آموزش پیکربندی فایروال سرور | UFW، firewalld، Windows Firewall

امنیت سرور، چیزی نیست که بتوان آن را به شانس سپرد. هر سرویسی که روی اینترنت فعال می‌کنید، در معرض نگاه و تلاش مداوم افرادی است که به‌دنبال یافتن یک نقطه ضعف هستند. فایروال، همان دیوار محافظی است که بین سرور شما و دنیای بیرون قرار می‌گیرد و تعیین می‌کند چه کسی و از کجا اجازه عبور دارد.

شاید در نگاه اول، پیکربندی فایروال کاری پیچیده و مخصوص متخصصان امنیت به‌نظر برسد، اما واقعیت این است که با کمی شناخت از مفاهیم پایه و چند دستور ساده، می‌توانید کنترل کامل بر درگاه‌های ارتباطی سرور خود داشته باشید. این کار نه‌تنها امنیت را افزایش می‌دهد، بلکه آرامش خاطر شما را هم تضمین می‌کند؛ چون می‌دانید فقط ترافیک مجاز به سرور راه پیدا می‌کند.

در این مطلب، گام‌به‌گام با هم پیش می‌رویم؛ از آشنایی با انواع فایروال و اصول پایه، تا پیکربندی عملی روی سیستم‌عامل‌های مختلف. هدف ما این است که در پایان، شما بتوانید با اطمینان و بدون ابهام، فایروال سرور خود را به‌گونه‌ای تنظیم کنید که هم امن باشد و هم پاسخ‌گوی نیازهای واقعی‌تان.

آشنایی با انواع فایروال در سرورها

پیش از آنکه وارد مراحل عملی پیکربندی شویم، لازم است با انواع فایروال‌هایی که در محیط‌های مختلف استفاده می‌شوند آشنا شویم. شناخت این ابزارها کمک می‌کند تا متناسب با نیاز و زیرساخت خود، بهترین گزینه را انتخاب کنید.

۱. فایروال نرم‌افزاری (Software Firewall)

این نوع فایروال‌ها مستقیماً روی سیستم‌عامل نصب می‌شوند و کنترل ترافیک ورودی و خروجی همان سرور را بر عهده دارند. نمونه‌های رایج:

• UFW (Uncomplicated Firewall) در توزیع‌های لینوکسی مانند Ubuntu
• iptables در لینوکس برای کنترل دقیق بسته‌های شبکه
• Windows Defender Firewall در ویندوز سرور

۲. فایروال سخت‌افزاری (Hardware Firewall)

این فایروال‌ها به‌صورت یک دستگاه فیزیکی بین شبکه داخلی و اینترنت قرار می‌گیرند و معمولاً در دیتاسنترها یا سازمان‌های بزرگ استفاده می‌شوند. مزیت اصلی آن‌ها توان پردازشی بالا و قابلیت مدیریت متمرکز است.

۳. فایروال ابری (Cloud Firewall)

در زیرساخت‌های ابری مانند AWS، آژور یا Google Cloud، فایروال به‌صورت سرویس ارائه می‌شود. این نوع فایروال‌ها معمولاً با نام‌هایی مانند Security Groups یا Network Security Groups شناخته می‌شوند و امکان تعریف قوانین دسترسی در سطح شبکه ابری را فراهم می‌کنند.

۴. فایروال نسل جدید (Next-Generation Firewall – NGFW)

این فایروال‌ها علاوه بر کنترل ترافیک بر اساس پورت و پروتکل، قابلیت‌های پیشرفته‌ای مانند شناسایی برنامه‌ها، فیلتر محتوای وب، و جلوگیری از نفوذ (IPS) را نیز ارائه می‌دهند.

اصول پایه در پیکربندی فایروال

پیش از آنکه وارد اجرای دستورات و تنظیمات عملی شویم، لازم است با چند اصل کلیدی آشنا باشیم. این اصول، چارچوب فکری شما را شکل می‌دهند و کمک می‌کنند قوانین فایروال را به‌گونه‌ای تعریف کنید که هم امنیت را تأمین کند و هم مانع عملکرد صحیح سرویس‌ها نشود.

۱. شناخت پورت و پروتکل

هر سرویس شبکه‌ای برای برقراری ارتباط از یک پورت مشخص و یک پروتکل ارتباطی استفاده می‌کند. پورت‌ها مانند درگاه‌هایی هستند که داده‌ها از طریق آن‌ها وارد یا خارج می‌شوند و پروتکل‌ها قوانین و قالب این تبادل داده را تعیین می‌کنند. به‌عنوان مثال، وب‌سرورها معمولاً از پورت 80 با پروتکل HTTP یا پورت 443 با پروتکل HTTPS استفاده می‌کنند، در حالی که دیتابیس MySQL روی پورت 3306 و پروتکل TCP فعال است. شناخت دقیق این موارد به شما کمک می‌کند قوانین فایروال را به‌گونه‌ای تعریف کنید که فقط ترافیک مورد نیاز عبور کند.

در عمل، این شناخت به معنای داشتن یک نقشهٔ کامل از سرویس‌های فعال روی سرور و پورت‌های مورد استفادهٔ آن‌هاست. ابزارهایی مانند netstat یا ss می‌توانند لیست پورت‌های باز و سرویس‌های مرتبط را نمایش دهند. با این اطلاعات، می‌توانید تصمیم بگیرید کدام پورت‌ها باید باز بمانند و کدام‌یک باید مسدود شوند. این کار نه‌تنها امنیت را افزایش می‌دهد، بلکه از مصرف بیهودهٔ منابع سرور نیز جلوگیری می‌کند.

۲. اصل «کمترین دسترسی» (Least Privilege)

اصل کمترین دسترسی یکی از مهم‌ترین مفاهیم در امنیت شبکه و سیستم‌هاست. بر اساس این اصل، هر کاربر، سرویس یا فرآیند باید فقط به منابع و قابلیت‌هایی دسترسی داشته باشد که برای انجام وظایفش ضروری است. در زمینهٔ فایروال، این یعنی تنها پورت‌ها و مسیرهایی را باز کنید که واقعاً مورد استفاده قرار می‌گیرند و سایر مسیرها را مسدود کنید.

اجرای این اصل باعث می‌شود سطح حمله (Attack Surface) سرور به حداقل برسد. به‌عنوان مثال، اگر یک سرور فقط به‌عنوان وب‌سرور عمل می‌کند، نیازی به باز بودن پورت دیتابیس یا سرویس‌های مدیریت از راه دور برای همهٔ IPها وجود ندارد. محدودسازی دسترسی‌ها بر اساس این اصل، احتمال سوءاستفاده از آسیب‌پذیری‌ها را به‌شدت کاهش می‌دهد.

۳. قوانین Allow و Deny

در فایروال، قوانین Allow و Deny تعیین می‌کنند که چه نوع ترافیکی مجاز به عبور است و چه نوعی باید مسدود شود. قانون Allow به ترافیک مشخصی اجازه عبور می‌دهد، در حالی که قانون Deny مانع از عبور آن می‌شود. این قوانین می‌توانند بر اساس IP، پورت، پروتکل یا ترکیبی از این موارد تعریف شوند.

تعریف دقیق این قوانین نیازمند شناخت کامل از نیازهای شبکه و سرویس‌هاست. به‌عنوان مثال، می‌توانید قانونی تعریف کنید که فقط به یک IP خاص اجازهٔ اتصال به پورت 22 (SSH) را بدهد و سایر درخواست‌ها را مسدود کند. این رویکرد باعث می‌شود حتی اگر پورت باز باشد، فقط کاربران مجاز بتوانند از آن استفاده کنند.

۴. ترتیب اجرای قوانین (Rule Order)

در بسیاری از سیستم‌های فایروال، ترتیب قرارگیری قوانین اهمیت زیادی دارد. معمولاً اولین قانونی که با ویژگی‌های یک بستهٔ شبکه مطابقت داشته باشد، اجرا می‌شود و قوانین بعدی نادیده گرفته می‌شوند. این یعنی اگر یک قانون کلی Allow در ابتدای لیست قرار گیرد، ممکن است قوانین محدودکنندهٔ بعدی بی‌اثر شوند.

بنابراین، هنگام تعریف قوانین باید به ترتیب آن‌ها توجه ویژه داشت. قوانین محدودکننده یا خاص معمولاً باید پیش از قوانین کلی قرار گیرند تا از عبور ناخواستهٔ ترافیک جلوگیری شود. بازبینی دوره‌ای ترتیب قوانین نیز ضروری است، زیرا تغییرات در سرویس‌ها یا نیازهای شبکه ممکن است باعث شود ترتیب فعلی دیگر بهینه نباشد.

۵. تست و بازبینی

هر تغییری در پیکربندی فایروال باید بلافاصله پس از اعمال، آزمایش شود. این آزمایش می‌تواند شامل بررسی دسترسی سرویس‌ها از داخل و خارج شبکه باشد تا اطمینان حاصل شود که قوانین جدید باعث اختلال در عملکرد نشده‌اند. ابزارهایی مانند telnet ،nc یا حتی مرورگر وب می‌توانند برای تست سریع استفاده شوند.

بازبینی دوره‌ای قوانین فایروال نیز اهمیت زیادی دارد. با گذشت زمان، ممکن است قوانینی باقی بمانند که دیگر کاربردی ندارند یا حتی خطر امنیتی ایجاد کنند. حذف یا اصلاح این قوانین، فایروال را بهینه و کارآمد نگه می‌دارد. این بازبینی باید بخشی از فرآیند نگهداری منظم سرور باشد.

پیکربندی فایروال در لینوکس با UFW

UFW یا Uncomplicated Firewall یک رابط ساده و کاربرپسند برای مدیریت فایروال iptables در لینوکس است که به‌طور پیش‌فرض در بسیاری از توزیع‌ها مانند Ubuntu و Debian نصب می‌شود. این ابزار به مدیران سیستم کمک می‌کند تا بدون نیاز به نوشتن قوانین پیچیده، بتوانند پورت‌ها را باز یا بسته کنند، دسترسی‌ها را محدود نمایند و وضعیت کلی فایروال را بررسی کنند. پیش از هر چیز، لازم است وضعیت فعلی فایروال بررسی شود و در صورت غیرفعال بودن، آن را فعال کنید.

بررسی وضعیت فایروال:

sudo ufw status

فعال‌سازی فایروال:

sudo ufw enable

پس از فعال‌سازی، می‌توانید قوانین مورد نظر خود را اضافه کنید. به‌عنوان مثال، برای باز کردن پورت 80 جهت ترافیک HTTP، از دستور زیر استفاده می‌شود:

sudo ufw allow 80/tcp

اگر بخواهید دسترسی به یک سرویس فقط از یک IP خاص مجاز باشد، می‌توانید قانون را به این شکل تعریف کنید:

sudo ufw allow from 192.168.1.100 to any port 22

برای مشاهدهٔ قوانین موجود همراه با شمارهٔ آن‌ها، از دستور زیر استفاده کنید:

sudo ufw status numbered

و برای حذف یک قانون، شمارهٔ آن را در دستور زیر جایگزین کنید:

sudo ufw delete <شماره>

پس از هر تغییر، توصیه می‌شود اتصال سرویس‌ها را آزمایش کنید تا اطمینان حاصل شود که قوانین جدید باعث اختلال در عملکرد نشده‌اند.

پیکربندی فایروال با iptables

iptables یکی از قدرتمندترین ابزارهای مدیریت ترافیک شبکه در لینوکس است که کنترل کامل بر بسته‌های ورودی و خروجی را فراهم می‌کند. برخلاف UFW که یک رابط ساده و کاربرپسند ارائه می‌دهد، iptables مستقیماً با هستهٔ لینوکس کار می‌کند و به همین دلیل انعطاف‌پذیری بسیار بالایی دارد. این ابزار به شما اجازه می‌دهد قوانین دقیق و پیچیده‌ای برای فیلتر کردن ترافیک تعریف کنید، از جمله محدودسازی بر اساس آدرس IP، پورت، پروتکل و حتی وضعیت اتصال.

برای استفاده از iptables، ابتدا باید بدانید که این ابزار بر اساس «زنجیره‌ها» (Chains) و «جدول‌ها» (Tables) کار می‌کند. زنجیره‌ها مسیر عبور بسته‌ها را مشخص می‌کنند (مانند INPUT برای ترافیک ورودی، OUTPUT برای خروجی و FORWARD برای ترافیک عبوری)، و جدول‌ها نوع پردازش را تعیین می‌کنند (مانند filter برای فیلتر کردن، nat برای ترجمهٔ آدرس و mangle برای تغییر بسته‌ها). در ادامه چند دستور پایه برای مدیریت فایروال با iptables را مشاهده می‌کنید:

مشاهده قوانین فعلی:

sudo iptables -L -v

اجازه دسترسی به یک پورت خاص (مثلاً 80):

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

محدود کردن دسترسی به یک IP خاص:

sudo iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT

مسدودسازی یک پورت:

sudo iptables -A INPUT -p tcp --dport 3306 -j DROP

ذخیره قوانین برای ماندگاری پس از ریبوت:

sudo netfilter-persistent save

با iptables می‌توانید سناریوهای امنیتی بسیار دقیق‌تری پیاده‌سازی کنید، اما به دلیل پیچیدگی آن، توصیه می‌شود پیش از اعمال تغییرات گسترده، از پیکربندی فعلی نسخهٔ پشتیبان تهیه کنید.

پیکربندی فایروال در ویندوز سرور

فایروال داخلی ویندوز سرور که با نام Windows Defender Firewall with Advanced Security شناخته می‌شود، ابزاری قدرتمند برای کنترل ترافیک ورودی و خروجی است. این فایروال به مدیران سیستم اجازه می‌دهد قوانین دقیقی بر اساس پورت، پروتکل، آدرس IP و حتی نوع برنامه تعریف کنند. مزیت اصلی آن، رابط گرافیکی کاربرپسند در کنار قابلیت پیکربندی پیشرفته از طریق PowerShell است.

برای شروع، می‌توانید از مسیر زیر وارد بخش مدیریت فایروال شوید:
Control Panel → Windows Defender Firewall → Advanced settings
در این بخش، دو نوع قانون اصلی وجود دارد:

• Inbound Rules: کنترل ترافیک ورودی به سرور
• Outbound Rules: کنترل ترافیک خروجی از سرور

ایجاد یک قانون جدید برای باز کردن پورت

۱. در بخش Inbound Rules روی گزینه New Rule کلیک کنید.
۲. گزینه Port را انتخاب کرده و روی Next بزنید.
۳. پروتکل (TCP یا UDP) و شماره پورت مورد نظر را وارد کنید.
۴. گزینه Allow the connection را انتخاب کنید.
۵. مشخص کنید قانون در چه پروفایل‌هایی (Domain، Private، Public) فعال باشد.
۶. یک نام برای قانون وارد کرده و روی Finish کلیک کنید.

ایجاد قانون برای محدود کردن دسترسی بر اساس IP

۱. در همان بخش Inbound Rules، قانون مورد نظر را پیدا کرده و روی آن دوبار کلیک کنید.
2. به تب Scope بروید.
3. در قسمت Remote IP address، گزینه These IP addresses را انتخاب کنید.
4. آدرس یا محدوده IP مجاز را وارد کنید و تغییرات را ذخیره نمایید.

با این روش می‌توانید دقیقاً مشخص کنید چه ترافیکی اجازه ورود یا خروج از سرور را داشته باشد. همچنین توصیه می‌شود پس از هر تغییر، عملکرد سرویس‌ها را بررسی کنید تا اطمینان حاصل شود که قوانین جدید باعث اختلال نشده‌اند.

نکات امنیتی پیشرفته در پیکربندی فایروال

تنظیمات پایهٔ فایروال، مانند باز و بسته کردن پورت‌ها یا محدودسازی دسترسی بر اساس IP، گام مهمی در ایمن‌سازی سرور است. اما برای رسیدن به سطح امنیت بالاتر، لازم است از قابلیت‌ها و تکنیک‌های پیشرفته نیز استفاده شود. یکی از این روش‌ها، محدودسازی نرخ اتصال (Rate Limiting) است که با جلوگیری از ارسال تعداد زیاد درخواست در بازهٔ زمانی کوتاه، مانع حملات brute-force یا DoS می‌شود. این قابلیت در ابزارهایی مانند iptables یا سرویس‌های جانبی مثل Fail2Ban به‌خوبی قابل پیاده‌سازی است.

روش دیگر، پایش و ثبت لاگ‌های فایروال است. با فعال‌سازی لاگ‌برداری، می‌توانید الگوهای مشکوک در ترافیک ورودی و خروجی را شناسایی کنید و در صورت نیاز، قوانین جدیدی برای مسدودسازی آن‌ها تعریف نمایید. همچنین، ترکیب فایروال با سایر لایه‌های امنیتی مانند VPN، احراز هویت چندمرحله‌ای (MFA) و سیستم‌های تشخیص نفوذ (IDS/IPS) می‌تواند سطح حفاظت را به‌طور چشمگیری افزایش دهد. در نهایت، بازبینی دوره‌ای قوانین و حذف موارد غیرضروری، فایروال را بهینه و کارآمد نگه می‌دارد.

در پایان

در این مقاله، از مفاهیم پایه‌ای فایروال و نقش آن در امنیت سرور آغاز کردیم و به‌تدریج وارد مباحث عملی و پیشرفته شدیم. با انواع فایروال‌ها آشنا شدیم، اصول کلیدی پیکربندی را مرور کردیم و سپس به‌صورت گام‌به‌گام، نحوهٔ تنظیم فایروال در لینوکس با UFW و iptables و همچنین در ویندوز سرور را بررسی کردیم. در ادامه، نکات امنیتی پیشرفته‌ای را مطرح کردیم که می‌توانند لایهٔ حفاظتی سرور را به‌طور چشمگیری تقویت کنند.

پیام اصلی این راهنما ساده است: یک فایروال پیکربندی‌شده و به‌روز، خط دفاعی اول و حیاتی برای هر سرور است. با صرف کمی زمان برای شناخت سرویس‌ها، تعریف قوانین دقیق و بازبینی دوره‌ای تنظیمات، می‌توان از بسیاری از تهدیدات و نفوذهای احتمالی جلوگیری کرد. امنیت یک فرآیند مداوم است، نه یک اقدام یک‌باره؛ بنابراین، توصیه می‌شود این اصول را به بخشی ثابت از روال نگهداری سرور خود تبدیل کنید.