தீச்சுவர்ப் பாதுகாப்பு (Firewall Security)

வரையறை:

தீச்சுவர் என்பது நிறுவனப் பிணையத்துக்கும் இணையத்துக்கும் இடையே அமைக்கப்படும் பாதுகாப்புச் சுவர் ஆகும். தீச்சுவர், வன்பொருள் அடிப்படையானதாகவோ, மென்பொருள் அடிப்படையானதாகவோ அல்லது இரண்டும் இணைந்ததாகவோ இருக்கலாம். அது ஒரு கணிப்பொறியாகவோ அல்லது ஒன்றுக்கு மேற்பட்ட கணிப்பொறிகளை உள்ளடக்கிய ஒரு கணிப்பொறி முறைமையாகவோ இருக்கும். இணையம்வழி ஏற்படும் தாக்குதல்களிலிருந்து நிறுவனப் பிணையத்தைப் பாதுகாப்பதும், பாதுகாப்பு நடவடிக்கைகளுக்கான நமது கவனத்தை ஒற்றைப் புள்ளியில் ஒருமுகப்படுத்தும் வாய்ப்பினை வழங்குவதும் தீச்சுவர்ப் பாதுகாப்பு முறையின் நோக்கமாகும்.

வடிவமைப்பு:

தீச்சுவர்ப் பாதுகாப்பை வடிவமைக்கும்போது கீழ்க்காணும் கருத்துகளைக் கவனத்தில் கொள்ள வேண்டும்:

• நிறுவனப் பிணையத்திலிருந்து வெளிச்செல்லும், வெளியிலிருந்து உள்வரும் தகவல் போக்குவரத்து அனைத்தையும் தீச்சுவர் வழியாகவே கடக்கச் செய்ய வேண்டும். பிற வழிகள் மூலமான அணுகல் அனைத்தையும் தடை செய்ய வேண்டும்.
• நிறுவனத்தின் பாதுகாப்புக் கொள்கையில் வரையறுத்துள்ளபடி அனுமதி பெற்ற தகவல் போக்குவரத்தை மட்டுமே அனுமதிக்க வேண்டும்.
• நிறுவனத்தின் பாதுகாப்புக் கொள்கைக்கு ஏற்றபடி, வெவ்வேறு வகையான தீச்சுவர்களைப் பயன்படுத்த வேண்டும்.
• எவரும் ஊடுருவ இயலாத பாதுகாப்பு மிக்க இயக்க முறைமையைத் தீச்சுவர்க் கணிப்பொறியில் பயன்படுத்த வேண்டும்.

(1) பொட்டல வடிகட்டி (Packet Filter):

பிணையத்தில் அனுப்பப்படும் தகவல் சிறுசிறு பொட்டலங்களாகப் பிரிக்கப்பட்டு, அனுப்புமுனை, இலக்குமுனைகளின் ஐபீ முகவரிகள் (IP Addresses), பொட்டல வரிசையெண், துறையெண் (Port Number) போன்ற விவரங்கள் பதிக்கப்பட்டு அனுப்பி வைக்கப்படுகின்றன என்பதை நாம் அறிவோம். எத்தகைய பொட்டலங்களை அனுமதிக்க வேண்டும், எவற்றைப் புறக்கணிக்க வேண்டும் என்று முன்பே வகுக்கப்பட்ட விதிமுறைகளின்படி இரு திசைகளிலும் பயணிக்கும் தகவல் பொட்டலங்களை வடிகட்டி அனுமதிக்கும் அல்லது புறக்கணிக்கும் இவ்வகைச் தீச்சுவர்கள்.

(2) பொட்டல ஆய்வி (Stateful Packet Inspection):

வெளிச்செல்லும் தகவல் பொட்டலங்களின் அனுப்புமுனை, இலக்குமுனைகளின் முகவரிகள், துறையெண் போன்ற விவரங்கள் ஓர் அட்டவணையில் குறித்து வைத்துக் கொள்ளப்படுகின்றன. உள்வரும் தகவல் பொட்டலங்களின் அனுப்புமுனை, இலக்குமுனை முகவரிகள், துறையெண் ஆகியவை அட்டவணையில் உள்ள விவரங்களோடு சரிபார்க்கப்பட்டு, அனுப்பிய தகவலுக்குப் பதிலாக வரும் தகவல்கள் மட்டும் அனுமதிக்கப்படும். ஏனையவை புறக்கணிக்கப்படும்.

(3) பயன்பாட்டு-மட்ட நுழைவி (Application-level Gateway):

பிணையத் தகவல் போக்குவரத்தில் குறிப்பிட்ட பயன்பாட்டுத் தகவல்கள் குறிப்பிட்ட நெறிமுறையைப் (Protocol) பயன்படுத்தி, குறிப்பிட்ட துறையெண்ணில் அனுப்பப் படுகின்றன என்பதை அறிவோம். எத்தகைய பயன்பாடுகளை அனுமதிக்கலாம் என வரையறுத்துக் கொண்டு அத்துறையெண் கொண்ட பொட்டலங்களை மட்டும் அனுமதிக்கும். நெறிமுறைகளும் துறையெண்களும் மோசடியாகப் பயன்படுத்தப்படுமாயின் அத்தகவல் பொட்டலங்கள் புறக்கணிக்கப்படும்.

(4) இணைப்பு-மட்ட நுழைவி (Circuit-level Gateway):

பிணையத்திலுள்ள கணிப்பொறிக்கும் வெளியே உள்ள கணிப்பொறிக்கும் (எ-டு: இணையத்திலுள்ள வலைவழங்கி) இடையே நேரடியான இணைப்பை அனுமதிப்பதில்லை. பிணையப் பயனருக்கும் தீச்சுவர் நுழைவிக்கும் இடையே ஓர் இணைப்பும், தீச்சுவர் நுழைவிக்கும் வெளிக் கணிப்பொறிக்கும் இடையே ஓர் இணைப்பும் ஏற்படுத்தப்படும். பயனர் எந்தப் பயன்பாட்டுக்கான கோரிக்கையை முன்வைக்கிறார் என்பதை ஆய்வுசெய்து அனுமதிக்கத் தக்கதாயின் இரண்டாவது இணைப்பு ஏற்படுத்தப்படும். இல்லையேல் புறக்கணிக்கப்படும். இரு இணைப்புகளும் ஏற்படுத்தப்பட்டபின் தகவல் பரிமாற்றம் நேரடியாக நடைபெறும். தகவல் பொட்டலங்கள் பரிசோதிக்கப்படமாட்டா.

(5) பதிலி வழங்கி (Proxy Server):

வெளிச்செல்லும் தகவல் பொட்டலங்களில் கோரிக்கை அனுப்பும் பிணையக் கணிப்பொறியின் முகவரிக்குப் பதிலாக, பதிலியின் முகவரியே அனுப்பப்படும். வெளிக் கணிப்பொறியின் பதிலுரை, பதிலி வழங்கிக்கே வந்து சேரும். பதில் சரிபார்க்கப்பட்டு உரிய பிணையக் கணிப்பொறிக்கு அனுப்பி வைக்கப்படும். நிறுவனப் பிணையக் கணிப்பொறிகளின் முகவரிகள் வெளி உலகுக்குத் தெரியாமல் மறைக்கப் படுவதால் அவை வெளித் தாக்குதல்களிருந்து பாதுகாக்கப்படுகின்றன.

• இணையச் சேவைகளுள் பாதுகாப்பற்ற சேவைகளைத் தடுத்துவிடலாம். முன்வரையறுக்கப்பட்ட பாதுகாப்பான இணையச் சேவைகளை மட்டும் உள்வர, வெளிச்செல்ல அனுமதிக்கலாம்.
• உள்பயனர்கள், வெளிப்பயனர்களில் யார் யார் எந்தெந்தச் சேவைகளை அணுகலாம் என்பதை நிர்ணயித்துக் கொள்ள முடியும்.
• குறிப்பிட்ட சேவையை எப்படிப் பயன்படுத்த வேண்டும் என்று கட்டுப்பாடு செய்ய முடியும். உள்வரும் புற்றீசல் மின்னஞ்சல்களை (Spam mails) வடிகட்ட முடியும். வெளிப்பயனர்கள் நிறுவன வலை வழங்கியில் குறிப்பிட்ட தகவலை மட்டும் அணுகுமாறு கட்டுப்படுத்த முடியும்.
• அனுமதியில்லாப் பயனர்கள் பிணையத்துள் நுழையாமல் தடுக்கவும், பாதுகாப்புக்குப் பங்கம் விளைவிக்கும் சேவைகள் பிணையத்துள் நுழைவது, வெளிச்செல்வதைத் தடுக்கவும் வசதியாக ஒற்றை வாசலை தீச்சுவர் வழங்குகிறது.
• ஒரே புள்ளியில் பாதுகாப்புத் தொடர்புடைய நிகழ்வுகளைக் கண்காணிக்கவும், தணிக்கை நடவடிக்கைகளை நடைமுறைப்படுத்தவும், எச்சரிக்கை அறிவிப்புகளுக்கு ஏற்பாடு செய்யவும் முடியும்.
• பிணைய மேலாண்மை, பயனர்களின் இணைய உலாக்களைப் பதிவு செய்தல் போன்ற பாதுகாப்புத் தொடர்பில்லாத இணையச் செயற்கூறுகளைச் செயல்படுத்துவதற்கு ஏற்ற தளமாகவும் விளங்குகிறது.
• இணையம் வழியாகப் பாதுகாப்பான மெய்நிகர் தனியார் பிணையங்களை (Virtual Private Networks) அமைத்துச் செயல்பட தீச்சுவர் உதவுகிறது.

• தீச்ச்சுவரின் வழியாக வராமல் வேறு வழியாக வரும் தாக்குதல்களுக்குத் தீச்சுவர் பாதுகாப்பு வழங்க இயலாது. பணியாளர்கள் தீச்சுவர் வழியாக இணையத்தை அணுகாமல், தம் கணிப்பொறியிலிருந்து தொலைபேசி, இணக்கி (modem) மூலம் இணையத்தை அணுக அனுமதித்தால் அதனால் ஏற்படும் ஆபத்துகளைத் தீச்சுவரால் தடுக்க இயலாது.
• ஏதேனும் காரணத்துக்காக நிர்வாகத்தின் மீது வெறுப்புக் கொண்ட பணியாளர், ஏதேனும் ஆதாயத்துக்காக நிர்வாகத்துக்குத் துரோகம் இழைக்க நினைக்கும் பணியாளர், அறியாமையில் அத்துமீறிளுக்குத் துணைபோகும் பணியாளர் - இவர்களைப் போன்ற உள்ளாட்களால் ஏற்படும் ஆபத்துகளைத் தீச்சுவரால் தடுக்க இயலாது.
• வெளியிலிருந்து பெறப்படும் நிரல்கள், கோப்புகள், மின்னஞ்சல்கள் மூலம் தொற்றுகின்ற நச்சுநிரல்களினால் ஏற்படும் ஆபத்துகளுக்கு எதிரான பாதுகாப்பினைத் தீச்சுவரால் வழங்க இயலாது.