لماذا ال Firewall ؟؟
الكثير منا في عالم السيكورتي مر على باله هذا التسائل المهم . لماذا احتاج الى الفيروول ؟
لدي في شبكتي ال Anti Virus موجود في كل كومبوتر في الشبكة . يحمي الكومبوترات وكل أموري جيدة ، فلماذا تكلمني عن الفيروول !!
يوجد في الروتر الذي اعمل في شبكتي خاصية ال Access-List أستطيع من خلالها ان أتحكم با الترفك اسمح لة او امنعه وهذا يكفي ! فلماذا تكلمني عن الفيروول !! .
تمام لنناقش هذة المسائل من زوايا مختلفة .
ال Anti Virus عموما يسمى End Point Application . بمعنى انة لا يوفر الحماية للشبكة ، وإنما يستطيع ان يوفر الحماية لي كومبيوتر في الشبكة ، فلو أردنا ان نطبق حماية معينة ، مثلا منع ترفك محدد او موقع ، فعلينا ان نذهب الى كل كومبيوتر في الشبكة ونضع الإعدادات لتنفيذ هذا المنع !! بذالك لاتتوفر المركزية بهذا الخيار ، مشكلة اخرى ، اداء هذا البرنامج المسمى ال Anti Virus يعتمد على قدرة الكومبيوتر نفسة ، لذالك يستخدم الكثير من قدرة الكومبيوتر لتنفيذ مواضيع محددة . لذالك هذا الخيار لن يكون المناسب لحماية الشبكة ككل على اننا ممكن استخدامة مع خيارات اخرى سنتعرف عليها .
ال Anti Virus عموما يسمى End Point Application . بمعنى انة لا يوفر الحماية للشبكة ، وإنما يستطيع ان يوفر الحماية لي كومبيوتر في الشبكة ، فلو أردنا ان نطبق حماية معينة ، مثلا منع ترفك محدد او موقع ، فعلينا ان نذهب الى كل كومبيوتر في الشبكة ونضع الإعدادات لتنفيذ هذا المنع !! بذالك لاتتوفر المركزية بهذا الخيار ، مشكلة اخرى ، اداء هذا البرنامج المسمى ال Anti Virus يعتمد على قدرة الكومبيوتر نفسة ، لذالك يستخدم الكثير من قدرة الكومبيوتر لتنفيذ مواضيع محددة . لذالك هذا الخيار لن يكون المناسب لحماية الشبكة ككل على اننا ممكن استخدامة مع خيارات اخرى سنتعرف عليها .
اما قضية الروتر الذي يوفر ال Access-List فلا يغرك هذا كثيراً ، فا الفيروول يستطيع ان يستخدم نفس الموضوع بشكل موسع . ولكن هل ال Access-List هي الحل الأمثل ؟؟
هذة الأداة والتي يطلق عليها مصطلح ال Packets Filter . حيث انها تتعامل مع الطبقة الثالثة والرابعة وبعضها يغطي الطبقة الثانية من ال OSI Layer . اقصد بهذا الكلام ان لديها القدرة على استخدام ال IP Address المتمثل بالطبقة الثالثة Network Layer . كذالك ممكن ان تستخدم ال TCP / UDP و بقية البروتكولات مع البورتات الخاص بها . لدعم الطبقة الرابعة ال Transport Layer .
بعد استخدام ال Access-List لهذة العناصر في تحديد المصدر ومنطقة الوصول ونوعية البروتكول مثلا . ماذا يمكن لل Access-List ان تفعل لي بعد التحديد ؟؟ بعد هذة التحديدات يمكن لل Access-List ان تعمل أمرين هما السماح Permit , والمنع Deny .
الان ماذا لو كان الفيروس او الهجوم داخل البكت المسموح بها ! هل تستطيع ال Access-List تفتيش البكت المسموح بدخولها في الشبكة ؟ لاتستطيع لان خياراتها السماح والرفض فقط وهذا ما يجعلها قاصرة وغير مكتملة .
هنا يأتي دور الفيروول و اهميتة لنرى ماذا يستطيع ان يقع ال Firewall .
الفيرول يوفر النقاط التالية :
1- Packet Filter
2- Stateful Firewall
3- Proxy Server
4- Application Firewall
2- Stateful Firewall
3- Proxy Server
4- Application Firewall
النقطة الاولى: تتمثل بي ال Access-List لكن مع الفيروول الموضوع أوسع حيث يوجد الكثير من الخيرات والمرونة في عمل ال Access-List وأهمها Object Group . )وسنتكلم عن هذا لاحقا ان شاء الله ) . ويطلق على هذا النوع من الفيرول بالجيل الاول !!
النقطة الثانية : Statfull Firewall , وهي أساس عمل الفيروول وسر حلاوة هذا الجهاز
هذة الخاصية توفر لنا تتبع البكت ، حيث ان هناك بروتكولات تقوم بعمل حوار عند استخدامها هذا الحوار معرض ان يسرق لذا هذة الخاصية تساعدك على تتبع هذا الحوار وتأسيس الاتصال على أساسة بختصار تتبع البكت ، مع خزن هذة المسارات لكي يتسنى التحقق منها لاحقا . (كذالك ساتكلم عن هذة الخاصية بشكل تفصيلي ان شاء الله) .
كذالك توفر هذة التكنولوجي تفتيش البكت Inspection وأتلاف البكت في حال احتوائها على اي شي غير مرغوب فية .
يطلق على هذة تاتكنولوجي الجيل الثاني .
هذة الخاصية توفر لنا تتبع البكت ، حيث ان هناك بروتكولات تقوم بعمل حوار عند استخدامها هذا الحوار معرض ان يسرق لذا هذة الخاصية تساعدك على تتبع هذا الحوار وتأسيس الاتصال على أساسة بختصار تتبع البكت ، مع خزن هذة المسارات لكي يتسنى التحقق منها لاحقا . (كذالك ساتكلم عن هذة الخاصية بشكل تفصيلي ان شاء الله) .
كذالك توفر هذة التكنولوجي تفتيش البكت Inspection وأتلاف البكت في حال احتوائها على اي شي غير مرغوب فية .
يطلق على هذة تاتكنولوجي الجيل الثاني .
النقطة الثالثة : يستطيع ان يعمل الفيرول عمل المبدل او البديل او البروكسي . بمعنى ان الشبكة التي تعمل عليها اذا أرادت الاتصال بالإنترنيت في الطبيعي كل كومبيوتر يخرج منفصل الى الانترنيت ، مع خاصية البروكسي كل الكومبيوترات سوف تذهب الفيروول والفيرول بدورة يقوم بجلب الانترنيت من خلالة وتحت إشرافة ويكون البديل لكل كومبيوتر يتصل بالإنترنيت .
وهذا يوفر المركزية في الاتصال .
وهذا يوفر المركزية في الاتصال .
النقطة الاخيرة : والتي تعتبر الجيل الثالث ، والتي من خلالها سنوفر حماية تشمل الطبقات السبع لل OSI مجتمعة في جهاز واحد ، في بداية موضوعنا تكلمنا عن إمكانية ال Access-List والتي توفر الحماية للطبقات من الثانية الى الرابعة .
مع خاصية ال Application Firewall سنصل الى تغطية جميع طبقات في ال OSI والتي توفر لنا السيطرة الشبه تامة على تطبيقات الانترنيت ًالايميل ، التطبيقات الخاصة بالكومبيوتر وغيرها . لضرب مثال على هذة الخاصية . يمكننا من خلال هذة التكنولوجي إغلاق خاصية ال Chating في تطبيق ال Facebook او إغلاق خيار المشاركة مثلا .
يمكننا منع مواقع محددة وربط هذا المنع بيوزر محدد في السيرفر ، أينما يفتح اليوزر تطبق هذة المنع . بمعنى اننا نستطيع ربط الكثير من السياسات والمنع والسماح وغيرها مع يوزر محدد أينما يذهب .
هذة نبذة سريعة عن فوائد الفيروول واعتذر عن الإطالة ولكن الموضوع يحتاج الكثير . هدفي من هذا الموضوع ان تعرف فائدة الفيروول بشكل عام والذي ذكر هو الاساس البداية لتعامل مع الفيروول .
ضاري خالد
احد المهتمين بالشبكات
مهتم بجمع المحتوى العربي في موقع واحد يسهل على الباحث عن المعلومات ايجاد كل ما يريد من المعلومات على موقع واحد فقط
اغلب التدوينات منقوله من مواقع ومدونات عربيه للفائده
.png)