From Wikipedia, the free encyclopedia
ஒரு ஃபயர்வால் (firewall) என்பது ஒரு கணிணி அமைப்பின் அல்லது வலையமைப்பின் ஒரு பாகமாகும், இது அங்கீகரிக்கப்பட்ட தொடர்புகளை மட்டும் அனுமதித்து, மற்ற அங்கீகாரமற்ற அணுகுதல்களைத் தடுக்கும் வகையில் வடிவமைக்கப்பட்டிருக்கும். இது ஒரு குறிப்பிட்ட விதிமுறை தொகுப்பின் அடிப்படையிலோ அல்லது வேறு ஏதேனும் ஒரு வகையிலோ, வெவ்வேறு பாதுகாப்பு டொமைன்களுக்கு இடையில் அனைத்து (உள்ளே செல்லும் மற்றும் வெளியே அனுப்பப்படும்) கணிணி தரவு பரிமாற்றத்தையும் அனுமதிப்பது, நிராகரிப்பது, என்க்ரிப்ட் செய்வது, டீக்ரிப்ட் செய்வது ஆகியவற்றுடனோ அல்லது புராக்ஸி ஏற்படுத்துவதற்கு ஏற்ற வகையில் உள்ளமைவு செய்யப்பட்ட ஒரு உபகரணமோ அல்லது பல உபகரணங்களின் தொகுப்பாகவோ அமைந்திருக்கும்.
இக்கட்டுரை கூகுள் மொழிபெயர்ப்புக் கருவி மூலம் உருவாக்கப்பட்டது. இதனை உரை திருத்த உதவுங்கள். இக்கருவி மூலம்
கட்டுரை உருவாக்கும் திட்டம் தற்போது நிறுத்தப்பட்டுவிட்டது. இதனைப் பயன்படுத்தி இனி உருவாக்கப்படும் புதுக்கட்டுரைகளும் உள்ளடக்கங்களும் உடனடியாக நீக்கப்படும் |
ஃபயர்வால்கள் வன்பொருள்களாகவோ அல்லது மென்பொருள்களாகவோ அல்லது இரண்டும் ஒருங்கிணைந்த கலவையாகவோ நிறுவப்படலாம். அங்கீகரிக்கப்படாத இணைய பயனர்கள், இணையத்தோடு இணைக்கப்பட்ட தனிப்பட்ட வலையமைப்புகளை, குறிப்பாக உள்வலையமைப்புகளை (intranet), அணுகுவதில் இருந்து தடுப்பதற்காக பெரும்பாலும் ஃபயர்வால்கள் பயன்படுத்தப்படுகின்றன. உள்வலையமைப்புகளில் இருந்தும் வெளியே செல்லும் அல்லது உள்ளே நுழையும் அனைத்து தகவல்களும் ஃபயர்வால் வழியாக அனுப்பப்படும், குறிப்பிட்ட பாதுகாப்பு விதிகளுக்கு உட்படாத தகவல்களை இது பரிசோதித்து தடுத்துவிடும்.
பல்வேறு வகையிலான ஃபயர்வால் தொழில்நுட்பங்கள் உள்ளன:
ஒரு ஃபயர்வால் என்பது ஒரு கணிணியில் இணைக்கப்பட்டிருக்கும் ஒரு பிரத்யேக சாதனம், அல்லது செயல்பாட்டில் இருக்கும் மென்பொருள் ஆகும், இது அதன் வழியாக செல்லும் வலையமைப்பு தகவல் பரிமாற்றங்களைப் பரிசோதித்து, அதில் அமைக்கப்பட்டிருக்கும் குறிப்பிட்ட விதிமுறை தொகுப்பின் அடிப்படையில் அவற்றை அனுமதிக்கிறது அல்லது நிராகரிக்கிறது.
இது பொதுவாக ஒரு பாதுகாக்கப்பட்ட வலையமைப்பிற்கும், பாதுகாப்பற்ற வலையமைப்பிற்கும் இடையே அமைக்கப்படும் ஒரு மென்பொருளோ அல்லது வன்பொருளோ ஆகும், பிரத்யேக தகவல்கள் வெளியே செல்லாமலும், தீங்கிழைக்கும் தகவல்கள் உள்ளே வராமலும் இருப்பதை உறுதிசெய்யவும், வலையமைப்பின் உறுப்புகளைப் பாதுகாக்கவும் இதுவொரு கதவைப் போல செயல்படுகிறது.
ஒரு ஃபயர்வாலின் அடிப்படை வேலை என்னவென்றால், வெவ்வேறு நம்பகத்தன்மை மட்டங்களில் கணினி வலையமைப்புகளுக்கு இடையில் தகவல் பரிமாற்றத்தை ஒழுங்குமுறைப்படுத்துவதாகும். நம்பகத்தன்மை குறைந்த இணையமும், உயர்ந்த நம்பகத்தன்மை கொண்ட உள்வலையமைப்பும் இதற்கு குறிப்பிடத்தக்க எடுத்துக்காட்டுகளாகும். நடுத்தரமான நம்பகத்தன்மை கொண்ட ஒரு பகுதியானது, அதாவது இணையத்திற்கும், நம்பகத்தன்மை கொண்ட உள்வலையமைபிற்கும் (internal network) இடைப்பட்ட பகுதி, பொதுவாக "பெரிமீட்டர் வலையமைப்பு" (perimeter network) அல்லது டீமிலிட்டரைஸ்டு ஜோன் (DMZ) என்று அழைக்கப்படுகிறது.
ஒரு வலையமைப்பிற்குள்ளான ஒரு ஃபயர்வாலின் செயல்பாடானது, கட்டிட கட்டுமானத்தில் நெருப்பு கதவுகளுடன் கூடிய நெருப்புச்சுவர்களைப் போலவே இருக்கும். முதலில் சொல்லப்பட்ட விஷயத்தைப் பொறுத்த வரையில், தனிப்பட்ட வலையமைப்பிற்குள் அனுமதியில்லாமல் நுழைவதைத் தடுக்கப் பயன்படுத்தப்படுகிறது. இரண்டாவதாக சொல்லப்பட்டதைப் பொறுத்த வரையில், கட்டமைப்பில் ஏற்படும் நெருப்பானது அருகில் இருக்கும் கட்டமைப்புகளுக்குள் பரவுவதில் இருந்து தாமதப்படுத்தவும், தடுக்கவும் நோக்கம் கொண்டிருக்கும்.
அடிப்படையில், "ஃபயர்வால்" என்ற வார்த்தையானது, நெருப்பைத் தடுக்கும் ஒரு சுவர் அல்லது ஒரு கட்டிடத்திற்குள் ஏற்படும் பெரும்நெருப்பை தடுக்கும் ஒரு சுவர், cf. firewall (கட்டுமானம்) என்பதையே குறிக்கும். பிறகு பிந்தைய நாட்களில், இந்த வார்த்தை வாகனத்தின் என்ஜின் பெட்டிகளை அல்லது விமானத்தில் பயணிகளின் பகுதியைப் பிரித்து வைப்பதற்கான உலோக தகடுகள் போன்ற அமைப்புகளைக் குறிக்க பயன்பட்டது.
உலகளாவிய பயன்பாடு மற்றும் இணைப்புநிலை ஆகியவற்றின் அடிப்படையில் இணையம் ஒரு புதிய தொழில்நுட்பமாக உருவாகி இருந்த 1980-களின் பின்பகுதியில் தான் ஃபயர்வால் தொழில்நுட்பம் உருவானது. வலையமைப்பு பாதுகாப்பிற்காக ஃபயர்வால்களைத் தொடர்ந்து வந்தவை ரௌட்டர்கள், வலையமைப்புகளை ஒன்றிலிருந்து ஒன்றை பிரித்து வைப்பதற்காக இவையும் 1980-களின் பின்பகுதியில் தான் பயன்படுத்தப்பட்டன.[1] ஒரு சிறிய சமூகமாக இருந்த அப்போதைய இணைய பயனர்கள், பகிர்விற்காகவும் கூட்டிணைப்பிற்காகவும் திறந்துவிட்டால், பல்வேறு இணைய பாதுகாப்பு தொந்தரவுகளால் அது அழிந்துவிடக்கூடும் என்று கருதினார்கள், 1980களில் இவ்வாறான நிலைப்பாடு இருந்தது:[1]
“ | We are currently under attack from an Internet VIRUS! It has hit Berkeley, UC San Diego, Lawrence Livermore, Stanford, and NASA Ames. | ” |
டிஜிட்டல் எக்யூப்மெண்ட் கார்ப்பரேஷனின் (DEC ) பொறியாளர்கள் பேக்கெட் பில்டர் ஃபயர்வால்கள் என்ற பெயரில் பில்டர் அமைப்புமுறைகளை உருவாக்கிய போது தான், 1988-ல் ஃபயர்வால் தொழில்நுட்பத்தைப் பற்றிய முதல் வெள்ளையறிக்கை வெளியானது. இந்த அடிப்படை அமைப்புமுறை தான் முதல் தலைமுறையாக இருந்தது, இதுவே படிப்படியாக பரிணமித்த தொழில்நுட்ப இணைய பாதுகாப்புமுறை வசதியாகும். ஏடி&டி பெல் ஆய்வகத்தில், பில் செஸ்விக் மற்றும் ஸ்டீவ் பெல்லோவின் இருவரும் பேக்கெட் பில்டரிங் குறித்து அவர்களின் ஆய்வைத் தொடர்ந்து கொண்டிருந்தார்கள், அவர்கள் முதல் தலைமுறை கட்டமைப்பின் அடிப்படையில் தங்களின் சொந்த நிறுவனத்திற்காக செயல்பாட்டிற்கு கொண்டுவருவதற்கான ஒரு மாதிரியை உருவாக்கி கொண்டிருந்தார்கள்.
பேக்கெட் பில்டர்கள் என்பவை, இணையத்தில் கணினிகளுக்கு இடையிலான தரவு பரிமாற்றத்தின் அடிப்படை அலகைக் குறிக்கும் "பேக்கெட்களைப்" பரிசோதிக்கின்றன. பேக்கெட் பில்டரில் அமைக்கப்பட்டிருக்கும் விதிமுறை தொகுப்புடன் பொருந்தி வரும் பேக்கெட்களை, பேக்கெட் பில்டர் (தடையேதும் இல்லாமல்) உள்ளே அனுமதிக்கும், அல்லது அதை நிராகரித்துவிடும் (புறக்கணித்துவிடும், பிறகு எந்த ஆதாரத்தில் இருந்து வந்ததோ அதற்கு "பிழை மறுமொழிகளை" (error responses) அனுப்பிவிடும்).
இந்த வகையான பேக்கெட் பில்டரிங்கானது, ஒரு பேக்கெட் செயல்பாட்டில் இருக்கும் தரவு பரிமாற்றத்தின் ஒரு பாகமாக இருக்கிறதா என்று கவனிப்பதில்லை (அது இணைப்பு "நிலையின்" தகவலைப் பற்றி எதுவும் சேமித்து வைப்பதில்லை). மாறாக, இது பேக்கெட் அதற்குள்ளேயே கொண்டிருக்கும் தகவலின் அடிப்படையில் மட்டும் ஒவ்வொரு பாக்கெட்டையும் வடிகட்டிவிடுகிறது (பெரும்பாலும் பேக்கெட்களின் ஆதாரம் மற்றும் சேரும் முகவரி, அதன் நெறிமுறை, மற்றும், TCP மற்றும் UDP தரவு பரிமாற்றத்திற்காக, போர்ட் எண் ஆகியவற்றின் கூட்டமைப்பை மட்டும் பயன்படுத்தும்).
இணையத்தில் TCP மற்றும் UDP நெறிமுறைகள் தான் பெரும்பாலான தொடர்பைக் கொண்டிருக்கின்றன, ஏனென்றால் TCP மற்றும் UDP தரவு பரிமாற்றமானது, நடைமுறையில், குறிப்பிட்ட வகையான தரவு பரிமாற்றத்திற்காக நன்கு அறியப்பட்ட போர்ட்டுகளைப் பயன்படுத்துகின்றது, ஒரு "நிலையில்லா" (stateless) பேக்கெட் பில்டர் அவற்றிற்கு இடையில் வித்தியாசப்படுத்தி காட்டும், பேக்கெட் பில்டர் கொண்டிருக்கும் ஒவ்வொரு முனை கணினிகளும் ஒரே தரப்படுத்தப்படாத (non-standard) போர்ட்டுகளைப் பயன்படுத்தினால் ஒழிய, இவ்வாறு பல்வேறு விதமான தரவு பரிமாற்றத்தைக் (இணைய உலாவுதல், தொலைநிலை அச்சிடுதல், மின்னஞ்சல் பரிமாற்றம், கோப்பு பரிமாற்றம் போன்றவற்றின்) கட்டுப்படுத்துகிறது.
பேக்கெட் பில்டரிங் ஃபயர்வால்கள் OSI reference model-ன் முதல் மூன்று அடுக்குகளில் செயல்படுகின்றன, அதாவது, வலையமைப்பு அடுக்கு மற்றும் பிசிக்கல் அடுக்குகளுக்கு இடையில் எல்லா பணிகளும் நடைபெறுகின்றன. அனுப்புனரிடம் இருந்து ஒரு பேக்கெட் ஆரம்பித்து, ஒரு ஃபயர்வால் வழியாக வடிகட்டப்படும் போது, ஏதாவதொரு விதத்தில் ஃபயர்வாலில் உள்ளமைக்கப்பட்ட பேக்கெட் பில்டரிங் விதிகளுக்கு பொருந்துகிறதா என்று உபகரணம் பரிசோதித்து பார்க்கும், அதற்கேற்ப பேக்கெட்டுகளை உள்ளே அனுப்பும் அல்லது நிராகரிக்கும். ஃபயர்வால் வழியாக பேக்கெட் செல்லும் போது, அது நெறிமுறை/போர்ட் எண் அடிப்படையில் (GSS) பேக்கெட்டை பில்டர் செய்கிறது. எடுத்துக்காட்டாக, டெல்நெட் அணுகுதலை தடுக்க வேண்டும் என்று ஃபயர்வாலில் ஒரு விதி அமைக்கப்பட்டிருந்தால், பிறகு ஃபயர்வாலானது போர்ட் எண் 23-ல் இருந்து வரும் ஐபி நெறிமுறையைத் தடுத்துவிடும்.
அப்ளிகேஷன் லேயர் பில்டரிங்கின் முக்கிய பயன் என்னவென்றால், அதனால் சில குறிப்பிட்ட பயன்பாடுகளையும், நெறிமுறைகளையும் (கோப்பு பரிமாற்ற நெறிமுறை (File Transfer Protocol), களப்பெயர் வழங்கி (DNS), அல்லது இணைய உலாவுதல்) புரிந்து கொள்ள முடியும், மேலும் ஒரு தரமுறையில்லா போர்ட் மூலமாக ஒரு தேவையற்ற நெறிமுறை உள்நுழைகிறதா அல்லது ஒரு நெறிமுறை நாசப்படுத்தும் வகையில் தவறாக பயன்படுத்தப்படுகிறதா என்பதை அதனால் கண்டறிய முடியும்.
பேக்கெட் பில்டர் ஃபயர்வாலோடு ஒப்பிடும் போது, ஓர் அப்ளிகேஷன் ஃபயர்வால் மிகவும் பாதுகாப்பானது மற்றும் நம்பகத்தன்மை வாய்ந்ததாகும், ஏனென்றால் இது OSI reference model-ன் அனைத்து (ஏழு) அடுக்குகளிலும் வேலை செய்கிறது, அதாவது அப்ளிகே ஷன் அடுக்கில் இருந்து பிசிக்கல் அடுக்கு வரை அனைத்திலும் வேலை செய்கிறது. இது பேக்கெட் பில்டர் ஃபயர்வாலைப் போலவே இருந்தாலும், இங்கே தரவுபொருள் அடிப்படையிலும் தகவலை வடிக்கட்ட முடியும். அப்ளிகேஷன் ஃபயர்வாலுக்கான ஒரு சிறந்த உதாரணம் ISA (Internet Security Acceleration) சர்வர் ஆகும். ஓர் அப்ளிகேஷன் ஃபயர்வாலானது, FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP மற்றும் TFTP (GSS) போன்ற உயர் அடுக்கு நெறிமுறைகளையும் வடிகட்டும் திறன் வாய்ந்தது. எடுத்துக்காட்டாக, "ஸ்பேம்" என்ற வார்த்தையோடு சம்பந்தப்பட்ட எல்லா தகவல்களையும் தடுக்க விரும்பினால், அந்த குறிப்பிட்ட வார்த்தையை மட்டும் தடுக்க ஃபயர்வாலில் தரவுபொருள் பில்டரிங்கை செயலூக்கிவிட முடியும். ஓர் அப்ளிகேஷன் ஃபயர்வாலானது, மென்பொருள் சார்ந்த ஃபயர்வால் என்பதால், நிலைத்தன்மை (statefull) ஃபயர்வாலை விட இது மிகவும் மெதுவாக செயல்படக்கூடியதாக இருக்கும்.
1989-1990 முதல், ஏடி&டி பெல் ஆய்வகங்களைச் சேர்ந்த டேவ் பிரிசெட்டோ, ஜனார்த்தன் சர்மா, மற்றும் ஷித்திஜ் நிகம் ஆகிய மூவரும் மூன்றாம் தலைமுறை ஃபயர்வால்களை உருவாக்கினார்கள், இவர்கள் இதை சர்க்கியூட் மட்டத்திலான ஃபயர்வால்கள் என்று அழைத்தார்கள்.
மூன்றால் தலைமுறை ஃபயர்வால்கள், கூடுதலாக, பேக்கெட் தொடர்களுக்கு உள்ளேயே ஒவ்வொரு தனித்தனி பேக்கெட்டின் இடத்தையும் மதிப்பிடுகிறது. ஃபயர்வால் வழியாக செல்லும் அனைத்து இணைப்புகளின் விபரங்களையும் இந்த தொழில்நுட்பம் சேமித்து வைப்பதாலும், ஒரு பேக்கெட்டானது ஒரு புதிய இணைப்பில் இருந்து தொடங்கியதா அல்லது இணைப்பில் இருப்பதன் ஒரு பகுதியா அல்லது ஒரு மதிப்பிழந்த பேக்கெட்டா என்று இதனால் தீர்மானிக்க முடியும் என்பதாலும், இதுவொரு ஸ்டேட்புல் பேக்கெட் பரிசோதனை (stateful packet inspection) என்று பொதுவாக குறிக்கப்படுகிறது. இதுபோன்ற ஒரு ஃபயர்வாலில் நிலையான ஒரு விதிமுறை தொகுப்பு இருக்கும் என்பதால், இணைப்பின் நிலையும் முக்கிய விஷயங்களில் ஒன்றாக மாறிவிடுகிறது, ஆகவே இதுவும் குறிப்பிட்ட விதிமுறைகளை ஏற்படுத்துகிறது.
செயல்பாட்டில் இருக்கும் இணைப்புகளைச் சுரண்டும் தாக்குதல்களை அல்லது சில குறிப்பிட்ட சேவை-மறுப்பு (Denial-of-service) தாக்குதல்களை ஏற்படுத்துவதைத் தடுக்க இந்த வகையான ஃபயர்வால்கள் உதவுகின்றன.
1992-ல், தென் கலிபோர்னியா பல்கலைக்கழகத்தின் (University of Southern California) பாப் பிரேடன் மற்றும் அன்னேட் டிஸ்கோன் இருவரும் ஃபயர்வால் பற்றிய தத்துவத்தை மாற்றி அமைத்தார்கள். "விசாஸ்" என்றழைக்கப்பட்ட உபகரணம் தான், வண்ணங்கள் மற்றும் குறியீடுகளுடன் கூடிய பார்வைக்குரிய இடைமுக இணைப்பைக் கொண்ட முதல் சிஸ்டமாகும், இது மைக்ரோசாப்ட் விண்டோஸ் அல்லது ஆப்பிளின் மேக் இயங்குதளம் போன்ற ஒரு கணினி ஆபரேட்டிங் சிஸ்டத்தில் எளிமையாக உள்ளமைப்பதற்கும், பயன்படுத்துவதற்கும் ஏற்றதாக இருந்தது. 1994-ல், செக்பாயிண்ட் சாப்ட்வேர் டெக்னாலஜீஸ் என்ற ஓர் இஸ்ரேலிய நிறுவனம், ஃபயர்வால்-1 என்று பெயரிட்டு இதை எளிதாக கிடைக்க கூடிய மென்பொருளாக உருவாக்கியது.
நவீன ஃபயர்வால்களில் இப்போதிருக்கும் ஆழ்ந்த பேக்கெட் பரிசோதனை முறையை, அனுமதியற்றநுழைவு-தடுப்பு முறைகளோடு (Intrusion-prevention systems) பகிர்ந்து கொள்ளலாம்.
தற்போது, இணைய பொறியாள்கை பணிக்குழுவின் மிடில்பாக்ஸ் கம்யூனிகேஷன் வொர்க்கிங் குரூப் என்பது ஃபயர்வால்கள் மற்றும் ஏனைய மத்தியஉபகரணங்களுக்கான நெறிமுறைகளை தரமுறைப்படுத்த செயலாற்றி வருகிறது.
அபிவிருத்தியின் மற்றொரு அச்சு என்னவென்றால், ஃபயர்வால் விதிமுறைகளுக்குள் பயனர்களின் அடையாளத்தை (identity) ஒருங்கிணைப்பதாகும். பெரும்பாலான ஃபயர்வால்கள் இது போன்ற வசதியை அளிக்க, ஐபி அல்லது மேக் (MAC) முகவரிகளைப் பயனர் அடையாளங்களுடன் இணைத்து அளிக்கின்றன, இது மிகவும் தோராயமானது என்பதுடன் இதை எளிதாக மாற்றிவிடவும் முடியும். NuFW என்றவொரு ஃபயர்வால், ஒவ்வொரு இணைப்பிற்கும் பயனரின் கையொப்பத்தைக் கேட்பதன் மூலமாக, அடையாளத்தின் அடிப்படையிலான ஃபயர்வால் முறையை மிகவும் சிறப்பாக வழங்குகிறது.
தொடர்பு எங்கே ஏற்படுகிறது என்பதன் அடிப்படையிலும், தொடர்பு எங்கே குறுக்கிடப்படுகிறது என்பதன் அடிப்படையிலும் நிலையைக் கண்டறியும் அடிப்படையில் ஃபயர்வால்களின் பல்வேறு பிரிவுகள் உள்ளன.
பேக்கெட் ஃபயர்வால்கள் என்றழைக்கப்படும் நெட்வொர்க் லேயர் ஃபயர்வால்கள், TCP/IP நெறிமுறை ஸ்டேக்கின் குறைந்த மட்டத்தில் செயல்படுகின்றன, இவை உருவாக்கப்பட்ட விதிமுறை தொகுப்பிற்கு பொருந்தி வந்தால் ஒழிய, ஃபயர்வால் வழியாக இவை பேக்கெட்களை அனுப்புவதில்லை. ஃபயர்வால் நிர்வாகி இந்த விதிமுறைகளை உருவாக்கலாம்; அல்லது அதிலிருக்கும் துவக்க விதிகள் பொருந்திவிடும். "பேக்கெட் பில்டரிங்" என்ற இந்த வார்த்தை, BSD இயங்குதளங்களின் பொருளில் இருந்து உருவாக்கப்பட்டது.
நெட்வொர்க் லேயர் ஃபயர்வால்கள் பொதுவாக இரண்டு துணை-பிரிவுகளின் கீழ் வருகின்றன, அதாவது நிலைத்தன்மையுள்ள (stateful) மற்றும் நிலைத்தன்மையற்ற (stateless) என்ற இரண்டு பிரிவுகள். நிலைத்தன்மையுள்ள ஃபயர்வால்கள் செயல்பாட்டில் இருக்கும் பிரிவுகளைப் பற்றிய தகவல்களைச் சேமித்து வைத்திருக்கும், பேக்கெட் செயல்பாடுகளை விரைவுப்படுத்த அந்த "நிலை தகவல்களை" பயன்படுத்தும். அனுப்பும் மற்றும் பெறும் ஐபி முகவரி, UDP அல்லது TCP போர்ட்டுகள், மற்றும் இணைப்பு காலத்தின் தற்போதைய நிலை (துவங்கப்பட்ட நேரம், ஹேண்ட் ஷேக்கிங், தரவு பரிமாற்றம், அல்லது இணைப்பு முடிவுக்கு வந்த நேரம் உட்பட இதுபோன்ற நிலைகள்) ஆகியவை உட்பட பல்வேறு பண்புகளின் அடிப்படையில் இருக்கும் வலையமைப்பு இணைப்பை வரையறுக்கலாம். இப்போதிக்கும் இணைப்போடு ஒரு பேக்கெட் பொருந்தவில்லை என்றால், புதிய இணைப்புகளுக்கு ஏற்ப விதிமுறை தொகுப்புகளின்படி அது மதிப்பிடப்படும் ஃபயர்வாலின் நிலை அட்டவணையுடனான ஒப்பீட்டு அடிப்படையில் இணைப்பில் இருக்கும் ஓர் இணைப்புடன் ஒரு பேக்கெட் பொருந்துகிறது என்றால், மேலும் அதை புராஸசிங் செய்ய வேண்டிய அவசியமில்லாமல் அது அனுமதிக்கப்படும்.
நிலைத்தன்மையற்ற ஃபயர்வால்களுக்கு குறைந்த நினைவகமே தேவைப்படுகிறது, மேலும் ஒரு இணைப்பைப் பார்வையிடும் நேரத்தை விட வடிகட்டுவதற்கு குறைவான நேரமே தேவைப்படும் எளிமையான பில்டர்களில் இது விரைவாக செயல்படுகிறது. ஒரு இணைப்பைப் பற்றிய எந்த தகவலும் இல்லாத நிலைத்தன்மையற்ற வலையமைப்பு நெறிமுறைகளை வடிகட்டுவதற்கும் இவை தேவைப்படுகின்றன. ஆனால், ஹோஸ்டுகளுக்கு இடையில் எந்த நிலையிலான தொடர்புகள் எட்டப்பட்டிருக்கிறது என்பதன் அடிப்படையில் மிகவும் சிக்கலான தீர்மானங்களை அவற்றால் எடுக்க முடியாது.
அனுப்பிய உபகரணத்தின் ஐபி முகவரி, அனுப்பிய உபகரணத்தின் போர்ட், வந்தடைந்த உபகரணத்தின் ஐபி முகவரி மற்றும் போர்ட், இறுதி பயன்பாட்டு உபகரணத்தில் பயன்படுத்தப்படும் உலகளாவிய வலையம் அல்லது கோப்பு பரிமாற்ற நெறிமுறை போன்ற பல்வேறு பேக்கெட் பண்புகளின் அடிப்படையில் நவீன ஃபயர்வால்களால் தரவு பரிமாற்றத்தை வடிகட்ட முடியும். நெறிமுறைகள், TTL மதிப்புகள்,அனுப்பும் சாதனத்தின், தோற்றுவிப்பானின் நெட்பிளாக் மற்றும் பிற பல பண்புகளின் அடிப்படையில் அவை பில்டரிங் செய்யும்.
யூனிக்ஸின் பல்வேறு பதிப்புகளில் ipf (பல்வேறு வகை), ipfw (FreeBSD/Mac OS X), pf (OpenBSD, மற்றும் பிற BSD-க்கள்), iptables /ipchains (Linux) போன்றவை பொதுவாக பயன்படுத்தப்படும் பேக்கெட் பில்டரிங் ஆகும்.
அப்ளிகேஷன்-லேயர் ஃபயர்வால்கள் TCP/IP ஸ்டேக்கின் (அதாவது, உலாவியின் அனைத்து தரவு பரிமாற்றம், அல்லது அனைத்து டெல்நெட் அல்லது கோப்பு பரிமாற்ற நெறிமுறை) அப்ளிகேஷன் மட்டத்தில் செயல்புரிகின்றன, மேலும் ஒரு பயன்பாட்டில் இருந்தோ அல்லது ஒரு பயன்பாட்டிற்கோ பரிமாறப்படும் எல்லா பேக்கெட்களையும் அது குறுக்கீடு செய்யக்கூடும். பிற பேக்கெட்களையும் (பொதுவாக அனுப்புனருக்கு எந்த மறுமொழியும் அளிக்காமல் கைவிட்டுவிடலாம்) அவை தடுக்கலாம். கோட்பாட்டளவில், அப்ளிகே ஷன் ஃபயர்வால்களானது வெளிப்புறத்தில் இருந்து வரும் தரவுகள் பாதுகாக்கப்பட்ட இயந்திரங்களைத் தாக்குவதைத் தடுக்கின்றன.
தகாத பொருள்களைக் கொண்ட தகவல்களுக்காக அனைத்து பேக்கெட்டுகளையும் பரிசோதித்து, ஃபயர்வால்களானது வலையமைப்புதிறன் வாய்ந்த கணினி வார்ம்கள் மற்றும் ட்ரோஜான்கள் பரவாமல் தடுக்கிறது. கூடுதல் பரிசோதனையானது, பேக்கெட்களை அவை அனுப்பப்பட வேண்டிய இடத்திற்கு முன்னெடுத்துச் செல்ல கூடுதல் பாதுகாப்பை வழங்குகின்றன.
ஒரு பிராக்ஸி சாதனமானது (ஒரு பிரத்யேக ஹார்டுவேராக அல்லது ஒரு பொதுவகையான உபகரணத்தில் சாப்ட்வேராக), ஒரு பயன்பாட்டு முறையில், பிற பேக்கெட்களைத் தடுத்து, உள்ளீட்டு பேக்கெட்களுக்கு (எடுத்துக்காட்டாக, இணைப்பு கோரிக்கைகள்) பிரதிபலிப்பை அளிப்பதன் மூலமாக ஒரு ஃபயர்வாலாக செயல்பட முடியும்.
வெளிப்புற வலையமைப்புகளால், பிராக்ஸிகள் உள்ளிருக்கும் சிஸ்டத்தோடு தொந்தரவுகளை மிகவும் கடினமாக்க கூடும், மேலும் உள்ளிருக்கும் சிஸ்டத்தை முறைமாறி பயன்படுத்துவது என்பது ஃபயர்வாலுக்கு வெளியில் இருந்து ஒரு பாதுகாப்பு முறிவை ஏற்படுத்த வேண்டும் என்ற தேவையில்லை (பயன்பாட்டு பிராக்ஸி செயல்பாட்டில் இருக்கும் வரைக்கும் மற்றும் முறையாக உள்ளமைப்பு செய்யப்பட்டிருக்கும் வரைக்கும் இப்படி நடக்காது). மாறாக, அங்கீகாரமற்று நுழைபவர்கள் யாரும்-அணுகக்கூடிய சிஸ்டத்தைத் தவறாக கையாள முடியும் என்பதோடு, அதை தங்களின் சொந்த தேவைக்காக ஒரு பிராக்ஸியாகவும் பயன்படுத்தலாம்; பிறகு இந்த பிராக்ஸி ஏனைய உட்சாதனங்களுக்கு போலியாக இயங்கி கொண்டிருக்கும். உள்முகவரி பயன்பாடானது பாதுகாப்பை வலுப்படுத்துவதால், பாதுகாப்புமுறையை உடைப்பவர்கள் ஒரு டார்கெட் வலையமைப்பிற்குள் பேக்கெட்களை அனுப்ப ஐபி ஸ்பூபிங் (IP spoofing) போன்ற முறைகளைக் கூட பயன்படுத்த கூடும்.
ஃபயர்வால்கள் பெரும்பாலும் வலையமைப்பு முகவரி மாற்றம் (network address translation) செயல்பாட்டைக் கொண்டிருக்கும், மேலும் ஃபயர்வாலுக்கு பின்னால் பாதுகாக்கப்பட்டிருக்கும் ஹோஸ்டுகள் பொதுவாக, RFC 1918-ல் வரையறுக்கப்பட்ட விதத்தில், "தனிப்பட்ட முகவரி வரிசையில்" (private address range) முகவரிகளைக் கொண்டிருக்கும். பாதுகாக்கப்பட்ட ஹோஸ்டுகளின் நிஜமான முகவரிகளை மறைக்க ஃபயர்வால்கள் பெரும்பாலும் இதுபோன்ற செயல்பாட்டைக் கொண்டிருக்கும். நிஜத்தில், வலையமைப்பு முகவரி மாற்றம் என்ற இந்த செயல்பாடானது, IPv4 ரௌட்டபள் முகவரிகளில் இருக்கும் எண்ணிக்கை குறைவைச் சரிசெய்வதற்காக அபிவிருத்தி செய்யப்பட்டது, இதனால் நிறுவனங்களுக்கோ அல்லது தனிநபர்களுக்கோ பிரத்யேக முகவரியை ஒதுக்கவோ அல்லது பயன்படுத்தவோ கொடுப்பதற்காகவும், அதனோடு கட்டணத்தையும், நிறுவனத்தில் இருக்கும் ஒவ்வொரு கணினிக்கும் போதிய பொது முகவரிகள் அளிக்கவும் திட்டமிட்டு இந்த செயல்பாடு அபிவிருத்தி செய்யப்பட்டது. பாதுகாக்கப்பட்ட உபகரணங்களின் முகவரிகளை மறைப்பதென்பது, வலையமைப்பு வேவுப்பணிகளுக்கு எதிராக அதிகரித்து வரும் முக்கியமான பாதுகாப்பாக மாறி வருகிறது.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.