فایروال (Firewall) یکی از اصلی‌ترین ستون‌های امنیت شبکه است. اما بسیاری از مدیران شبکه و حتی متخصصان IT هنوز دقیقاً نمی‌دانند فایروال چگونه کار می‌کند، چه مکانیزم‌هایی دارد و چگونه ترافیک مخرب را از ترافیک سالم تشخیص می‌دهد.

فهمیدن نحوه کار فایروال به شما کمک می‌کند:

  • سیاست‌های امنیتی بهتر طراحی کنید
  • خطاهای پیکربندی را کاهش دهید
  • عملکرد شبکه را بهینه کنید
  • جلوی نفوذهای احتمالی را بگیرید

این مقاله یک راهنمای کامل است تا دقیقاً بدانید فایروال چه‌کار می‌کند، چگونه تصمیم‌گیری می‌کند، و پشت‌صحنه امنیت شبکه چه می‌گذرد.

(لینک به مقاله مادر: «فایروال چیست؟» )

فایروال چیست و چرا به آن نیاز داریم؟

فایروال یک سیستم امنیتی است که بین شبکه داخلی و اینترنت قرار می‌گیرد و با بررسی تمام درخواست‌ها، تصمیم می‌گیرد کدام بسته‌ها اجازه ورود یا خروج دارند.

این تصمیم‌گیری بر اساس:

  • قوانین امنیتی (Firewall Rules)
  • پروتکل‌ها
  • نوع ترافیک
  • منبع و مقصد
  • رفتار بسته‌ها
  • و الگوریتم‌های امنیتی

فایروال یک نگهبان هوشمند است

در ساده‌ترین تعریف:
فایروال هر بسته اطلاعاتی را می‌بیند، تحلیل می‌کند، و تصمیم می‌گیرد اجازه عبور بدهد یا مسدودش کند.
این فرآیند در فایروال‌های جدید بسیار پیچیده‌تر و هوشمندتر شده است.

(لینک به مقاله خوشه‌ای: «فایروال چگونه کار می‌کند؟ | مبانی فایروال» )

انواع روش‌های تصمیم‌گیری فایروال (Firewall Decision Models)

فایروال‌ها برای تشخیص ترافیک امن و ناامن از چند مدل تحلیلی استفاده می‌کنند. ترکیب این مدل‌هاست که امنیت واقعی ایجاد می‌کند.

1. فیلترکردن بسته‌ها (Packet Filtering)

این روش قدیمی‌ترین و پایه‌ای‌ترین روش تشخیص ترافیک است.

فایروال در این حالت بررسی می‌کند:

  • IP مبدا
  • IP مقصد
  • پورت مبدا
  • پورت مقصد
  • پروتکل (TCP/UDP/ICMP)
  • فلگ‌های TCP

و تصمیم می‌گیرد که آیا این بسته باید رد یا قبول شود.

این روش هنوز در همه فایروال‌ها استفاده می‌شود.
اما به‌تنهایی کافی نیست.

(لینک به مقاله خوشه‌ای: «Difference Between Hardware & Software Firewall» )

2. فیلترکردن Stateful (Stateful Inspection)

در فایروال‌های مدرن، فقط بسته‌ها بررسی نمی‌شوند بلکه حالت ارتباط نیز بررسی می‌شود.
فایروال به‌صورت هوشمند تشخیص می‌دهد:

  • آیا این بسته بخشی از یک ارتباط قانونی است یا خیر؟
  • آیا بسته از یک جلسه معتبر برگشته است؟
  • آیا الگوی ارتباط طبیعی است؟

Stateful Inspection باعث می‌شود فایروال رفتار ترافیک را نیز تحلیل کند.

(لینک به مقاله مادر: «فایروال چیست؟» )

3. بررسی عمیق بسته‌ها (Deep Packet Inspection – DPI)

این همان بخش مهمی است که در فایروال‌های NGFW (فایروال نسل جدید) دیده می‌شود.
در DPI:

  • فایروال داخل بسته‌ها را باز می‌کند
  • محتوا را می‌خواند
  • بدافزار، ویروس، بات‌نت، و حملات مخرب را شناسایی می‌کند
  • حملات مبتنی بر محتوا را مسدود می‌کند

این روش شبیه اسکن کردن چمدان در فرودگاه است.

(لینک به مقاله مرتبط: «DPI چیست؟» )
(لینک خارجی معتبر: https://www.cisco.com/c/en/us/products/security/firewalls/what-is-deep-packet-inspection.html )

بخش ۲ — مسیر حرکت ترافیک در فایروال (Firewall Traffic Flow)

در این بخش توضیح می‌دهیم که ترافیک دقیقاً چگونه از داخل فایروال عبور می‌کند و چه مراحلی را پشت سر می‌گذارد. درک این مسیر به مدیر شبکه کمک می‌کند نقاط ضعف، Bottleneckها و رفتارهای مشکوک را سریع‌تر تشخیص دهد.

مسیر کامل عبور بسته‌ها در فایروال چگونه است؟

وقتی یک بسته اطلاعاتی وارد شبکه شما می‌شود، فایروال آن را در چند مرحله بررسی می‌کند.
این مراحل در همه فایروال‌ها مشترک است، اما در فایروال‌های نسل جدید، هوشمندتر و پیچیده‌تر عمل می‌کند.

مسیر کامل عبور بسته‌ها معمولاً شامل مراحل زیر است:

  1. ورود بسته به اینترفیس (Interface Ingress)
  2. بررسی ارتباط با جدول Stateful Connection
  3. اجرای Ruleهای دسترسی (Access Rules)
  4. اجرای NAT یا PAT
  5. بررسی پروفایل‌های امنیتی (IPS, AV, App Control)
  6. ایجاد Log
  7. خروج بسته از اینترفیس مقصد (Interface Egress)

این فرآیند در کمتر از چند میلی‌ثانیه انجام می‌شود.

(لینک به مقاله مادر: «فایروال چیست؟» )
(لینک به خوشه: «پیکربندی اولیه فایروال» )

مرحله ۱ – ورود بسته به اینترفیس (Interface Ingress)

وقتی بسته از اینترنت یا یک شبکه داخلی وارد فایروال می‌شود، اولین نقطه برخورد آن اینترفیس ورودی است.
فایروال ابتدا تشخیص می‌دهد:

  • بسته از کدام Zone آمده؟ (WAN، LAN، DMZ)
  • نوع ترافیک چیست؟ (TCP، UDP، ICMP)
  • از چه پورتی وارد شده است؟
  • مقصد نهایی بسته کجاست؟

بعد از این مرحله، بسته به مرحله دوم منتقل می‌شود.

مرحله ۲ – بررسی جدول ارتباطات (State Table Lookup)

در این مرحله فایروال بررسی می‌کند آیا این بسته:

  • بخشی از یک ارتباط موجود است؟
  • مربوط به یک Session معتبر است؟
  • یا یک ارتباط جدید ایجاد می‌کند؟

اگر ارتباط معتبر باشد، بسته بدون بررسی اضافی اجازه عبور می‌گیرد (به جز پروفایل امنیتی‌ها).
❗ این مکانیزم دلیل اصلی سرعت بالای فایروال‌های Stateful است.

(لینک به خوشه: «Stateful Inspection چیست؟» )

مرحله ۳ – بررسی Ruleها (Firewall Rule Evaluation)

در این مرحله بسته از بالا به پایین بین Ruleهای فایروال بررسی می‌شود.
فایروال اولین Rule که با بسته مطابقت داشته باشد را اجرا می‌کند.

معیارهای بررسی شامل:

  • Source IP
  • Destination IP
  • Source Port
  • Destination Port
  • Service یا Application
  • Zone مبدا و مقصد
  • ساعت و تاریخ Rule
  • User/Group در فایروال‌های احراز هویت‌دار

این بخش همان‌جاست که معمولاً اشتباهات پیکربندی رخ می‌دهد.

(لینک به مقاله: «چگونه یک Rule استاندارد بنویسیم؟» )

مرحله ۴ – اجرای NAT و PAT

اگر Rule شامل تنظیمات NAT باشد (مثلاً برای اینترنت دادن به کاربران یا منتشر کردن یک سرور)، فایروال در این مرحله:

  • IP مبدا یا مقصد را تغییر می‌دهد
  • پورت‌ها را ترجمه می‌کند (در PAT)
  • مسیر جدید بسته را تعیین می‌کند

این مرحله برای سرویس‌دهی درست شبکه بسیار حیاتی است.

(لینک به مقاله خوشه‌ای: «NAT و PAT چیست؟» )

مرحله ۵ – اجرای پروفایل‌های امنیتی (Security Profiles)

در فایروال‌های NGFW، بسته قبل از خروج باید از فیلترهای امنیتی عبور کند:

  • IPS → جلوگیری از حملات
  • Antivirus → جلوگیری از بدافزار
  • Web Filtering → جلوگیری از دسترسی خطرناک
  • Application Control → کنترل برنامه‌ها
  • TLS/SSL Inspection → تحلیل بسته‌های رمزگذاری‌شده
  • DPI → تحلیل عمیق محتوا

این مرحله بیشترین اهمیت را برای امنیت شبکه دارد.

(لینک به مقاله: «IPS چیست؟» )
(لینک به مقاله: «DPI چیست؟» )

مرحله ۶ – ایجاد گزارش (Logging)

فایروال در این مرحله نتیجه تصمیم‌گیری را ثبت می‌کند:

  • Allow / Block
  • علت تصمیم (Rule یا Security Profile)
  • اطلاعات مربوط به Session
  • حجم ترافیک
  • Application مرتبط

این Logها برای تحلیل حملات و خطاها ضروری هستند.

(لینک به مقاله: «تحلیل لاگ فایروال» )

مرحله ۷ – خروج بسته از اینترفیس مقصد

آخرین مرحله، تحویل بسته به اینترفیس خروجی است.
اگر بسته مجاز باشد، وارد شبکه مقصد می‌شود.

بخش ۳ — مکانیزم‌های امنیتی پیشرفته در فایروال‌های نسل جدید (NGFW Mechanisms)

فایروال‌های نسل جدید (NGFW) چگونه امنیت شبکه را چند برابر می‌کنند؟

فایروال‌های نسل قدیم صرفاً بسته‌ها را بررسی می‌کردند؛
اما فایروال‌های نسل جدید (Next-Generation Firewall) با بهره‌گیری از تحلیل عمیق، هوش مصنوعی، یادگیری ماشینی و پروفایل‌های امنیتی، توانایی مقابله با تهدیدات پیچیده امروزی را دارند.
در این بخش بررسی می‌کنیم که فایروال‌های پیشرفته دقیقاً چگونه امنیت شبکه را تضمین می‌کنند.

(لینک به مقاله خوشه‌ای: «NGFW چیست؟» )

۱. سیستم جلوگیری از نفوذ (IPS) — قلب امنیت شبکه

IPS یا سیستم جلوگیری از نفوذ، یکی از مهم‌ترین اجزای فایروال‌های مدرن است.
در این بخش:

  • فایروال ترافیک را با دیتابیس عظیم حملات مقایسه می‌کند
  • الگوهای مخرب را شناسایی می‌کند
  • حملات روز صفر (Zero-Day) را مسدود می‌کند
  • رفتارهای غیرمعمول را ثبت و تحلیل می‌کند

IPS تمام حملات زیر را مسدود می‌کند:

  • SQL Injection
  • Cross-Site Scripting
  • Botnet Command & Control
  • Port Scanning
  • Brute Force
  • SMB Exploits
  • Ransomware Behavior

این بخش باید همیشه فعال باشد.

(لینک به مقاله: «IPS چیست؟» )
(لینک خارجی معتبر — Cisco IPS Overview: https://www.cisco.com/c/en/us/products/security/intrusion-prevention-system-ips/index.html )

۲. شناسایی و کنترل برنامه‌ها (Application Control)

فایروال‌های نسل جدید فراتر از پورت‌ها و پروتکل‌ها عمل می‌کنند.
در این مکانیزم، فایروال:

  • نوع برنامه (App) را تشخیص می‌دهد
  • رفتار آن برنامه را کنترل می‌کند
  • دسترسی برنامه‌های پرریسک را محدود می‌کند
  • استفاده کاربران از اپلیکیشن‌ها را مدیریت می‌کند

مثال‌ها:

  • مسدود کردن اپلیکیشن‌های خطرناک
  • محدود کردن پهنای باند برای TikTok/Instagram
  • کنترل برنامه‌هایی مثل TeamViewer یا AnyDesk

این مکانیزم جلوی سوءاستفاده داخلی یا نفوذ از طریق نرم‌افزارهای ناشناس را می‌گیرد.

(لینک به مقاله: «Application Control چیست؟» )

۳. اسکن بسته‌های رمزگذاری‌شده (SSL/TLS Inspection)

امروزه بیش از ۸۵٪ ترافیک اینترنت رمزگذاری‌شده است.
اگر فایروال این بسته‌ها را تحلیل نکند، مهاجمان به راحتی می‌توانند بدافزار را درون ترافیک HTTPS پنهان کنند.

SSL Inspection:

  • بسته رمزگذاری‌شده را باز می‌کند
  • محتوا را بررسی می‌کند
  • بدافزارهای پنهان را مسدود می‌کند
  • سپس بسته را دوباره رمزگذاری می‌کند

این یکی از سنگین‌ترین و مهم‌ترین وظایف فایروال است.

(لینک به مقاله: «DPI چیست؟» )

۴. فیلترینگ وب و URL Filtering

فایروال‌های NGFW دسته‌بندی دقیق وب‌سایت‌ها را انجام می‌دهند:

  • سایت‌های بدافزار → Block
  • سایت‌های فیشینگ → Block
  • شبکه‌های اجتماعی → Allow/Block
  • سایت‌های دانلود خطرناک → Block
  • سایت‌های کاری → Allow

مزایا:

  • افزایش امنیت
  • مدیریت بهتر رفتار کاربران
  • جلوگیری از هدررفت پهنای باند
  • جلوگیری از ورود بدافزار

(لینک به مقاله خوشه‌ای آینده: «Web Filtering چیست؟» )

۵. آنتی‌ویروس و ضدبدافزار در سطح شبکه (Gateway AV)

این آنتی‌ویروس با آنتی‌ویروس سیستم‌ها فرق دارد.
در اینجا:

  • فایروال قبل از رسیدن فایل‌ها به کامپیوتر، آن‌ها را اسکن می‌کند
  • امضاهای بدافزار (Malware Signatures) را بررسی می‌کند
  • فایل‌های آلوده را حذف یا قرنطینه می‌کند

این مکانیزم مخصوص جلوگیری از:

  • ویروس‌ها
  • Wormها
  • Spyware
  • Keyloggerها
  • Crypto-Minerها
  • Ransomware

(لینک خارجی معتبر — Fortinet Malware Protection: https://www.fortinet.com/resources/cyberglossary/malware )

بخش ۴ — جمع‌بندی، نکات نهایی، FAQ، CTA، Meta و Keywords

جمع‌بندی — فایروال چگونه امنیت واقعی شبکه را تضمین می‌کند؟

فایروال فقط یک «دستگاه محافظتی» نیست؛
بلکه یک سیستم تصمیم‌گیر هوشمند است که با ترکیبی از قوانین امنیتی، تحلیل عمیق بسته‌ها، رفتارشناسی، IPS، فیلترینگ وب، کنترل برنامه‌ها و بازرسی SSL از شبکه سازمان شما محافظت می‌کند.

درک دقیق اینکه فایروال چگونه کار می‌کند باعث می‌شود:

  • Ruleهای اصولی‌تر بنویسید
  • اشتباهات امنیتی را کاهش دهید
  • حملات را سریع‌تر شناسایی کنید
  • ترافیک را بهتر مدیریت کنید
  • خطاهای پیکربندی را به حداقل برسانید

و در نهایت شبکه شما ایمن‌تر، پایدارتر و بهینه‌تر کار می‌کند.

(لینک به مقاله مادر: «فایروال چیست؟» )
(لینک به خوشه: «بهترین روش‌های پیکربندی فایروال» )

🟦 FAQ — سوالات متداول درباره عملکرد فایروال

1. آیا فایروال واقعاً می‌تواند همه حملات را متوقف کند؟

خیر. فایروال یک لایه بسیار مهم است اما برای امنیت کامل نیاز به IPS، آنتی‌ویروس شبکه، Segmentation و مانیتورینگ دارید.

(لینک به مقاله: «IPS چیست؟» )

2. تفاوت DPI با فیلتر بسته معمولی چیست؟

DPI داخل بسته را بررسی می‌کند، نه فقط هدر آن را.
این تکنیک بدافزارها و ارتباطات رمزگذاری‌شده مخرب را شناسایی می‌کند.

3. آیا همه فایروال‌ها SSL Inspection دارند؟

نه. تنها فایروال‌های NGFW مانند Sophos XGS و FortiGate دارای SSL/TLS Inspection قدرتمند هستند.

4. آیا فایروال می‌تواند جلوی تهدیدات داخلی را بگیرد؟

بله؛ از طریق Application Control، IPS داخلی و Segmentation می‌توان رفتارهای مشکوک داخلی را شناسایی و مسدود کرد.

(لینک به مقاله: «Segmentation چیست؟» )

5. چرا Ruleهای فایروال باید از بالا به پایین بررسی شوند؟

چون فایروال اولین Rule مطابق را اجرا می‌کند.
اگر ترتیب اشتباه باشد، امنیت شبکه از بین می‌رود.

6. آیا فایروال بدون IPS کافی است؟

خیر؛ IPS مکمل فایروال است و بدون آن حملات مدرن از لایه‌های عمیق عبور می‌کنند.

CTA — درخواست اقدام هوشمندانه

امنیت شبکه شما نباید با آزمون‌وخطا پیش برود.
اگر می‌خواهید:

  • فایروال سازمان را حرفه‌ای پیکربندی کنید
  • عملکرد شبکه را بهینه کنید
  • جلوی حملات و نفوذهای پیچیده را بگیرید
  • Ruleهای اصولی و استاندارد بسازید
  • یا بهترین مدل فایروال را انتخاب کنید

کارشناسان آرن شبکه آماده‌اند کنار شما باشند.

📞 تماس: 91303148-021
🌐 وب‌سایت: www.arennetwork.com