أخواتي و أخواني أعضاء و ضيوف منتديات المشاغب رحم الله مؤسسها
لكثرة الإستفسار عن الجدار الناري أقدم لكم هذا الموضوع
في مجالات علوم الحاسوب، الجدار الناري ويسمى أيضاً جدار اللهب ( بالإنجليزية: Firewall )،
هو جهاز و/أو برنامج يفصل بين المناطق الموثوق بها في شبكات الحاسوب، ويكون أداة مخصصة
أو برنامج على جهاز حاسوب آخر، الذي بدوره يقوم بمراقبة العمليات التي تمر بالشبكة ويرفض أو
يقرر أحقية المرور ضمناً لقواعد معينة.
In computer networking, the term firewall is not merely descriptive
of a general idea. It has come to mean some very precise things
المحتويات Table of C o n t e n t s
1. الوظيفة Function
2. التاريخ History
3. الجيل الأول: فلاتر العبوة (Packet Filters)
4. الجيل الثاني: فلاتر محدد الحالة (Stateful" Filters")
5. الجيل الثالث:جدار ناري لطبقات التطبيقات (Application Layer Firewall)
6. تطويرات لاحقة Subsequent Developments
7. الأنواع Brands
1. الوظيفة Function
وظيفة الجدار الناري الأساسية هي تنظيم بعض تدفق حزم الشبكة بين شبكات الحاسوب المكونة
من مناطق الثقة المتعددة. ومن الأمثلة على هذا النوع الإنترنت - و التي تعتبر منطقة غير موثوق
بها- وأيضا شبكة داخلية ذات ثقة أعلى، ومنطقة ذات مستوى ثقة متوسطة، متمركزة بين الإنترنت
والشبكة الداخلية الموثوق بها، تدعى عادة بالمنطقة منزوعة السلاح (Demilitarized Zone DMZ).
The term "fire wall" originally meant, and still means, a fireproof wall
intended to prevent the spread of fire from one room or area of a
building to another. The Internet is a volatile and unsafe environment
when viewed from a computer-security perspective, therefore
.firewall" is an excellent metaphor for network security"
The most important aspect of a firewall is that it is at the entry
,point of the networked system it protects. In the case of Packet
Filtering it is at the lowest level, or "layer" in the hierarchy
stack) of network processes, called the Network Layer or the
)
Internet Layer. This means essentially that the firewall is the first
program or process that receives and handles incoming network
and it is, the last to handle outgoing traffic
وظيفة الجدار الناري من داخل الشبكة هو مشابه إلى أبواب الحريق في تركيب المباني. في الحالة
الأولى يستعمل في منع اختراق الشبكات الخاصة، وفي الحالة الثانية يفترض به أن يحتوي و يؤخر
الحريق الموجود في بناء معين من الانتقال إلى بناء آخر.
The logic is simple: a firewall must be positioned to control
all incoming and outgoing traffic. If some other program
has that control, there is no firewall
? So ... what do firewalls do
The most basic type of firewall performs - Packet Filtering
A second type of firewall, which provides (more) additional
security, is called a - Circuit Relay. Another and still more
involved approach is the type - Application Level Gateway
من دون الإعداد الملائم فإنه غالباً ما يصبح الجدار الناري عديم الفائدة. فممارسات الأمان المعيارية
والتحكم بما يسمى بمجموعة قوانين "المنع أولاً" للجدار الناري، الذي من خلاله يسمح فقط بمرور
إتصالات الشبكة المسموح بها بشكل تخصيصي. و لسوء الحظ فإن إعداد مثل هذا يستلزم فهماً
مفصلاً لتطبيقات الشبكة ونقاط النهاية اللازمة للعمل اليومي للمنظمات. العديد من أماكن العمل
ينقصهم مثل هذا الفهم وبالتالي يطبقون مجموعة قوانين "السماح أولاً"، الذي من خلاله يسمح
بكل البيانات بالمرور إلى الشبكة ان لم تكن محددة بالمنع مسبقاً.
2. التاريخ History
على الرغم من أن مصطلح "الجدار الناري" قد اكتسب معنى جديد في الوقت الحالي، إلا أن تأريخ
المصطلح يعود إلى أكثر من قرن، حيث أن العديد من البيوت قد تم بناؤها من طوب عازل موضوع
في الحائط بشكل يوقف انتقال النيران المحتملة، و بسبب الطوب في الحائط سمي بالحائط الناري
ظهرت تقنية الجدار الناري في أواخر الثمانينات عندما كان الإنترنت تقنية جديدة نوعاً ما من حيث
الاستخدام العالمي. أما الفكرة الأساسية فظهرت استجابة لعدد من الاختراقات الأمنية الرئيسية
لشبكة الإنترنت والتي حدثت في أواخر الثمانينات. و في العام 1988 قام موظف في مركز ابحاث
"Ames" التابع لناسا في كاليفورنيا بإرسال مذكرة عن طريق البريد الاليكتروني إلى زملائه قائلاً
فيها "نحن الآن تحت الهجوم من فيروس من الإنترنت، لقد أصيبت جامعات بيركلي، سان دييغو،
لورنس ليفير مور، ستانفورد و ناسا ايمز"
دودة موريس نشرت نفسها عبر العديد من نقاط الضعف في الأحهزة في ذلك الوقت. على الرغم
أنها لم تكن مؤذية في النية لكنها كانت أول هجوم من الحجم الكبير على أمن الإنترنت: المجتمع
الموصول على الشبكة لم يكن يتوقع هجوما أو يكن جاهزاً للتعامل معه
3. الجيل الأول: فلاتر العبوة (Packet Filters)
أول بحث نشر عن تقنية الجدار الناري كان عام 1988، عندما قام مهندسون من (DEC) بتطوير نظام
فلترة عرف باسم جدار النار بنظام فلترة العبوة، هذا النظام الأساسي يمثل الجيل الأول الذي سوف
يصبح عالي التطور في مستقبل أنظمة أمان الإنترنت. في مختبراتAT&T قام بيل شيزويك وستيف
بيلوفين بمتابعة الأبحاث على فلترة العبوات وطوروا نسخة عاملة مخصصة لشركتهم معتمدة على
التركيبة الأصلية للجيل الأول
تعمل فلترة العبوات بالتحقق من "العبوات"(packets) التي تمثل الوحدة الأساسية المخصصة لنقل
البيانات بين الحواسيب على الإنترنت. إذا كانت العبوة تطابق مجموعة قوانين فلتر العبوة فإن
النظام سيسمح بمرور العبوة أو يرفضها (يتخلص منها ويقوم بإرسال استجابة "خطأ" للمصدر)
هذا النظام من فلترة العبوات لا يعير اهتماما إلى كون العبوة جزءاً من تيار المعلومات (فإنه لا يخزن
معلومات عن حالة الاتصال). وبالمقابل فإنه يفلتر هذه العبوات بناءً على المعلومات المختزنة في
العبوة نفسها (في الغالب يستخدم توليفة من مصدر العبوة و المكان الذاهبة إليه، النظام المتبع،
و رقم المرفأ المخصص ل(TCP) (UDP) الذي يشمل معظم تواصل الإنترنت)
لأن (TCP) و(UDP) في العادة تستخدم مرافئ معروفة إلى أنواع معينة من قنوات المرور، فإن فلتر
عبوة "عديم الحالة" يمكن أن تميز وتتحكم بهذه الأنواع من القنوات (مثل تصفح المواقع، الطباعة
البعيدة المدى، إرسال البريد الإلكتروني، إرسال الملفات)، إلا اذا كانت الأجهزة على جانبي فلتر
العبوة يستخدمان نفس المرافئ الغير اعتيادية.
4. الجيل الثاني: فلاتر محدد الحالة (Stateful" Filters")
تشبه فلاتر العبوة ، إلا أنها تبقي معلومات الحالة عبر حزم متعددة
والمثال الكلاسيكي هو بروتوكول نقل الملفات التقليدية : عندما يطلب عميل ملف ، يقوم الملقم
بإنشاء اتصال وارد العودة إلى العميل لإرسال الملف. عادة ، والجدران النارية كتلة واردة اتصالات ،
ولكن عامل فلترة الحزمة يمكنه مراقبة سيطرة الإتصال من أجل أن يرى ما إذا كانت بيانات الإتصال
ينبغي أن يسمح لها من المرور خلاله
Similar to packet filters, except they keep state information across multiple packets
The classic example is traditional FTP: when a client requests a file, the server creates
an incoming connection back to the client to send the file. Normally, firewalls block
incoming connections, but a packet filter can watch the control connection in order
to see if the data connection should be allowed through
5. الجيل الثالث: جدار ناري لطبقات التطبيقات (Application Layer Firewall)
بعض المنشورات بقلم جين سبافورد من جامعة بوردو، بيل شيزويك من مختبرات AT&T،
وماركوس رانوم ... شرحت جيلاً ثالثاً من الجدارن النارية عرف باسم "الجدار الناري لطبقات
التطبيقات" (Application Layer Firewall)، وعرف أيضا بالجدار الناري المعتمد على الخادم النيابي
(Proxy server). وعمل ماركوس رانوم على ابتكار أول نسخة تجارية من المنتج. ثم قامت "DEC"
بإطلاق المنتج تحت اسم "SEAL".
أول صفقة بيع للمنتج من"DEC" تمت في 13 أغسطس 1991 إلى شركة كيميائية متمركزة على
الساحل الشرقي من الولايات المتحدة.
الفائدة الرئيسية من الجدار الناري لطبقات التطبيقات أنه يمكن أن "يفهم" بعض التطبيقات
والأنظمة (مثل نظام نقل الملفات "DNS" تصفح المواقع)، ويمكنه أن يكتشف إذا ما كان هنالك
نظام غير مرغوب فيه يتم تسريبه عبر مرافئ غير اعتيادية أو إذا كان هنالك نظام يتم إساءة
استخدامه بطريقة مؤذية ومعروفة.
6. تطويرات لاحقة Subsequent Developments
في العام 1992 ... قام شخصان هما لبوب برادين وانييت ديشون في جامعة جنوب كاليفورنيا بعمل
تحسينات على مبدأ الجدار الناري. وكان اسم المنتج "Visas" الذي كان النظام الأول الذي له واجهة
إدخال مرئية مع ألوان وأيقونات، الأمر الذي سهل عملية تطبيقه والوصول إليه على حاسوب مشغل
بأنظمة تشغيل مثل ... MICROSOFT WINDOWS، APPLE MACOS. وفي العام 1994 قامت شركة
إسرائيلية اسمها CHECK POINT SOFTWARE TECHNOLOGIES ببناء مثل هذا النظام داخل برنامج
متوفر بشكل كبير اسمه"FireWall-1".
وظيفته: هي التحقق العميق من العبوة الحالية للجدران الحديثة يمكن مشاركتها مع أنظمة منع
الاختراق(IPS). مجموعة الصندوق الأوسط للاتصالات من قوة مهام هندسة الإنترنت (IETF) تعمل
حالياً على تحديد الأنظمة الاعتيادية لتنظيم الجدران النارية والصناديق الأوسطية الأخرى.
7. الأنواع Brands
هنالك العديد من فئات الجدران النارية بناءً على مكان عمل الاتصال، ومكان تشفير الاتصال والحالة
التي يتم تتبعها.
1- طبقات الشبكة و فلترات العبوات (Network Layer and Packet Filters)
الجدار الناري ذو طبقات الشبكة الذي يسمى أيضا فلترات العبوة، تعمل على رصد أنظمة TCP\IP
منخفضة المستوى، ولا تسمح للعبوات بالمرور عبر الجدار الناري دون أن تطابق مجموعة القوانين
المحددة. يمكن للمسؤول عن الجدار الناري أن يحدد الأوامر، وإن لم يتم هذا تطبق الأوامر الطبيعية.
المصطلح فلتر العبوة نشأ في نطاق أنظمة تشغيل "BSD".
الجدار الناري ذو طبقات الشبكة عادة ينقسم إلى قسمين فرعيين اثنين، ذو الحالة وعديم الحالة.
تتحفظ الجدران النارية ذات الحالة بنطاق يتعلق بالجلسات المفتوحة حالياً، ويستخدم معلومات
الحالة لتسريع معالجة العبوة. أي اتصال شبكي يمكن تحديده بعدة امور، تشتمل على عنوان
المصدر والوجهة، مرافئ UDP" " و"TCP"، والمرحلة الحالية من عمر الاتصال (يشمل ابتداء الجلسة،
المصافحة، نفل البيانات، وإنهاء الاتصال). إذا كانت العبوة لا تطابق الاتصال الحالي، فسوف يتم تقدير
ماهيتها طبقاً لمجموعة الأوامر للاتصال الجديد، وإذا كانت العبوة تطابق الاتصال الحالي بناءً على
مقارنة عن طريق جدول الحالات للجدار الناري، فسوف يسمح لها بالمرور دون معالجة أخرى.
الجدار الناري العديم الحالة يحتوي على قدرات فلترة العبوات، ولكن لا يستطيع اتخاذ قرارات معقدة
تعتمد على المرحلة التي وصل لها الاتصال بين المضيفين.
الجدران النارية الحديثة يمكنها ان تفلتر القنوات معتمدة على كثير من الجوانب للعبوة، مثل عنوان
المصدر، مرفأ المصدر، عنوان الوجهة أو مرفأها، نوع خدمة الوجهة مثل"WWW" و"FTP"، ويمكن أن
تفلتر اعتماداً على أنظمة و قيم"TTL"، صندوق الشبكة للمصدر، اسم النطاق للمصدر، والعديد من
الجوانب الأخرى.
فلاتر العبوات لنسخ متعددة من "UNIX" هي، "IPF" (لعدة)، IPFW" " (FREEBSD /MAC OS X)، "PF
(OPEN BSD AND ALL OTHER BSD)، IPTABELSIPCHAINS (LINUX)
2- طبقات التطبيقات (Application Layer)
تعمل الجدران النارية لطبقات التطبيقات على مستوى التطبيق لرصد "TCP\IP" (مثل جميع حزم
المتصفح، أو جميع حزم "TELNET" و"FTP"، ويمكن أن يعترض جميع العبوات المنتقلة من وإلى
التطبيق). ويمكن أن يحجب العبوات الأخرى دون إعلام المرسل عادة. في المبدأ يمكن لجدران
التطبيقات النارية منع أي اتصال خارجي غير مرغوب فيه من الوصول إلى الأجهزة المحمية.
عند تحري العبوات جميعها لإيجاد محتوى غير ملائم، يمكن للجدار الناري أن يمنع الديدان(worms)
و الأحصنة الطروادية (Trojan horses) من الانتشار عبر الشبكة. و لكن عبر التجارب تبين أن هذا
الأمر يصبح معقدا جداً ومن الصعب تحقيقه ... (مع الأخذ بعين الاعتبار التنوع في التطبيقات وفي
المضمون المرتبط بالعبوات)، وهذا الجدار الناري الشامل لا يحاول الوصول إلى مثل هذه المقارنة.
الحائط الناري XML يمثل نوعاً أكثر حداثة من جدار طبقات التطبيقات الناري.
3- الخادمين النيابيين (Proxy Servers)
الخادم النيابي (سواء أكان يعمل على معدات مخصصة أو برامج الأجهزة المتعددة الوظائف) قد يعمل
مثل كجدار ناري بالاستجابة إلى العبوات الداخلة (طلبات الاتصال على سبيل المثال) بطريقة تشبه
التطبيق مع المحافظة على حجب العبوات الأخرى.
In computer networks, a proxy server is a server (a computer system or
an application program) that acts as an intermediary for requests from
clients seeking resources from other servers. A client connects to the
proxy server, requesting some service, such as a file, connection, web
page, or other resource, available from a different server. The proxy
server evaluates the request according to its filtering rules. For example
it may filter traffic by IP address or protocol. If the request is validated
by the filter, the proxy provides the resource by connecting to the relevant
server and requesting the service on behalf of the client. A proxy server
may optionally alter the client's request or the server's response, and
sometimes it may serve the request without contacting the specified server
يجعل الخادم النيابي العبث بالأنظمة الداخلية من شبكة خارجية أصعب ويجعل إساءة استخدام
الشبكة الداخلية لا يعني بالضرورة اختراق أمني متاح من خارج الجدار الناري (طالما بقي تطبيق
الخادم النيابي سليماً ومعداً بشكل ملائم). بالمقابل فإن المتسللين قد يخترقون نظاماً متاحاً
للعامة ويستخدمونه كخادم نيابي لغاياتهم الشخصية، عند اإن يتنكر الخادم النيابي بكونه ذلك
النظام بالنسبة إلى الأجهزة الداخلية. ومع أن استخدام مساحات للمواقع الدخلية يعزز الأمن،
إلا أن قراصنة النت قد يستخدمون أساليب مثل "IP Spoofing" لمحاولة تمرير عبوات إلى الشبكة
المستهدفة.
4- ترجمة عنوان الشبكة (Network Address Translation)
عادة ما تحتوي الجدران النارية على وظيفة ترجمة عنوان الشبكة (NAT)، ويكون المضيفين
محميين خلف جدار ناري يحتوي على مواقع ذو نطاق خاص، كما عرّفت في"RFC 1918". تكون
الجدران النارية متضمنة على هذه الميزة لتحمي الموقع الفعلي للمضيف المحمي. وبالأصل تم
تطوير خاصية "NAT" لتخاطب مشكلة كمية "IPv4" المحدودة والتي يمكن استخدامها وتعيينها
للشركات أو الأفراد وبالإضافة إلى تخفيض العدد وبالتالي كلفة إيجاد مواقع عامة كافية لكل جهاز في
المنظمة. وأصبح إخفاء مواقع الإجهزة المحمية أمراً متزايد الأهمية، للدفاع ضد إختراق الشبكات.
As you can see, all firewalls regardless of type have one very
important thing in common: they receive, inspect and make
decisions about all incoming data before it reaches other parts
of the system or network. That means they handle packets and
they are strategically placed at the entry point to the system or
network the firewall is intended to protect. They usually regulate
outgoing data as well
ملاحظة: كلمة فلتر = مرشح = مصفاة = غربال = Filter وهي أداة تسمح أو تمنع بمرور ما تريد عبرهالمن يرغب في الحصول على الموضوع الكامل بصيغة Office.doc
أو من هنا أيضاً