تعریف فایروال

در دوره امنیت شبکه یاد خواهید گرفت که فایروال ( Firewall) یک دستگاه امنیتی شبکه است که ترافیک ورودی و خروجی شبکه را کنترل می کند و بسته های داده را بر اساس مجموعه ای از قوانین امنیتی مجاز یا مسدود می کند. هدف آن ایجاد مانعی بین شبکه داخلی شما و ترافیک ورودی از منابع خارجی (مانند اینترنت) به منظور مسدود کردن ترافیک مخرب مانند ویروس ها و هکرها است.

فایروال ها چه می کنند؟

فایروال بخشی ضروری از هر معماری امنیتی است و حدس و گمان ها را از حفاظت های سطح میزبان خارج می کند و آنها را به دستگاه امنیتی شبکه شما می سپارد. فایروال ها ، و به ویژه فایروال های نسل بعدی ، بر مسدود کردن بدافزارها و حملات لایه برنامه ، همراه با یک سیستم یکپارچه پیشگیری از نفوذ (IPS) تمرکز می کنند ، این فایروال های نسل بعدی می توانند سریع و یکپارچه واکنش نشان دهند و حملات خارجی را در کل شبکه تشخیص داده و به آنها واکنش نشان دهند. آنها می توانند خط مشی هایی را برای دفاع بهتر از شبکه شما تنظیم کنند و ارزیابی های سریعی را برای شناسایی فعالیت های تهاجمی یا مشکوک مانند بدافزارها انجام دهند و آن را خاموش کنند.

چرا به فایروال نیاز داریم؟

فایروال ها، به ویژه فایروال های نسل بعدی، بر مسدود کردن بدافزارها و حملات لایه برنامه تمرکز دارند. این فایروال های نسل بعدی، همراه با یک سیستم یکپارچه پیشگیری از نفوذ (IPS)، قادر به واکنش سریع و یکپارچه برای شناسایی و مبارزه با حملات در سراسر شبکه هستند. فایروال ها می توانند برای محافظت بهتر از شبکه شما بر اساس سیاست های تنظیم شده قبلی عمل کنند و می توانند ارزیابی های سریعی را برای شناسایی فعالیت های تهاجمی یا مشکوک مانند بدافزار انجام دهند و آن را خاموش کنند. با استفاده از فایروال برای زیرساخت امنیتی خود، شبکه خود را با خط مشی های خاصی تنظیم می کنید تا ترافیک ورودی و خروجی را مجاز یا مسدود کند.

لایه شبکه در مقابل بازرسی لایه برنامه

لایه شبکه یا فیلترهای بسته بسته ها را در سطح نسبتاً پایینی از پشته پروتکل TCP/IP بازرسی می کنند و به بسته ها اجازه عبور از دیوار آتش را نمی دهند مگر اینکه با مجموعه قوانین تعیین شده مطابقت داشته باشند که در آن منبع و مقصد مجموعه قوانین بر اساس پروتکل اینترنت است. آدرس ها و پورت ها. فایروال هایی که بازرسی لایه شبکه را انجام می دهند نسبت به دستگاه های مشابه که بازرسی لایه برنامه را انجام می دهند ، عملکرد بهتری دارند. نکته منفی این است که برنامه های ناخواسته یا بدافزار می توانند از درگاه های مجاز عبور کنند ، به عنوان مثال. ترافیک اینترنت خروجی از طریق پروتکل های وب ، و ...

اهمیت NAT و این نام مجاز نمی باشد

فایروال ها همچنین عملکردهای سطح شبکه اولیه مانند ترجمه آدرس شبکه (NAT) و شبکه خصوصی مجازی (این نام مجاز نمی باشد) را انجام می دهند. Network Address Translation آدرس های IP مشتری یا سرور داخلی را که ممکن است در "محدوده آدرس خصوصی" باشند، همانطور که در RFC 1918 تعریف شده است، به آدرس IP عمومی پنهان یا ترجمه می کند. پنهان کردن آدرس‌های دستگاه‌های محافظت‌شده تعداد محدودی از آدرس‌های IPv4 را حفظ می‌کند و دفاعی در برابر شناسایی شبکه است زیرا آدرس IP از اینترنت پنهان است.

به طور مشابه، یک شبکه خصوصی مجازی (این نام مجاز نمی باشد) یک شبکه خصوصی را در سراسر یک شبکه عمومی در داخل یک تونل گسترش می دهد که اغلب رمزگذاری شده است که در آن محتویات بسته ها هنگام عبور از اینترنت محافظت می شود. این به کاربران امکان می دهد داده ها را با خیال راحت در سراسر شبکه های مشترک یا عمومی ارسال و دریافت کنند.

فایروال های نسل بعدی و فراتر از آن

فایروال‌های نسل بعدی بسته‌ها را در سطح برنامه پشته TCP/IP بازرسی می‌کنند و می‌توانند برنامه‌هایی مانند اسکایپ یا فیس‌بوک را شناسایی کنند و سیاست‌های امنیتی را بر اساس نوع برنامه اعمال کنند.

امروزه، دستگاه‌های UTM (Unified Threat Management) و فایروال‌های نسل بعدی نیز شامل فناوری‌های پیشگیری از تهدید مانند سیستم پیشگیری از نفوذ (IPS) یا آنتی‌ویروس برای شناسایی و جلوگیری از بدافزارها و تهدیدها هستند. این دستگاه ها همچنین ممکن است شامل فناوری های سندباکس برای تشخیص تهدید در پرونده ها باشند.

همانطور که چشم انداز امنیت سایبری به تکامل خود ادامه می دهد و حملات پیچیده تر می شوند، فایروال های نسل بعدی همچنان جزء ضروری راه حل امنیتی هر سازمانی هستند، خواه در مرکز داده، شبکه یا ابر باشید. برای کسب اطلاعات بیشتر در مورد قابلیت‌های ضروری فایروال نسل بعدی شما، امروز راهنمای خرید فایروال نسل بعدی (NGFW) را دانلود کنید..

فایروال چگونه کار می کند؟

فایروال ها ترافیک ورودی را بر اساس قوانین از پیش تعیین شده به دقت تجزیه و تحلیل می کنند و ترافیک ورودی از منابع ناامن یا مشکوک را برای جلوگیری از حملات فیلتر می کنند. فایروال ها از ترافیک در نقطه ورودی کامپیوتر به نام پورت ها محافظت می کنند، جایی که اطلاعات با دستگاه های خارجی مبادله می شود. به عنوان مثال ، "آدرس منبع 172.18.1.1 مجاز است تا از طریق پورت 22 به مقصد 172.18.2.1 برسد."

آدرس های IP را به عنوان خانه و شماره پورت را به عنوان اتاق داخل خانه در نظر بگیرید. فقط افراد معتمد (آدرس منبع) اصلاً مجاز به ورود به خانه (آدرس مقصد) هستند - سپس بیشتر فیلتر می‌شود تا افراد داخل خانه فقط به اتاق‌های خاصی (درگاه‌های مقصد) دسترسی داشته باشند، بسته به اینکه مالک باشند یا خیر. ، کودک ، یا مهمان. مالک اجازه ورود به هر اتاق (هر بندری) را دارد، در حالی که کودکان و مهمانان مجاز به ورود به مجموعه خاصی از اتاق ها (درگاه های خاص) هستند.

انواع فایروال

فایروال ها می توانند نرم افزاری یا سخت افزاری باشند ، اگرچه بهتر است هر دو را داشته باشید. فایروال نرم افزاری برنامه ای است که روی هر کامپیوتر نصب می شود و ترافیک را از طریق شماره پورت ها و برنامه ها تنظیم می کند، در حالی که فایروال فیزیکی قطعه ای از تجهیزات نصب شده بین شبکه و دروازه شما است.

فایروال‌های فیلترکننده بسته، رایج‌ترین نوع فایروال، بسته‌ها را بررسی می‌کنند و در صورت عدم مطابقت با مجموعه قوانین امنیتی تعیین‌شده، از عبور آن‌ها منع می‌کنند. این نوع فایروال آدرس IP مبدا و مقصد بسته را بررسی می کند. اگر بسته ها با قانون "مجاز" در فایروال مطابقت داشته باشند، آنگاه برای ورود به شبکه قابل اعتماد است.

فایروال های فیلتر بسته به دو دسته تقسیم می شوند: حالت دار و بدون حالت. فایروال های بدون حالت، بسته ها را مستقل از یکدیگر بررسی می کنند و فاقد زمینه هستند، و آنها را به اهداف آسانی برای هکرها تبدیل می کند. در مقابل، فایروال های حالت دار اطلاعات مربوط به بسته های ارسال شده قبلی را به خاطر می آورند و بسیار ایمن تر در نظر گرفته می شوند.

در حالی که فایروال های فیلتر بسته می توانند موثر باشند ، اما در نهایت حفاظت بسیار اساسی را ارائه می دهند و بسیار محدود هستند-به عنوان مثال ، آنها نمی توانند تعیین کنند که آیا محتویات درخواست ارسال شده بر برنامه ای که به آن دسترسی دارد تأثیر منفی خواهد گذاشت یا خیر. اگر یک درخواست مخرب که از یک آدرس منبع قابل اعتماد مجاز است منجر به حذف یک پایگاه داده شود، فایروال هیچ راهی برای اطلاع از آن نخواهد داشت. فایروال های نسل بعدی و فایروال های پروکسی برای شناسایی چنین تهدیداتی مجهزتر هستند.

فایروال های نسل بعدی (NGFW) فناوری فایروال سنتی را با عملکردهای اضافی مانند بازرسی ترافیک رمزگذاری شده، سیستم های جلوگیری از نفوذ، آنتی ویروس و غیره ترکیب می کنند. مهمتر از همه، این شامل بازرسی بسته عمیق (DPI) است. در حالی که فایروال های اصلی فقط به سرصفحه بسته ها نگاه می کنند ، بازرسی عمیق بسته ها ، داده های درون خود بسته را بررسی می کند و کاربران را قادر می سازد تا بسته های دارای اطلاعات مخرب را به طور م identifyثرتری شناسایی ، دسته بندی یا متوقف کنند. در اینجا با Forcepoint NGFW آشنا شوید.

فایروال های پروکسی ترافیک شبکه را در سطح برنامه فیلتر می کنند. برخلاف فایروال های اصلی، پروکسی به عنوان یک واسطه بین دو سیستم پایانی عمل می کند. کلاینت باید درخواستی را به فایروال ارسال کند، جایی که آن را بر اساس مجموعه ای از قوانین امنیتی ارزیابی می کند و سپس مجاز یا مسدود می شود. مهمتر از همه ، فایروال های پروکسی ترافیک پروتکل های لایه 7 مانند HTTP و FTP را نظارت می کنند و از بازرسی بسته های حالت دار و عمیق برای تشخیص ترافیک مخرب استفاده می کنند.

فایروال‌های ترجمه آدرس شبکه (NAT) به چندین دستگاه با آدرس‌های شبکه مستقل اجازه می‌دهند با استفاده از یک آدرس IP واحد به اینترنت متصل شوند و آدرس‌های IP فردی را مخفی نگه دارند. در نتیجه، مهاجمانی که شبکه را برای آدرس‌های IP اسکن می‌کنند، نمی‌توانند جزئیات خاصی را ضبط کنند و امنیت بیشتری در برابر حملات فراهم می‌کنند. فایروال های NAT شبیه فایروال های پروکسی هستند زیرا از نظر میانجی بین گروهی از رایانه ها و ترافیک خارجی عمل می کنند.

فایروال های بازرسی چندلایه حالت (SMLI) بسته ها را در لایه های شبکه، حمل و نقل و برنامه فیلتر می کنند و آنها را با بسته های مورد اعتماد شناخته شده مقایسه می کنند. مانند فایروال‌های NGFW،SMLI  نیز کل بسته را بررسی می‌کند و تنها در صورتی به آن‌ها اجازه عبور می‌دهد که هر لایه را جداگانه عبور دهند. این فایروال ها بسته ها را برای تعیین وضعیت ارتباط (در نتیجه نام) بررسی می کنند تا اطمینان حاصل شود که تمام ارتباطات آغاز شده فقط با منابع قابل اعتماد انجام می شود.

تاریخچه فایروال

فایروال ها از اواخر دهه 1980 وجود داشتند و به عنوان فیلترهای بسته شروع به کار کردند، که شبکه هایی بودند که برای بررسی بسته ها یا بایت های منتقل شده بین رایانه ها راه اندازی شدند. اگرچه دیواره‌های آتش فیلتر بسته‌ها امروزه هنوز مورد استفاده قرار می‌گیرند، فایروال‌ها با پیشرفت فناوری در طول دهه‌ها راه طولانی را پیموده‌اند.

لینک های کوتاه این دوره 

درحال حاضر DevOps  و SRE  بازار داغی دارند و هر روز شاهد تلاش همکاران و توسعه دهندگان خبره برای ورود به DevOps و دریافت جایگاه مهندسی DevOps و سینیور شدن هستیم.

صادقانه میتوان مزایای DevOps  را تایید نمود، DevOps مستقیما با توسعه و استقرار نرم افزار مرتبط است، بر حسب تجربه میتوان گفت که DevOps شغل آسانی نیست و انتخاب مسیر DevOps در میان ابزارها و تمرین های متفاوت، مشکل است.

در این مقاله قصد داریم که راهنمای تبدیل شدن به یک مهندس DevOps را در سال 2022 بررسی کنیم، اگرچه نقشه راه این مزیت را دارد که به ما نشان میدهد که چه چیزی را باید یاد گرفت ولی این موضوع را بیان نمی‌کند که چگونه و با چه منابعی میتوان یادگیری را شروع کرد که ما در مقاله‌ی نقشه‌ی راه DevOps  و SRE سال 2022 بصورت کامل این منابع را معرفی خواهیم کرد.

نقشه‌ی راه DevOps سال 2022 برای توسعه دهندگان

در این نقشه ی راه DevOps ما در مورد موارد زیر صحبت خواهیم کرد:

1-یادگیری زبان برنامه نویسی

شما باید به یکی از سه زبان برنامه نویسی جاوا، پایتون یا جاوا اسکریپت مسلط باشید و در صورتیکه در حال حاضر به هیچ کدام از آن ها تسلط ندارید، یکی از زبان های برنامه نویسی زیر را برای یادگیری انتخاب کنید و حتما پیشنهاد می‌شود که حداقل یکی از آن 3 زبان برنامه نویسی گفته شده را یاد بگیرید.

1-1 جاوا

برای یادگیری زبان جاوا آموزش کامل Master class java پیشنهاد می‌شود، یک آموزش کامل و جامع که به تازگی هم به جاوا 10 بروزرسانی شده است.

1-2 پایتون

اگر تمایل به یادگیری پایتون دارید بوت کمپ آموزش پایتون پیشنهاد می‌شود، در این بوت کمپ پایتون 3 به شما آموزش داده می‌شود که رایج ترین نسخه‌ی پایتون است.

1-3 جاوا اسکریپت

اگر شما قصد یادگیری زبان برنامه نویسی جاوا اسکریپت را دارید به هیچ عنوان آموزش جاوا اسکریپت یودمی برای مبتدیان را از دست ندهید.

اگر هزینه ی مالی خیلی مورد نظر شما نیست می توانید لینک های زیر را هم برای یادگیری زبان جاوا، جاوا اسکریپت و پایتون بررسی کنید.

2-درک مفاهیم متفاوت سیستم عامل

قبل از شکل گیری و ورود devops تنها نیازبود که ادمین های شبکه وسیستم در خصوص سیستم عامل و سخت افزار اطلاعات داشته باشند ولی یک توسعه دهنده devops نیز باید به این مباحث مسلط باشد.

شما باید حداقل در خصوص مباحث مدیریت فرآیند، سرنخ ها و همزمانی،سوکت ها، مدیریت ورودی و خروجی، مجازی سازی، ذخیره سازی و فایل سیستم به همان صورت که در تصویر نقشه‌ی راه پیشنهاد شده است بدانید.

با توجه به اینکه بیشتر ما با لینوکس کار می‌کنیم، پیشنهاد می‌شود که از آموزش مدیریت لینوکس یودمی برای درک و ارتقای دانش سیستم عامل لینوکس استفاده شود.

اگر هزینه برای شما مطرح است می‌توانید آموزش رایگان این سایت را بررسی کنید

آموزش رایگان لینوکس

3-باید یاد بگیرید که در ترمینال زندگی کنید

یک توسعه دهنده  devops باید توانایی بالایی در command نویسی داشته باشد، بخصوص اگر با لینوکس کار می‌کنید باید در مورد پوسته لینوکس مثل Bash یا Ksh و ابزارهایی مانند find، grep، awk، sed، lsof و هم چنین دستورات شبکه مانند nslookup و netstat بدانید.

اگر احتیاج به بروزرسانی و آموزش در خصوص اطلاعات command و ابزارهای لینوکس دارید می‌توانید آموزش پایه ای خط فرمان لینوکس را مشاهده کنید.

این دوره برای کاربران مبتدی و هم چنین افرادی که به این مباحث مسلط هستند و قصد یادآوری دارند، بسیار مناسب است، برای استفاده از این دوره نیاز به عضویت Pluralsight دارید که هزینه‌ی آن 29 دلار در ماه و 299 دلار در سال است.

Pluralsight مانند توسعه دهنده نتفلیکس است و بیش از 6000 دوره‌ی آموزشی در خصوص آخرین فناوری ها را دارد که می توانید در مورد هر چیزی و در هر جایی از آن بهره ببرید.

اگر به انتخاب های بیشتری احتیاج دارید و می خواهید در اسکریپت نویسی پوسته ماهر شوید، می‌توانید لینک best courses to learn shell scripting را بررسی کنید.

4-شبکه و امنیت

مطمئنا به دلیل زندگی در دوره ی ارتباطات روزافزون کامپیوترها و شبکه سازی، بحث شبکه و امنیت مهم می‌شود؛ پس بدیهی است که  یک مهندس devops در این خصوص اطلاعات نداشته باشد؛ شما باید در خصوص مفهوم DNS, OSI Model, HTTP, HTTPS, FTP, SSL, TLS اطلاعات کافی داشته باشید.

برای شروع یادگیری یا ارتقای این مهارت‌ها می‌توانید TCP/IP and Networking Fundamentals را مشاهده کنید.

اگر احساس می‌کنید به منابع دیگری هم برای یادگیری این موارد نیاز دارید، می‎‌توانید از کورس The Complete Networking Fundamentals  برای شبکه و از کورس  The Complete Cyber Security Course: Network  برای امنیت استغاده کنید.

5 – چیستی و چگونگی برنامه های نصب شده

به عنوان یک مهندس devops باید بدانید که چه چیزی روی دیوایس شما تنظیم شده است و چگونه می‌توانید آن را راه اندازی کنید و در مراحل بعد آن را بصورت اتوماتیک تنظیم کنید.

شما باید با نصب وب سرورهایی از قبیل IIS, Apache, Tomcat آشنایی داشته باشید و هم چنین در خصوص Caching Server، Load Balancer، Reverse غیر مجاز می باشد و Firewall تسلط کافی داشته باشید، اگر شما با مباحث توسعه  وب آشنا نیستید، می‌توانید از آموزش the Web Developer Bootcamp  استفاده کنید.

6- زیرساخت ها را همانند کد یاد بگیرید

شاید یکی از مهم ترین مواردی که یک مهندس devops باید به آن مسلط باشد،کانتینرهایی مانند Docker و Kubernetes و ابزارهای مدیریت پیکربندی مانند Ansible، Chef، Salt و Puppet و هم چنین تجهیزات زیرساخت  Terraform و Cloud formation است.

برای یادگیری Docker می‌توانید دوره‌ی Docker Mastery: The Complete Toolset  را ببینید، این دوره تمام مباحث مورد نیاز را پوشش می‌دهد.

اگر قصد یادگیری Kubernetes را دارید آموزش Learn DevOps: The Complete Kubernetes course  به شما پیشنهاد می‌شود، این آموزش نحوه‌ی ساخت، استقرار و مدیریت Kubernetes را پوشش می‌دهد.

در صورت تمایل به یادگیری chef می‌توانید از مرجع Chef Fundamentals: A Recipe for Automating Infrastructure  برای آموزش استفاده کنید که در حال حاضر یکی از بهترین کورس‌های موجود  chef است.

و در نهایت اگر به انتخاب‌های بیشتری برای Docker   احتیاج دارید، می‌توانید لیست 10 essential courses for DevOps engineers. را بررسی کنید.

7- یادگیری ابزارهای یکپارچه سازی و تحویل(CI/CD)

یکی دیگر از موارد مهم برای مهندسین devops  نصب پایپ لاین برای یکپارچه سازی و تحویل مداوم است، ابزارهای زیادی در خصوص CI/CD وجود دارد مثل Jenkins, TeamCity, Drone و دیگر ابزارها.

پیشنهاد می‌شود که بین این ابزارها، حتما jeniks را یاد بگیرید، زیرا این ابزار در میان ابزارها بسیار پرکاربرد است.

برای یادگیری jeniks می‌توانید از کورس Learn DevOps: CI/CD with Jenkins using Pipelines and Docker  استفاده کنید و خیالتان راحت باشد که کلیه‌ی مباحث مورد نیاز پوشش داده می‌شود.

اگر هم نیاز به منابع رایگان دارید، می‌توانید از لینک 6 free Jenkins and Maven courses استفاده کنید.

8- یادگیری نظارت به نرم افزار و زیرساخت‌ها

نظارت یکی دیگر از جنبه‌های یک مهندس devops است، شما علاوه بر استقرار و راه اندازی باید به نحوه‌ی نظارت بر زیرساخت و برنامه ها مسلط باشید.

در این حوزه ابزارهای زیادی وجود دارد مانند Nagios, Icing, Datadog, Zabbix, Monit, AppDynanic, New Relic و ….

شما باید از بین این ابزارها ابزار مورد نظر خودتان را با توجه به اینکه شرکتی در آن کار می‌کنید از کدام یک استفاده می‌کند.

اگر می‌خواهید در  خصوص Dynamic APP بیشتر اطلاعات داشته باشید، این لینک Cisco AppDynamics Application Performance Management (APM)  را مطالعه کنید، این کورس ابزارهای کاربردی را پوشش داده است.

9- یادگیری درباره‌ی ارائه دهندگان Cloud

Cloud یکی از موارد مهم است که یک مهندس devops در طول جریان کاری به آن برخورد می‌کند، از این رو بهتر است که اطلاعات لازم را در خصوص بهترین ارائه دهنده های cloud  و اصول اولیه، داشته باشید.

در حالیکه AWS رهبر بازار cloud است ولی همزمان Google Cloud  و  Azureهم به آرامی در حال پیشرفت هستند و از آن طرف هم ما وجود  Heroku, Cloud Foundry  Digital Ocean را داریم.

برای شروع پیشنهاد می‌شود که به API ها و برنامه های بدون سرور کلاسیک بپوندید، که AWS Serverless APIs & Apps — A Complete Introduction  یک کورس مقدماتی و مناسب برای یادگیری است.

اگر نیاز به یادگیری بیشتر داریدو به دنبال منابع رایگان هستید، می‌توانید فهرست دوره های رایگان AWS  برای مهندسین Devops free AWS courses را بررسی کنید.

سخن پایانی

با تشکر از اینکه در خواندن این مقاله با ما همراه بودید، ممکن است که بعد از خواندن این مقاله فکرکنید که چیزهای زیادی را باید یاد بگیرید، احتمالا برخی از این موضوعات را از قبل می‌دانستید و ما سعی کردیم که  منابع کاربردی رایگان و پولی را در اختیار شما قرار دهیم و شما آزاد هستید که از بین دوره های یودمی و مابقی دوره ها، دوره‌ی مورد نظر خودتان را انتخاب کنید.

در پایان امیدواریم که در سفر مهندسی devops خود موفق باشید؛ با اینکه این مسیر، مسیر آسانی نیست ولی به کمک این نقشه‌ی راه می‌توانید یک قدم به هدف خود نزدیکتر شوید.