عرض تقديمي عن اسم المفعول.امل عرفات محمد العربي جامعة جنوب الوادي تربيه عام ...
جدران الحماية
1.
2.
في مجاالت علوم الحاسوب، جدار الحماية يشار إليه في بعض
األحيان بعبارة "الجدار الناري باإلنجليزية Firewallهو جهاز أو
برنامج يفصل بين المناطق الموثوق بها في شبكات الحاسوب،
ويكون أداة مخصصة أو برنامج على جهاز حاسوب آخر، الذي
بدوره يقوم بمراقبة العمليات التي تمر بالشبكة ويرفض أو يقرر
أحقية المرور ضمناً لقواعد معينةش
وظيفة جدار الحماية األساسية هي تنظيم بعض تدفق أزمة
الشبكة بين شبكات الحاسوب المكونة من مناطق ثقة المتعددة.
ومن األمثلة على هذا النوع اإلنترنت و التي تعتبر منطقة غير
موثوق بها وأيضا شبكة داخلية ذات ثقة أعلى، ومنطقة ذات
مستوى ثقة متوسطة، متمركزة بين اإلنترنت والشبكة الداخلية
الموثوق بها تدعى عادة بالمنطقة منزوعة)
3.
على الرغم من أن مصطلح "Firewallقد اكتسب معنى جديد في الوقت
الحالي، إال أن تاريخ المصطلح يعود إلى أكثر من قرن، حيث أن العديد من
البيوت قد تم بناؤها من طوب موضوع في الحائط بشكل يوقف انتقال
النيران المحتملة، هذاالطوب الحائط سمي بالـ"حائط الناري".
ظهرت تقنية الجدار الناري في أواخر الثمانينات عندما كانت اإلنترنت تقنية
جديدة نوعاً ما من حيث االستخدام العالمي. الفكرة األساسية ظهرت
استجابة لعدد من االختراقات األمنية الرئيسية لشبكة اإلنترنت التي حدثت
في أواخر الثمانينات. في العام 8891 قام موظف في مركز ابحاث " "Ames
التابع لناسا في كاليفورنيا بإرسال مذكرة عن طريق البريد االليكتروني
إلى زمالئه قائال ً فيها "نحن اآلن تحت الهجوم من فيروس من اإلنترنت، لقد
أصيبت جامعات بيركلي، سان دييغو، لورنس ليفير مور، ستانفورد وناسا
ايمز".
دودة موريس نشرت نفسها عبر العديد من نقاط الضعف في األحهزة في
ذلك الوقت. على الرغم أنها لم تكن مؤذية في النية لكنها كانت أول هجوم
من الحجم الكبير على أمن اإلنترنت: المجتمع الموصول على الشبكة لم
يكن يتوقع هجوما أو جاهزاً للتعامل معها.
4.
الجيل األول: مفلترات العبوة ()Packet Filters
أول بحث نشر عن تقنية الجدار الناري كانت عام 8891، عندما قام مهندسون من ( )DECبتطوير
نظام فلترة عرف باسم جدار النار بنظام فلترة العبوة، هذا النظام األساسي يمثل الجيل األول الذي
سوف يصبح عالي التطور في مستقبل أنظمة أمان اإلنترنت. في مختبرات AT&Tقام بيل شيزويك
وستيف بيلوفين بمتابعة األبحاث على فلترة العبوات وطوروا نسخة عاملة مخصصة لشركتهم
معتمدة على التركيبة األصلية للجيل األول.
تعمل فلترة العبوات بالتحقق من "العبوات"( ) packetsالتي تمثل الوحدة األساسية المخصصة لنقل
البيانات بين الحواسيب على اإلنترنت. إذا كانت العبوة تطابق مجموعة قوانين فلتر العبوة فإن
النظام سيسمح بمرور العبوة أو يرفضها (يتخلص منها ويقوم بإرسال استجابة "خطأ" للمصدر)
الجيل الثاني: فلتر محدد الحالة ()"Stateful" Filters
هنا يقوم جدار الحماية بمراقبة حقول معينة في المظروف اإللكتروني, ويقارنها بالحقول المناظرة
لها في المظاريف األخرى التي في السياق نفسه, ونعني بالسياق هنا مجموعة المظاريف
اإللكترنية المتبادلة عبر شبكة اإلنترنات بين جهازين لتنفيذ عملية ما. وتجري غربلة المظاريف التي
تنتمي لسياق معين إذا لم تلتزم بقواعده: ألن هذا دليل على أنها زرعت في السياق وليست جزءا
منه, مما يثير الشكوك بأنها برامج مسيئة أو مظاريف أرسلها متطفل)
الجيل الثالث: طبقات التطبيقات ()Application Layer Firewall
بعض المنشورات بقلم جين سبافورد من جامعة بوردو، بيل شيزويك من مختبرات ،AT&Tوماركوس
رانوم شرحت جيال ً ثالثاً من الجدارن النارية عرف باسم "الجدار الناري لطبقات التطبيقات"
() ،Application Layer Firewallوعرف أيضا بالجدار الناري المعتمد على الخادم النيابي ( Proxy
.)serverوعمل ماركوس رانوم قاد ابتكار أول نسخة تجارية من المنتج. قامت " "DECبإطالق المنتج
تحت اسم "."SEAL
أول مبيع للمنتج من" "DECكان في 31 أغسطس 1991 إلى شركة كيميائية متمركزة على الساحل
الشرقي من الواليات المتحدة.
الفائدة الرئيسية من الجدار الناري لطبقات التطبيقات أنه يمكن أن "يفهم" بعض التطبيقات واألنظمة
(مثل نظام نقل الملفات " "DNSتصفح المواقع)، ويمكنه أن يكتشف إذا ما كان هنالك نظام غير
مرغوب فيه يتم تسريبه عبر مرافئ غير اعتيادية أو إذا كان هنالك نظام يتم إساءة استخدامه
بطريقة مؤذية ومعروفة.
5.
ً
هنالك العديد من فئات الجدران النارية بناء على مكان عمل االتصال، ومكان تشفير االتصال
والحالة التي يتم تتبعها.
1 طبقات الشبكة ومفلترات العبوات()Network Layer and Packet Filters
الجدار الناري ذو طبقات الشبكة الذي يسمى أيضا مفلترات العبوة، تعمل على رصة أنظمة
TCPIPمنخفضة المستوى، وال تسمح للعبوات بالمرور عبر الجدار الناري دون أن تطابق
مجموعة القوانين المحددة. يمكن للمسؤول عن الجدار الناري أن يحدد األوامر، وإن لم يتم هذا
تطبق األوامر الطبيعية. المصطلح فلتر العبوة نشأ في نطاق أنظمة تشغيل "."BSD
الجدار الناري ذو طبقات الشبكة عادة ينقسم إلى قسمين فرعيين اثنين، ذو الحالة وعديم
الحالة. تتحفظ الجدران النارية ذات الحالة بنطاق يتعلق بالجلسات المفتوحة حالياً، ويستخدم
معلومات الحالة لتسريع معالجة العبوة. أي اتصال شبكي يمكن تحديده بعدة امور، تشتمل على
عنوان المصدر والوجهة، مرافئ " "UDPو"" ،TCPوالمرحلة الحالية من عمر االتصال (يشمل ابتداء
الجلسة، المصافحة، نفل البيانات، وإنهاء االتصال). إذا كانت العبوة ال تطابق االتصال الحالي،
فسوف يتم تقدير ماهيتها طبقاً لمجموعة األوامر لالتصال الجديد، وإذا كانت العبوة تطابق االتصال
ً
الحالي بناء على مقارنة عن طريق جدول الحاالت للحائط الناري، فسوف يسمح لها بالمرور دون
معالحة أخرى.
الجدار الناري العديم الحالة يحتوي على قدرات فلترة العبوات، ولكن ال يستطيع اتخاذ قرارات
معقدة تعتمد على المرحلة التي وصل لها االتصال بين المضيفين.
الجدران النارية الحديثة يمكنها ان تفلترالقنوات معتمدة على كثير من الجوانب للعبوة، مثل عنوان
المصدر، مرفأ المصدر، عنوان الوجهة أو مرفأها، نوع خدمة الوجهة مثل" "WWWو"" ،FTPويمكن
أن يفلتر اعتماداً على أنظمة وقيم"" ،TTLصندوق الشبكة للمصدر، اسم النطاق للمصدر، والعديد
من الجوانب األخرى.
فالتر العبوات لنسخ متعددة من " "UNIXهي، "( "IPFلعدة)، )،IPFW" " (FREEBSD /MAC OS X
)IPTABELSIPCHAINS (LINUX). ،"PF" (OPEN BSD AND ALL OTHER BSD
6.
2طبقات التطبيقات ()Application Layer
تعمل الجدران النارية لطبقات التطبيقات على مستوى التطبيق
لرصة"( "TCPIPمثل جميع أزمة المتصفح، أو جميع أزمة " "TELNET
و"" ،FTPويمكن أن يعترض جميع العبوات المنتقلة من وإلى
التطبيق). ويمكن أن يحجب العبوات األخرى دون إعالم المرسل
عادة. في المبدأ يمكن لجدران التطبيقات النارية منع أي اتصال
خارجي غير مرغوب فيه من الوصول إلى األجهزة المحمية.
عند تحري العبوات جميعها إليجاد محتوى غير مالئم، يمكن للجدار
الناري أن يمنع الديدان( )wormsواألحصنة الطروادية ( Trojan
)horsesمن االنتشار عبر الشبكة. ولكن عبر التجربة تبين أن هذا
األمر يصبح معقدا جداً ومن الصعب تحقيقه (مع األخذ بعين االعتبار
التنوع في التطبيقات وفي المضمون المرتبط بالعبوات) وهذا الجدار
الناري الشامل ال يحاول الوصول إلى مثل هذه المقاربة.
الحائط الناري XMLيمثل نوعاً أكثر حداثة من جدار طبقات التطبيقات
الناري.
7.
3 الخادمين النيابيين ()Proxy Servers
الخادم النيابي (سواء أكان يعمل على معدات مخصصة أو برامج األجهزة
المتعددة الوظائف) قد يعمل مثل كجدار ناري باالستجابة إلى العبوات الداخلة
(طلبات االتصال على سبيل المثال) بطريقة تشبه التطبيق مع المحافظة على
حجب العبوات األخرى.
يجعل الخادم النيابي العبث باألنظمة الداخلية من شبكة خارجية أصعب ويجعل
إساءة استخدام الشبكة الداخلية ال يعني بالضرورة اختراق أمني متاح من خارج
الجدار الناري (طالما بقي تطبيق الخادم النيابي سليماً ومعداً بشكل مالئم).
بالمقابل فإن المتسللين قد يختطفون نظاماً متاحاً للعامة ويستخدمونه كخادم
نيابي لغاياتهم الشخصية، عند اإن يتنكر الخادم النيابي بكونه ذلك النظام
بالنسبة إلى األجهزة الداخلية. ومع أن استخدام مساحات للمواقع الدخلية يعزز
األمن، إال أن المشقين قد يستخدمون أساليب مثل " "IP Spoofingلمحاولة
تمرير عبوات إلى الشبكة المستهدفة.
4 ترجمة عنوان الشبكة ()Network Address Translation
عادة ما تحتوي الجدران النارية على وظيفة ترجمة عنوان الشبكة ()،NAT
ويكون المضيفين محميين خلف جدار ناري يحتوي على مواقع ذو نطاق خاصة،
كما عرّفت في" ."8191 RFCتكون الجدران النارية متضمنة على هذه الميزة
لتحمي الموقع الفعلي للمضيف المحمي. وباألصل تم تطوير خاصية " "NAT
لتخاطب مشكلة كمية " "4IPvالمحدودة والتي يمكن استخدامها وتعيينها
للشركات أو األفراد وباإلضافة إلى تخفيض العدد وبالتالي كلفة إيجاد مواقع عامة
كافية لكل جهاز في المنظمة. وأصبح إخفاء مواقع اإلجهزة المحمية أمراً متزايد
األهمية للدفاع ضد استطالع الشبكات.
8.
وضعت جدران الحماية لكي تشكل سدا بين
أجهزة الكمبيوتر ومناطق ذات ثقة اقل كاالنترنت
لكي تقوم بحماية االجهزة من أي اختراق غير آمن
المرجع
موسوعة ويكيبديا