دیواره آتش ویندوزی؛ بودن یا نبودن!

من یك مشكلی دارم، من نمی توانم یك دیواره آتش مناسب برای سرور ویندوزم پیدا كنم. در اصل وقتی افراد در این باره از من پرسش می كنند جواب مناسبی برای آنها ندارم.اگر چه در حال حاضر بیشتر سرور های ما پشت دیواره آتش می باشند، اما من علاقمندم كه یك حفاظت دیگر در خود سرور داشته باشم.
به نظر می رسد كه این راه حل می تواند كافی باشد. من صبورانه منتظر یك شخص با استعداد هستم كه دیواره آتش ویندوز را با تمام خصوصیات به من معرفی كند تا من از توضیحات اضافه خودداری كنم زیرا كه راه درست آن است كه به سمت لینوكس با IPTable بروم. اما این انتظار بیهوده است. گاهی اوقات من فكر می كردم كه آخرین راه حل برای دیواره آتش ویندوز را پیدا كرده ام ولی بعد از مدتی می دیدم كه اشتباه می كرده ام و راههای دیگر را امتحان می كردم.
مطمئنا ما فیلتر كننده های TCP/IP داریم كه واقعا سریع می باشد. اما بسیار محدود است و فقط برای بسیاری از ترافیك های ابتدایی ورودی كاربرد دارد. اگرشما از فیلتر كننده های TCP/IP استفاده كنید شما نیاز دارید كه محافظت از لایه های دیگر را به طور اضافه نیز داشته باشید.
IPSec نیز است. فقط شما یك مرتبه بین قاعده ها، مجموعه قاعده ها، فیلترها و مجموعه فیلتر های مختلف، دسته بندی ایجاد می كنید. شما حتی می توانید از یك رابط كاربر و یا از اسكریپت های مختلف استفاده كنید ولی هر دو آنها گیج كننده هستند. به هر جهت وقتی كه شما تمام این كارها را انجام دهید و در شبكه خود اجرا كنید مشاهده خواهید كرد كه شبكه شما كندتر از قبل شده است. زیرا كه IPSec به همراه فیلترینگ بسته ها، شبكه را تا حدود ۱۰% - ۱۵% كند می كند. راستی یك چیز دیگر هم وجود دارد كه باعث می شود من از IPSec متنفر شوم: رویدادهای آن توسط ثبت وقایع ویندوز(Windows Eventlog ) ، ثبت می گردد. یعنی شما نیاز دارید كه روی تك تك رویدادها كلیك كنید تا مشخصات و خصوصیات آن را مشاهده كنید و یا آن را به فرمتی دیگر در آورید. همین موضوع كافی است كه من از هر دوی آنها فرار كنم.
دیواره آتش ارتباطات اینترنت ویندوز (ICF) تا حدودی بهتر است و با قاعده ها به طور قابل انعطاف تری برخورد می كند. وقتی ویندوز ۲۰۰۳ با SP۱ عرضه شد حتی دیواره آتش بهتر نیز شد. واقعا باید اعتراف كرد كه دیواره آتش ویندوز یك پیشرفت بزرگ محسوب می شود و جالب آنكه حتی از Group Policy ها نیز پشتیبانی می كند. متاسفانه دیواره آتش ویندوز به شما اجازه نمی دهد كه روی ترافیك بیرونی هیچ قاعده ای داشته باشید. به علاوه نیاز دارد كه مدیریت ارتباطات دسترسی ها از راه دور و همچنین سرویس های تلفنی روشن شوند. مثلا هنگامی كه من نیاز به یك میل سرور و سرور وب امن دارم من نیازی به آنها ندارم.
RAS چطور ؟ شاید بدانید كه آن نیز قابلیت های فیلتر كردن بسته ها را دارد و در حقیقت یك API خوبی برای ابزارهای دیگر دارد كه می توانند این كار را انجام دهند. اما این فیلترها به شما اجازه نمی دهند كه در سطح پایین تر مانند فیلترینگ ICMP فیلتر ها را اعمال كنید بنابراین این هم به نظر مفید نمی رسد.دیواره های آتش شخصی مناسب و كاربردی نیز وجود دارد كه واقعا برای كامپیوترهای رومیزی بسیار مناسب و كارا می باشد اما هیچكدام برای ویندوز سرور كارایی مناسب را ندارند. برخی از آنها از بقیه بهترند ولی باز هم تمامی آنها مشكلات خاص خود را دارند. مشكلاتی از قبیل ضعف در فایل های ثبت وقایع، قابلیت های پیكربندی محدود، كند بودن و بدتر از همه آنكه در هنگام بار بالا صفحه آبی خطای ویندوز را نمایش می دهند!
مشكل دیواره های آتش شخصی این است كه آنها باید با محیط ویندوز مجتمع شوند. راههای زیادی برای جلوگیری كردن از بسته ها در ویندوز وجود دارد اما هر كدام از آنها ضعف و زیانهای خودشان را دارند و تمامی این راهها به طور ضعیفی نیز مستند شده اند. بیشتر آنها نیاز دارند كه با توابع بخش هسته ویندوز كار كنند و برای برخی از ابزارها نیز احتیاج به نوشتن درایور است. تمامی آنها كار می كنند، اما اگر اطمینان از این بود كه صفحه آبی خطای ویندوز نمایش داده نمی شود خیلی بهتر بود ولی خودتان امتحان كنید، سرورهای ما اغلب با بار بالا مواجهه می شوند و شما در استفاده از یك دیواره آتش با صفحه آبی به طور متناوب مواجهه می شوید. مشكل دیگر این برنامه ها این است كه در برخورد با برنامه های دیگر با مشكل مواجهه می شوند. از همه مهمتر به دلیل اینكه این برنامه ها با برخی توابع نوشته می شوند كه ممكن است بعد از نصب سرویس پك ها و hotfix ها ممكن است تغییر كند و مسایل بیشمار دیگری نیز وجود دارد.
دیواره های آتش شخصی نیز برای ویندوز های سروری كه بدون مراقبت هستند نیز به خوبی كار نمی كنند و هركدام از آنها نیز برای بیشتر ترافیك های شبكه نیاز به اجازه كاربر دارند كه این موضوع برای ویندوزهای سرور به طور بدیهی كار نمی كنند و برخی نیز به صورت یك برنامه مقیم در حافظه می باشند كه حتی از Terminal Services نیز قابل دسترس نیستند!
آخرین تلاش من برای نصب یك دیواره آتش ویندوز سرور برنامه ISA ۲۰۰۴ مایكروسافت می باشد. خیلی جالب آنكه این برنامه به خوبی كار می كند. هسته محافظ آن به خوبی یك دیواره آتش شخصی كار می كند به علاوه آنكه در تعریف قاعده ها نیز به خوبی عمل می كند. فقط یك مشكل بزرگ وجود دارد : برنامه ISA ۲۰۰۴ خیلی گرانتر از خود ویندوز سرور است و این كار را كمی مشكل می كند.به نظر شما من باید چه كار كنم؟ آخرین كاری كه كردم خرید یك دیواره آتش سخت افزاری كوچك بود!
البته زیاد هم ناامید نباشید. مایكروسافت روی یك سرویس فیلترینگ بسته ها(Windows Filtering Platform) در ویندوز لانگهورن كار می كند كه در آینده منتشر خواهد شد. WFP یك موتور فیلترینگ بسته ها در سطح سیستم عامل می باشد. شركت های ثانوی فقط كافی است كه برنامه های خود را پیكربندی كنند و روی قاعده ها كار كنند. WFP روی بسته ها در لایه های مختلف پشته جدید TCP/IP دسترسی ایجاد می كند و همین امر باعث پشتیبانی از فیلترینگ بعد از رمزنگاری بسته ها می شود و حتی از IPSec نیز پشتیبانی می كند. WFP آوازیست كه از دور خوش است و در حال حاضر به درد من نمی خورد.شما فكر می كنید كه پاسخ آن ساده است ولی اینگونه نیست و من هنوز مات و مبهوتم كه برای دیواره آتش ویندوز سرور خود چه راه حلی را پیدا كنم؟ راه حلی كه هنوز وجود ندارد.