تحتاج الشبكة إلى الحماية من التهديدات الخارجية. يمكن أن تؤثر سرقة البيانات والوصول غير المصرح به والأضرار على عمليات الشبكة وتتسبب في خسائر فادحة. استخدم برامج وأجهزة خاصة لحماية نفسك من التأثيرات المدمرة. في هذه المراجعة سنتحدث عن جدار الحماية وننظر إلى أنواعه الرئيسية.

الغرض من جدران الحماية

جدران الحماية (جدران الحماية) أو جدران الحماية هي تدابير للأجهزة والبرامج لمنع التأثيرات السلبية من الخارج. يعمل جدار الحماية كمرشح: من تدفق حركة المرور بالكامل، يتم غربلة حركة المرور المسموح بها فقط. وهذا هو خط الدفاع الأول بين الشبكات الداخلية والشبكات الخارجية مثل الإنترنت. وقد تم استخدام هذه التكنولوجيا لمدة 25 عاما.

نشأت الحاجة إلى جدران الحماية عندما أصبح من الواضح أن مبدأ الاتصال الكامل بالشبكة لم يعد يعمل. بدأت أجهزة الكمبيوتر في الظهور ليس فقط في الجامعات والمختبرات. مع انتشار أجهزة الكمبيوتر والإنترنت، أصبح من الضروري فصل الشبكات الداخلية عن الشبكات الخارجية غير الآمنة لكي تحمي نفسك من المتطفلين وتحمي حاسوبك من الاختراق.

لحماية شبكة الشركة، يتم تثبيت جدار حماية للأجهزة - يمكن أن يكون هذا جهازًا منفصلاً أو جزءًا من جهاز التوجيه. ومع ذلك، لا يتم تطبيق هذه الممارسة دائما. الطريقة البديلة هي تثبيت برنامج جدار الحماية على الكمبيوتر الذي يحتاج إلى الحماية. ومن الأمثلة على ذلك جدار الحماية المدمج في نظام التشغيل Windows.

من المنطقي استخدام برنامج جدار الحماية على كمبيوتر محمول خاص بالشركة تستخدمه على شبكة آمنة للشركة. خارج أسوار المنظمة، تجد نفسك في بيئة غير محمية - سيحميك جدار الحماية المثبت في رحلات العمل، عند العمل في المقاهي والمطاعم.

كيف يعمل جدار الحماية

تتم تصفية حركة المرور بناءً على قواعد الأمان المحددة مسبقًا. ولهذا الغرض، يتم إنشاء جدول خاص يتم فيه إدخال وصف للبيانات المقبولة وغير المقبولة للنقل. لا يسمح جدار الحماية بحركة المرور إذا تم تشغيل إحدى قواعد الحظر من الجدول.

يمكن أن ترفض جدران الحماية الوصول أو تسمح به بناءً على معلمات مختلفة: عناوين IP وأسماء النطاق والبروتوكولات وأرقام المنافذ، بالإضافة إلى مجموعة منها.

• عناوين الانترنت بروتوكول. كل جهاز يستخدم بروتوكول IP له عنوان فريد. يمكنك تحديد عنوان أو نطاق محدد لإيقاف محاولات تلقي الحزم. أو العكس - منح الوصول فقط إلى دائرة معينة من عناوين IP.
• الموانئ. هذه هي النقاط التي تتيح للتطبيقات الوصول إلى البنية التحتية للشبكة. على سبيل المثال، يستخدم بروتوكول ftp المنفذ 21، والمنفذ 80 مخصص للتطبيقات المستخدمة لتصفح مواقع الويب. وهذا يمنحنا القدرة على منع الوصول إلى تطبيقات وخدمات معينة.
• اسم النطاق. يعد عنوان مورد الإنترنت أيضًا معلمة تصفية. يمكنك منع حركة المرور من موقع واحد أو أكثر. ستتم حماية المستخدم من المحتوى غير المناسب، والشبكة من التأثيرات الضارة.
• بروتوكول. تم تكوين جدار الحماية للسماح بحركة مرور بروتوكول واحد أو منع الوصول إلى أحد البروتوكولات. يشير نوع البروتوكول إلى مجموعة معلمات الأمان والمهمة التي ينفذها التطبيق الذي يستخدمه.

أنواع الاتحاد الدولي للاتصالات

1. الخادم الوكيل

أحد مؤسسي الاتحاد الدولي للاتصالات الذي يعمل كبوابة للتطبيقات بين الشبكات الداخلية والخارجية. لدى الخوادم الوكيلة وظائف أخرى، بما في ذلك حماية البيانات والتخزين المؤقت. بالإضافة إلى ذلك، فهي لا تسمح بالاتصالات المباشرة من خارج حدود الشبكة. قد يؤدي استخدام ميزات إضافية إلى فرض ضغط غير ضروري على الأداء وتقليل الإنتاجية.

2. جدار الحماية مع التحكم في حالة الجلسة

تعد الشاشات التي تتمتع بالقدرة على مراقبة حالة الجلسات بمثابة تقنية راسخة بالفعل. يتأثر قرار قبول البيانات أو حظرها بالحالة والمنفذ والبروتوكول. تقوم هذه الإصدارات بمراقبة كافة الأنشطة مباشرة بعد فتح الاتصال حتى يتم إغلاقه. يقرر النظام ما إذا كان سيتم حظر حركة المرور أم لا، بناءً على القواعد والسياق الذي يحدده المسؤول. وفي الحالة الثانية، تؤخذ في الاعتبار البيانات المقدمة من الاتحاد الدولي للاتصالات من الاتصالات السابقة.

3. إدارة التهديدات الموحدة للاتحاد الدولي للاتصالات (UTM)

جهاز معقد. كقاعدة عامة، يحل جدار الحماية هذا ثلاث مشاكل:

• تراقب حالة الجلسة؛
• يمنع التطفل؛
• يقوم بإجراء فحص مكافحة الفيروسات.

في بعض الأحيان، تتضمن جدران الحماية التي تمت ترقيتها إلى إصدار UTM وظائف أخرى، على سبيل المثال: إدارة السحابة.

4. جدار الحماية من الجيل التالي (NGFW)

الرد على التهديدات الحديثة. يعمل المهاجمون باستمرار على تطوير تقنيات الهجوم، وإيجاد نقاط ضعف جديدة، وتحسين البرامج الضارة، وزيادة صعوبة صد الهجمات على مستوى التطبيق. جدار الحماية هذا لا يقوم فقط بتصفية الحزم ومراقبة حالة الجلسات. وهو مفيد في الحفاظ على أمن المعلومات بسبب الميزات التالية:

• مع الأخذ في الاعتبار ميزات التطبيق، مما يجعل من الممكن التعرف على البرامج الضارة وتحييدها؛
• الدفاع ضد الهجمات المستمرة من الأنظمة المصابة؛
• قاعدة بيانات محدثة تحتوي على أوصاف للتطبيقات والتهديدات؛
• مراقبة حركة المرور المشفرة باستخدام بروتوكول SSL.

5. جدار الحماية من الجيل الجديد مع حماية نشطة من التهديدات

هذا النوع من جدار الحماية هو نسخة محسنة من NGFW. يساعد هذا الجهاز على الحماية من التهديدات المتقدمة. وظائف إضافية يمكن أن:

• النظر في السياق وتحديد الموارد الأكثر عرضة للخطر؛
• وصد الهجمات بسرعة من خلال أتمتة الأمان، التي تدير الحماية وتضع السياسات بشكل مستقل؛
• تحديد الأنشطة المشتتة للانتباه أو المشبوهة من خلال استخدام ارتباط الأحداث على الشبكة وأجهزة الكمبيوتر؛

يقدم هذا الإصدار من جدار الحماية NGFW سياسات موحدة تعمل على تبسيط الإدارة إلى حد كبير.

عيوب الاتحاد الدولي للاتصالات

تعمل جدران الحماية على حماية الشبكة من المتسللين. ومع ذلك، عليك أن تأخذ تكوينها على محمل الجد. كن حذرًا: إذا ارتكبت خطأً عند تكوين معلمات الوصول، فسوف تتسبب في ضرر وسيقوم جدار الحماية بإيقاف حركة المرور الضرورية وغير الضرورية، وستصبح الشبكة غير صالحة للعمل.

يمكن أن يؤدي استخدام جدار الحماية إلى انخفاض أداء الشبكة. تذكر أنهم يعترضون كل حركة المرور الواردة للتفتيش. عندما تكون الشبكة كبيرة، فإن محاولة فرض الأمن وإدخال المزيد من القواعد ستؤدي إلى بطء الشبكة.

في كثير من الأحيان، لا يكفي جدار الحماية وحده لتأمين الشبكة بشكل كامل من التهديدات الخارجية. ولذلك، يتم استخدامه مع برامج أخرى، مثل برامج مكافحة الفيروسات.

شبكة مصممة لمنع كافة حركة المرور باستثناء البيانات المصرح بها. وهذا يختلف عن جهاز التوجيه، الذي تتمثل وظيفته في توصيل حركة المرور إلى وجهتها في أسرع وقت ممكن.

هناك رأي مفاده أن جهاز التوجيه يمكن أن يلعب أيضًا دور جدار الحماية. ومع ذلك، هناك اختلاف أساسي واحد بين هذه الأجهزة: تم تصميم جهاز التوجيه لتوجيه حركة المرور بسرعة، وليس حظرها. جدار الحمايةهو جهاز أمان يسمح بحركة مرور معينة من تدفق البيانات، وجهاز التوجيه هو جهاز شبكة يمكن تهيئته لمنع حركة مرور معينة.

بالإضافة إلى ذلك، تحتوي جدران الحماية عادةً على نطاق واسع من الإعدادات. يمكن تكوين مرور حركة المرور على جدار الحماية من خلال الخدمات، وعناوين IP الخاصة بالمرسل والمستلم، ومن خلال معرفات المستخدمين الذين يطلبون الخدمة. جدران الحماية تسمح مركزية إدارة الأمن. في أحد التكوينات، يمكن للمسؤول تكوين حركة المرور الواردة المسموح بها لجميع الأنظمة الداخلية في المؤسسة. وهذا لا يلغي الحاجة إلى تحديث الأنظمة وتكوينها، ولكنه يقلل من احتمالية تكوين نظام واحد أو أكثر بشكل خاطئ وتعريض تلك الأنظمة لهجوم على خدمة تم تكوينها بشكل خاطئ.

تعريف أنواع جدار الحماية

هناك نوعان رئيسيان من جدران الحماية: جدران الحماية على مستوى التطبيق وجدران الحماية على مستوى التطبيق. تصفية الحزمة. وهي تستند إلى مبادئ تشغيل مختلفة، ولكن عند تكوينها بشكل صحيح، يوفر كلا النوعين من الأجهزة وظائف الأمان الصحيحة لحظر حركة المرور المحظورة. وكما سترون في الأقسام التالية، يعتمد مقدار الحماية التي توفرها هذه الأجهزة على كيفية تطبيقها وتكوينها.

جدران الحماية لطبقة التطبيقات

جدران الحماية لطبقة التطبيقات، أو شاشات الوكيل، عبارة عن حزم برامج تعتمد على التشغيل أنظمة الأغراض العامة(مثل Windows NT وUnix) أو على الأنظمة الأساسية لأجهزة جدار الحماية. جدار الحمايةيحتوي على عدة واجهات، واحدة لكل شبكة من الشبكات التي يتصل بها. تحدد مجموعة من قواعد السياسة كيفية نقل حركة المرور من شبكة إلى أخرى. إذا كانت القاعدة لا تسمح صراحةً بمرور حركة المرور، جدار الحمايةيرفض أو يتجاهل الحزم.

قواعد سياسة الأمانيتم تعزيزها من خلال استخدام وحدات الوصول. في جدار حماية طبقة التطبيق، يجب أن يكون لكل بروتوكول مسموح به وحدة وصول خاصة به. أفضل وحدات الوصول هي تلك التي تم تصميمها خصيصًا للبروتوكول الذي يتم حله. على سبيل المثال، تستهدف وحدة الوصول إلى FTP بروتوكول FTP ويمكنها تحديد ما إذا كانت حركة مرور المرور تتوافق مع هذا البروتوكول وما إذا كانت حركة المرور هذه مسموحة بموجب قواعد سياسة الأمان.

عند استخدام جدار حماية طبقة التطبيق، تمر جميع الاتصالات من خلاله (انظر الشكل 10.1). كما هو موضح في الشكل، يبدأ الاتصال على نظام العميل وينتقل إلى الواجهة الداخلية لجدار الحماية. جدار الحمايةيقبل الاتصال، ويحلل محتويات الحزمة والبروتوكول المستخدم، ويحدد ما إذا كانت حركة المرور تتوافق مع قواعد سياسة الأمان. إذا كان الأمر كذلك، ثم جدار الحمايةيبدأ اتصالاً جديدًا بين واجهته الخارجية ونظام الخادم.

تستخدم جدران الحماية لطبقة التطبيقات وحدات الوصول الداخلي روابط. وحدةيقبل التحكم في الوصول في جدار الحماية الاتصال الوارد ويعالج الأوامر قبل إرسال حركة المرور إلى المستلم. هكذا، جدار الحمايةيحمي الأنظمة من الهجمات القائمة على التطبيقات.

أرز. 10.1.

ملحوظة

يفترض هذا أن وحدة الوصول إلى جدار الحماية نفسها ليست عرضة للهجوم. لو برمجةلم يتم تطويره بعناية، فقد يكون بيانًا كاذبًا.

من المزايا الإضافية لهذا النوع من البنية أنه يجعل من الصعب للغاية، إن لم يكن من المستحيل، "إخفاء" حركة المرور داخل الخدمات الأخرى. على سبيل المثال، بعض برامج التحكم في النظام مثل NetBus و

الغرض من هذه المقالة هو مقارنة جدران الحماية المعتمدة التي يمكن استخدامها لحماية IPDN. تتناول المراجعة منتجات البرامج المعتمدة فقط، والتي تم تجميع قائمتها من سجل FSTEC في روسيا.

اختيار جدار الحماية لمستوى معين من حماية البيانات الشخصية

في هذه المراجعة، سننظر في جدران الحماية الموضحة في الجدول 1. يشير هذا الجدول إلى اسم جدار الحماية وفئته. سيكون هذا الجدول مفيدًا بشكل خاص عند اختيار برنامج لحماية البيانات الشخصية.

الجدول 1. قائمة جدران الحماية المعتمدة من قبل FSTEC

برمجة	أنا الطبقة
لي "بلوكبوست-إكران 2000/HR"	4
برنامج جدار الحماية الخاص “Z-2” الإصدار 2	2
أداة TrustAccess لأمن المعلومات	2
أداة أمن المعلومات TrustAccess-S	2
جدار الحماية جدار الحماية ستونجيت	2
جدار الحماية الشخصي Security Studio Endpoint Protection	4
حزمة البرامج "Security Server CSP VPN Server. الإصدار 3.1"	3
حزمة البرامج "CSP VPN Gate.الإصدار 3.1"	3
حزمة البرامج "Security Client CSP VPN Client. الإصدار 3.1"	3
حزمة برامج جدار الحماية "Ideco ICS 3"	4
حزمة البرامج "Traffic Inspector 3.0"	3
أداة حماية المعلومات المشفرة "Continent-AP". الإصدار 3.7	3
جدار الحماية "السلامة السيبرانية: جدار الحماية"	3
حزمة البرامج "بوابة الإنترنت Ideco ICS 6"	3
جدار حماية مكتب VipNet	4

جميع هذه المنتجات البرمجية، وفقًا لسجل FSTEC، معتمدة كجدران حماية.
وفقًا لأمر FSTEC في روسيا رقم 21 بتاريخ 18 فبراير 2013، لضمان المستويين 1 و2 من أمان البيانات الشخصية (المشار إليها فيما يلي باسم PD)، يتم استخدام جدران الحماية من الفئة 3 على الأقل في حالة وجود تهديدات ذات صلة النوع الأول أو الثاني أو تفاعل نظام المعلومات (IS) مع شبكات تبادل المعلومات الدولية وجدران الحماية من الدرجة 4 على الأقل في حالة أهمية التهديدات من النوع 3 وغياب التفاعل بين نظام المعلومات والإنترنت .

لضمان المستوى 3 من أمان البيانات الشخصية، تكون جدران الحماية من الفئة 3 على الأقل (أو الفئة 4، إذا كانت التهديدات من النوع 3 ذات صلة ولا يوجد تفاعل بين نظام المعلومات والإنترنت) مناسبة. ولضمان المستوى الرابع من الأمان، فإن أبسط جدران الحماية مناسبة - على الأقل الفئة 5. ومع ذلك، فإنهم غير مسجلين حاليًا في سجل FSTEC. في الواقع، يمكن استخدام كل جدار من جدران الحماية الواردة في الجدول 1 لتوفير 1-3 مستويات من الأمان، بشرط عدم وجود تهديدات من النوع 3 وعدم التفاعل مع الإنترنت. إذا كان هناك اتصال بالإنترنت، فأنت بحاجة إلى جدار حماية من الفئة 3 على الأقل.

مقارنة بين جدران الحماية

جدران الحماية لديها مجموعة محددة من الوظائف. لذلك دعونا نرى ما هي الوظائف التي يوفرها جدار الحماية هذا أو ذاك (أو لا يوفرها). الوظيفة الرئيسية لأي جدار حماية هي تصفية الحزم بناءً على مجموعة محددة من القواعد. ليس من المستغرب أن تدعم جميع جدران الحماية هذه الميزة.

أيضًا، جميع جدران الحماية التي تمت مراجعتها تدعم NAT. ولكن هناك وظائف محددة تمامًا (ولكنها ليست أقل فائدة)، على سبيل المثال، إخفاء المنفذ، وتنظيم التحميل، ووضع التشغيل متعدد المستخدمين، والتحكم في التكامل، ونشر البرنامج في ActiveDirectory والإدارة عن بعد من الخارج. إنه أمر مريح للغاية، كما ترى، عندما يدعم البرنامج النشر في ActiveDirectory - لا تحتاج إلى تثبيته يدويًا على كل كمبيوتر على الشبكة. ومن الملائم أيضًا أن يدعم جدار الحماية الإدارة عن بعد من الخارج - يمكنك إدارة الشبكة دون مغادرة المنزل، وهو ما سيكون مهمًا للمسؤولين الذين اعتادوا على أداء وظائفهم عن بُعد.

قد يتفاجأ القارئ بأن العديد من جدران الحماية المدرجة في الجدول 1 لا تدعم عمليات نشر ActiveDirectory، ويمكن قول الشيء نفسه بالنسبة للميزات الأخرى مثل التحكم في التحميل وإخفاء المنافذ. من أجل عدم وصف جدار الحماية الذي يدعم هذه الوظيفة أو تلك، قمنا بتنظيم خصائصها في الجدول 2.

الجدول 2. قدرات جدار الحماية

كيف يمكننا مقارنة جدران الحماية؟

المهمة الرئيسية لجدران الحماية عند حماية البيانات الشخصية هي حماية ISPD. ولذلك، فإن المسؤول في كثير من الأحيان لا يهتم بالوظائف الإضافية التي سيوفرها جدار الحماية. العوامل التالية مهمة بالنسبة له:

1. وقت الحماية. ومن الواضح هنا أنه كلما كان أسرع كان ذلك أفضل.
2. سهولة الاستعمال. ليست كل جدران الحماية ملائمة بنفس القدر، كما سيتم عرضه في المراجعة.
3. سعر. في كثير من الأحيان يكون الجانب المالي حاسما.
4. موعد التسليم. غالبًا ما يترك وقت التسليم الكثير مما هو مرغوب فيه، ويجب حماية البيانات الآن.

تتمتع جميع جدران الحماية بنفس الأمان تقريبًا، وإلا فلن يكون لها شهادة.

جدران الحماية قيد المراجعة

بعد ذلك، سنقوم بمقارنة ثلاثة جدران حماية - VipNet Office Firewall، وCybersafe Firewall، وTrustAccess.
جدار الحماية TrustAccessهو جدار حماية موزع بإدارة مركزية، مصمم لحماية الخوادم ومحطات العمل من الوصول غير المصرح به وتقييد الوصول إلى الشبكة إلى أنظمة معلومات المؤسسة.
جدار الحماية السيبراني- جدار حماية قوي مصمم لحماية أنظمة الكمبيوتر والشبكات المحلية من التأثيرات الضارة الخارجية.
جدار حماية مكتب ViPNet 4.1- جدار حماية برمجي مصمم للتحكم وإدارة حركة المرور وتحويل حركة المرور (NAT) بين قطاعات الشبكة المحلية أثناء تفاعلها، وكذلك أثناء تفاعل عقد الشبكة المحلية مع موارد الشبكة العامة.

وقت الحماية ISPD

ما هو وقت الحماية ISPD؟ في الأساس، هذا هو الوقت المستغرق لنشر البرنامج على كافة أجهزة الكمبيوتر الموجودة على الشبكة والوقت المستغرق لتكوين القواعد. يعتمد الأخير على سهولة استخدام جدار الحماية، بينما يعتمد الأول على مدى ملاءمة حزمة التثبيت الخاصة به للتثبيت المركزي.

يتم توزيع جميع جدران الحماية الثلاثة كحزم MSI، مما يعني أنه يمكنك استخدام أدوات نشر ActiveDirectory لتثبيتها مركزيًا. يبدو أن كل شيء بسيط. ولكن في الممارسة العملية، اتضح أن هذا ليس هو الحال.

تستخدم الشركات عادةً إدارة جدار الحماية المركزية. وهذا يعني أنه يتم تثبيت خادم إدارة جدار الحماية على جهاز كمبيوتر واحد، ويتم تثبيت برامج العميل أو الوكلاء، كما يطلق عليهم أيضًا، على الأجهزة الأخرى. المشكلة برمتها هي أنه عند تثبيت الوكيل، تحتاج إلى تعيين معلمات معينة - على الأقل عنوان IP لخادم الإدارة، وربما أيضًا كلمة مرور، وما إلى ذلك.
لذلك، حتى إذا قمت بنشر ملفات MSI على كافة أجهزة الكمبيوتر الموجودة على الشبكة، فلا يزال يتعين عليك تكوينها يدويًا. وهذا لن يكون مرغوبا فيه للغاية، نظرا لأن الشبكة كبيرة. حتى لو كان لديك 50 جهاز كمبيوتر فقط، فما عليك سوى التفكير في الأمر - انتقل إلى كل جهاز كمبيوتر وقم بتكوينه.

كيفية حل المشكلة؟ ويمكن حل المشكلة عن طريق إنشاء ملف تحويل (ملف MST)، المعروف أيضًا باسم ملف الاستجابة، لملف MSI. لكن لا يستطيع VipNet Office Firewall ولا TrustAccess القيام بذلك. ولهذا السبب، بالمناسبة، يشير الجدول 2 إلى عدم وجود دعم لنشر Active Directory. من الممكن نشر هذه البرامج في مجال، ولكن العمل اليدوي مطلوب من قبل المسؤول.

بالطبع، يمكن للمسؤول استخدام برامج تحرير مثل Orca لإنشاء ملف MST.

أرز. 1. محرر أوركا. محاولة إنشاء ملف MST لـ TrustAccess.Agent.1.3.msi

ولكن هل تعتقد حقًا أن كل شيء بهذه البساطة؟ هل قمت بفتح ملف MSI في Orca، وقمت بتعديل بعض المعلمات وحصلت على ملف إجابات جاهز؟ ليس كذلك! أولاً، لم يتم تثبيت Orca نفسه ببساطة. تحتاج إلى تنزيل Windows Installer SDK، واستخراج orca.msi منه باستخدام 7-Zip وتثبيته. هل تعلم عن هذا؟ إذا لم يكن الأمر كذلك، فاعتبر أنك قضيت حوالي 15 دقيقة في البحث عن المعلومات الضرورية وتنزيل البرنامج وتثبيت المحرر. لكن كل العذاب لا ينتهي عند هذا الحد. يحتوي ملف MSI على العديد من الخيارات. انظر إلى الشكل. 1 - هذه مجرد معلمات لمجموعة الخصائص. ما الذي يجب علي تغييره للإشارة إلى عنوان IP الخاص بالخادم؟ أنت تعرف؟ إذا لم يكن الأمر كذلك، فلديك خياران: إما تكوين كل كمبيوتر يدويًا أو الاتصال بالمطور، أو انتظار الرد، وما إلى ذلك. وبالنظر إلى أن المطورين يستغرقون أحيانًا وقتًا طويلاً للرد، فإن وقت النشر الفعلي للبرنامج يعتمد فقط على سرعة تنقلك بين أجهزة الكمبيوتر. من الجيد أن تقوم بتثبيت أداة الإدارة عن بعد مسبقًا - وسيصبح النشر أسرع.

يقوم Cybersafe Firewall تلقائيًا بإنشاء ملف MST؛ ما عليك سوى تثبيته على جهاز كمبيوتر واحد، والحصول على ملف MST المطلوب وتحديده في Group Policy. يمكنك أن تقرأ عن كيفية القيام بذلك في مقال "فصل أنظمة المعلومات عند حماية البيانات الشخصية". في نصف ساعة فقط (أو حتى أقل) يمكنك نشر جدار الحماية على كافة أجهزة الكمبيوتر الموجودة على الشبكة.

هذا هو السبب في حصول Cybersafe Firewall على تصنيف 5، ومنافسيه - 3 (شكرًا، على الأقل المثبتات بتنسيق MSI، وليس .exe).

منتج	درجة
جدار حماية مكتب VipNet
جدار الحماية السيبراني
تراست أكسس

سهولة الاستعمال

جدار الحماية ليس معالج النصوص. هذا منتج برمجي محدد إلى حد ما، ويعود استخدامه إلى مبدأ "التثبيت والتكوين والنسيان". من ناحية، تعتبر سهولة الاستخدام عاملاً ثانويًا. على سبيل المثال، لا يمكن تسمية iptables في Linux بأنه مناسب، لكنهم ما زالوا يستخدمونه؟ من ناحية أخرى، كلما كان جدار الحماية أكثر ملاءمة، كلما كان من الممكن حماية ISPD بشكل أسرع وأداء بعض الوظائف لإدارته.

حسنًا، دعونا نرى مدى ملاءمة جدران الحماية المعنية لعملية إنشاء ISDN وحمايتها.

سنبدأ بجدار حماية VipNet Office، والذي، في رأينا، ليس مناسبًا جدًا. يمكنك تحديد أجهزة الكمبيوتر في مجموعات فقط عن طريق عناوين IP (الشكل 2). بمعنى آخر، هناك ارتباط بعناوين IP وتحتاج إما إلى تخصيص ISPDs مختلفة لشبكات فرعية مختلفة، أو تقسيم شبكة فرعية واحدة إلى نطاقات من عناوين IP. على سبيل المثال، هناك ثلاثة ISPDs: الإدارة والمحاسبة وتكنولوجيا المعلومات. تحتاج إلى تكوين خادم DHCP بحيث تكون أجهزة الكمبيوتر الموجودة في مجموعة الإدارة عبارة عن عناوين IP "موزعة" من النطاق 192.168.1.10 - 192.168.1.20، والمحاسبة 192.168.1.21 - 192.168.1.31، وما إلى ذلك. هذه ليست مريحة للغاية. ولهذا سيتم خصم نقطة واحدة من VipNet Office Firewall.

أرز. 2. عند إنشاء مجموعات من أجهزة الكمبيوتر، يكون هناك ارتباط واضح بعنوان IP

وعلى العكس من ذلك، لا يوجد في جدار الحماية Cybersafe أي ربط بعنوان IP. يمكن وضع أجهزة الكمبيوتر التي تشكل جزءًا من مجموعة في شبكات فرعية مختلفة، وفي نطاقات مختلفة من نفس الشبكة الفرعية، وحتى خارج الشبكة. انظر إلى الشكل. 3. تقع فروع الشركة في مدن مختلفة (روستوف، نوفوروسيسك، الخ). يعد إنشاء المجموعات أمرًا بسيطًا للغاية - ما عليك سوى سحب أسماء أجهزة الكمبيوتر إلى المجموعة المطلوبة والنقر فوق الزر يتقدم. بعد ذلك يمكنك الضغط على الزر ضع قوانين- صياغة قواعد خاصة بكل مجموعة.

أرز. 3. إدارة المجموعات في Cybersafe Firewall

أما بالنسبة لـ TrustAccess، تجدر الإشارة إلى أنه متكامل بشكل وثيق مع النظام نفسه. يتم استيراد مجموعات النظام التي تم إنشاؤها بالفعل من المستخدمين وأجهزة الكمبيوتر إلى تكوين جدار الحماية، مما يسهل إدارة جدار الحماية في بيئة ActiveDirectory. لا يتعين عليك إنشاء ISDN في جدار الحماية نفسه، ولكن يمكنك استخدام مجموعات أجهزة الكمبيوتر الموجودة في مجال Active Directory.

أرز. 4. مجموعات المستخدمين وأجهزة الكمبيوتر (TrustAccess)

تسمح لك جميع جدران الحماية الثلاثة بإنشاء ما يسمى بالجداول الزمنية، والتي بفضلها يمكن للمسؤول تكوين مرور الحزم وفقًا لجدول زمني، على سبيل المثال، رفض الوصول إلى الإنترنت في غير ساعات العمل. في VipNet Office Firewall، يتم إنشاء الجداول في القسم جداول(الشكل 5)، وفي جدار حماية Cybersafe، يتم ضبط وقت تشغيل القاعدة عند تحديد القاعدة نفسها (الشكل 6).

أرز. 5. الجداول الزمنية في جدار حماية VipNet Office

أرز. 6. التحكم في وقت التشغيل في جدار حماية Cybersafe

أرز. 7. الجدول الزمني في TrustAccess

توفر جميع جدران الحماية الثلاثة أدوات ملائمة جدًا لإنشاء القواعد بنفسها. يوفر TrustAccess أيضًا معالجًا مناسبًا لإنشاء القواعد.

أرز. 8. إنشاء قاعدة في TrustAccess

دعونا نلقي نظرة على ميزة أخرى - أدوات تلقي التقارير (المجلات والسجلات). في TrustAccess، لتجميع التقارير والمعلومات حول الأحداث، تحتاج إلى تثبيت خادم الأحداث (EventServer) وخادم التقارير (ReportServer). وهذا ليس عيبًا، بل هو ميزة ("ميزة"، كما قال بيل جيتس) لجدار الحماية هذا. أما بالنسبة لجدران الحماية Cybersafe وVipNet Office، فإن كلا جداري الحماية يوفران أدوات ملائمة لعرض سجل حزم IP. والفرق الوحيد هو أن Cybersafe Firewall يعرض أولاً جميع الحزم، ويمكنك تصفية الحزم التي تحتاجها باستخدام إمكانيات التصفية المضمنة في رأس الجدول (الشكل 9). وفي VipNet Office Firewall، تحتاج أولاً إلى تثبيت عوامل التصفية، ثم عرض النتيجة.

أرز. 9. إدارة سجل حزم IP في Cybersafe Firewall

أرز. 10. إدارة سجل حزم IP في VipNet Office Firewall

كان لا بد من خصم 0.5 نقطة من جدار الحماية Cybersafe بسبب عدم وجود وظيفة تصدير السجل إلى Excel أو HTML. الوظيفة بعيدة كل البعد عن كونها حرجة، ولكن في بعض الأحيان يكون من المفيد تصدير عدة أسطر من السجل ببساطة وبسرعة، على سبيل المثال، من أجل "استخلاص المعلومات".

إذن نتائج هذا القسم:

منتج	درجة
جدار حماية مكتب VipNet
جدار الحماية السيبراني
تراست أكسس

سعر

من المستحيل ببساطة تجاوز الجانب المالي للقضية، لأنه غالبا ما يصبح حاسما عند اختيار منتج معين. وبالتالي، فإن تكلفة ترخيص ViPNet Office Firewall 4.1 (ترخيص لمدة عام واحد لجهاز كمبيوتر واحد) تبلغ 15710 روبل. وستكلف تكلفة ترخيص خادم واحد و5 محطات عمل TrustAccess 23925 روبل. يمكنك معرفة تكلفة منتجات البرامج هذه باستخدام الروابط الموجودة في نهاية المقالة.

تذكر هذين الرقمين: 15710 روبل. لجهاز كمبيوتر واحد (في السنة) و 23925 فرك. لخادم واحد و5 أجهزة كمبيوتر (سنويًا). والآن انتبه: مقابل هذا المال، يمكنك شراء ترخيص لـ 25 عقدة لجدار حماية Cybersafe (15178 روبل) أو إضافة القليل وسيكون هذا كافيًا لترخيص 50 عقدة (24025 روبل). ولكن الشيء الأكثر أهمية في هذا المنتج ليس التكلفة. والأهم هو مدة صلاحية الترخيص والدعم الفني. ترخيص Cybersafe Firewall ليس له تاريخ انتهاء صلاحية، كما هو الحال مع الدعم الفني. أي أنك تدفع مرة واحدة وتحصل على منتج برمجي بترخيص مدى الحياة ودعم فني.

منتج	درجة
جدار حماية مكتب VipNet
جدار الحماية السيبراني
تراست أكسس

موعد التسليم

من خلال تجربتنا، فإن وقت تسليم VipNet Office Firewall هو حوالي 2-3 أسابيع بعد الاتصال بـ Infotex OJSC. بصراحة، هذا وقت طويل جدًا، مع الأخذ في الاعتبار أنك تشتري منتجًا برمجيًا، وليس حزمة برامج.
وقت تسليم TrustAccess، إذا تم الطلب عبر Softline، هو يوم واحد. الفترة الأكثر واقعية هي 3 أيام، مع مراعاة بعض التأخير في Softline. على الرغم من أنه يمكنهم تسليمها خلال يوم واحد، إلا أن الأمر كله يعتمد على عبء العمل على Softline. مرة أخرى، هذه تجربة شخصية، وقد يختلف الموعد النهائي الفعلي لعميل معين. ولكن على أي حال، فإن وقت التسليم منخفض جدًا، ولا يمكن تجاهله.

أما بالنسبة لمنتج برنامج CyberSafe Firewall، فإن الشركة المصنعة تضمن تسليم النسخة الإلكترونية خلال 15 دقيقة بعد الدفع.

منتج	درجة
جدار حماية مكتب VipNet
جدار الحماية السيبراني
تراست أكسس

ماذا تختار؟

إذا ركزت فقط على تكلفة المنتج والدعم الفني، فسيكون الاختيار واضحًا - جدار حماية Cybersafe. يتمتع Cybersafe Firewall بوظيفة مثالية/نسبة السعر. من ناحية أخرى، إذا كنت بحاجة إلى دعم Secret Net، فأنت بحاجة إلى التطلع إلى TrustAccess. ولكن لا يمكننا أن نوصي إلا بـ VipNet Office Firewall باعتباره جدار حماية شخصيًا جيدًا، ولكن لهذه الأغراض هناك العديد من الحلول الأخرى والمجانية أيضًا.

المراجعة تتم من قبل متخصصين
شركة التكامل DORF LLC

قبل بضع سنوات فقط، لحماية جهاز الكمبيوتر الخاص بك بشكل موثوق، كان يكفي تثبيت برنامج جيد لمكافحة الفيروسات ومراقبة التحديثات المنتظمة لقاعدة البيانات. ومع ذلك، فإن براعة المهاجمين تؤدي إلى ظهور المزيد والمزيد من الطرق الجديدة لإحداث الضرر. في كثير من الأحيان، يكون الطريق الرئيسي لاختراق جهاز الكمبيوتر الخاص بالمستخدم هو من خلال اتصالات الشبكة، أو بشكل أكثر دقة، من خلال نقاط الضعف في النظام المرتبطة بها. يمكن لحزمة مكافحة الفيروسات اكتشاف التعليمات البرمجية الضارة فقط، ولكن ليست كل برامج مكافحة الفيروسات قادرة على اكتشاف الوصول غير المصرح به إلى البيانات.

مع تطور علاقات السوق، تكتسب المعلومات بشكل متزايد صفات السلعة، أي أنه يمكن شراؤها وبيعها ونقلها، ولسوء الحظ، سرقتها. ولذلك، فإن مشكلة ضمان أمن المعلومات تصبح أكثر إلحاحا كل عام. أحد الحلول الممكنة لهذه المشكلة هو استخدام جدران الحماية.

تعد تقنيات أمان الشبكات الحديثة واحدة من أكثر القطاعات ديناميكية في سوق الأمان الحديث. تتطور أدوات أمان الشبكات بسرعة كبيرة بحيث لم يتم بعد إنشاء المصطلحات المقبولة عمومًا حاليًا في هذا المجال بشكل كامل. تظهر وسائل الحماية هذه في الأدبيات ووسائل الإعلام كجدران الحماية وجدران الحماية وحتى أغشية المعلومات. لكن المصطلح الأكثر استخدامًا هو "جدران الحماية" (FW).

بشكل عام، لضمان حماية الشبكة، يتم تركيب شاشة أو غشاء معلومات بين مجموعتين من أنظمة المعلومات (IS)، وهي وسيلة لتقييد وصول العملاء من مجموعة واحدة من الأنظمة إلى المعلومات المخزنة على خوادم في مجموعة أخرى. وبهذا المعنى، يمكن تمثيل ME كمجموعة من المرشحات التي تحلل المعلومات التي تمر عبرها وتتخذ قرارًا: تمرير المعلومات أو حظرها. وفي الوقت نفسه، يتم تسجيل الأحداث وإصدار الإنذارات في حالة اكتشاف تهديد. عادةً ما تكون أنظمة التدريع غير متماثلة. بالنسبة للشاشات، تم تعريف مفهومي "الداخل" و"الخارج"، ومهمة الشاشة هي حماية الشبكة الداخلية من بيئة معادية محتملة. بالإضافة إلى ذلك، يمكن استخدام المعدات المتنقلة كجزء مفتوح للشركة من الشبكة، ويمكن رؤيته من الإنترنت. على سبيل المثال، تستخدم العديد من المؤسسات العناصر المتوسطة لتخزين بيانات الوصول المفتوح، مثل المعلومات حول المنتجات والخدمات والملفات من قواعد بيانات FTP ورسائل الخطأ وما إلى ذلك.

جدار الحماية أو جدار الحماية عبارة عن مجموعة من الأجهزة أو البرامج التي تتحكم في حزم الشبكة التي تمر عبرها وتصفيتها وفقًا لقواعد محددة.

تتمثل المهمة الرئيسية لجدار الحماية في حماية شبكات الكمبيوتر أو العقد الفردية من الوصول غير المصرح به. أيضًا، غالبًا ما تسمى جدران الحماية عوامل التصفية، نظرًا لأن مهمتها الرئيسية هي عدم السماح بمرور (تصفية) الحزم التي لا تفي بالمعايير المحددة في التكوين.

تسمح بعض جدران الحماية أيضًا بترجمة العناوين - الاستبدال الديناميكي لعناوين أو منافذ الإنترانت (الرمادية) بعناوين خارجية مستخدمة خارج الشبكة المحلية.

الشكل 4. هيكل جدار الحماية العام

اسماء اخرى

جدار الحماية (بالألمانية: Brandmauer) هو مصطلح مستعار من اللغة الألمانية، وهو مماثل لجدار الحماية الإنجليزي بمعناه الأصلي (جدار يفصل بين المباني المجاورة، ويحمي من انتشار الحريق). ومن المثير للاهتمام أنه في مجال تكنولوجيا الكمبيوتر، يتم استخدام كلمة "جدار الحماية" باللغة الألمانية.

جدار الحماية - يتكون من الترجمة الصوتية للمصطلح الإنجليزي جدار الحماية.

أنواع جدران الحماية

تنقسم جدران الحماية إلى أنواع مختلفة حسب الخصائص التالية:

ما إذا كان الدرع يوفر اتصالاً بين عقدة واحدة وشبكة أو بين شبكتين مختلفتين أو أكثر؛

على مستوى بروتوكولات الشبكة التي يتم التحكم في تدفق البيانات؛

ما إذا كانت حالات الاتصالات النشطة تتم مراقبتها أم لا.

اعتمادًا على تغطية تدفقات البيانات الخاضعة للرقابة، تنقسم جدران الحماية إلى:

الشبكة التقليدية (أو جدار الحماية) - برنامج (أو جزء لا يتجزأ من نظام التشغيل) على بوابة (خادم ينقل حركة المرور بين الشبكات) أو حل أجهزة يتحكم في تدفق البيانات الواردة والصادرة بين الشبكات المتصلة.

جدار الحماية الشخصي هو برنامج مثبت على كمبيوتر المستخدم ومصمم لحماية هذا الكمبيوتر فقط من الوصول غير المصرح به.

الحالة المتدهورة هي استخدام الخادم لجدار الحماية التقليدي لتقييد الوصول إلى موارده الخاصة.

اعتمادًا على المستوى الذي يتم عنده التحكم في الوصول، هناك تقسيم إلى جدران الحماية التي تعمل على:

مستوى الشبكة، عندما تتم التصفية بناءً على عناوين مرسل ومستلم الحزم، وأرقام منافذ طبقة النقل لنموذج OSI والقواعد الثابتة التي يحددها المسؤول؛

طبقة الجلسة (المعروفة أيضًا باسم الحالة) - تتبع الجلسات بين التطبيقات، وعدم السماح بالحزم التي تنتهك مواصفات TCP/IP، وغالبًا ما تستخدم في العمليات الضارة - فحص الموارد، والاختراق من خلال تطبيقات TCP/IP غير الصحيحة، والاتصالات المنقطعة/البطيئة، وحقن البيانات.

مستوى التطبيق، والتصفية بناءً على تحليل بيانات التطبيق المرسلة داخل الحزمة. تسمح لك هذه الأنواع من الشاشات بحظر نقل المعلومات غير المرغوب فيها والتي قد تكون ضارة بناءً على السياسات والإعدادات.

بعض حلول جدار الحماية على مستوى التطبيق عبارة عن خوادم وكيلة تتمتع ببعض إمكانيات جدار الحماية، وتقوم بتنفيذ وكلاء شفافين مع تخصص البروتوكول. إن إمكانيات الخادم الوكيل وتخصصه متعدد البروتوكولات تجعل التصفية أكثر مرونة من جدران الحماية الكلاسيكية، ولكن مثل هذه التطبيقات بها جميع عيوب الخوادم الوكيلة (على سبيل المثال، إخفاء هوية حركة المرور).

اعتمادًا على مراقبة الاتصالات النشطة، تكون جدران الحماية:

عديمة الحالة (تصفية بسيطة)، والتي لا تراقب الاتصالات الحالية (على سبيل المثال، TCP)، ولكنها تقوم بتصفية تدفق البيانات بناءً على القواعد الثابتة فقط؛

فحص الحزم (SPI) ذو الحالة والحالة (التصفية المدركة للسياق)، ومراقبة الاتصالات الحالية وتمرير فقط تلك الحزم التي تلبي المنطق والخوارزميات الخاصة بالبروتوكولات والتطبيقات المقابلة. تتيح هذه الأنواع من جدران الحماية إمكانية مكافحة أنواع مختلفة من هجمات DoS ونقاط الضعف في بعض بروتوكولات الشبكة بشكل أكثر فعالية. بالإضافة إلى ذلك، فهي تضمن عمل البروتوكولات مثل H.323 وSIP وFTP وما إلى ذلك، والتي تستخدم مخططات معقدة لنقل البيانات بين المستلمين، والتي يصعب وصفها بقواعد ثابتة، وغالبًا ما تكون غير متوافقة مع جدران الحماية القياسية عديمة الحالة.

تجدر الإشارة إلى أنه في الوقت الحاضر، إلى جانب جدران الحماية ذات المستوى الواحد، أصبحت جدران الحماية المعقدة التي تغطي المستويات من الشبكة إلى التطبيق شائعة بشكل متزايد، حيث تجمع هذه المنتجات بين أفضل خصائص جدران الحماية ذات المستوى الواحد من أنواع مختلفة. يوضح الشكل 1 بنية حماية المعلومات بين نظامين عند استخدام النموذج المرجعي ISO/OSI.

الشكل 5. إطار حماية المعلومات باستخدام النموذج المرجعي

المتطلبات الحديثة لجدران الحماية

الشرط الرئيسي هو ضمان أمان الشبكة الداخلية (المحمية) والتحكم الكامل في الاتصالات الخارجية وجلسات الاتصال.

يجب أن يتمتع النظام الأمني ​​بضوابط قوية ومرنة لتنفيذ السياسة الأمنية للمؤسسة بسهولة وبشكل كامل.

يجب أن يعمل جدار الحماية دون أن يلاحظه أحد من قبل مستخدمي الشبكة المحلية وألا يجعل من الصعب عليهم القيام بالإجراءات القانونية.

يجب أن يكون معالج جدار الحماية سريعًا، ويعمل بكفاءة كافية، ويكون قادرًا على التعامل مع جميع حركات المرور الواردة والصادرة في أوقات الذروة، بحيث لا يمكن حجبه بعدد كبير من المكالمات وتعطيل تشغيله.

يجب حماية نظام الأمان نفسه بشكل موثوق من أي تأثيرات غير مصرح بها، لأنه مفتاح المعلومات السرية في المنظمة.

يجب أن يكون نظام إدارة الشاشة قادرًا على فرض سياسة أمان موحدة مركزيًا للفروع البعيدة.

مميزات جدران الحماية الحديثة

وكما يتبين من الجدول 3، فإن جدار الحماية هو الوسيلة الأكثر شيوعًا لتعزيز الوسائل التقليدية للحماية من الوصول غير المصرح به ويستخدم لضمان حماية البيانات عند تنظيم الشبكات البينية.

تعتمد تطبيقات ME المحددة إلى حد كبير على منصات الحوسبة المستخدمة، ولكن، مع ذلك، تستخدم جميع أنظمة هذه الفئة آليتين، واحدة منها تضمن حظر حركة مرور الشبكة، والثانية، على العكس من ذلك، تسمح بتبادل البيانات.

وفي الوقت نفسه، تركز بعض إصدارات ME على حظر حركة المرور غير المرغوب فيها، بينما يركز البعض الآخر على تنظيم التبادل المسموح به بين الأجهزة.

الجدول 3 - ميزات جدران الحماية

نوع جدار الحماية	مبدأ التشغيل	مزايا	عيوب
حماية أجهزة التوجيه (جدران الحماية لتصفية الحزم)	يتم تنفيذ تصفية الحزم وفقًا لرأس IP الخاص بالحزمة وفقًا للمعيار: ما هو غير محظور صراحةً مسموح به. المعلومات التي تم تحليلها هي: - عنوان المرسل. - عنوان المستلم؛ - معلومات حول التطبيق أو البروتوكول؛ - رقم منفذ المصدر؛ - رقم منفذ المستلم	تكلفة منخفضة الحد الأدنى من التأثير على أداء الشبكة سهولة تكوين البرامج وتثبيتها بشكل شفاف	ضعف آلية الحماية أمام أنواع مختلفة من هجمات الشبكة، مثل انتحال عناوين مصدر الحزمة، والتعديل غير المصرح به لمحتويات الحزمة، نقص دعم سجل الأحداث وأدوات التدقيق في عدد من المنتجات
بوابة التدريع (ESG)	يتم تبادل المعلومات من خلال مضيف أساسي مثبت بين الشبكات الداخلية والخارجية، والذي يتخذ قرارات بشأن إمكانية توجيه حركة المرور. هناك نوعان من ES: مستوى الجلسة والتطبيق	· عدم وجود ممر شامل للحزم في حالة الفشل. · آليات أمنية محسنة، مقارنة بـ EM، مما يسمح باستخدام أدوات مصادقة إضافية، سواء البرامج أو الأجهزة. · استخدام إجراء ترجمة العنوان، الذي يسمح بإخفاء العناوين المضيفين في شبكة مغلقة	· استخدام الأجهزة المضيفة القوية فقط بسبب الحجم الكبير للحسابات. · الافتقار إلى "الشفافية" بسبب حقيقة أن الـ EHs تسبب تأخيرات في عملية الإرسال وتتطلب إجراءات مصادقة من المستخدم
حماية الشبكات الفرعية (ES)	يتم إنشاء شبكة فرعية معزولة بين الشبكات الداخلية والعامة. تتم معالجة الرسائل الواردة من الشبكة المفتوحة بواسطة بوابة التطبيق وينتهي بها الأمر في التوقيع الإلكتروني. وبعد اجتياز التحكم في التوقيع الإلكتروني بنجاح، يدخلون إلى شبكة مغلقة. تتم معالجة الطلبات الواردة من شبكة مغلقة من خلال التوقيع الإلكتروني بنفس الطريقة. التصفية تقوم على مبدأ: ما لا يجوز فهو حرام	إمكانية إخفاء عنوان الشبكة الداخلية · زيادة موثوقية الحماية · إمكانية إنشاء حركة مرور كبيرة بين الشبكات الداخلية والمفتوحة عند استخدام عدة مضيفين أساسيين في الشبكة الإلكترونية · "شفافية" العمل لأي خدمات شبكة وأي بنية داخلية شبكة	استخدام المضيفين الأقوياء فقط نظرًا للحجم الكبير للحسابات، لا يمكن إجراء الصيانة (التثبيت والتكوين) إلا بواسطة متخصصين

الخيارات النموذجية لتمكين جدران الحماية

الشكل 6. تشغيل ME باستخدام نظام بوابة ثنائي المنفذ

الشكل 7. تمكين ME مباشرة على الخادم المحمي

الشكل 8. تمكين ME في نظام الإنترانت عبر الإنترنت

الخصائص المقارنة لجدران الحماية الحديثة

الجدول 4 - الخصائص المقارنة لجدران الحماية الحديثة

		منصة	شركة	الخصائص
جدار الحماية الانقلابي	معقد	سنوس، يونيكس، سولاريس	صن مايكروسيستمز	تطبق سياسة أمنية: يتم تجاهل كافة البيانات التي ليس لديها إذن صريح. أثناء التشغيل، تقوم عوامل تصفية الحزم الموجودة على البوابات والخوادم بإنشاء سجلات لجميع الأحداث وتشغيل آليات الإنذار التي تتطلب استجابة المسؤول.
			شركة ميلكيواي للشبكات	لا يستخدم آلية تصفية الحزمة. مبدأ التشغيل: ما هو غير مسموح به صراحة محظور. يسجل جميع إجراءات الخادم ويحذر من الانتهاكات المحتملة. يمكن استخدامها كبوابة ثنائية الاتجاه.
خادم جدار الحماية BorderWare	بوابة فحص مستوى التطبيق	يونيكس، ويندوز، دوس	شركة الحوسبة الآمنة	برنامج أمان يضمن التشغيل تحت سيطرة نظام التشغيل (تطويرنا الخاص). يسمح لك بتسجيل العناوين والأوقات والمحاولات والبروتوكول المستخدم.
ALF (مرشح طبقة التطبيق)	بوابة فحص مستوى التطبيق			يمكن تصفية حزم IP حسب العناوين ونطاقات المنافذ والبروتوكولات والواجهات. يمكن تفويت الحزمة الواردة أو إزالتها أو إرسالها إلى عنوانها.
خدمة ANS InterLock	بوابة فحص مستوى التطبيق		أنظمة ANS CO+RE	يستخدم برامج وسيطة لخدمات Telnet، FTR، HTTR. يدعم تشفير الاتصالات من نقطة إلى نقطة، ويمكن استخدام الأجهزة كوسيلة للمصادقة.
	شاشة مدمجة	SunOS وBSDI على Intel وIRIX على INDY وChallenge		للتحليل يستخدم الوقت والتاريخ والعنوان والمنفذ وما إلى ذلك. يتضمن البرامج الوسيطة لطبقة التطبيقات لـ Telnet وFTR وSMTP وX11 وHTTP وGopher وغيرها من الخدمات.
	بوابة فحص مستوى التطبيق	سانوس، BSDI، سولاريس، HP-UX، AIX		يُنظر إلى الشبكة المغلقة من الخارج على أنها مضيف واحد. يحتوي على برامج وسيطة للخدمات: البريد الإلكتروني وبروتوكول FTR وما إلى ذلك. يسجل جميع إجراءات الخادم ويحذر من الانتهاكات.
	بوابة فحص مستوى التطبيق		البرمجيات الاسترليني	إنه منتج برمجي يحمي المعلومات من الوصول غير المصرح به عند توصيل الشبكات المغلقة والمفتوحة. يسمح لك بتسجيل جميع إجراءات الخادم والتحذير من الانتهاكات المحتملة.
جدار حماية CyberGuard	بوابة شاملة ثنائية الاتجاه (مضيف إلى قاعدة كمرشح أو بوابة على مستوى التطبيق أو شاشة شاملة)	منصة RISC، OS UNIX	شركة هاريس لأنظمة الكمبيوتر	تم استخدام حلول معقدة، بما في ذلك آليات أمان نظام التشغيل UNIX وأدوات الشبكة المتكاملة المصممة لأجهزة كمبيوتر RISC. يتم استخدام عنوان المصدر وعنوان الوجهة وما إلى ذلك للتحليل.
جدار الحماية الرقمي لنظام UNIX	شاشة مدمجة		شركة المعدات الرقمية	مثبت مسبقًا على أنظمة Digital Alpha ويوفر إمكانات مرشح التدريع وبوابة التطبيق.
مؤسسة النسر	بوابة فحص مستوى التطبيق	تنفيذ تقنية الشبكات الخاصة الافتراضية		يتضمن برامج وسيطة على مستوى التطبيق لخدمات FTR وHTTP وTelnet. يسجل جميع إجراءات الخادم ويحذر من الانتهاكات.
جدار الحماية IRX راوتر	جهاز التوجيه التدريع			يسمح لك بتحليل الشبكة من أجل تحسين حركة مرور الشبكة، وتوصيل الشبكة المحلية بشكل آمن بالشبكات البعيدة القائمة على الشبكات المفتوحة.
	جدار الحماية الشامل	إنتل x86، صن سبارك، إلخ.		يوفر الحماية ضد هجمات المتسللين مثل انتحال العناوين (تزوير عناوين الحزم) ويمثل مجموعة من أدوات الحماية على مستوى الشبكة والتطبيق.
جدار الحماية-1/VPN-1	جدار الحماية الشامل	إنتل x86، صن سبارك، إلخ.	تقنيات برمجيات نقطة التفتيش	يمثل واجهة تطبيق OPSEC API المفتوحة. يوفر: - التعرف على فيروسات الكمبيوتر. - مسح URL. - حظر Java وActiveX؛ - دعم بروتوكول SMTP؛ - تصفية HTTP؛ - معالجة بروتوكول FTP
مجموعة أدوات جدار الحماية TIS	مجموعة من البرامج لإنشاء وإدارة أنظمة جدار الحماية		نظم المعلومات الموثوقة	يتم توزيع جميع الوحدات في كود المصدر، وهي مكتوبة بلغة C. المجموعة مخصصة للمبرمجين الخبراء.
القفاز جدار حماية الإنترنت	بوابة فحص مستوى التطبيق	UNIX، BSD المضمون	نظم المعلومات الموثوقة	يدعم الخدمات: البريد الإلكتروني، خدمة الويب، الخدمات الطرفية، إلخ. الميزات: التشفير على مستوى الشبكة، الحماية ضد هجمات المتسللين مثل انتحال العناوين، الحماية ضد محاولات تغيير التوجيه.
	جدار حماية متعدد البروتوكولات	منصات الأجهزة المختلفة	شبكة-1 البرمجيات والتكنولوجيا	يتم تنفيذ التحكم على مستوى الإطار والحزمة والقناة والتطبيق (لكل بروتوكول). يتيح لك العمل مع أكثر من 390 بروتوكولًا، ويجعل من الممكن وصف أي شروط تصفية للعمل اللاحق.
زاستافا جيت	جدار الحماية الشامل	سبارك، سولاريس، يونيكس		تطبق سياسة أمنية: يتم تجاهل كافة البيانات التي ليس لديها إذن صريح.

جدار الحماية في حد ذاته ليس حلاً سحريًا لجميع تهديدات الشبكة. وعلى وجه الخصوص فهو:

لا يحمي عقد الشبكة من الاختراق عبر الأبواب الخلفية أو نقاط الضعف في البرامج؛

لا يوفر الحماية ضد العديد من التهديدات الداخلية، وفي المقام الأول تسرب البيانات؛

لا يحمي من قيام المستخدمين بتنزيل البرامج الضارة، بما في ذلك الفيروسات؛

لحل المشكلتين الأخيرتين، يتم استخدام الأدوات الإضافية المناسبة، على وجه الخصوص، برامج مكافحة الفيروسات. عادةً، يتصلون بجدار الحماية ويمررون عبر الجزء المقابل من حركة مرور الشبكة، ويعملون كوكيل شفاف لعقد الشبكة الأخرى، أو يتلقون نسخة من جميع البيانات المرسلة من جدار الحماية. ومع ذلك، يتطلب هذا التحليل موارد أجهزة كبيرة، لذلك يتم إجراؤه عادةً بشكل مستقل على كل عقدة في الشبكة.

تصنيف جدران الحماية

إحدى الآليات الفعالة لضمان أمن المعلومات لشبكات الكمبيوتر الموزعة هي الحماية، التي تؤدي وظائف تحديد تدفقات المعلومات على حدود الشبكة المحمية.

يعمل جدار الحماية على زيادة أمان كائنات الشبكة الداخلية من خلال تجاهل الطلبات غير المصرح بها من البيئة الخارجية، وبالتالي ضمان أمن جميع مكونات المعلومات. بالإضافة إلى وظائف التحكم في الوصول، يضمن التدريع تسجيل عمليات تبادل المعلومات.

يتم تنفيذ وظائف التدريع بواسطة جدار الحمايةأو جدار الحماية، والذي يُفهم على أنه نظام برمجي أو جهاز برمجي يتحكم في تدفقات المعلومات الداخلة و/أو الخارجة من نظام المعلومات ويضمن حماية نظام المعلومات عن طريق تصفية المعلومات. تتكون تصفية المعلومات من تحليل المعلومات بناءً على مجموعة من المعايير واتخاذ القرار بشأن استقبالها و/أو إرسالها.

يتم تصنيف جدران الحماية وفقًا للمعايير التالية:

· حسب الموقع في الشبكة - خارجي وداخلي، مما يوفر الحماية على التوالي من الشبكة الخارجية أو الحماية بين قطاعات الشبكة؛

· وفقًا لمستوى التصفية المتوافق مع النموذج المرجعي OSI/ISO.

تعمل جدران الحماية الخارجية عادةً فقط مع بروتوكول TCP/IP الخاص بالإنترنت العالمي. يمكن أن تدعم جدران الحماية الداخلية بروتوكولات متعددة، على سبيل المثال، عند استخدام نظام تشغيل الشبكة Novell Netware، يجب أخذ بروتوكول SPX/IPX في الاعتبار.

خصائص جدران الحماية

يعتمد تشغيل جميع جدران الحماية على استخدام المعلومات من طبقات مختلفة من نموذج OSI. بشكل عام، كلما ارتفع مستوى نموذج OSI الذي يقوم جدار الحماية عنده بتصفية الحزم، زاد مستوى الحماية الذي يوفره.

تنقسم جدران الحماية إلى أربعة أنواع:

· بوابات مستوى الدورة.

بوابات مستوى التطبيق؛

الجدول 4.5.1. أنواع جدران الحماية ومستويات نموذج ISO OSI

جدران الحماية لتصفية الحزمهي أجهزة توجيه أو برامج تعمل على خادم تم تكوينها لتصفية الحزم الواردة والصادرة. لذلك، تُسمى هذه الشاشات أحيانًا بمرشحات الحزم. يتم إجراء التصفية من خلال تحليل عناوين IP المصدر والوجهة، بالإضافة إلى منافذ حزم TCP وUDP الواردة ومقارنتها بجدول القواعد الذي تم تكوينه. تتميز جدران الحماية هذه بأنها سهلة الاستخدام وغير مكلفة ولها تأثير ضئيل على أداء نظام الكمبيوتر. العيب الرئيسي هو تعرضهم لانتحال عنوان IP. بالإضافة إلى ذلك، فهي معقدة في التكوين: يتطلب تثبيتها معرفة بروتوكولات الشبكة والنقل والتطبيقات.

بوابات الجلسةالتحكم في مقبولية جلسة التبليغ. ويقومون بمراقبة المصافحة بين العميل المعتمد والمضيف الخارجي (والعكس صحيح)، وتحديد ما إذا كانت جلسة الاتصال المطلوبة صالحة. عند تصفية الحزم، تعتمد بوابة طبقة الجلسة على المعلومات الموجودة في رؤوس حزم طبقة جلسة TCP، أي أنها تعمل بطبقتين أعلى من جدار حماية تصفية الحزمة. بالإضافة إلى ذلك، تحتوي هذه الأنظمة عادةً على وظيفة ترجمة عنوان الشبكة التي تخفي عناوين IP الداخلية، وبالتالي تمنع انتحال عنوان IP. ومع ذلك، تفتقر جدران الحماية هذه إلى التحكم في محتويات الحزم التي يتم إنشاؤها بواسطة الخدمات المختلفة. للتخلص من هذا العيب، يتم استخدام بوابات مستوى التطبيق.

بوابات التطبيقفحص محتويات كل حزمة تمر عبر البوابة ويمكنها تصفية أنواع محددة من الأوامر أو المعلومات في بروتوكولات طبقة التطبيق المكلفة بخدمتها. يعد هذا نوعًا أكثر تقدمًا وموثوقية من جدار الحماية الذي يستخدم وكلاء أو وكلاء طبقة التطبيق. يتم تجميع الوكلاء لخدمات إنترنت محددة (HTTP، FTP، Telnet، وما إلى ذلك) ويتم استخدامها للتحقق من حزم الشبكة للتأكد من وجود بيانات موثوقة.

تعمل بوابات مستوى التطبيق على تقليل مستويات أداء النظام بسبب إعادة المعالجة في برنامج الوكيل. لا يكون هذا ملحوظًا عند العمل على الإنترنت عند العمل عبر قنوات منخفضة السرعة، ولكنه يكون ملحوظًا عند العمل على شبكة داخلية.

تجمع جدران الحماية على مستوى الخبراء بين عناصر الفئات الثلاث الموضحة أعلاه. مثل جدران الحماية لتصفية الحزم، فإنها تعمل في طبقة الشبكة لنموذج OSI، حيث تقوم بتصفية الحزم الواردة والصادرة بناءً على فحص عناوين IP وأرقام المنافذ. تعمل جدران الحماية على مستوى الخبراء أيضًا كبوابة على مستوى الجلسة، حيث تحدد ما إذا كانت الحزم تنتمي إلى الجلسة المناسبة. وأخيرًا، تتولى جدران الحماية المتخصصة دور بوابة التطبيقات، حيث تقوم بتقييم محتويات كل حزمة وفقًا لسياسة الأمان الخاصة بالمؤسسة.

بدلاً من استخدام برامج الوسيط الخاصة بالتطبيقات، تستخدم جدران الحماية المتخصصة خوارزميات متخصصة للتعرف على البيانات ومعالجتها على مستوى التطبيق. تقوم هذه الخوارزميات بمقارنة الحزم بأنماط البيانات المعروفة، والتي من المفترض نظريًا أن توفر تصفية أكثر كفاءة للحزم.

استنتاجات حول الموضوع

1. يعمل جدار الحماية على زيادة أمان كائنات الشبكة الداخلية من خلال تجاهل الطلبات غير المصرح بها من البيئة الخارجية، وبالتالي ضمان أمن جميع مكونات المعلومات. بالإضافة إلى وظائف التحكم في الوصول، يوفر التدريع تسجيل تبادل المعلومات.

2. يتم تنفيذ وظائف الحماية بواسطة جدار الحماية أو جدار الحماية، والذي يُفهم على أنه برنامج أو نظام برمجي للأجهزة يتحكم في تدفقات المعلومات الداخلة و/أو الخارجة من نظام المعلومات ويضمن حماية نظام المعلومات عن طريق تصفية المعلومات.

3. يتم تصنيف جدران الحماية وفقًا للمعايير التالية: حسب الموقع على الشبكة ومستوى التصفية المتوافق مع النموذج المرجعي OSI/ISO.

4. تعمل جدران الحماية الخارجية عادةً فقط مع بروتوكول TCP/IP الخاص بالإنترنت العالمي. يمكن لجدران الحماية الداخلية أن تدعم بروتوكولات متعددة.

5. تنقسم جدران الحماية إلى أربعة أنواع:

· جدران الحماية مع تصفية الحزم.

· بوابات مستوى الدورة.

بوابات مستوى التطبيق؛

· جدران الحماية على مستوى الخبراء.

6. الحل الأكثر شمولاً لمشكلة التدريع هو جدران الحماية على مستوى الخبراء، والتي تجمع بين عناصر جميع أنواع جدران الحماية.

أسئلة للتحكم في النفس

1. ما هي آلية جدار الحماية؟

2. تحديد جدار الحماية.

3. مبدأ تشغيل جدران الحماية مع تصفية الحزم.

4. على أي مستوى بروتوكول تعمل بوابة مستوى الجلسة؟

5. ما الذي يميز جدران الحماية على مستوى الخبراء؟