெளியே அனுப்பப்படும்) கணிணி தரவு பரிமாற்றத்தையும் அனுமதிப்பது, நிராகரிப்பது, என்க்ரிப்ட் செய்வது, டீக்ரிப்ட் செய்வது ஆகியவற்றுடனோ அல்லது புராக்ஸி ஏற்படுத்துவதற்கு ஏற்ற வகையில் உள்ளமைவு செய்யப்பட்ட ஒரு உபகரணமோ அல்லது பல உபகரணங்களின் தொகுப்பாகவோ அமைந்திருக்கும்.
ஃபயர்வால்கள் வன்பொருள்களாகவோ அல்லது மென்பொருள்களாகவோ அல்லது இரண்டும் ஒருங்கிணைந்த கலவையாகவோ நிறுவப்படலாம். அங்கீகரிக்கப்படாத இணைய பயனர்கள், இணையத்தோடு இணைக்கப்பட்ட தனிப்பட்ட வலையமைப்புகளை, குறிப்பாக உள்வலையமைப்புகளை (intranet), அணுகுவதில் இருந்து தடுப்பதற்காக பெரும்பாலும் ஃபயர்வால்கள் பயன்படுத்தப்படுகின்றன. உள்வலையமைப்புகளில் இருந்தும் வெளியே செல்லும் அல்லது உள்ளே நுழையும் அனைத்து தகவல்களும் ஃபயர்வால் வழியாக அனுப்பப்படும், குறிப்பிட்ட பாதுகாப்பு விதிகளுக்கு உட்படாத தகவல்களை இது பரிசோதித்து தடுத்துவிடும்.
பல்வேறு வகையிலான ஃபயர்வால் தொழில்நுட்பங்கள் உள்ளன:
- பேக்கெட் பில்டர்: பேக்கெட் பில்டரிங் முறை வலையமைப்பின் வழியாக செல்லும் ஒவ்வொரு பாக்கெட்டையும் பரிசோதித்து, பயனர் வரையறுத்த விதிகளின் அடிப்படையில் அவற்றை அனுமதிக்கிறது அல்லது நிராகரிக்கிறது. இதை உள்ளமைவு செய்வது கடினமாக இருக்கும் என்றாலும், மதிப்பிடத்தக்க அளவில் இது மிகவும் துல்லியமாகவும், அதன் பயனர்களுக்கு பெருமளவில் எளிமையாகவும் இருக்கிறது. அதற்கும் மேலாக, ஐபி ஸ்பூபிங்கினாலும் (IP spoofing) இது எளிதில் பாதிக்கப்படுவதில்லை.
- அப்ளிகேஷன் கேட்வே: FTP மற்றும் டெல்நெட் சர்வர்கள் போன்ற சில குறிப்பிட்ட பயன்பாடுகளுக்கான பாதுகாப்பு அமைப்புமுறையாக பயன்படுகிறது. இது மிகவும் துல்லியமானது, ஆனால் இதை நிறுவும் போது செயல்திறன் சற்றே குறையக்கூடும்.
- சர்க்கியூட் லெவல் கேட்வே: TCP அல்லது UDP இணைப்புகள் உருவாக்கப்படும் போது, அவற்றிற்கான பாதுகாப்பு அமைப்புமுறையை ஏற்படுத்தி தருகிறது. இணைப்பு ஏற்பட்ட உடனேயே, மேற்கொண்டு எவ்வித பரிசோதனையும் இல்லாமல் ஹோஸ்டுகளுக்கு இடையில் பேக்கெட்கள் பரிமாறி கொள்ளப்படுகின்றன.
- புராக்ஸி சர்வர்: வலையமைப்பிற்குள் வரும் மற்றும் வெளியேறும் எல்லா தகவல்களையும் இடைமறித்து கண்காணிக்கும். புராக்ஸி சர்வர் நிஜமான வலையமைப்பு முகவரிகளை மறைத்துவிட பயன்படுத்துகிறது.
செயல்பாடு
[தொகு]ஒரு ஃபயர்வால் என்பது ஒரு கணிணியில் இணைக்கப்பட்டிருக்கும் ஒரு பிரத்யேக சாதனம், அல்லது செயல்பாட்டில் இருக்கும் மென்பொருள் ஆகும், இது அதன் வழியாக செல்லும் வலையமைப்பு தகவல் பரிமாற்றங்களைப் பரிசோதித்து, அதில் அமைக்கப்பட்டிருக்கும் குறிப்பிட்ட விதிமுறை தொகுப்பின் அடிப்படையில் அவற்றை அனுமதிக்கிறது அல்லது நிராகரிக்கிறது.
இது பொதுவாக ஒரு பாதுகாக்கப்பட்ட வலையமைப்பிற்கும், பாதுகாப்பற்ற வலையமைப்பிற்கும் இடையே அமைக்கப்படும் ஒரு மென்பொருளோ அல்லது வன்பொருளோ ஆகும், பிரத்யேக தகவல்கள் வெளியே செல்லாமலும், தீங்கிழைக்கும் தகவல்கள் உள்ளே வராமலும் இருப்பதை உறுதிசெய்யவும், வலையமைப்பின் உறுப்புகளைப் பாதுகாக்கவும் இதுவொரு கதவைப் போல செயல்படுகிறது.
ஒரு ஃபயர்வாலின் அடிப்படை வேலை என்னவென்றால், வெவ்வேறு நம்பகத்தன்மை மட்டங்களில் கணினி வலையமைப்புகளுக்கு இடையில் தகவல் பரிமாற்றத்தை ஒழுங்குமுறைப்படுத்துவதாகும். நம்பகத்தன்மை குறைந்த இணையமும், உயர்ந்த நம்பகத்தன்மை கொண்ட உள்வலையமைப்பும் இதற்கு குறிப்பிடத்தக்க எடுத்துக்காட்டுகளாகும். நடுத்தரமான நம்பகத்தன்மை கொண்ட ஒரு பகுதியானது, அதாவது இணையத்திற்கும், நம்பகத்தன்மை கொண்ட உள்வலையமைபிற்கும் (internal network) இடைப்பட்ட பகுதி, பொதுவாக "பெரிமீட்டர் வலையமைப்பு" (perimeter network) அல்லது டீமிலிட்டரைஸ்டு ஜோன் (DMZ) என்று அழைக்கப்படுகிறது.
ஒரு வலையமைப்பிற்குள்ளான ஒரு ஃபயர்வாலின் செயல்பாடானது, கட்டிட கட்டுமானத்தில் நெருப்பு கதவுகளுடன் கூடிய நெருப்புச்சுவர்களைப் போலவே இருக்கும். முதலில் சொல்லப்பட்ட விஷயத்தைப் பொறுத்த வரையில், தனிப்பட்ட வலையமைப்பிற்குள் அனுமதியில்லாமல் நுழைவதைத் தடுக்கப் பயன்படுத்தப்படுகிறது. இரண்டாவதாக சொல்லப்பட்டதைப் பொறுத்த வரையில், கட்டமைப்பில் ஏற்படும் நெருப்பானது அருகில் இருக்கும் கட்டமைப்புகளுக்குள் பரவுவதில் இருந்து தாமதப்படுத்தவும், தடுக்கவும் நோக்கம் கொண்டிருக்கும்.
வரலாறு
[தொகு]அடிப்படையில், "ஃபயர்வால்" என்ற வார்த்தையானது, நெருப்பைத் தடுக்கும் ஒரு சுவர் அல்லது ஒரு கட்டிடத்திற்குள் ஏற்படும் பெரும்நெருப்பை தடுக்கும் ஒரு சுவர், cf. firewall (கட்டுமானம்) என்பதையே குறிக்கும். பிறகு பிந்தைய நாட்களில், இந்த வார்த்தை வாகனத்தின் என்ஜின் பெட்டிகளை அல்லது விமானத்தில் பயணிகளின் பகுதியைப் பிரித்து வைப்பதற்கான உலோக தகடுகள் போன்ற அமைப்புகளைக் குறிக்க பயன்பட்டது.
உலகளாவிய பயன்பாடு மற்றும் இணைப்புநிலை ஆகியவற்றின் அடிப்படையில் இணையம் ஒரு புதிய தொழில்நுட்பமாக உருவாகி இருந்த 1980-களின் பின்பகுதியில் தான் ஃபயர்வால் தொழில்நுட்பம் உருவானது. வலையமைப்பு பாதுகாப்பிற்காக ஃபயர்வால்களைத் தொடர்ந்து வந்தவை ரௌட்டர்கள், வலையமைப்புகளை ஒன்றிலிருந்து ஒன்றை பிரித்து வைப்பதற்காக இவையும் 1980-களின் பின்பகுதியில் தான் பயன்படுத்தப்பட்டன.[1] ஒரு சிறிய சமூகமாக இருந்த அப்போதைய இணைய பயனர்கள், பகிர்விற்காகவும் கூட்டிணைப்பிற்காகவும் திறந்துவிட்டால், பல்வேறு இணைய பாதுகாப்பு தொந்தரவுகளால் அது அழிந்துவிடக்கூடும் என்று கருதினார்கள், 1980களில் இவ்வாறான நிலைப்பாடு இருந்தது:[1]
- க்ளிப்போர்டு ஸ்டோல்ஸ், ஜேர்மன் வேவுபொருட்கள் தன்னுடைய சிஸ்டத்தை நாசப்படுத்திக் கொண்டிருப்பதாக கண்டறிந்தார்.[1]
- 1992-ல் "Evening with Berferd" என்பதை பில் செஸ்விக்ஸ் என்பவர் அமைத்தார், இதில் சிஸ்டத்திற்கு நாசம் விளைவிப்பவைகளைக் கண்டறிய ஓர் எளிமையான மின்னணு சிறைச்சாலை ஒன்றை அவர் ஏற்படுத்தி இருந்தார்.[1]
- 1988-ல், கலிபோர்னியாவில் நாசா ஏம்ஸ் ஆய்வு மையத்தின் ஒரு பணியாளர், தன்னுடன் பணியாற்றுபவருக்கு மின்னஞ்சல் வழியாக எச்சரிக்கை கடிதம் ஒன்றை அனுப்பினார்,[2] அது பின்வருமாறு குறிப்பிடுகிறது,
“ | We are currently under attack from an Internet VIRUS! It has hit Berkeley, UC San Diego, Lawrence Livermore, Stanford, and NASA Ames. | ” |
- இச்சமயத்தில் மோரீஸ் வார்ம் தானாகவே கணினிகளில் பல்வேறு நாசங்களுடன் பரவி வருகிறது. அது நாசப்படுத்துவதற்காகவே தயாரிக்கப்பட்டதில்லை என்றாலும் கூட, இந்த மோரீஸ் வார்ம் தான் இணைய பாதுகாப்பின் மீது தொடுக்கப்பட்ட முதல் பெரியளவிலான தாக்குதலாக இருக்கிறது; இணைய சமூகம் எந்தவொரு நாசவேலையையும் எதிர்பார்த்திருக்கவில்லை என்பதால், அதை சமாளிக்கும் நிலையிலும் அது இல்லை.[3]
முதல் தலைமுறை - பேக்கெட் பில்டர்கள்
[தொகு]டிஜிட்டல் எக்யூப்மெண்ட் கார்ப்பரேஷனின் (DEC ) பொறியாளர்கள் பேக்கெட் பில்டர் ஃபயர்வால்கள் என்ற பெயரில் பில்டர் அமைப்புமுறைகளை உருவாக்கிய போது தான், 1988-ல் ஃபயர்வால் தொழில்நுட்பத்தைப் பற்றிய முதல் வெள்ளையறிக்கை வெளியானது. இந்த அடிப்படை அமைப்புமுறை தான் முதல் தலைமுறையாக இருந்தது, இதுவே படிப்படியாக பரிணமித்த தொழில்நுட்ப இணைய பாதுகாப்புமுறை வசதியாகும். ஏடி&டி பெல் ஆய்வகத்தில், பில் செஸ்விக் மற்றும் ஸ்டீவ் பெல்லோவின் இருவரும் பேக்கெட் பில்டரிங் குறித்து அவர்களின் ஆய்வைத் தொடர்ந்து கொண்டிருந்தார்கள், அவர்கள் முதல் தலைமுறை கட்டமைப்பின் அடிப்படையில் தங்களின் சொந்த நிறுவனத்திற்காக செயல்பாட்டிற்கு கொண்டுவருவதற்கான ஒரு மாதிரியை உருவாக்கி கொண்டிருந்தார்கள்.
பேக்கெட் பில்டர்கள் என்பவை, இணையத்தில் கணினிகளுக்கு இடையிலான தரவு பரிமாற்றத்தின் அடிப்படை அலகைக் குறிக்கும் "பேக்கெட்களைப்" பரிசோதிக்கின்றன. பேக்கெட் பில்டரில் அமைக்கப்பட்டிருக்கும் விதிமுறை தொகுப்புடன் பொருந்தி வரும் பேக்கெட்களை, பேக்கெட் பில்டர் (தடையேதும் இல்லாமல்) உள்ளே அனுமதிக்கும், அல்லது அதை நிராகரித்துவிடும் (புறக்கணித்துவிடும், பிறகு எந்த ஆதாரத்தில் இருந்து வந்ததோ அதற்கு "பிழை மறுமொழிகளை" (error responses) அனுப்பிவிடும்).
இந்த வகையான பேக்கெட் பில்டரிங்கானது, ஒரு பேக்கெட் செயல்பாட்டில் இருக்கும் தரவு பரிமாற்றத்தின் ஒரு பாகமாக இருக்கிறதா என்று கவனிப்பதில்லை (அது இணைப்பு "நிலையின்" தகவலைப் பற்றி எதுவும் சேமித்து வைப்பதில்லை). மாறாக, இது பேக்கெட் அதற்குள்ளேயே கொண்டிருக்கும் தகவலின் அடிப்படையில் மட்டும் ஒவ்வொரு பாக்கெட்டையும் வடிகட்டிவிடுகிறது (பெரும்பாலும் பேக்கெட்களின் ஆதாரம் மற்றும் சேரும் முகவரி, அதன் நெறிமுறை, மற்றும், TCP மற்றும் UDP தரவு பரிமாற்றத்திற்காக, போர்ட் எண் ஆகியவற்றின் கூட்டமைப்பை மட்டும் பயன்படுத்தும்).
இணையத்தில் TCP மற்றும் UDP நெறிமுறைகள் தான் பெரும்பாலான தொடர்பைக் கொண்டிருக்கின்றன, ஏனென்றால் TCP மற்றும் UDP தரவு பரிமாற்றமானது, நடைமுறையில், குறிப்பிட்ட வகையான தரவு பரிமாற்றத்திற்காக நன்கு அறியப்பட்ட போர்ட்டுகளைப் பயன்படுத்துகின்றது, ஒரு "நிலையில்லா" (stateless) பேக்கெட் பில்டர் அவற்றிற்கு இடையில் வித்தியாசப்படுத்தி காட்டும், பேக்கெட் பில்டர் கொண்டிருக்கும் ஒவ்வொரு முனை கணினிகளும் ஒரே தரப்படுத்தப்படாத (non-standard) போர்ட்டுகளைப் பயன்படுத்தினால் ஒழிய, இவ்வாறு பல்வேறு விதமான தரவு பரிமாற்றத்தைக் (இணைய உலாவுதல், தொலைநிலை அச்சிடுதல், மின்னஞ்சல் பரிமாற்றம், கோப்பு பரிமாற்றம் போன்றவற்றின்) கட்டுப்படுத்துகிறது.
பேக்கெட் பில்டரிங் ஃபயர்வால்கள் OSI reference model-ன் முதல் மூன்று அடுக்குகளில் செயல்படுகின்றன, அதாவது, வலையமைப்பு அடுக்கு மற்றும் பிசிக்கல் அடுக்குகளுக்கு இடையில் எல்லா பணிகளும் நடைபெறுகின்றன. அனுப்புனரிடம் இருந்து ஒரு பேக்கெட் ஆரம்பித்து, ஒரு ஃபயர்வால் வழியாக வடிகட்டப்படும் போது, ஏதாவதொரு விதத்தில் ஃபயர்வாலில் உள்ளமைக்கப்பட்ட பேக்கெட் பில்டரிங் விதிகளுக்கு பொருந்துகிறதா என்று உபகரணம் பரிசோதித்து பார்க்கும், அதற்கேற்ப பேக்கெட்டுகளை உள்ளே அனுப்பும் அல்லது நிராகரிக்கும். ஃபயர்வால் வழியாக பேக்கெட் செல்லும் போது, அது நெறிமுறை/போர்ட் எண் அடிப்படையில் (GSS) பேக்கெட்டை பில்டர் செய்கிறது. எடுத்துக்காட்டாக, டெல்நெட் அணுகுதலை தடுக்க வேண்டும் என்று ஃபயர்வாலில் ஒரு விதி அமைக்கப்பட்டிருந்தால், பிறகு ஃபயர்வாலானது போர்ட் எண் 23-ல் இருந்து வரும் ஐபி நெறிமுறையைத் தடுத்துவிடும்.
இரண்டாம் தலைமுறை - அப்ளிகேஷன் லேயர்
[தொகு]அப்ளிகேஷன் லேயர் பில்டரிங்கின் முக்கிய பயன் என்னவென்றால், அதனால் சில குறிப்பிட்ட பயன்பாடுகளையும், நெறிமுறைகளையும் (கோப்பு பரிமாற்ற நெறிமுறை (File Transfer Protocol), களப்பெயர் வழங்கி (DNS), அல்லது இணைய உலாவுதல்) புரிந்து கொள்ள முடியும், மேலும் ஒரு தரமுறையில்லா போர்ட் மூலமாக ஒரு தேவையற்ற நெறிமுறை உள்நுழைகிறதா அல்லது ஒரு நெறிமுறை நாசப்படுத்தும் வகையில் தவறாக பயன்படுத்தப்படுகிறதா என்பதை அதனால் கண்டறிய முடியும்.
பேக்கெட் பில்டர் ஃபயர்வாலோடு ஒப்பிடும் போது, ஓர் அப்ளிகேஷன் ஃபயர்வால் மிகவும் பாதுகாப்பானது மற்றும் நம்பகத்தன்மை வாய்ந்ததாகும், ஏனென்றால் இது OSI reference model-ன் அனைத்து (ஏழு) அடுக்குகளிலும் வேலை செய்கிறது, அதாவது அப்ளிகே ஷன் அடுக்கில் இருந்து பிசிக்கல் அடுக்கு வரை அனைத்திலும் வேலை செய்கிறது. இது பேக்கெட் பில்டர் ஃபயர்வாலைப் போலவே இருந்தாலும், இங்கே தரவுபொருள் அடிப்படையிலும் தகவலை வடிக்கட்ட முடியும். அப்ளிகேஷன் ஃபயர்வாலுக்கான ஒரு சிறந்த உதாரணம் ISA (Internet Security Acceleration) சர்வர் ஆகும். ஓர் அப்ளிகேஷன் ஃபயர்வாலானது, FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP மற்றும் TFTP (GSS) போன்ற உயர் அடுக்கு நெறிமுறைகளையும் வடிகட்டும் திறன் வாய்ந்தது. எடுத்துக்காட்டாக, "ஸ்பேம்" என்ற வார்த்தையோடு சம்பந்தப்பட்ட எல்லா தகவல்களையும் தடுக்க விரும்பினால், அந்த குறிப்பிட்ட வார்த்தையை மட்டும் தடுக்க ஃபயர்வாலில் தரவுபொருள் பில்டரிங்கை செயலூக்கிவிட முடியும். ஓர் அப்ளிகேஷன் ஃபயர்வாலானது, மென்பொருள் சார்ந்த ஃபயர்வால் என்பதால், நிலைத்தன்மை (statefull) ஃபயர்வாலை விட இது மிகவும் மெதுவாக செயல்படக்கூடியதாக இருக்கும்.
மூன்றாம் தலைமுறை - "ஸ்டேட்புள்" பில்டர்கள்
[தொகு]1989-1990 முதல், ஏடி&டி பெல் ஆய்வகங்களைச் சேர்ந்த டேவ் பிரிசெட்டோ, ஜனார்த்தன் சர்மா, மற்றும் ஷித்திஜ் நிகம் ஆகிய மூவரும் மூன்றாம் தலைமுறை ஃபயர்வால்களை உருவாக்கினார்கள், இவர்கள் இதை சர்க்கியூட் மட்டத்திலான ஃபயர்வால்கள் என்று அழைத்தார்கள்.
மூன்றால் தலைமுறை ஃபயர்வால்கள், கூடுதலாக, பேக்கெட் தொடர்களுக்கு உள்ளேயே ஒவ்வொரு தனித்தனி பேக்கெட்டின் இடத்தையும் மதிப்பிடுகிறது. ஃபயர்வால் வழியாக செல்லும் அனைத்து இணைப்புகளின் விபரங்களையும் இந்த தொழில்நுட்பம் சேமித்து வைப்பதாலும், ஒரு பேக்கெட்டானது ஒரு புதிய இணைப்பில் இருந்து தொடங்கியதா அல்லது இணைப்பில் இருப்பதன் ஒரு பகுதியா அல்லது ஒரு மதிப்பிழந்த பேக்கெட்டா என்று இதனால் தீர்மானிக்க முடியும் என்பதாலும், இதுவொரு ஸ்டேட்புல் பேக்கெட் பரிசோதனை (stateful packet inspection) என்று பொதுவாக குறிக்கப்படுகிறது. இதுபோன்ற ஒரு ஃபயர்வாலில் நிலையான ஒரு விதிமுறை தொகுப்பு இருக்கும் என்பதால், இணைப்பின் நிலையும் முக்கிய விஷயங்களில் ஒன்றாக மாறிவிடுகிறது, ஆகவே இதுவும் குறிப்பிட்ட விதிமுறைகளை ஏற்படுத்துகிறது.
செயல்பாட்டில் இருக்கும் இணைப்புகளைச் சுரண்டும் தாக்குதல்களை அல்லது சில குறிப்பிட்ட சேவை-மறுப்பு (Denial-of-service) தாக்குதல்களை ஏற்படுத்துவதைத் தடுக்க இந்த வகையான ஃபயர்வால்கள் உதவுகின்றன.
துணை அபிவிருத்திகள்
[தொகு]1992-ல், தென் கலிபோர்னியா பல்கலைக்கழகத்தின் (University of Southern California) பாப் பிரேடன் மற்றும் அன்னேட் டிஸ்கோன் இருவரும் ஃபயர்வால் பற்றிய தத்துவத்தை மாற்றி அமைத்தார்கள். "விசாஸ்" என்றழைக்கப்பட்ட உபகரணம் தான், வண்ணங்கள் மற்றும் குறியீடுகளுடன் கூடிய பார்வைக்குரிய இடைமுக இணைப்பைக் கொண்ட முதல் சிஸ்டமாகும், இது மைக்ரோசாப்ட் விண்டோஸ் அல்லது ஆப்பிளின் மேக் இயங்குதளம் போன்ற ஒரு கணினி ஆபரேட்டிங் சிஸ்டத்தில் எளிமையாக உள்ளமைப்பதற்கும், பயன்படுத்துவதற்கும் ஏற்றதாக இருந்தது. 1994-ல், செக்பாயிண்ட் சாப்ட்வேர் டெக்னாலஜீஸ் என்ற ஓர் இஸ்ரேலிய நிறுவனம், ஃபயர்வால்-1 என்று பெயரிட்டு இதை எளிதாக கிடைக்க கூடிய மென்பொருளாக உருவாக்கியது.
நவீன ஃபயர்வால்களில் இப்போதிருக்கும் ஆழ்ந்த பேக்கெட் பரிசோதனை முறையை, அனுமதியற்றநுழைவு-தடுப்பு முறைகளோடு (Intrusion-prevention systems) பகிர்ந்து கொள்ளலாம்.
தற்போது, இணைய பொறியாள்கை பணிக்குழுவின் மிடில்பாக்ஸ் கம்யூனிகேஷன் வொர்க்கிங் குரூப் என்பது ஃபயர்வால்கள் மற்றும் ஏனைய மத்தியஉபகரணங்களுக்கான நெறிமுறைகளை தரமுறைப்படுத்த செயலாற்றி வருகிறது.
அபிவிருத்தியின் மற்றொரு அச்சு என்னவென்றால், ஃபயர்வால் விதிமுறைகளுக்குள் பயனர்களின் அடையாளத்தை (identity) ஒருங்கிணைப்பதாகும். பெரும்பாலான ஃபயர்வால்கள் இது போன்ற வசதியை அளிக்க, ஐபி அல்லது மேக் (MAC) முகவரிகளைப் பயனர் அடையாளங்களுடன் இணைத்து அளிக்கின்றன, இது மிகவும் தோராயமானது என்பதுடன் இதை எளிதாக மாற்றிவிடவும் முடியும். NuFW என்றவொரு ஃபயர்வால், ஒவ்வொரு இணைப்பிற்கும் பயனரின் கையொப்பத்தைக் கேட்பதன் மூலமாக, அடையாளத்தின் அடிப்படையிலான ஃபயர்வால் முறையை மிகவும் சிறப்பாக வழங்குகிறது.
வகைகள்
[தொகு]தொடர்பு எங்கே ஏற்படுகிறது என்பதன் அடிப்படையிலும், தொடர்பு எங்கே குறுக்கிடப்படுகிறது என்பதன் அடிப்படையிலும் நிலையைக் கண்டறியும் அடிப்படையில் ஃபயர்வால்களின் பல்வேறு பிரிவுகள் உள்ளன.
நெட்வொர்க் அடுக்கு மற்றும் பேக்கெட் பில்டர்கள்
[தொகு]பேக்கெட் ஃபயர்வால்கள் என்றழைக்கப்படும் நெட்வொர்க் லேயர் ஃபயர்வால்கள், TCP/IP நெறிமுறை ஸ்டேக்கின் குறைந்த மட்டத்தில் செயல்படுகின்றன, இவை உருவாக்கப்பட்ட விதிமுறை தொகுப்பிற்கு பொருந்தி வந்தால் ஒழிய, ஃபயர்வால் வழியாக இவை பேக்கெட்களை அனுப்புவதில்லை. ஃபயர்வால் நிர்வாகி இந்த விதிமுறைகளை உருவாக்கலாம்; அல்லது அதிலிருக்கும் துவக்க விதிகள் பொருந்திவிடும். "பேக்கெட் பில்டரிங்" என்ற இந்த வார்த்தை, BSD இயங்குதளங்களின் பொருளில் இருந்து உருவாக்கப்பட்டது.
நெட்வொர்க் லேயர் ஃபயர்வால்கள் பொதுவாக இரண்டு துணை-பிரிவுகளின் கீழ் வருகின்றன, அதாவது நிலைத்தன்மையுள்ள (stateful) மற்றும் நிலைத்தன்மையற்ற (stateless) என்ற இரண்டு பிரிவுகள். நிலைத்தன்மையுள்ள ஃபயர்வால்கள் செயல்பாட்டில் இருக்கும் பிரிவுகளைப் பற்றிய தகவல்களைச் சேமித்து வைத்திருக்கும், பேக்கெட் செயல்பாடுகளை விரைவுப்படுத்த அந்த "நிலை தகவல்களை" பயன்படுத்தும். அனுப்பும் மற்றும் பெறும் ஐபி முகவரி, UDP அல்லது TCP போர்ட்டுகள், மற்றும் இணைப்பு காலத்தின் தற்போதைய நிலை (துவங்கப்பட்ட நேரம், ஹேண்ட் ஷேக்கிங், தரவு பரிமாற்றம், அல்லது இணைப்பு முடிவுக்கு வந்த நேரம் உட்பட இதுபோன்ற நிலைகள்) ஆகியவை உட்பட பல்வேறு பண்புகளின் அடிப்படையில் இருக்கும் வலையமைப்பு இணைப்பை வரையறுக்கலாம். இப்போதிக்கும் இணைப்போடு ஒரு பேக்கெட் பொருந்தவில்லை என்றால், புதிய இணைப்புகளுக்கு ஏற்ப விதிமுறை தொகுப்புகளின்படி அது மதிப்பிடப்படும் ஃபயர்வாலின் நிலை அட்டவணையுடனான ஒப்பீட்டு அடிப்படையில் இணைப்பில் இருக்கும் ஓர் இணைப்புடன் ஒரு பேக்கெட் பொருந்துகிறது என்றால், மேலும் அதை புராஸசிங் செய்ய வேண்டிய அவசியமில்லாமல் அது அனுமதிக்கப்படும்.
நிலைத்தன்மையற்ற ஃபயர்வால்களுக்கு குறைந்த நினைவகமே தேவைப்படுகிறது, மேலும் ஒரு இணைப்பைப் பார்வையிடும் நேரத்தை விட வடிகட்டுவதற்கு குறைவான நேரமே தேவைப்படும் எளிமையான பில்டர்களில் இது விரைவாக செயல்படுகிறது. ஒரு இணைப்பைப் பற்றிய எந்த தகவலும் இல்லாத நிலைத்தன்மையற்ற வலையமைப்பு நெறிமுறைகளை வடிகட்டுவதற்கும் இவை தேவைப்படுகின்றன. ஆனால், ஹோஸ்டுகளுக்கு இடையில் எந்த நிலையிலான தொடர்புகள் எட்டப்பட்டிருக்கிறது என்பதன் அடிப்படையில் மிகவும் சிக்கலான தீர்மானங்களை அவற்றால் எடுக்க முடியாது.
அனுப்பிய உபகரணத்தின் ஐபி முகவரி, அனுப்பிய உபகரணத்தின் போர்ட், வந்தடைந்த உபகரணத்தின் ஐபி முகவரி மற்றும் போர்ட், இறுதி பயன்பாட்டு உபகரணத்தில் பயன்படுத்தப்படும் உலகளாவிய வலையம் அல்லது கோப்பு பரிமாற்ற நெறிமுறை போன்ற பல்வேறு பேக்கெட் பண்புகளின் அடிப்படையில் நவீன ஃபயர்வால்களால் தரவு பரிமாற்றத்தை வடிகட்ட முடியும். நெறிமுறைகள், TTL மதிப்புகள்,அனுப்பும் சாதனத்தின், தோற்றுவிப்பானின் நெட்பிளாக் மற்றும் பிற பல பண்புகளின் அடிப்படையில் அவை பில்டரிங் செய்யும்.
யூனிக்ஸின் பல்வேறு பதிப்புகளில் ipf (பல்வேறு வகை), ipfw (FreeBSD/Mac OS X), pf (OpenBSD, மற்றும் பிற BSD-க்கள்), iptables /ipchains (Linux) போன்றவை பொதுவாக பயன்படுத்தப்படும் பேக்கெட் பில்டரிங் ஆகும்.
அப்ளிகேஷன்-லேயர்
[தொகு]அப்ளிகேஷன்-லேயர் ஃபயர்வால்கள் TCP/IP ஸ்டேக்கின் (அதாவது, உலாவியின் அனைத்து தரவு பரிமாற்றம், அல்லது அனைத்து டெல்நெட் அல்லது கோப்பு பரிமாற்ற நெறிமுறை) அப்ளிகேஷன் மட்டத்தில் செயல்புரிகின்றன, மேலும் ஒரு பயன்பாட்டில் இருந்தோ அல்லது ஒரு பயன்பாட்டிற்கோ பரிமாறப்படும் எல்லா பேக்கெட்களையும் அது குறுக்கீடு செய்யக்கூடும். பிற பேக்கெட்களையும் (பொதுவாக அனுப்புனருக்கு எந்த மறுமொழியும் அளிக்காமல் கைவிட்டுவிடலாம்) அவை தடுக்கலாம். கோட்பாட்டளவில், அப்ளிகே ஷன் ஃபயர்வால்களானது வெளிப்புறத்தில் இருந்து வரும் தரவுகள் பாதுகாக்கப்பட்ட இயந்திரங்களைத் தாக்குவதைத் தடுக்கின்றன.
தகாத பொருள்களைக் கொண்ட தகவல்களுக்காக அனைத்து பேக்கெட்டுகளையும் பரிசோதித்து, ஃபயர்வால்களானது வலையமைப்புதிறன் வாய்ந்த கணினி வார்ம்கள் மற்றும் ட்ரோஜான்கள் பரவாமல் தடுக்கிறது. கூடுதல் பரிசோதனையானது, பேக்கெட்களை அவை அனுப்பப்பட வேண்டிய இடத்திற்கு முன்னெடுத்துச் செல்ல கூடுதல் பாதுகாப்பை வழங்குகின்றன.
பிராக்ஸிகள்
[தொகு]ஒரு பிராக்ஸி சாதனமானது (ஒரு பிரத்யேக ஹார்டுவேராக அல்லது ஒரு பொதுவகையான உபகரணத்தில் சாப்ட்வேராக), ஒரு பயன்பாட்டு முறையில், பிற பேக்கெட்களைத் தடுத்து, உள்ளீட்டு பேக்கெட்களுக்கு (எடுத்துக்காட்டாக, இணைப்பு கோரிக்கைகள்) பிரதிபலிப்பை அளிப்பதன் மூலமாக ஒரு ஃபயர்வாலாக செயல்பட முடியும்.
வெளிப்புற வலையமைப்புகளால், பிராக்ஸிகள் உள்ளிருக்கும் சிஸ்டத்தோடு தொந்தரவுகளை மிகவும் கடினமாக்க கூடும், மேலும் உள்ளிருக்கும் சிஸ்டத்தை முறைமாறி பயன்படுத்துவது என்பது ஃபயர்வாலுக்கு வெளியில் இருந்து ஒரு பாதுகாப்பு முறிவை ஏற்படுத்த வேண்டும் என்ற தேவையில்லை (பயன்பாட்டு பிராக்ஸி செயல்பாட்டில் இருக்கும் வரைக்கும் மற்றும் முறையாக உள்ளமைப்பு செய்யப்பட்டிருக்கும் வரைக்கும் இப்படி நடக்காது). மாறாக, அங்கீகாரமற்று நுழைபவர்கள் யாரும்-அணுகக்கூடிய சிஸ்டத்தைத் தவறாக கையாள முடியும் என்பதோடு, அதை தங்களின் சொந்த தேவைக்காக ஒரு பிராக்ஸியாகவும் பயன்படுத்தலாம்; பிறகு இந்த பிராக்ஸி ஏனைய உட்சாதனங்களுக்கு போலியாக இயங்கி கொண்டிருக்கும். உள்முகவரி பயன்பாடானது பாதுகாப்பை வலுப்படுத்துவதால், பாதுகாப்புமுறையை உடைப்பவர்கள் ஒரு டார்கெட் வலையமைப்பிற்குள் பேக்கெட்களை அனுப்ப ஐபி ஸ்பூபிங் (IP spoofing) போன்ற முறைகளைக் கூட பயன்படுத்த கூடும்.
வலையமைப்பு முகவரி மாற்றம்
[தொகு]ஃபயர்வால்கள் பெரும்பாலும் வலையமைப்பு முகவரி மாற்றம் (network address translation) செயல்பாட்டைக் கொண்டிருக்கும், மேலும் ஃபயர்வாலுக்கு பின்னால் பாதுகாக்கப்பட்டிருக்கும் ஹோஸ்டுகள் பொதுவாக, RFC 1918-ல் வரையறுக்கப்பட்ட விதத்தில், "தனிப்பட்ட முகவரி வரிசையில்" (private address range) முகவரிகளைக் கொண்டிருக்கும். பாதுகாக்கப்பட்ட ஹோஸ்டுகளின் நிஜமான முகவரிகளை மறைக்க ஃபயர்வால்கள் பெரும்பாலும் இதுபோன்ற செயல்பாட்டைக் கொண்டிருக்கும். நிஜத்தில், வலையமைப்பு முகவரி மாற்றம் என்ற இந்த செயல்பாடானது, IPv4 ரௌட்டபள் முகவரிகளில் இருக்கும் எண்ணிக்கை குறைவைச் சரிசெய்வதற்காக அபிவிருத்தி செய்யப்பட்டது, இதனால் நிறுவனங்களுக்கோ அல்லது தனிநபர்களுக்கோ பிரத்யேக முகவரியை ஒதுக்கவோ அல்லது பயன்படுத்தவோ கொடுப்பதற்காகவும், அதனோடு கட்டணத்தையும், நிறுவனத்தில் இருக்கும் ஒவ்வொரு கணினிக்கும் போதிய பொது முகவரிகள் அளிக்கவும் திட்டமிட்டு இந்த செயல்பாடு அபிவிருத்தி செய்யப்பட்டது. பாதுகாக்கப்பட்ட உபகரணங்களின் முகவரிகளை மறைப்பதென்பது, வலையமைப்பு வேவுப்பணிகளுக்கு எதிராக அதிகரித்து வரும் முக்கியமான பாதுகாப்பாக மாறி வருகிறது.
குறிப்புதவிகள்
[தொகு]- ↑ 1.0 1.1 1.2 1.3 வலையமைப்பு ஃபயர்வால்களின் வரலாறும், ஆய்வும், கெனித் இன்ங்காம் மற்றும் ஸ்டீபன் போரஸ்ட்
- ↑ [1][தொடர்பிழந்த இணைப்பு] டாக்டர். தலால் அல்காரோபி எழுதிய ஃபயர்வால்கள்
- ↑ RFC 1135 The Helminthiasis of the Internet
பிற வலைத்தளங்கள்
[தொகு]- இணைய ஃபயர்வால்கள்: கேள்விகளும்-பதில்களும், மாட் கர்டின், மார்கஸ் ரானும் மற்றும் பௌல் ராபர்ட்சன் ஆகியோரால் தொகுக்கப்பட்டது
- ஃபயர்வால் தொழில்துறையின் பரிணாமம் பரணிடப்பட்டது 2007-03-11 at the வந்தவழி இயந்திரம் - பல்வேறு கட்டமைப்புகள் மற்றும் அவற்றிற்கு இடையிலான வேறுபாடுகள், பேக்கெட்கள் எவ்வாறு கையாளப்படுகின்றன போன்றவற்றை விவாதிப்பதோடு, பரிணாமத்தின் காலத்தையும் விளக்குகிறது.
- வலையமைப்பு ஃபயர்வால்களின் வரலாறும், ஆய்வும் - பல்வேறு ஐஎஸ்ஓ மட்டங்களில் ஃபயர்வாலைப் பற்றிய ஓர் உட்பார்வை, முதல் ஃபயர்வால் பணி விவரிக்கப்பட்ட ஆய்வறிக்கைகளின் ஆதாரத்துடன் விவரிக்கப்படுகிறது.
- மென்பொருள் ஃபயர்வால்கள்: மேட் ஆப் ஸ்ட்ரா? (Made of Straw? Part 1) பரணிடப்பட்டது 2008-11-21 at the வந்தவழி இயந்திரம் பாகம் 1 பரணிடப்பட்டது 2008-11-21 at the வந்தவழி இயந்திரம் மற்றும் மென்பொருள் ஃபயர்வால்கள்: மேட் ஆப் ஸ்ட்ரா? பாகம் 2 - மென்பொருள் ஃபயர்வால் வடிவமைப்பு மற்றும் முக்கிய பலவீனங்கள் மீதான ஒரு தொழில்நுட்ப பார்வை