فایروال لایه 7 چیست؟

در اصطلاح فایروال یا دیواره آتش(Firewall) سیستمی است سخت افزاری یا نرم افزاری که با نظارت و کنترل درخواست ها و دسترسی ها به کامپیوتر ها، سرورها و تجهیزات آنها را در مقابل نفوذ مهاجمین، دسترسی های غیرمجاز، ترافیک های مخرب و حملات هکرها محافظت می کند. فایروال لایه 7 پیکربندی متفاوتی با لایه 3 دارد که در ادامه این مقاله به بررسی آنها می پردازیم.

فایروال

فایروال در حقیقت یک ابزار امنیتی است که می‌تواند یک برنامه‌ی نرم‌افزاری یا یک دستگاه اختصاصی شبکه باشد.
هدف اصلی فایرول جداسازی داده امن از ناامن و کنترل ارتباطات بین شبکه ها و تبادل اطلاعات است. فایروال می‌تواند کارهای دیگری نیز انجام دهد اما غالبا مسئول کنترل و مدیریت ارتباطات ورودی و خروجی به شبکه است.
فایروال‌ها از دسترسی غیر مجاز به شبکه‌ی خصوصی جلوگیری کرده و بر اساس سیاست های امنیتی جامع برای شبکه‌ شما طراحی و پیاده سازی می شوند.

لایه های فایروال

وقتی زمان آن فرا می رسد که برای فایروال مشخص کنید کدام نوع ترافیک برای پذیرش مناسب است و کدام یک را باید مسدود کند، راه های متعددی برای دسته بندی ترافیک به دو دسته «OK» و «not OK» وجود دارد. هر رویکرد مطابق با یک “لایه” فایروال متفاوت است، همانطور که توسط مدل OSI تعریف شده است.

فایروال های لایه برنامه می توانند ترافیک شبکه، حمل و نقل و لایه برنامه را فیلتر کنند. فیلتر کردن در لایه برنامه همچنین خدمات جدیدی مانند پروکسی ها را معرفی می کند.

فایروال های لایه 3 (فایروال های شبکه)

یک راه این است که ترافیک را بر اساس آدرس های IP، شماره پورت ها و پروتکل های سرویس دسته بندی کنید. به عبارت دیگر، می‌توانید برای فایروال خود مشخص کنید که ترافیک را از آدرس‌های IP خاص بپذیرد در حالی که همه ترافیک‌های دیگر را مسدود می‌کند. 

می‌توانید با پیکربندی فایروال خود برای پذیرش ترافیک از آدرس‌های IP خاص فقط در پورت‌های خاص یا زمانی که ترافیک از پروتکل خاصی استفاده می‌کند، همه چیز را دقیق‌تر بررسی کنید.

اگر ترافیک را به این روش ها دسته بندی کنید، روی لایه 3 فایروال خود کار می کنید. گاهی اوقات به این لایه شبکه نیز می گویند. فایروال های لایه 3 ترافیک را بر اساس پشته TCP/IP فیلتر می کنند. این رویکرد گاهی اوقات به عنوان فیلتر بسته نیز نامیده می شود.

فایروال های لایه 7 (فایروال های کاربردی)

روش رایج دیگر برای پیکر-بندی فایروال شامل لایه 7 است که به عنوان لایه کاربردی نیز شناخته می شود.

به جای مسدود کردن تمام ترافیک در یک پورت خاص، می توانید از فایروال برنامه برای پذیرش ترافیک آن پورت به طور کلی استفاده کنید، اما هر ترافیکی را که حاوی آسیب پذیری شناخته شده ای است (مانند یک حمله SQL یا یک فرمان مخرب telnet) مسدود کنید.

تفاوت فایروال لایه 7 با لایه 3

اگر فایروال لایه 7 بزرگترین فرصت را برای پیکربندی پیشرفته فایروال فراهم می کند، چرا اصلاً در مورد لایه 3 صحبت می کنیم؟ پاسخ این است که آنها ابزارهای متفاوتی هستند که انواع مختلفی از خطرات را کاهش می دهند. در بیشتر موارد، از فایروال L3 و L7 استفاده می کنید و این دو مکمل یکدیگر هستند.

فایروال های L3 به طور کلی می توانند توان عملیاتی بسیار بیشتری نسبت به فایروال های L7 داشته باشند. علاوه بر این، از آنجایی که فایروال‌های L3 به سطح پایین‌تری از پشته می‌پردازند، سناریوهای متنوع‌تری را نسبت به فایروال L7 پوشش می‌دهند، که برای مدیریت هر نوع جریان ترافیکی که محافظت می‌کند، باید منطق پروتکلی خاص داشته باشد. برعکس، فایروال‌های L3 به سادگی بر اساس پورت‌های مبدا و مقصد، بدون آگاهی از ترافیک داخل، اجازه یا رد می‌کنند، بنابراین در هر سناریو مبتنی بر IP به طور جهانی کار می‌کنند.

با این حال، عدم آگاهی از پروتکل، نقطه کور قابل توجهی در آدرس فایروال L7 است. به خصوص که HTTP به پروتکل جهانی برنامه تبدیل شده است، هکرها به احتمال زیاد نقاط ضعف را در لایه برنامه بررسی کرده و از آنها سوء استفاده می کنند. فایروال L7 می‌تواند به لایه برنامه نگاه کند و در مورد اجازه دادن به درخواست بر اساس آنچه در آن وجود دارد یا نه فقط پورتی که می‌خواهد به آن دسترسی پیدا کند، تصمیم‌گیری کند. این یک عملیات محاسباتی پرهزینه تر است، اما عملیاتی که امنیت بسیار بیشتری را فراهم می کند.

لایه 7 چه کاری انجام می دهد؟

اگرچه لایه 7 به عنوان لایه برنامه شناخته می شود، اما رابط کاربری خود برنامه ها نیست. در عوض، لایه 7 عملکردها و خدماتی را ارائه می دهد که برنامه های کاربردی نرم افزاری رو به روی کاربر از آنها برای ارائه داده ها استفاده می کنند. اگر یک برنامه مانند یک خانه است، لایه 7 پایه است، نه خود خانه.

تماس‌ها و پاسخ‌های API متعلق به این لایه هستند و پروتکل‌های اصلی مورد استفاده HTTP و SMTP (پروتکل ساده انتقال ایمیل، که برنامه‌های ایمیل از آن استفاده می‌کنند) هستند.

لایه 7 چگونه با سایر لایه های OSI تعامل دارد؟

داده‌های لایه 7 به پشته منتقل می‌شوند، اگرچه لایه 7 فقط با لایه 6 تعامل دارد. وقتی داده‌ها از پشته پایین می‌روند، به بسته‌ها تقسیم می‌شوند و لایه‌های خاصی هدر و پاورقی را به هر بسته اضافه می‌کنند – به عنوان مثال، در لایه. 3، یک هدر IP حاوی آدرس های IP مقصد و مبدا به هر بسته اضافه می شود. در پایین پشته، داده ها به بیت تبدیل می شوند و در سراسر اینترنت فیزیکی منتقل می شوند.

پس از رسیدن به مقصد، داده‌ها به پشته برمی‌گردند و از لایه 1 شروع می‌شوند. در هر لایه، داده‌های سرصفحه و پاورقی تفسیر و حذف می‌شوند و داده‌ها در فرمی قرار می‌گیرند که برای لایه بعدی قابل استفاده است. هنگامی که داده ها از طرف دیگر به لایه 7 می رسند، در دسترس برنامه ها قرار می گیرند.

برای درک چگونگی عملکرد مدل OSI این واقعیت مهم است که هر لایه فقط با همان لایه در انتهای دیگر تعامل ارتباط برقرار می کند. داده های لایه 7 تنها توسط لایه 7 در انتهای گیرنده ارتباط تفسیر می شوند. لایه‌های دیگر در انتهای گیرنده صرفاً داده‌ها را به لایه 7 منتقل می‌کنند. به طور مشابه، داده‌های هدر IP که از یک طرف به بسته‌های داده در لایه 3 الحاق می‌شوند، فقط توسط لایه 3 در طرف دیگر خوانده و تفسیر می‌شوند.

حملات DDoS لایه 7 چگونه کار می کنند؟

لایه 7 یا حملات DDoS لایه برنامه سعی می کنند منابع شبکه یا سرور را با سیل ترافیک (معمولاً ترافیک HTTP) تحت الشعاع قرار دهند. به عنوان مثال می توان هزاران درخواست برای یک صفحه وب خاص در هر ثانیه ارسال کرد تا زمانی که سرور اشغال شود و نتواند به همه درخواست ها پاسخ دهد. مثال دیگر فراخوانی یک API بارها و بارها تا زمانی که سرویس از کار بیفتد است. به طور معمول، حملات DDoS لایه 7 پیچیده تر از انواع دیگر حملات DDoS هستند.

مدل OSI چه تفاوتی با مدل TCP/IP دارد؟

مدل مفهومی شبکه TCP/IP جایگزینی برای مدل OSI است. پشته شبکه را به جای هفت لایه به چهار لایه تقسیم می‌کند و اگرچه شبیه مدل OSI است، اما دقیقاً مطابقت ندارد. در مدل TCP/IP، “لایه 7” وجود ندارد، اما این یک تمایز صرفا معنایی است و به این معنی نیست که عملکرد شبکه در دو مدل متفاوت است.

چهار لایه در مدل TCP/IP عبارتند از:

1. لایه برنامه (برای پروتکل هایی مانند HTTP و SMTP)
2. لایه انتقال (برای پروتکل های انتقال مانند TCP و UDP)
3. لایه اینترنت ( پروتکل اینترنت )
4. لایه دسترسی به شبکه

نتیجه گیری

بنابراین، در حالت ایده‌آل، می‌توانید در صورت نیاز از فیلتر دیواره آتش لایه 3 و فیلتر لایه 7 استفاده کنید. با امکان فیلتر کردن هم در سطح شبکه و هم در سطح برنامه، حداکثر توانایی محافظت از زیرساخت ها و خدمات خود را در برابر هکرها دارید.

شرکت مدیریت و توسعه فناوری ایمن افزار ماهان، فعالیت خود را در زمینه امنیت شبکه‌های کامپیوتری از سال 87 و با همراهی تیمی از متخصصان این حوزه آغاز کرده است. در این سال‌ها با به کار گیری بروزترین داده‌های مرتبط با امنیت اطلاعات، علم برنامه‌نویسی، تجربه متخصصان و شناخت نیازهای مشتریان، توانسته است فایروالی بومی‌سازی شده و ایرانی به نام Mantiwall را به بازار عرضه کنیم.