الأحد، 3 سبتمبر 2017

الجدار الناري Firewall

######################
الجدار الناري (جدار الحماية):
Firewall:
######################

ماهو الجدار الناري؟!

الجدار الناري يمكن أن يكون قائم على برنامج أو على جهاز مخصص، ويستخدم الجدار الناري للمساعدة في بقاء الشبكة آمنه والمهمة الرئيسية له هي التحكم بسير البيانات الخارجة والداخلة، وذلك بتحليل data packets ثم يحدد ما إذا كان  مسموح لها بالعبور أو لا بناءً على القوانين المحدده له مسبقاً.

######################
سبب التسمية:
######################

تسمية هذا الجدار بالجدار الناري هي تسمية مترجمة من التسمية الإنجليزية (Firewall).

والسبب في تسمية جدار الحماية الذي يعمل على الحاسوب بالجدار الناري: هو التشابه بين مبدأ عمله، وبين مبدأ عمل الجدار الناري العازل الذي يتم تأسيسه في المباني، والذي يعمل على منع انتشار الحريق من غرفة إلى أخرى، أو من مبنى إلى أخر.

######################
أهمية الجدار الناري:
######################

يعتبر الجدار الناري أحد أهم الخطوات التي يجب اتخاذها في سبيل حماية الحاسوب من الاختراق من قبل المتطفلين والبرامج الخبيثة، فمن المعروف أن شبكة الإنترنت غير آمنة، وأنها مليئة بالمخاطر الأمنية، فيجب على المستخدم لهذه الشبكة أن يكون حريصًا على سلامة جهازه أثناء اتصاله بالإنترنت.

######################
لماذا نستخدم الجدار الناري؟!!
######################

كما نلاحظ أن التهديدات والمخاطر الأمنية في تزايد مستمر لذا نحن بحاجة لأن نتخذ الإجراءات والسياسات والقوانين لتقليل هذه المخاطر.
لا يمكننا القول بأننا سوف نتخلص من كافة هذه المخاطر. لكن بإمكاننا أن نقلل هذه المخاطر إلى أدنى مستوى ممكن.
إذا التهديد موجود ولا يمكن الحماية منه بنسبة 100% نحن نحاول أن نوفر أقصى مستوى من الحماية لشبكتنا.
لذا سوف نستخدم الجدار الناري كجزء من منظومة الأمن الخاصة بنا، لأنه ما زلنا بحاجة لشيء إضافي إلى جانب الجدار الناري مثل تشفير البيانات وأنظمة الكشف عن التطفل.. إلخ.

######################
الوظائف والمهمات للجدار الناري:
######################

1- يعمل الجدار الناري كحماية لمحيط الشبكة (network perimeter) من خلال فحص كل البيانات الداخلة والخارجة من وإلى الشبكة.
2- يعمل الجدار الناري من نوع (Static Filtering) على تدقيق كل من عناوين (IP address) المرسل والمستقبل و (Port number) لكل من المرسل والمستقبل ويقارنها مع قاعدة الشروط (Rule base) المبرمجة مسبقاً بداخله لمعرفة أي البيانات (packets) يسمح بمرورها وأيها يقوم بحذفها (drop it) بناء على سياسة الأمنية التي يتبعها مدير الشبكة.
3- يقوم الجدار الناري من نوع (Stateful Filtering) بكل ما يقوم به النوع السابق وزيادة حيث يقوم بفحص كل الحقول الخاصة بحالة البيانات في حزم البيانات المسماة (packets) ويقوم يتسجيل حالة كل (packet) تمر عبره ليقوم باتخاذ قرار السماح لأي (packet) أخرى في المستقبل بالمرور من خلاله أو لا، اعتماداً على قاعدة الشروط الخاصة به إضافة إلى سجل حالة البيانات السابقة.
4- يقوم كذلك الجدار الناري من نوع (stateful inspection) بالقيام بكل ما سبق وزيادة حيث يقوم بفحص محتويات البكتات (packets) وهو أمر لا يقوم به النوعان السابقان مما يسمح له بمنع الهجمات التي تتضمن شفرات برمجية دفينة في البيانات ويتميز هذا النوع بأنه أكفأ من سابقيه ولكنه أبطأ في معالجة البيانات.
5- تحتوي بعض الجدران النارية على وظائف مضادات الفيروسات وتحويل عناوين الشبكات (Network Address Translation NAT) والتي تعتبر مستوى آخر من الحماية ضد الاختراق والهجمات المشبوهة لسرقة البيانات أو منع الخدمة أو اختراق الخصوصية.
6- تقوم الجدران النارية بتسجيل كل شاردة وواردة في الشبكة وبحسب ما يفضل مدير الشبكة وهي عملية تسمى (logging) وتعتبر الأساس في هندسة الفحوصات الجنائية للشبكات (forensic engineering) والتي ذاعت واشتهرت بشكل كبير حديثاً.
7- تقوم الجدران النارية ثلاثية الأذرع (ثلاثية المنافذ) بتقسيم الشبكة الخاصة بمؤسسة أو جامعة أو مصنع أو أي شبكة فرعية إلى 3 أقسام تتضمن الشبكة الداخلية (Local Area Network LAN) والخاصة بالموظفين أو المستخدمين المحليين ويفترض أن تتمتع بقدر عالي من الأمنية والقسم الآخر وهو شبكة الخدمة (Service Network) ويوضع بداخلها السيرفرات التي لها واجهة عامة (public facing servers) والتي تسمى أحياناً المنطقة منزوعة السلاح (Demilitarized Zone DMZ) والقسم الثالث وهو المنفذ من الجدار الناري إلى الإنترنت أو الشبكة العالمية.

######################
أشكال الجداري الناري:
######################

هناك أشكال للجدار الناري كل شكل له وظيفة مختلفة وهذه الأشكال هي:

1- Network Layer.
2- Application Layer.
3- Proxies.
4- NAT (Network Address Translation).

1- ال Network Layer أيضا يسمى packet filters  يعمل في المستوى المنخفض من جناح TCP/IP، لا يسمح لحزم البيانات بالعبور إلا إذا كانت مطابقة للقوانين المحدده له مسبقاً. يحدد هذه القوانين مدير الجدار الناري وإذا لم تحدد فإن القواعد الأفتراضية سوف تطبق.

2- ال Application Layer تعمل هذه الجدران النارية في المستوى الأعلى من جناح TCP/IP، ومثال عليه (حركة مرور المتصفحات, FTP, Telnet, Smtp) ويمكن أن يعترضها جميعها (حسب القوانين المحدده له).

3- ال Proxies تعمل على جهاز مخصص أو كبرنامج مثبت على جهاز للأغراض العامة، البروكسي هو بوابة (Gateway) من شبكة لأخرى لتطبيق معين في الشبكة (specific network application).

كما يجب أن نعلم أن جميع الطلبات يجب أن تمر عبر خادم البروكسي.

كمثال لو أراد مدير البروكسي بمنع أي موقع يحمل في محتواه كلمة (تحميل)، الآن الطلب سوف يمر عبر خادم البروكسي تأتي وظيفة البروكسي ليعمل كمفلتر فيقوم بقراءة محتوى الحزم ويحدد إن كانت سوف تمر أم لا بناءً على القوانين التي تم تحديدها له.

4- ال NAT Firewall الجدران النارية غالباً لديها وظيفة النات (NAT) التي هي network address translation أي بمعنى ترجمة عنوان الشبكة، هنا عناوين الأجهزة المتصلة بالشبكة محمية خلف هذا النوع من الجدران النارية باستخدام عناوين خاصة (Private Address Range).

######################
أنواع الجدران النارية كجهاز أو وظيفة:
######################

لمن يتسائلون عن الفرق بين الجدار الناري على شكل جهاز مستقل أو على شكل برمجيات مرفقة مع الرواترات من الشركات الكبرى مثل سيسكو وجونيبر وللجواب على هذا السؤال نذكر فوائد وسلبيات كلا النوعين:

******************************
الجدار الناري كجهاز:
******************************

1- يكون متخصص أكثر في مهمة الأمنية ويتوافر فيه الكثير من الخيارات والواجهات (الرسومية في الكثير من الأحيان) مما يسهل عمل مدير الشبكة في ضبط إعداداته.
2- يكون عادة غالي مقارنة بسعر راوتر يحتوي على وظيفة الجدار الناري بداخله، أي أن (سعر الجدار الناري كجهاز مستقل + سعر الرواتر كجهاز مستقل) يكون أكثر من سعر جهاز واحد يضم الرواتر والجدار الناري.

******************************
الجدار الناري كوظيفة من وظائف الراوتر أو بوابة الشبكة (gateway):
******************************

1- أرخص.
2- لا تحتوي واجهات متخصصة للجدار الناري فكل إعداداته يجب أن تضبط كما تضبط إعدادات الراوتر.
3- كما أن إضافة أي وظيفة أخرى إلى الرواتر (غير وظيفته الرئيسية وهي التوجيه) سيبطيء عمله ويقلل كفائته وأدائه ولذا يفضل دوماً في عالم الشبكات ترك الرواتر للتوجيه فقط وإضافة أجهزة أخرى للقيام بأي وظيفة أخرى.

######################
الأنواع الرئيسية من الجدران النارية:
######################

1- جدار ناري لحاسوب أو جهاز واحد ويسمى (host based firewall).
2- جدار ناري للشبكة ككل ويسمى (Network based firewall).

ويفضل استخدام كلاهما لأن إضافة عدة طبقات من الحماية أفضل دوماً كما أن الجدار الناري الخاص بالحاسوب قد يساعد في حماية الحاسوب ومستخدمه في حالة كانت الشبكة المحلية مخترقة ولذا فكلما كانت طبقات الحماية أكثر كلما تحقق المفهوم الأساسي من الأمنية وهو (defense in depth) أو الحماية من العمق ولا بد أن نتذكر دوماً أنه لا توجد شبكة آمنة بنسبة 100% ولا يوجد شخص في العالم الرقمي محمي بنسبة 100% فالثغرات موجودة والهجمات تتزايد وتتنوع وتزداد تعقيداً يوماً بعد يوم ولكن يبقى الجدار الناري عنصر أساسي في توفير درجة لا بأس بها من الحماية ولذا فهو الجندي المجهول في معارك الشبكات والحواسيب مع المخترقين والفيروسات ومحاولات اختراق الخصوصية والتجسس التي لا تنتهي.

######################
اتجاهات الاتصالات:
Connections Directions:
######################

1- ال Any - Any: تعني من أي مصدر إلى أي جهة.
2- ال Any - Custom: تعني من أي مصدر إلى جهة معينة.
3- ال Custom - Any: تعني من مصدر محدد إلى أي جهة.
4- ال Custom - Custom: تعني من مصدر محدد إلى جهة محددة.

######################
سياسات الجدار الناري:
Firewall Polices:
######################

هناك ثلاثة سياسات يتبعها الجدار الناري وهي:

1- ال DROP:
في هذه الحالة الجدار الناري سوف يسُقط الاتصال خارج أو داخل، بناءً على القوانين المحدده له مسبقاً.

2- الACCEPT:
في هذه الحالة الجدار الناري سوف يقوم بقبول الاتصال خارج أو داخل، بناءً على القوانين المحدده له مسبقاً

3- ال DEFAULT POLICY:
افتراضياً الجدار الناري يقوم بمنع جميع الحزم الداخلة ويسمح مرور الحزم الخارجة للاتصالات الداخلة، أيضاً قوانين المنع تتجاوز قوانين السماح، وللاتصالات الخارجة قوانين السماح تتجاوز قوانين المنع.

######################
ملاحظات:
######################

- الجدار الناري هو جزء من منظومة الأمن وليس كل المنظومة.
- الجدار الناري يمكن أن يعتمد على جهاز مخصص أو برنامج مثبت على جهاز للأغراض العامة.
- الجدار الناري يتخذ القرار بناءً على القوانين المحددة له مسبقاً.
- افتراضياً الجدار الناري يقوم بمنع كل الاتصالات الداخلة ويسمح للخارجة.

ليست هناك تعليقات:

إرسال تعليق