تفاوت دیوار آتش (فایروال) با ضدویروس (ضدبدافزار) چیست؟

هرچیز با ارزشی نیازمند حراست و نگهبانی است. داده‌ها و اطلاعات فردی و سازمانی نیز دارایی‌های مهمی هستند که باید از آن‌ها مراقبت شود. برای این منظور محصولات و راه‌کارهای امنیتی گوناگونی ارائه می‌شود که هر کدام‌شان وظایف خاصی دارند. احتمالا در این میان نام ضد ویروس و دیوار آتش (فایروال) را بیشتر شنیده‌ایم. ضد ویروس و دیوار آتش هر دو برای ارتقای امنیت رایانه‌ها و شبکه‌ها ساخته شده‌اند اما وظایف متفاوتی دارند. در این مطلب ابتدا وظایف و ویژگی‌های دیوار آتش و ضد ویروس را جداگانه توضیح می‌دهیم و سپس تفاوت ضد ویروس با دیوار آتش (فایروال) را بررسی می‌کنیم.

دیوار آتش (فایروال) چیست؟

دیوار آتش (firewall) نرم‌افزار یا سخت‌افزاری است که بین رایانه یا شبکه شما و اینترنت حائل می‌شود و بر امنیت ترافیک ورودی و خروجی شبکه نظارت ‌می‌کند. بعضی از دیوارهای آتش نرم‌افزاری هستند که در این‌صورت باید روی سرور یا روی تک‌تک رایانه‌های شبکه نصب شوند. برخی دیگر نیز سخت‌افزاری هستند، یعنی مثل روتر شبکه دستگاه مستقلی هستند که پردازنده، حافظه و سیستم‌عامل اختصاصی دارند و نرم‌افزار دیوار آتش روی آن نصب شده است.

دیوار آتش سخت‌افزاری و نرم‌افزاری

فایروال نرم‌افزاری و سخت‌افزاری هر کدام مزایا و کاستی‌هایی دارند. برای مثال، تنها یک دستگاه فایروال سخت‌افزاری می‌تواند تمام یک شبکه را تحت پوشش بگیرد، اما فایروال نرم‌افزاری معمولا باید روی تک‌تک رایانه‌های شبکه نصب شود. لذا به‌روزرسانی فایروال نرم‌افزاری سخت‌تر و زمان‌برتر است. ضمنا چون فایروال سخت‌افزاری سیستم‌عامل اختصاصی دارد، کمتر در معرض تهدیدهای امنیتی است، زیرا اکثر هکرها سیستم‌عامل‌های رایج‌تری مثل ویندوز، اندروید و... را هدف می‌گیرند.

در عوض، فایروال نرم‌افزاری ترافیک خروجی از شبکه را بهتر پایش می‌کند در حالیکه فایروال سخت‌افزاری بیشتر برای پایش ترافیک ورودی به شبکه مناسب است. با توجه به چنین مواردی بعضی از کاربران هر دو نوع فایروال را به‌کار می‌گیرند تا هر کدام ضعف‌های دیگری را پوشش دهد.

احتمالا نام‌آشناترین دیوار آتش نرم‌افزاری برای ما کاربران، فایروال ویندوز است که در ویندوز 10 از صفحه تنظیمات، بخش Update & Security و سپس Windows Security قابل دسترسی است. اما شبکه‌های بزرگ از فایروال‌های پیشرفته‌تری بهره می‌برند که گاهی تلفیقی از دیوار آتش سخت‌افزاری و نرم‌افزاری است.

مدیر شبکه، دیوار آتش را بسته به سیاست‌های امنیتی سازمان متبوعش پیکربندی می‌کند. مثلا ممکن است دیوار آتش طوری تنظیم شود که فقط ترافیک ورودی به شبکه را بررسی کند.

دیوارهای آتشِ امروزی علاوه بر کنترل داده‌های ورودی، داده‌های خروجی را هم کنترل می‌کنند، لذا اگر مثلا شبکه شما حاوی بدافزار باشد، با کمک دیوار آتش می‌توان جلوی خروج بدفزار از شبکه شما و سرایت آن به اینترنت یا شبکه‌های دیگر را نیز گرفت.

برای این‌که دیوار آتش بتواند بسته‌های مخرب را از بسته‌های مجاز تشخیص دهد، باید مجموعه قوانینی برایش تعریف شود تا بر مبنای آن، داده‌های مجاز و غیرمجاز را از هم تفکیک کند. دیوار آتش برای این منظور موارد ذیل را بررسی می‌کند:

• محتوای بسته‌های داده
• مقصد بسته‌های داده
• مبدا بسته‌های داده

منظور از بسته (packet) قطعه داده‌ای است که به‌طور خاص برای انتقال در اینترنت قالب‌ریزی می‌شود. داده‌ها در اینترنت اصطلاحا به‌شکل بسته منتقل می‌شوند. هر بسته چند بخش مهم دارد: یکی محتوای بسته یعنی همان داده‌هایی که باید منتقل شوند و دیگری آدرس مبدا و مقصد بسته که مشخص می‌کند داده‌ها از کجا می‌آیند و باید به کجا بروند.

وظایف امنیتی فایروال

• حفاظت از داده‌ها
• جلوگیری از نفوذ هکرها
• پایش مداوم ترافیک شبکه و ایمن‌سازی آن
• مسدود کردن آگهی‌افزارها و محافظت از حریم خصوصی کاربر

قابلیت‌های دیوار آتش

دیوار آتش بسته به نوع و قابلیت‌هایش کارهای مختلفی انجام می‌دهد، از جمله:

• ایمن‌سازی ترافیک ورودی و خروجی
• وارسی و فیلتر کردن بسته‌های داده
• تشخیص و جلوگیری از دسترسی‌های غیرمجاز به شبکه یا رایانه 
• محدودسازی انتقال فایل‌های مهم جهت جلوگیری از نشت داده‌های حساس به خارج شبکه
• ایمن‌سازی و جلوگیری از ایجاد تغییر در داده‌های مهم

آنتی ویروس (ضد ویروس) چیست و چگونه کار می‌کند؟

آنتی ویروس یا همان ضد ویروس، نرم‌افزاری است که روی سرور شبکه یا روی رایانه‌ها و گوشی‌های شخصی نصب می‌شود تا با ویروس‌ها و بسیاری دیگر از بدافزارها مقابله کند.

نکته مهم: بدافزار (malware) عبارتی کلی است که همه انواع نرم‌افزارهای مخرب از جمله ویروس‌ها، کرم‌ها، جاسوس‌افزارها و باج‌افزارها را شامل می‌شود. لذا هر ویروسی بدافزار است اما هر بدافزاری ویروس نیست. اما امروزه شرکت‌های سازنده نرم‌افزارهای امنیتی وقتی عبارت ضدویروس را به کار می‌برند معمولا منظورشان همان ضدبدافزار است که با بسیاری از نرم‌افزارهای مخرب از جمله ویروس‌ها و کرم‌ها مقابله می‌کند. در این مقاله نیز منظور ما از ضدویروس، نرم‌افزاری است که برای شناسایی و حذف انواع بدافزارها از جمله با ویروس‌ها ساخته شده است.

مراحل کار ضدویروس

مقابله ضدویروس با بدافزارها سه گام اصلی دارد:

1. تشخیص (detection): ضد ویروس که پیوسته مراقب حمله‌های سایبری است، می‌کوشد تهدیدهای بالقوه و بالفعل اعم از بدافزارها یا تلاش‌های مخرب جهت آلودن رایانه را تشخیص دهد و محل فایل‌ها یا برنامه‌های آلوده را پیدا کند.
2. شناسایی (identification): ضد ویروس پس از آن‌که وجود تهدید یا بدافزار را تشخیص داد می‌کوشد نوع و ویژگی‌های بدافزار را شناسایی کند.
3. حذف (removal): ضدویروس می‌کوشد فایل یا نرم‌افزار مخرب و تمام آثار آن‌را از سامانه حذف کند. برای این منظور فایل آلوده را حذف و نسخه سالم فایل را بازیابی و جایگزین می‌کند.

اگر آنتی ویروس وقوع حمله را تشخیص دهد اما نتواند نوع بدافزار را شناسایی و آن‌را حذف کند، به ناچار فایل‌های آلوده را بلوکه و نسخه‌ی پاک آن‌را بازیابی و جایگزین می‌کند. البته ضدویروس‌ها نسل به نسل پیشرفته‌تر شده‌اند. مثلا ضدویروس‌های اولیه می‌بایست امضای ویروس را می‌داشتند تا بتوانند نوع ویروس را شناسایی کنند. لذا اگر ویروس جدیدی سربرمی‌آورد، ضد ویروس نمی‌توانست آن‌را تشخیص دهد مگر این‌که شرکت سازنده ضد ویروس جدیدترین به‌روزرسانی‌ها را منتشر کند و امضای ویروس‌های جدید را به ضد ویروس‌هایش بشناساند. کم‌کم ضد ویروس‌ها پیشرفته‌تر شدند طوری که نسل دوم ضد ویروس‌ها برای تشخیص ویروس به امضای آن‌ها نیازی نداشتند، بلکه با کمک نوعی اکتشاف پویا حملات احتمالی را تشخیص می‌دادند. نسل سوم ضد ویروس‌ها در حافظه اصلی رایانه مقیم می‌شدند و ویروس‌ها را نه بر اساس ساختار بلکه بر اساس عملکردشان تشخیص می‌دادند.

نسل چهارم ضدویروس‌ها شیوه‌های مختلفی مثل پویش، پایش و... را همزمان به‌کار می‌گیرند. آن‌ها با سیستم‌عامل هماهنگ هستند و هر نوع رفتار ویروس‌وار را بی‌درنگ رصد می‌کنند. چنانچه یکی از برنامه‌ها غیرعادی رفتار کند، ضد ویروس آن‌را فورا بلوکه می‌کند تا جلوی آسیب‌های بیشتر را بگیرد. یعنی ضد ویروس‌های امروزی بیش از تشخیص بر پیش‌گیری تمرکز دارند.

قابلیت‌های ضد ویروس

• رایانه‌ها را در برابر ویروس‌ها و دیگر انواع تهدیدهای امنیتی محافظت می‌کند
• تارنماهای حاوی هرزنامه و آگهی‌های مشکوک را مسدود می‌کند
• از اطلاعات مهم کاربر که روی رایانه‌ها ذخیره شده‌اند، محافظت می‌کند
• با فعالیت هکرها و تبهکاران سایبری مقابله می‌کند
• با پایش مستمر حافظه‌های جداشونده مثل USB، از انتقال ویروس‌ به درون رایانه جلوگیری می‌کند
• همه فایل‌هایی را که وارد سامانه می‌شوند، اسکن می‌کند و جلوی فایل‌های آلوده را می‌گیرد
• از حمله جاسوس‌افزارها و حمله‌های جعل (فیشینگ) جلوگیری می‌کند
• فعالیت‌های کاربر در تارنماهای غیرمجاز را که ممکن است دروازه وقوع حمله‌های سایبری باشند محدود می‌کند.

تفاوت دیوار آتش با ضد ویروس

دیوار آتش و ضد ویروس دو راه‌کار برای تامین امنیت سامانه‌های کامپیوتری هستند، اما وظایف‌شان متفاوت است. یکی از تفاوت‌های مهم دیوار آتش و ضد ویروس، محدوده کارشان است. دیوار آتش (فایروال) مثل سدی است که رایانه یا شبکه شما را از دنیای خارج جدا می‌کند تا بتواند داده‌های ورودی و حتی خروجی شبکه‌تان را وارسی کند. اما ضد ویروس، درون رایانه یا شبکه شما از داده‌های‌تان محافظت می‌کند و با بدافزارها و حمله‌های داخلی می‌ستیزد. پس دیوار آتش را می‌توان به مرزبان و ضد ویروس را به پلیس تشبیه کرد.

برخی از تفاوت‌های کلی دیوار آتش و آنتی ویروس را می‌شود چنین خلاصه کرد:

• با این‌که دیوار آتش ترافیک ورودی شبکه را کنترل می‌کند اما باز هم ممکن است بدافزارهایی به طرق مختلف وارد شبکه شوند. در این‌صورت ضد ویروس کار خود را آغازمی‌کند. دیوار آتش تهدیدهای شبکه را مسدود و جلوی ورود آن‌ها را می‌گیرد، اما ضد ویروس در صورت ورودشان به سامانه، آن‌ها را حذف می‌کند. 
• دیوار آتش برای حراست از شبکه‌های خصوصی و عمومی از حملات و تهدیدهای احتمالی طراحی شده است. اما ضد ویروس در اصل برای مقابله با تهدیدهای داخلی ساخته می‌شود.
• وظیفه ضد ویروس تشخیص، شناسایی و حذف بدافزارها و فایل‌های آلوده است. اما وظیفه دیوار آتش وارسی جریان داده‌های ورودی از اینترنت یا خروجی از شبکه است تا از دسترسی غیرمجاز به شبکه جلوگیری کند و یا جلوی نشت داده‌ها به بیرون را بگیرد.
• دیوار آتش می‌تواند هرزنامه‌ها را بلوکه کند، اما ضد ویروس خیر.
• ضد ویروس، خود رایانه‌ها را نیز پایش و وارسی می‌کند اما دیوار آتش فقط بر جریان داده‌های ورودی و خروجی نظارت دارد.
• ضد ویروس کدها و فایل‌های آلوده را حذف می‌کند، اما فایروال چنین کارکردی ندارد و فقط جلوی ورود یا خروج آن‌ها را می‌گیرد.
• گاهی بی‌احتیاطی کاربران سبب می‌شود بدافزارها دیوار آتش را دور بزنند. مثلا وقتی کاربر حافظه فلش آلوده را به درگاه یواس‌بی رایانه متصل می‌کند، معمولا دیوار آتش نمی‌تواند جلوی آن را بگیرد.
• دیوار آتش در برابر تهدیدهای درون‌شبکه‌ای نمی‌تواند کاری انجام دهد. در مقابل، ضد ویروس نیز نمی‌تواند فایل‌های فقطخواندنی‌ را بررسی کند (فایل‌های فقط‌خواندنی یا read-only آن‌هایی هستند که امکان بازنویسی ندارند).

باتوجه به چنین مواردی، کارشناسان امنیتی توصیه می‌کنند که کاربران اعم از افراد و سازمان‌ها دستگاه‌ها و شبکه‌های‌شان را هم به دیوار آتش و هم به ضد ویروس مجهز کنند.