NetCHEIF Articles

  דף הבית | פורום | בלוג | צור קשר | חיפוש | אודות

 

Firewall בתוכנה
מול
Firewall בחומרה

 

אין צורך להרבות במילים על הסיכונים הקיימים היום בסביבת האינטרנט – האקרים המנסים להשתלט על מערכות מחשוב, וירוסים, סוסים טרויאניים ותולעים – הם רק חלק מהסכנות האורבות למשתמשים.

אחד המרכיבים העיקריים בהגנה על המשתמש הבודד ועל רשת מחשבים ביתית המחוברת לאינטרנט הוא ה-Firewall (או חומת אש בעברית).

Firewall היא תוכנה המתוקנת במחשב או באביזר חומרה ייעודיי שמטרתה למנוע גישה של תקשורת זדונית מסביבת האינטרנט אל מחשב בודד או רשת מחשבים. התוכנה מכילה הגדרות שמטרתן לסנן ולחסום תקשורת בלתי רצויה מלחדור אל הסביבה המאובטחת של המחשב הבודד או רשת המחשבים.

בהקשר זה רצוי להבהיר מהו מנגנון ה-NAT. ה-NAT (ראשי תיבות של Network Address Translation) הוא מנגנון תוכנה המאפשר לרשת מחשבים שלמה להיות מחוברת לסביבת האינטרנט באמצעות כתובת IP יחידה. המנגנון עוקב אחרי התנועה החוצה מהרשת ופנימה אל הרשת ועל ידי בדיקת ה-Headers של חבילות המידע, מנתב את המידע מהאינטרנט אל המחשב הנכון.

מנגנון ה-NAT הוא מרכיב הכרחי בכל נתב (router) והוא לכשעצמו מספק הגנה סבירה. תוכנת Firewall בשילוב עם מנגנון ה-NAT, הממסך את הכתובות הפנימיות של הרשת, היא רשת הגנה מצוינת מפני חדירות זדוניות.

הרחבה בנושא זה ניתן למצוא כאן.

משתמש המעוניין להשתמש בתוכנת firewall ימצא לפניו עושר רחב של תוכנות ומחירים. ישנם לפחות שני מוצרי shareware הנפוצים מאוד – Zone Alarm ו-Kerio. בנוסף עליהם יש מגוון תוכנות בתשלום כמו Norton Firewall ו-Sygate. במקביל אליהם כל נתב (router) כולל מנגנון firewall ומשתמש המעוניין. מה עדיף וכיצד לבחור ביניהם?

משתמש שיש לו רק מחשב אחד המחובר לסביבת האינטרנט יטה לעשות שימוש בתוכנת firewall. זו לא תמיד הבחירה הטובה ביותר ומשתמש כזה, שיש ברשותו מודם שניתן להפוך אותו לנתב (כמו ECI לדוגמא), צריך לשקול את הפיכת המודם לנתב ושימוש במרכיב ה-firewall הקיים בו.

משתמש שיש לו רשת מחשבים, עושה שימוש בנתב בחומרה או בתוכנת ICS, ולכן כמעט תמיד יעדיף להשתמש במנגנוני ה-NAT וה-firewall הקיימים בהם.

דיון מעניין לגבי הנושא נערך גם בפורום -- ראה כאן.

אז מה בכל אופן ההבדלים בין firewall בתוכנה ל-firewall בחומרה?

Firewall בתוכנה

Firewall בחומרה

יתרונות

יתרונות

  • בדרך כלל התקנה פשוטה וקלה, תפעול וקינפוג דרך תפריטים.

  • אין צורך בהתקנה.  ההגנה קיימת בכל רגע נתון ואינה תלויה במחשב.

  • מספקת הגנה הן בתנועה מהאינטרנט אל המחשב או רשת המחשבים וגם בכיוון ההפוך.

  • ההגנה מסופקת לפני המחשב הבודד או לפני רשת המחשבים.

  • ניתן לעדכן את התוכנה בקלות ולאפיין את מרכיבי ההגנה בהתאם לצורך

  • רכישה חד פעמית שאינה דורשת שדרוגים או מינוי על עדכונים.

  • מחשב נייד המתחבר ממקומות שונים מוגן תמיד ללא תלות במאפייני הרשת וההגנות שהיא מספקת.

  • כוללת מנגנון NAT הממסך את הכתובות הפנימיות מהכתובת החיצוניות.

  • ניתן לאפיין את מרכיבי ההגנה של כל מחשב באופן אינדיווידואלי.

 

חסרונות

חסרונות

  • דורש התקנה במחשב ובמקרה של רשת, על כל מחשב ברשת.

  • מספק הגנה רק בכיוון אחד – מהאינטרנט אל המחשב או רשת המחשבים

  • ההגנה קיימת רק מהרגע שהתוכנה הופעלה.

  • איפיון מרכיבי ההגנה דורש התעסקות עם תפריטי הנתב שהם בדרך כלל פחות גמישים ונוחים.

  • סכנה של התנגשות עם תוכנות ותהליכים אחרים במחשב או ברשת.

  • קצב העדכון של המנגנון איטי ובדרך כלל דורש עדכון firmware מלא.

  • מעמיסה על משאבי המחשב ומאטה את עבודתו.

 

  • אינה כוללת מנגנון NAT.

 

  • התרעות על בעיות מוקפצות על מסכי המחשבים עצמם.