مفاهيم أساسية في تثبيت وتكوين Firewall
في هذا الموضوع سنشرح المفاهيم الأساسية في تثبيت وتكوين جدار الحماية Firewall…
يعتبر تثبيت وتكوين جدار الحماية Firewall أمرًا حيويًا لأي شبكة، سواء كانت شبكة منزلية صغيرة أو شبكة كبيرة تابعة لشركة أو مؤسسة. ومن خلال فهم المفاهيم الأساسية لتثبيت وتكوين جدار الحماية يمكنك تحسين الأمان والحماية لشبكتك وتقليل فرص الاختراق والاستغلال الضار.
في هذا الموضوع، سنتحدث بشكل تفصيلي عن المفاهيم الأساسية اللازمة لتثبيت وتكوين جدار الحمايةFirewall، وسنقدم معلومات ونصائح عملية لمساعدتك في حماية شبكتك بشكل أفضل.
ما هو جدار الحماية Firewall ؟
جدار الحماية (Firewall) وهو نظام يستخدم لتأمين الشبكات الحاسوبية وحمايتها من الهجمات الخارجية والمحاولات غير المصرح بها للوصول إلى الموارد الحاسوبية داخل الشبكة. وظيفة جدار الحماية هي تحديد ما إذا كانت الحركة المرورية المتجهة إلى الشبكة آمنة ومصرح بها أم لا، وذلك باستخدام مجموعة من القواعد والتقنيات الأمنية المختلفة.
يتم تحديد هذه القواعد والتقنيات بواسطة المسؤولين عن الأمن في الشبكة، ويتم تنفيذها بواسطة جهاز الجدار الحماية الذي يتم تركيبه على حدود الشبكة الخارجية للمؤسسة أو الشركة. وبهذا الشكل، يمكن لجدار الحماية أن يتحكم في المرور المتجه إلى الشبكة، ويمنع أي حركة مرور غير مصرح بها.
مفاهيم أساسية في تثبيت وتكوين Firewall
هنالك الكثير من المفاهيم الأساسية التي يجب عليك معرفتها وفهمها في عملية تثبيت وتكوين الـ Firewall، ومن اهم هذه المفاهيم:
قائمة نظام الدخول (ACL):
ACL اختصارًا “Access Control List”، وهي قائمة بترتيب محدد من القواعد تستخدم لتحديد الصلاحيات التي يتمتع بها المستخدمون أو الأجهزة المتصلة بشبكة معينة. وتشمل هذه القواعد تحديد الأجهزة أو المستخدمين الذين يحق لهم الوصول إلى موارد معينة، وتحديد طريقة الوصول إليها، وما هي الخدمات المسموح بها والممنوعة.
يتم تطبيق ACLs في العديد من الأجهزة المختلفة مثل الراوترات والسويتشات وجدران الحماية (Firewalls) وأجهزة الواي فاي والخوادم. وتستخدم ACLs عادة لتحديد مستويات الوصول للأجهزة أو المستخدمين المختلفين في الشبكة، حيث يتم تحديد سلوك محدد يتم تطبيقه على الأجهزة أو المستخدمين المسموح لهم بالوصول إلى موارد معينة.
تتألف ACL عادة من عدة جمل، حيث يتم تحديد كل جملة بشكل مستقل. ويتم تحديد كل جملة من خلال المعلومات التالية: العنوان الذي يتم الوصول إليه، ونوع الخدمة المطلوبة، وعناوين IP المسموح بها والممنوعة، والمنافذ المسموح بها والممنوعة، والوقت الذي يتم فيه الوصول. ويتم تحديد هذه المعلومات بشكل دقيق لتحديد المستخدمين أو الأجهزة التي يمكنها الوصول إلى الموارد المحددة.
في النهاية، تعتبر ACL أحد الأدوات الأساسية في تأمين الشبكات وحمايتها من الاختراق، وتساعد في زيادة مستوى الأمان والحماية من خلال تحديد الصلاحيات المناسبة للمستخدمين والأجهزة المتصلة بالشبكة.
المستندة إلى التطبيق مقابل الشبكة (Application-based vs network-based):
يتم استخدام جدار الحماية Firewall بشكل عام لحماية الشبكات من الهجمات الخارجية، ويمكن تصنيف جدار الحماية إلى نوعين رئيسيين: المستندة إلى التطبيق Application-based والشبكة Network-based.
المستندة إلى التطبيق (Application-based Firewall):
يتم تحديد القواعد والسياسات للوصول إلى الموارد والخدمات بناءً على نوع التطبيق الذي يتم استخدامه، مثل بروتوكولات HTTP وFTP وSMTP و POP3 وغيرها. ويتم التحكم في الوصول بالتطبيقات عن طريق فحص محتوى الحزمة المرسلة والمستلمة، وتحديد ما إذا كانت تتوافق مع سياسة الحماية المحددة.
من مزايا المستندة إلى التطبيق Application-based Firewall، تحديد الوصول بناءً على التطبيق، ويمكن تفعيل الحماية بشكل أكبر بسبب تحديد السياسات والقواعد بناءً على نوع التطبيق وليس فقط على أساس البيانات التي يتم تبادلها.
الشبكة (Network-based Firewall):
تعتمد على معلومات الشبكة مثل عناوين IP والمنافذ المستخدمة للتحكم في الوصول إلى الموارد والخدمات. ويتم فحص حركة المرور الشبكي لتحديد ما إذا كان يتوافق مع سياسة الحماية المحددة أو لا.
من مزايا الشبكة Network-based Firewall، توفير الحماية لجميع الأجهزة المتصلة بالشبكة، وسهولة التكوين للشبكات الكبيرة، وتوفير الحماية للاتصالات المشفرة أيضًا.
يتم اختيار نوع الجدار الناري المناسب بناءً على حجم الشبكة ونوع التطبيقات المستخدمة، ويمكن استخدام كلا النوعين معًا لتوفير الحماية الكاملة للشبكة.
الدولة مقابل عديمة الجنسية (Stateful vs stateless):
يتم استخدام مصطلحات دولة “Stateful”و عديمة الجنسية “Stateless” في سياق جدار الحماية Firewall، وتشير إلى ما إذا كان الجدار الناري يحتفظ بحالة الاتصال بين الأجهزة المتصلة خلال جلسة الاتصال أم لا.
الدولة (Stateful Firewall):
يتم تتبع حالة الاتصالات بين الأجهزة المتصلة خلال جلسة الاتصال، ويتم السماح بالحركة المرورية الصادرة فقط من الاتصالات التي تم تأكيد حالتها. وبمعنى آخر، يتم تحديد ما إذا كانت الحزم المرسلة تنتمي إلى جلسة اتصال معروفة أم لا، ويتم السماح بالحركة المرورية فقط إذا توافقت مع حالة الاتصال الحالية.
ويسمح الجدار الناري الدولة Stateful Firewall بتفعيل الحماية بشكل أكبر حيث يتم حفظ حالة الاتصال بين الأجهزة المتصلة وتحديد ما إذا كانت الحزم تتوافق مع حالة الاتصال الحالية أم لا.
العديمة الجنسية (Stateless Firewall):
لا يتم تتبع حالة الاتصالات بين الأجهزة المتصلة، ويتم فحص الحزم المرسلة بشكل فردي، دون النظر إلى الحالة السابقة للاتصال. وبمعنى آخر، يتم التحقق من صحة الحزم المرسلة بشكل مستقل، دون النظر إلى حالة الاتصال السابقة.
ويسمح الجدار الناري العديمة الجنسية Stateless Firewall بالحماية الأساسية للشبكة، حيث يتم فحص كل حزمة بشكل فردي، ولكنه لا يسمح بتفعيل الحماية بشكل أكبر عند استخدام حزمة متعددة لجلسة اتصال.
يتم اختيار نوع الجدار الناري المناسب بناءً على احتياجات الشبكة ومستوى الحماية المطلوب، ويمكن استخدام كلا النوعين معًا لتوفير الحماية الكاملة للشبكة.
الانكار الضمني (Implicit deny):
الإنكار الضمني Implicit deny وهو مفهوم يتم استخدامه في سياق جدار الحماية Firewall، ويعني أنه في حالة عدم وجود قاعدة أو سياسة محددة في الجدار الناري للسماح بحركة المرور، فإنه سيتم رفض الطلب تلقائيًا.
بمعنى آخر، فإن الإنكار الضمني يعني أن الجدار الناري سيعتبر أي حركة مرورية غير مصرح بها على أنها محاولة اختراق أو هجوم، وسيتم رفضها تلقائيًا دون الحاجة إلى تحديد سياسة محددة لها. ويعتبر الإنكار الضمني جزءًا من مفهوم الأمان الدفاعي Defense-in-Depth، حيث يتم استخدامه كطبقة إضافية من الحماية للحد من فرص الاختراق.
من المهم فهم أن الإنكار الضمني يعتبر جزءًا أساسيًا من عملية تصميم وتكوين جدار الحماية Firewall، حيث يتم استخدامه كإجراء احترازي لحماية الشبكة من الهجمات الخارجية والتأكد من عدم ترك أي ثغرات في نظام الأمان.
ويمكن تفسير الإنكار الضمني بأنه “لا يوجد ما هو مسموح به ما لم يتم تحديده بشكل صريح”، ويعتبر هذا المفهوم أساسيًا لضمان أمان الشبكة وحمايتها من الهجمات الخارجية.
بشكل عام، يتم تطبيق الإنكار الضمني في الجدار الناري عن طريق تعيين سياسة افتراضية لرفض أي حركة مرورية غير مصرح بها، ويتم تحديد السياسات اللازمة للسماح بحركة المرور فقط للموارد والخدمات المحددة مسبقًا.
هذا والسلام عليكم ورحمة الله وبركاته…
( لا تنسا مشاركة الموضوع ليستفيد غيرك )
