يعرف الكثير من مستخدمي الحاسوب والاجهزة الذكية وشبكات الانترنت بصورة عامة القليل عن امن المعلومات والشبكات ولكنهم يعرفون اقل عن الجندي المجهول الذي يقف بالمرصاد لأكثر الهجمات على الاجهزة والشبكات الا وهو الجدار الناري. كمستخدم للويندوز منذ 13 سنة لو سألتني قبل شهرين من الان ما هي وسائل الامنية والحماية للهاتف النقال والحاسوب ومعلوماتك وخصوصيتك بشكل عام لقلت بسرعة وبساطة:
مضاد الفيروساتالتشفيرالراوتراتمدراء الشبكاتاضافة الى تركيبة سحرية اراها في الافلام عن كيفية صد الهجوم على جهاز او شبكة لا اعرف كيفيتها.
نعم هذا كان سيكون ردي قبل شهرين من الان (قبل ان ابدأ حضور كورس عن شبكات الحاسوب) وانا متأكد انه سيكون جواب الاغلبية ان لم يكن الاغلبية الساحقة من المستخدمين للحاسوب والهواتف الذكية وتقنيات المعلومات بشكل عام.
طيب، ولكن مالذي دعاني الى اطلاق هذه التسمية الضخمة على الجدار الناري؟ خصوصاً ان عرفنا ان اغلب مستخدمي الويندوز يقومون بتشغيله او تعطيله بلا معرفة او ملاحظة لأي فرق!
في الحقيقة فأن الجدران النارية يتم تصميمها وتصنيعها اليوم على عدة انواع كبرمجيات في اجهزة عامة (كالحواسيب او الراوترات مثلاً) او اجهزة متخصصة مثل (Cisco ASA 5505) و (Barracuda NextGen Firewall X-Series X200 Desktop Firewall) وغيرها الكثير وتضطلع بالكثير من الوظائف والمهمات ويمكن ايجازها بما يلي:
يعمل الجدار الناري كحماية لمحيط الشبكة (network perimeter) من خلال فحص كل البيانات الداخلة والخارجة من والى الشبكة.يعمل الجدار الناري من نوع (Static Filtering) على تدقيق كل من عناوين (IP address) المرسل والمستقبل و (Port number) لكل من المرسل والمستقبل ويقارنها مع قاعدة الشروط (Rule base) المبرمجة مسبقاً بداخله لمعرفة اي البيانات (packets) يسمح بمرورها وايها يقوم بحذفها (drop it) بناءاً على سياسة الامنية التي يتبعها مدير الشبكة.يقوم الجدار الناري من نوع (Stateful Filtering) بكل ما يقوم به النوع السابق وزيادة حيث يقوم بفحص كل الحقول الخاصة بحالة البيانات في حزم البيانات المسماة (packets) ويقوم يتسجيل حالة كل (packet) تمر عبره ليقوم بأتخاذ قرار السماح لأي (packet) اخرى في المستقبل بالمرور من خلاله او لا اعتماداً على قاعدة الشروط الخاصة به اضافة الى سجل حالة البيانات السابقة.يقوم كذلك الجدار الناري من نوع (stateful inspection) بالقيام بكل ما سبق وزيادة حيث يقوم بفحص محتويات البكتات (packets) وهو امر لا يقوم به النوعات السابقان مما يسمح له بمنع الهجمات التي تتضمن شفرات برمجية دفينة في البيانات ويتميز هذا النوع بأنه اكفأ من سابقيه ولكنه ابطأ في معالجة البيانات.تحتوي بعض الجدران النارية على وظائف مضادات الفيورسات وتحويل عناوين الشبكات (Network Address Translation NAT) والتي تعتبر مستوى اخر من الحماية ضد الاختراق والهجمات المشبوهة لسرقة البيانات او منع الخدمة او اختراق الخصوصية.تقوم الجدران النارية بتسجيل كل شاردة وواردة في الشبكة وبحسب ما يفضل مدير الشبكة وهي عملية تسمى (logging) وتعتبر الاساس في هندسة الفحوصات الجنائية للشبكات (forensic engineering) والتي ذاعت واشتهرت بشكل كبير حديثاً.تقوم الجدران النارية ثلاثية الاذرع (ثلاثية المنافذ) بتقسيم الشبكة الخاصة بمؤسسة او جامعة او مصنع او اي شبكة فرعية الى 3 اقسام تتضمن الشبكة الداخلية (Local Area Network LAN) والخاصة بالموظفين او المستخدمين المحليين ويفترض ان تتمتع بقدر عالي من الامنية والقسم الاخر وهو شبكة الخدمة (Service Network) ويوضع بداخلها السيرفرات التي لها واجهة عامة (public facing servers) والتي تسمى احياناً المنطقة منزوعة السلاح (Demilitarized Zone DMZ) والقسم الثالث وهو المنفذ من الجدار الناري الى الانترنت او الشبكة العالمية وكما توضحه الصورة التالية التي تبين الشكل المثالي لوضع الجدار الناري:
ولمن يتسائلون عن الفرق بين الجدار الناري على شكل جهاز مستقل او على شكل برمجيات مرفقة مع الرواترات من الشركات الكبرى مثل سيسكو وجونيبر وللجواب على هذا السؤال نذكر فوائد وسلبيات كلا النوعين:
فالجدار الناري كجهاز:
يكون متخصص اكثر في مهمة الامنية ويتوافر فيه الكثير من الخيارات والواجهات (الرسومية في الكثير من الاحيان) مما يسهل عمل مدير الشبكة في ضبط اعداداته.يكون غالياً عادة مقارنة بسعر راوتر يحتوي على وظيفة الجدار الناري بداخله اي ان (سعر الجدار الناري كجهاز مستقل + سعر الرواتر كجهاز مستقل) يكون اكثر من سعر جهاز واحد يضم الرواتر والجدار الناري.
اما الجدار الناري كوظيفة من وظائف الراوتر او بوابة الشبكة (gateway) فتتميز بالتالي:
ارخص كما ذكرنا سابقاً.ولا تحتوي واجهات متخصصة للجدار الناري فكل اعداداته يجب ان تضبط كما تضبط اعدادات الراوتر.كما ان اضافة اي وظيفة اخرى الى الرواتر (غير وظيفته الرئيسية وهي التوجيه) سيبطيء عمله ويقلل كفائته وادائه ولذا يفضل دوماً في عالم الشبكات ترك الرواتر للتوجيه فقط واضافة اجهزة اخرى للقيام بأي وظيفة اخرى.
اخيراً تجدر الاشارة الى ان هناك نوعين رئيسيين من الجدران النارية وهي:
جدار ناري لحاسوب او جهاز واحد ويسمى (host based firewall).جدار ناري للشبكة ككل ويسمى (Network based firewall)
ويفضل استخدام كلاهما لأن اضافة عدة طبقات من الحماية افضل دوماً كما ان الجدار الناري الخاص بالحاسوب قد يساعد في حماية الحاسوب ومستخدمه في حالة كانت الشبكة المحلية مخترقة ولذا فكلما كانت طبقات الحماية اكثر كلما تحقق المفهوم الاساسي من الامنية وهو (defense in depth) او الحماية من العمق ولا بد ان نتذكر دوماً انه لا توجد شبكة امنة بنسبة 100% ولا يوجد شخص في العالم الرقمي محمي بنسبة 100% فالثغرات موجودة والهجمات تتزايد وتتنوع وتزداد تعقيداً يوماً بعد يوم ولكن يبقى الجدار الناري عنصر اساسي في توفير درجة لا بأس بها من الحماية ولذا فهو الجندي المجهول في معارك الشبكات والحواسيب مع المخترقين والفيروسات ومحاولات اختراق الخصوصية والتجسس التي لا تنتهي
اتمنى ان يكون الموضوع مفيداً للجميع ولا تنسوا المشاركة لتعميم الفائدة
تحياتي للجميع
No comments:
Post a Comment