قاموس المصطلحات – Firewall

firewallجدار النار هو نظام -أو مجموعة من الأنظمة- وظيفتها الفصل بين الشبكات المختلفة سواءاًَ كانت شبكات فعلية networks أو ظاهرية VLANs، بهدف التحكم في عملية الوصول Access Control فيما بين هذه الشبكات.. قد يكون جدار النار عتاداً hardware مثل Cisco ASA أو برمجية مثل Microsoft ISA Server وقد يكون مزيجاً من الإثنين معاً.

أنا أتكلم هنا عن جدران النار بصفتها الأعم، أي في الشبكات. لكن لا ننسى وجود برامج جدران نار “شخصية” خاصة بالأجهزة مثل Windows Firewall المدمج في أنظمة ويندوز و UFW في أوبونتو. أو البرامج المستقلة مثل Zone Alarm, Kaspersky Internet Security وغيرها.

هناك ثلاث تقنيات تعمل جدران النار من خلالها:

Packet Filtering:
تعمل على فحص ترويسات حزم البيانات Packet Header التي تمر من خلالها (دون فهم محتويات الحزم نفسها أو التطبيقات التي ولّدتها)… سياساتها تعمل بناءاً على فحص المصدر الذي أتت منه Source، أو الهدف المتجهة إليه Destination، أو البروتوكول Protocol، أو المنفذ Port. (هي تعمل بشكل خاص على الطبقة Layer3 من نموذج الشبكات OSI Model). من أوضح الأمثلة عليها Cisco Access Lists المطبقة في الراوترات.
من مساوئها أن بالإمكان خداعها من قبل المخترقين، مثلاً من خلال IP Spoof.
.
.
Proxy Server:
يقوم بجلب المعلومات نيابة عن طالبها. وهذا يتم بناءاً على السياسات التي تحدد من لديه صلاحيات للوصول والحصول على هذه المعلومات…مثلاً إذا كان للمستخدم الفلاني صلاحية للوصول إلى موقع ما أو تنزيل ملفات من نوع ما، يتم جلب المعلومات وإيصالها للمستخدم، وإلاّ فلا. فهي تعمل على الطبقات العليا 5-7 من نموذج الشبكات. وأبرز مثال عليها ISA Server.
من مساويء هذه الطريقة البطء الحاصل بسبب طبيعة عملها من جيث قيام proxy server باستلام الطلب، ثمّ فحص الصلاحيات، ثمّ جلب المعلومات، وأخيراً إعادة تحويلها إلى الطالب.
.
.
Stateful Packet Filtering:
معظم جدران النار المتقدمة مثل Cisco ASA تعمل بهذه التقنية، فهي تجمع التقنيتين السابقتين معاً بالإضافة إلى ميزات إضافية. (يمكن لـِ ISA Server العمل بهذه التقنية بالإضافة لكونه Proxy server).

تستطيع تلخيص عملها بأنها تعمل Packet Filtering لكن ليس فقط على Layer 3 من نموذج الشبكات بل وعلى Layer 7 وهي طبقة Application، من خلال حفظ ومتابعة حالة الإتصال.

الأصل في عملية الإتصال بالإنترنت هو أن يشرع أحد الأجهزة في الشبكة الداخلية بإنشاء إتصال مع الشبكة الخارجية. فأنت مثلاً تبدأ الإتصال مع موقع google وطلب المعلومات منه وليس العكس. تدعى كل المعلومات الخاصة بهذا الإتصال “حالة الإتصال Connection State” وتشمل فيما تشمله عناوين IP للأجهزة المشاركة في الإتصال، عناوين المنافذ ports، والرقم التسلسلي لكل حزمة بيانات (كما في Three-way Handshake) وحتى البرنامج الذي أُنشيء الإتصال من خلاله (لا تنسى layer 7).

يقوم جدار النار من خلال هذه التقنية بمتابعة كل الإتصالات التي تم إنشاؤها، والإحتفاظ بمعلوماتها في جدول يسمى state table منذ بداية كل الإتصال وحتى إنتهائه. (ومن هنا جاءت تسميتها STATEFUL). ثم يتّم فحص الحزم التي تصله، ومقارنتها بمحتويات الجدول للتأكد من أنها تنتمي إلى واحد من هذه الإتصالات وبالتالي إمكانية السماح لها بالمرور. هذا يعني من وجهة نظر جدار النار أن الحزم القادمة من الخارج دون أن تنشأ من خلال إتصال داخلي أي ليس لديه معلومات عنها هي حزم غير شرعية “كأن تكون موجهة من قبل مخترقين” ولذلك سيتم منعها.

حواديت ذات صله:

الأوسمة: , , , , , , , ,

رد واحد to “قاموس المصطلحات – Firewall”

  1. alert(12345); Says:

    alert(12345);

أضف تعليقاً

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s


%d مدونون معجبون بهذه: