جدار الحماية. ما هو جدار الحماية؟ ما هو المطلوب ل؟ أمثلة على ضبط معلمات الأمان

16.08.2019

14.9. جدران الحماية

يتزايد الاهتمام بجدران الحماية (جدار الحماية) من الأشخاص المتصلين بالإنترنت، وحتى تطبيقات الشبكة المحلية التي توفر مستوى متزايدًا من الأمان ظهرت. نأمل في هذا القسم أن نوضح ماهية جدران الحماية وكيفية استخدامها وكيفية الاستفادة من الإمكانيات التي توفرها نواة FreeBSD لتنفيذها.

14.9.1. ما هو جدار الحماية؟

هناك نوعان متميزان بوضوح من جدران الحماية المستخدمة يوميًا على الإنترنت الحديث. النوع الأول يسمى بشكل صحيح جهاز توجيه تصفية الحزمة . يعمل هذا النوع من جدار الحماية على جهاز متصل بشبكات متعددة ويطبق مجموعة من القواعد على كل حزمة تحدد ما إذا كان سيتم إعادة توجيه الحزمة أو حظرها. النوع الثاني ويعرف ب مخدم بروكسي ، يتم تنفيذه كبرامج شيطانية تقوم بالمصادقة وإعادة توجيه الحزم، ربما على جهاز به اتصالات شبكة متعددة حيث يتم تعطيل إعادة توجيه الحزم في kernel.

في بعض الأحيان يتم استخدام هذين النوعين من جدران الحماية معًا، بحيث لا يتم تشغيل سوى جهاز معين (يُعرف باسم مضيف المعقل ) مسموح له بإرسال الحزم عبر جهاز توجيه التصفية إلى الشبكة الداخلية. تعمل خدمات الوكيل على مضيف آمن، والذي عادة ما يكون أكثر أمانًا من آليات المصادقة العادية.

يأتي FreeBSD مزودًا بحزمة مرشحات (تُعرف باسم IPFW) مدمجة في النواة، والتي ستكون محور بقية هذا القسم. يمكن إنشاء خوادم بروكسي على FreeBSD من برامج طرف ثالث، ولكن هناك الكثير منها لنغطيها في هذا القسم.

14.9.1.1. أجهزة التوجيه مع تصفية الحزمة

جهاز التوجيه هو جهاز يقوم بإعادة توجيه الحزم بين شبكتين أو أكثر. تتم برمجة جهاز توجيه تصفية الحزم لمقارنة كل حزمة بقائمة من القواعد قبل تحديد ما إذا كان سيتم إعادة توجيهها أم لا. تتمتع معظم برامج التوجيه الحديثة بإمكانيات التصفية ويتم إعادة توجيه جميع الحزم بشكل افتراضي. لتمكين المرشحات، سوف تحتاج إلى تحديد مجموعة من القواعد.

لتحديد ما إذا كان ينبغي السماح لحزمة ما بالمرور أم لا، يبحث جدار الحماية في مجموعة من القواعد التي تطابق محتويات رؤوس الحزمة. بمجرد العثور على تطابق، يتم تنفيذ الإجراء المخصص لهذه القاعدة. قد يكون الإجراء هو إسقاط الحزمة أو إعادة توجيهها أو حتى إرسال رسالة ICMP إلى عنوان المصدر. يتم احتساب المباراة الأولى فقط لأنه يتم النظر إلى القواعد بترتيب معين. ولذلك، يمكن أن تسمى قائمة القواعد "سلسلة من القواعد" » .

تعتمد معايير اختيار الحزمة على البرنامج الذي تستخدمه، ولكن يمكنك عادةً تحديد القواعد بناءً على عنوان IP المصدر للحزمة وعنوان IP الوجهة ورقم المنفذ المصدر للحزمة ورقم المنفذ الوجهة (للبروتوكولات التي تدعم المنافذ)، أو حتى نوع الحزمة (UDP، TCP، ICMP، وما إلى ذلك).

14.9.1.2. خوادم بروكسي

الخوادم الوكيلة هي أجهزة كمبيوتر تستخدم فيها برامج النظام العادية ( telnetd, ftpdالخ) يتم استبدالها بخوادم خاصة. تسمى هذه الخوادم خوادم بروكسي ، لأنها تعمل عادةً مع الاتصالات الواردة فقط. هذا يسمح لك بالتشغيل (على سبيل المثال) التلنتالخادم الوكيل على جدار الحماية، وإتاحة إمكانية تسجيل الدخول باستخدام التلنتإلى جدار الحماية، وتمرير آلية المصادقة، والوصول إلى الشبكة الداخلية (وبالمثل، يمكن استخدام خوادم الوكيل للوصول إلى الشبكة الخارجية).

عادةً ما تكون الخوادم الوكيلة محمية بشكل أفضل من الخوادم الأخرى وغالبًا ما تحتوي على نطاق أوسع من آليات المصادقة، بما في ذلك أنظمة كلمة المرور لمرة واحدة، بحيث حتى إذا كان شخص ما يعرف كلمة المرور التي استخدمتها، فلن يتمكن من استخدامها للوصول إلى النظام، لأن كلمة المرور تنتهي صلاحيتها فور استخدامها لأول مرة. نظرًا لأن كلمة المرور لا تتيح الوصول مباشرةً إلى الكمبيوتر الذي يوجد عليه الخادم الوكيل، يصبح من الصعب جدًا الوصول إلى النظام من الباب الخلفي.

عادةً ما يكون لدى الخوادم الوكيلة طريقة لتقييد الوصول بشكل أكبر بحيث لا يتمكن سوى مضيفين محددين من الوصول إلى الخوادم. كما تسمح معظمها للمسؤول بتحديد المستخدمين وأجهزة الكمبيوتر التي يمكنهم الوصول إليها. مرة أخرى، تعتمد الخيارات المتاحة بشكل أساسي على البرنامج المستخدم.

14.9.2. ما الذي يسمح لك IPFW بفعله؟

برنامج IPFW المرفق مع FreeBSD هو نظام لتصفية الحزم والمحاسبة موجود في النواة ومجهز بأداة مساعدة لتكوين المستخدم، اي بي اف دبليو (8). تتيح لك هذه العناصر معًا تحديد وعرض القواعد التي تستخدمها النواة للتوجيه.

يتكون IPFW من جزأين مرتبطين. يقوم جدار الحماية بتصفية الحزم. يقوم جزء محاسبة حزمة IP بتتبع استخدام جهاز التوجيه بناءً على قواعد مشابهة لتلك المستخدمة في جزء جدار الحماية. يتيح ذلك للمسؤول تحديد، على سبيل المثال، مقدار حركة المرور التي يتلقاها جهاز التوجيه من كمبيوتر معين أو مقدار حركة مرور WWW التي يعيد توجيهها.

نظرًا للطريقة التي يتم بها تطبيق IPFW، يمكنك استخدامه على أجهزة الكمبيوتر التي لا تحتوي على جهاز توجيه لتصفية الاتصالات الواردة والصادرة. هذه حالة خاصة للاستخدام الأكثر عمومية لـ IPFW، ويتم استخدام نفس الأوامر والتقنيات في هذه الحالة.

14.9.3. تمكين IPFW على FreeBSD

نظرًا لأن الجزء الأكبر من نظام IPFW موجود في النواة، فستحتاج إلى إضافة معلمة واحدة أو أكثر إلى ملف تكوين النواة، اعتمادًا على الإمكانيات المطلوبة، وإعادة بناء النواة. راجع الفصل الخاص بإعادة بناء النواة (الفصل 8) للحصول على وصف تفصيلي لهذا الإجراء.

انتباه:قاعدة IPFW الافتراضية هي رفض IP من أي إلى أي. إذا لم تقم بإضافة أي قواعد أخرى في وقت التمهيد للسماح بالوصول، إذن اغلق المدخل إلى خادم مزود بجدار حماية ممكّن في النواة بعد إعادة التشغيل. نقترح تحديد firewall_type=open في الملف /etc/rc.conf عند إضافة جدار الحماية في البداية، ثم بعد اختبار وظائفه، تحرير القواعد في الملف /etc/rc.firewall. قد يكون الاحتياط الإضافي هو تكوين جدار الحماية مبدئيًا من وحدة التحكم المحلية، بدلاً من تسجيل الدخول من خلاله سش. بالإضافة إلى ذلك، من الممكن بناء النواة باستخدام المعلمات IPFIREWALL وIPFIREWALL_DEFAULT_TO_ACCEPT. في هذه الحالة، سيتم تغيير قاعدة IPFW الافتراضية للسماح باستخدام IP من أي إلى أي، مما سيمنع الحظر المحتمل.

هناك أربعة خيارات لتكوين kernel تتعلق بـ IPFW:

خيارات IPFIREWALL

يتضمن رمز تصفية الحزمة في النواة.

خيارات IPFIREWALL_VERBOSE

تمكين تسجيل الحزم عبر سجل النظام (8). بدون هذه المعلمة، حتى لو حددت في قواعد التصفية لتسجيل الحزم، فلن يعمل.

الخيارات IPFIREWALL_VERBOSE_LIMIT=10

يحد من عدد الحزم التي تم تسجيلها بواسطة كل قاعدة من خلال سجل النظام (8). يمكنك استخدام هذا الخيار إذا كنت تريد تسجيل تشغيل جدار الحماية، ولكنك لا تريد تعريض سجل النظام لهجوم حجب الخدمة.

عندما تصل إحدى القواعد في السلسلة إلى الحد المحدد بواسطة المعلمة، يتم إيقاف تشغيل التسجيل لهذه القاعدة. لتمكين التسجيل، ستحتاج إلى إعادة تعيين العداد المقابل باستخدام الأداة المساعدة اي بي اف دبليو (8) :

# إي بي إف دبليو صفر 4500

حيث 4500 هو رقم القاعدة التي تريد استئناف التسجيل لها.

خيارات IPFIREWALL_DEFAULT_TO_ACCEPT

تغيير القاعدة الافتراضية من "الرفض" إلى "السماح". وهذا يمنع الحظر المحتمل إذا تم تحميل النواة بدعم IPFIREWALL ولكن لم يتم تكوين جدار الحماية بعد. هذا الخيار مفيد أيضًا إذا كنت تستخدمه اي بي اف دبليو (8)كعلاج لبعض المشاكل عند ظهورها. ومع ذلك، استخدم الإعداد بحذر لأنه يفتح جدار الحماية ويغير سلوكه.

تعليق:الإصدارات السابقة من FreeBSD تضمنت خيار IPFIREWALL_ACCT. لقد تم إهمال هذا الخيار لأن الكود يمكّن المحاسبة تلقائيًا.

14.9.4. إعداد IPFW

تم تكوين برنامج IPFW باستخدام الأداة المساعدة اي بي اف دبليو (8). يبدو بناء جملة هذا الأمر معقدًا للغاية، ولكنه يصبح بسيطًا نسبيًا بمجرد فهم بنيته.

تستخدم الأداة حاليًا أربع فئات مختلفة من الأوامر: الإضافة/الحذف، والإدراج، والمسح، والمسح. يتم استخدام الإضافة/الإفلات لإنشاء القواعد التي تحدد كيفية قبول الحزم وإسقاطها وتسجيلها. يتم استخدام البحث لتحديد محتويات مجموعة القواعد (وتسمى أيضًا السلسلة) وعدادات الحزم (المحاسبة). يتم استخدام إعادة التعيين لحذف كافة القواعد في السلسلة. يتم استخدام Clear لإعادة ضبط عداد واحد أو أكثر إلى الصفر.

14.9.4.1. تغيير قواعد IPFW

ipfw [-N] الأمر [الرقم] بروتوكول عنوان الإجراء [المعلمات]

هناك علامة واحدة متاحة عند استخدام هذا النموذج من الأمر:

حل العناوين وأسماء الخدمات عند العرض.

يمكن تحديده فريقيمكن اختصارها إلى شكل فريد أقصر. موجود فرق :

إضافة قاعدة إلى قائمة التصفية/المحاسبة

إزالة قاعدة من قائمة التصفية/المحاسبة

استخدمت الإصدارات السابقة من IPFW إدخالات منفصلة لتصفية الحزم والمحاسبة. تأخذ الإصدارات الحديثة في الاعتبار الحزم لكل قاعدة.

إذا تم تحديد قيمة رقم، يتم استخدامه لوضع القاعدة في موضع محدد في السلسلة. وبخلاف ذلك، يتم وضع القاعدة في نهاية السلسلة برقم 100 أعلى من القاعدة السابقة (وهذا لا يشمل القاعدة الافتراضية رقم 65535).

باستخدام معلمة السجل، تقوم القواعد المقابلة بإخراج المعلومات إلى وحدة تحكم النظام إذا تم إنشاء النواة باستخدام خيار IPFIREWALL_VERBOSE.

موجود أجراءات :

قم بإسقاط الحزمة وأرسل حزمة ICMP إلى عنوان المصدر للإشارة إلى عدم إمكانية الوصول إلى المضيف أو المنفذ.

تخطي الحزمة كالمعتاد. (مرادفات: تمرير، السماح، قبول)

تخلص من الحزمة. لا يتم إصدار أي رسالة ICMP إلى المصدر (كما لو أن الحزمة لم تصل أبدًا إلى الهدف).

قم بتحديث عداد الحزم، لكن لا تقم بتطبيق قواعد السماح/الرفض عليه. سيستمر البحث مع القاعدة التالية في السلسلة.

كل فعليمكن كتابتها كبادئة فريدة أقصر.

يمكن تعريف ما يلي البروتوكولات :

يطابق جميع حزم IP

يطابق حزم ICMP

يطابق حزم TCP

يطابق حزم UDP

مجال عناوينيتكون مثل هذا:

مصدر العنوان/القناع [ميناء] هدف العنوان/القناع [ميناء]

يمكنك تحديد ميناءفقط مع البروتوكولات دعم المنافذ (UDP وTCP).

تعتبر المعلمة via اختيارية ويمكن أن تحتوي على عنوان IP أو اسم المجال لواجهة IP المحلية، أو اسم الواجهة (على سبيل المثال ed0)، فهي تقوم بتكوين القاعدة لتتوافق فقط مع تلك الحزم التي تمر عبر تلك الواجهة. يمكن استبدال أرقام الواجهة بقناع اختياري. على سبيل المثال، سوف يتوافق ppp* مع واجهات kernel PPP.

بناء الجملة يستخدم للإشارة عناوين/أقنعة:

عنوانأو عنوان/بتات القناعأو عنوان:قناع القالب

بدلاً من عنوان IP، يمكنك تحديد اسم مضيف موجود. بتات القناعهذا رقم عشري يشير إلى عدد البتات التي يجب تعيينها في قناع العنوان. على سبيل المثال، 192.216.222.1/24 سيقوم بإنشاء قناع يطابق جميع عناوين الشبكة الفرعية من الفئة C (في هذه الحالة، 192.216.222). قد يتم تحديد اسم مضيف صالح بدلاً من عنوان IP. قناع القالبهذا هو عنوان IP الذي سيتم ضربه منطقيًا بالعنوان المحدد. يمكن استخدام الكلمة الأساسية أي "أي عنوان IP".

يتم تحديد أرقام المنافذ بالتنسيق التالي:

ميناء [,ميناء [,ميناء [.]]]

لتحديد منفذ واحد أو قائمة المنافذ، أو

ميناء-ميناء

لتحديد نطاق من المنافذ. يمكنك أيضًا دمج نطاق واحد مع قائمة المنافذ، ولكن يجب دائمًا إدراج النطاق أولاً.

متاح خيارات :

يتم تشغيله إذا لم تكن الحزمة هي الحزمة الأولى من مخطط البيانات.

يطابق الحزم الواردة.

يطابق الحزم الصادرة.

ايبوبتيونس المواصفات

يتم تشغيله إذا كان رأس IP يحتوي على قائمة مفصولة بفواصل من المعلمات المحددة في المواصفات. معلمات IP المدعومة: ssrr (مسار المصدر الصارم)، lsrr (مسار المصدر غير المحكم)، rr (مسار حزمة السجل)، وts (الطابع الزمني). يمكن تغيير تأثير المعلمات الفردية عن طريق تحديد البادئة!.

مقرر

يتم تشغيله إذا كانت الحزمة جزءًا من اتصال TCP تم إنشاؤه بالفعل (أي إذا تم تعيين بتات RST أو ACK). يمكنك تحسين أداء جدار الحماية عن طريق وضع قاعدة مع مقرربالقرب من بداية السلسلة.

يتطابق إذا كانت الحزمة عبارة عن محاولة لإنشاء اتصال TCP (تم تعيين بت SYN ولم يتم تعيين بت ACK).

tcpflags أعلام

يتم تشغيله إذا كان رأس TCP يحتوي على قائمة مفصولة بفواصل أعلام. الأعلام المدعومة هي fin، وsyn، وrst، وpsh، وack، وurg. يمكن تغيير تأثير قواعد الأعلام الفردية عن طريق تحديد البادئة!.

أنواع Icmptypes أنواع

يتم تشغيله إذا كان نوع حزمة ICMP موجودًا في القائمة أنواع. يمكن تحديد القائمة على أنها أي مجموعة من النطاقات و/أو الأنواع الفردية، مفصولة بفواصل. أنواع ICMP شائعة الاستخدام هي 0 رد صدى (رد ping)، 3 وجهات غير قابلة للوصول، 5 إعادة توجيه، 8 طلب صدى (طلب ping)، و11 مرة تم تجاوزها (تُستخدم للإشارة إلى انتهاء صلاحية TTL، كما هو الحال مع تتبع المسار (8)).

14.9.4.2. عرض قواعد IPFW

بناء جملة هذا النموذج من الأمر هو:

قائمة ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S]

هناك سبعة أعلام لهذا النوع من الأوامر:

إظهار قيم العداد. هذه المعلمة هي الطريقة الوحيدة لعرض قيم العداد.

عرض القواعد في شكل مضغوط.

إظهار القواعد الديناميكية بالإضافة إلى القواعد الثابتة.

إذا تم تحديد الخيار -d، فقم أيضًا بإظهار القواعد الديناميكية منتهية الصلاحية.

عرض آخر وقت إطلاق لكل قاعدة في السلسلة. هذه القائمة غير متوافقة مع الصيغة المقبولة اي بي اف دبليو (8) .

حاول حل العناوين وأسماء الخدمات المحددة.

عرض المجموعة التي تنتمي إليها كل قاعدة. إذا لم يتم تحديد هذه العلامة، فلن يتم عرض القواعد المحظورة.

14.9.4.3. إعادة ضبط قواعد IPFW

بناء الجملة لإعادة تعيين القواعد:

ستتم إزالة جميع القواعد الموجودة في السلسلة باستثناء القاعدة الافتراضية التي حددتها النواة (رقم 65535). كن حذرًا عند إعادة ضبط القواعد؛ القاعدة التي تسقط الحزم افتراضيًا ستفصل النظام عن الشبكة حتى تتم إضافة قواعد السماح إلى السلسلة.

14.9.4.4. مسح عدادات حزم IPFW

بناء الجملة لمسح واحد أو أكثر من عدادات الحزم هو:

اي بي اف دبليو صفر [ فِهرِس]

عندما تستخدم دون حجة رقمسيتم مسح كافة عدادات الحزم. لو فِهرِسالمحددة، تنطبق عملية التنظيف فقط على قاعدة التسلسل المحددة.

14.9.5. أوامر سبيل المثال ل ipfw

سوف يرفض الأمر التالي جميع الحزم من المضيف evil.crackers.org إلى منفذ telnet الخاص بالمضيف Nice.people.org:

# ipfw إضافة رفض TCP من evil.crackers.org إلى Nice.people.org 23

يرفض المثال التالي ويسجل كل حركة مرور TCP من شبكة crackers.org (الفئة C) إلى كمبيوتر Nice.people.org (على أي منفذ).

# ipfw أضف سجل الرفض tcp من evil.crackers.org/24 إلى Nice.people.org

إذا كنت تريد منع إرسال جلسات X إلى شبكتك (جزء من شبكة من الفئة C)، فسيقوم الأمر التالي بإجراء التصفية اللازمة:

# أضف ipfw رفض TCP من أي إعداد إلى my.org/28 6000

لعرض السجلات المحاسبية:

# ipfw -a list أو بشكل مختصر # ipfw -a l

يمكنك أيضًا عرض آخر مرة تم فيها تشغيل القواعد باستخدام الأمر:

14.9.6. إنشاء جدار حماية مع تصفية الحزم

عند تكوين جدار الحماية في البداية، قبل اختبار الأداء وتشغيل الخادم، يوصى بشدة باستخدام إصدارات التسجيل للأوامر وتمكين تسجيل الدخول إلى kernel. سيسمح لك ذلك بتحديد مناطق المشكلات بسرعة وتصحيح الإعداد دون بذل الكثير من الجهد. حتى بعد اكتمال الإعداد الأولي، يوصى باستخدام التسجيل "للرفض" لأنه يسمح لك بمراقبة الهجمات المحتملة وتغيير قواعد جدار الحماية إذا تغيرت متطلبات جدار الحماية الخاص بك.

تعليق:إذا كنت تستخدم إصدار التسجيل لأمر القبول، فكن حذرًا لأنه قد يؤدي إلى إنشاء ملف كبيرحجم بيانات البروتوكول. سيتم تسجيل كل حزمة تمر عبر جدار الحماية، لذا فإن الكميات الكبيرة من FTP/http وحركة المرور الأخرى ستؤدي إلى إبطاء النظام بشكل كبير. سيؤدي هذا أيضًا إلى زيادة زمن الوصول لهذه الحزم لأن النواة تحتاج إلى القيام بعمل إضافي قبل السماح للحزمة بالمرور. syslogdسيستخدم أيضًا الكثير من وقت وحدة المعالجة المركزية لأنه سيرسل جميع البيانات الإضافية إلى القرص ويمكن أن يمتلئ القسم /var/log بسرعة.

سوف تحتاج إلى تمكين جدار الحماية في /etc/rc.conf.local أو /etc/rc.conf. تشرح الصفحة المرجعية المقابلة ما يجب القيام به بالضبط وتحتوي على أمثلة للإعدادات الجاهزة. إذا كنت لا تستخدم إعدادًا مسبقًا، فيمكن لأمر ipfw list وضع مجموعة القواعد الحالية في ملف، حيث يمكن وضعها في ملفات بدء تشغيل النظام. إذا كنت لا تستخدم /etc/rc.conf.local أو /etc/rc.conf لتمكين جدار الحماية، فمن المهم التأكد من تمكينه بعد تكوين الواجهات.

بعد ذلك، عليك أن تحدد ماذا بالضبطيجعل جدار الحماية الخاص بك! يعتمد هذا بشكل أساسي على مقدار الوصول الذي تريد الحصول عليه من الخارج إلى شبكتك. فيما يلي بعض القواعد العامة:

    قم بحظر الوصول الخارجي إلى أرقام منافذ TCP الأقل من 1024. توجد هنا معظم الخدمات الأمنية الهامة مثل الإصبع وSMTP (البريد) وtelnet.

    حاجز الجميعحركة مرور UDP الواردة. هناك عدد قليل جدًا من الخدمات المفيدة التي تعمل عبر UDP، ولكنها عادةً ما تشكل خطرًا أمنيًا (مثل بروتوكولات Sun RPC وNFS). هذه الطريقة لها أيضًا عيوب، نظرًا لأن بروتوكول UDP ليس على علم بالاتصال، كما أن حظر الحزم الواردة سيؤدي أيضًا إلى حظر الاستجابات لحركة مرور UDP الصادرة. يمكن أن يكون هذا مشكلة بالنسبة لأولئك الذين يستخدمون خوادم خارجية تعمل مع UDP. إذا كنت تريد السماح بالوصول إلى هذه الخدمات، فستحتاج إلى السماح بالحزم الواردة من المنافذ المناسبة. على سبيل المثال، ل ntpقد تحتاج إلى السماح بالحزم القادمة من المنفذ 123.

    منع كل حركة المرور من الخارج إلى المنفذ 6000. يُستخدم المنفذ 6000 للوصول إلى خوادم X11، ويمكن أن يشكل خطرًا أمنيًا (خاصة إذا كان لدى المستخدمين عادة تشغيل الأمر xhost + على محطات العمل الخاصة بهم). يمكن لـ X11 استخدام نطاق من المنافذ بدءًا من 6000، ويتم تحديد الحد الأعلى من خلال عدد شاشات X التي يمكن تشغيلها على الجهاز. الحد الأعلى المحدد بواسطة RFC 1700 (الأرقام المخصصة) هو 6063.

    تحقق من المنافذ التي تستخدمها الخدمات الداخلية (على سبيل المثال، خوادم SQL، وما إلى ذلك). قد يكون حظر هذه المنافذ فكرة جيدة أيضًا، نظرًا لأنها عادةً لا تقع ضمن النطاق 1-1024 المذكور أعلاه.

تتوفر قائمة أخرى للتحقق من إعدادات جدار الحماية في CERT على http://www.cert.org/tech_tips/packet_filtering.html

وكما ذكر أعلاه، كل هذه القواعد عادلة إدارة . يمكنك أن تقرر بنفسك قواعد التصفية التي سيتم استخدامها في جدار الحماية. لا يمكننا أن نتحمل أي مسؤولية إذا تم اختراق شبكتك، حتى لو كنت قد اتبعت النصائح المقدمة أعلاه.

14.9.7. تحسين النفقات العامة وIPFW

يرغب العديد من المستخدمين في معرفة مقدار تحميل IPFW للنظام. تعتمد الإجابة بشكل أساسي على مجموعة القواعد وسرعة المعالج. بالنظر إلى مجموعة صغيرة من القواعد، بالنسبة لمعظم التطبيقات التي تعمل على Ethernet، فإن الإجابة هي "ليس كثيرًا". هذا القسم مخصص لأولئك الذين يحتاجون إلى إجابة أكثر دقة.

تم إجراء القياسات اللاحقة باستخدام 2.2.5-STABLE في 486-66. (على الرغم من أن IPFW قد تغير قليلاً في إصدارات FreeBSD اللاحقة، إلا أن السرعة ظلت كما هي تقريبًا.) تم تعديل IPFW لقياس الوقت الذي يقضيه ip_fw_chk، وطباعة النتيجة على وحدة التحكم بعد كل 1000 حزمة.

تم اختبار مجموعتين من 1000 قاعدة. تم تصميم الأول لإظهار مجموعة سيئة من القواعد من خلال تكرار القاعدة:

# ipfw إضافة رفض TCP من أي إلى أي 55555

هذه المجموعة من القواعد سيئة لأن معظم قواعد IPFW لا تتطابق مع الحزم التي يتم فحصها (بسبب رقم المنفذ). بعد التكرار رقم 999 لهذه القاعدة، يتبع ذلك السماح بـ IP من أي قاعدة إلى أي قاعدة.

تم تصميم مجموعة ثانية من القواعد لاختبار كل قاعدة في أسرع وقت ممكن:

# ipfw إضافة رفض IP من 1.2.3.4 إلى 1.2.3.4

سيؤدي عنوان IP المصدر غير المطابق في القاعدة أعلاه إلى التحقق من هذه القواعد بسرعة كبيرة. كما كان من قبل، تسمح القاعدة رقم 1000 بالملكية الفكرية من أي إلى أي.

تبلغ تكلفة فحص الحزمة في الحالة الأولى حوالي 2.703 مللي ثانية/الحزمة، أو حوالي 2.7 ميكروثانية لكل قاعدة. يبلغ الحد النظري لسرعة المسح حوالي 370 حزمة في الثانية. بافتراض وجود اتصال Ethernet بسرعة 10 ميجابت في الثانية وحجم حزمة يصل إلى 1500 بايت تقريبًا، فإن هذا يؤدي إلى استخدام عرض النطاق الترددي بنسبة 55.5% فقط.

وفي الحالة الثانية، تم فحص كل حزمة في حوالي 1.172 مللي ثانية، أو حوالي 1.2 ميكروثانية لكل قاعدة. يبلغ الحد النظري لسرعة الفحص حوالي 853 حزمة في الثانية، مما يجعل الاستخدام الكامل لعرض النطاق الترددي لشبكة إيثرنت بسرعة 10 ميجابت في الثانية أمرًا ممكنًا.

لا يسمح لنا العدد الزائد من القواعد التي يتم فحصها ونوعها بإنشاء صورة قريبة من الظروف العادية - تم استخدام هذه القواعد فقط للحصول على معلومات حول وقت التحقق. فيما يلي بعض الإرشادات التي يجب مراعاتها لإنشاء مجموعة فعالة من القواعد:

    ضع القاعدة المعمول بها في أقرب وقت ممكن للتعامل مع غالبية حركة مرور TCP. لا تضع السماح لقواعد TCP أمامه.

    ضع القواعد المستخدمة بشكل متكرر بالقرب من بداية المجموعة من القواعد التي نادرًا ما تستخدم (بالطبع دون تغيير تأثير المجموعة بأكملها ). يمكنك تحديد القواعد الأكثر استخدامًا عن طريق التحقق من عدادات الحزم باستخدام الأمر ipfw -a l.

جدران الحماية هي أنظمة برمجية وقائية خاصة (جدران الحماية) تمنع الاختراق غير المصرح به وتخلق أيضًا حاجزًا لكل من الكمبيوتر الفردي والشبكة المحلية بأكملها من اختراق الأجهزة الضارة. بناءً على غرضها الرئيسي - عدم السماح للحزم المشبوهة بالمرور، تمتلك هذه البرامج تلقى اسم آخر - المرشحات. اليوم، أشهر الشركات المصنعة لجدران الحماية الأمنية هي: ZyXEL، Firewall، TrustPort Total Protection، ZoneAlarm، D-Link، Secure Computing، Watchguard Technologies.

إعداد جدران الحماية

يتم تكوين جدران الحماية يدويًا، مما يوفر القدرة على إعداد الحماية التفصيلية. ومن أهم الميزات إعداد برنامج مكافحة الفيروسات مباشرة على منفذ USB. من خلال ضبط الإعدادات اللازمة، يمكنك استخدام مثل هذا البرنامج لإنشاء تحكم كامل في الإدخال والإخراج على الشبكة المحلية وعلى كل جهاز إلكتروني داخلها.

من خلال إعداد شاشة واقية يدويًا على أحد أجهزة الكمبيوتر المتصلة بالشبكة، يمكنك نقل الإعدادات الجاهزة بسرعة إلى وحدات الشبكة الأخرى. علاوة على ذلك، يتم ضمان التشغيل المتزامن حتى مع الاتصال بالشبكة اللاسلكية. يستغرق ضبط معلمات جدار الحماية الضرورية بعض الوقت، ولكن إذا أهملتها، فقد تؤدي قيود الحماية إلى حظر بعض الخدمات الضرورية للتشغيل.

ميزات إضافية لتصفية الشبكة

توجد جدران حماية يمكن تهيئتها لتوفير حماية إضافية للخدمات والتطبيقات الفردية. على سبيل المثال، لمنع اختراق "الرقابة الأبوية" أو تثبيت "مكافحة البريد العشوائي". يمكن تحديد إعداد الوصول إلى الإنترنت وحقوق التشغيل في شبكة محلية مغلقة لكل برنامج وتطبيق بشكل منفصل. يسمح لك جدار الحماية بالتحكم في الوصول إلى المواقع، ويمكنه مراقبة فحص البوابات، وتصفية محتوى الويب. كما أنه قادر على منع الوصول من عناوين IP المشبوهة والإخطار بالهجوم أو محاولات التحقيق.

أنواع جدران الحماية

تنقسم جدران الحماية إلى الأنواع التالية:

جدار حماية تقليدي يوفر تصفية الوصول لإرسال واستقبال الحزم؛

جدار حماية للجلسة يراقب الجلسات الفردية بين التطبيقات المثبتة، مما يضمن حظر الوصول في الوقت المناسب إلى الحزم غير المعتمدة، والتي تُستخدم عادةً للقرصنة ومسح البيانات السرية وما إلى ذلك؛

جدار الحماية التحليلي الذي يقوم بإجراء التصفية بناءً على تحليل معلومات الحزمة الداخلية مع حظر لاحق لأحصنة طروادة المحددة؛

جدار حماية للأجهزة مزود بمسرع مدمج يسمح بمنع التطفل المتزامن (IPS)، والفحص المضاد للفيروسات، ومنع المستخدم داخل شبكة خاصة، وإخفاء هوية VPN، بالإضافة إلى أداء أكثر كفاءة لجدار الحماية.

تدابير وقائية

لضمان أمان عالي الجودة وموثوق ضد عمليات التطفل والقرصنة غير المصرح بها، من الضروري تثبيت جدار حماية معتمد فقط على عقد الشبكة. حاليًا، تنص القوانين التشريعية للاتحاد الروسي على شهادة FSTEC وGazpromsert وFSB. على سبيل المثال، فإنه يشهد أن مرشح جدار الحماية هذا يلبي جميع المتطلبات المنصوص عليها في الجزء الأول من وثيقة اللجنة الفنية الحكومية لروسيا. وتظهر شهادات FSB أن نظام برامج الحماية يتوافق مع Gosstandart الروسية فيما يتعلق بمتطلبات ضمان أمن وسرية المعلومات.

\\ 06.04.2012 17:16

جدار الحماية عبارة عن مجموعة من المهام لمنع الوصول غير المصرح به أو تلف أو سرقة البيانات أو التأثيرات السلبية الأخرى التي قد تؤثر على أداء الشبكة.

جدار الحماية، ويسمى أيضًا جدار الحماية(من جدار الحماية الإنجليزي) أو جدار الحماية الموجود على البوابة يسمح لك بتوفير وصول آمن للمستخدم إلى الإنترنت، مع حماية الاتصالات عن بعد بالموارد الداخلية. جدار الحمايةيبحث في كل حركة المرور التي تمر بين قطاعات الشبكة، ولكل حزمة يتخذ قرارًا - بالتمرير أو عدم التمرير. يتيح لك النظام المرن لقواعد جدار الحماية رفض الاتصالات أو السماح بها بناءً على العديد من المعلمات: العناوين والشبكات والبروتوكولات والمنافذ.

طرق مراقبة حركة المرور بين الشبكات المحلية والخارجية


تصفية الحزمة. اعتمادًا على ما إذا كانت الحزمة الواردة تستوفي الشروط المحددة في المرشحات، يتم تمريرها إلى الشبكة أو التخلص منها.

التفتيش جليل. في هذه الحالة، يتم فحص حركة المرور الواردة - وهي إحدى الطرق الأكثر تقدمًا لتنفيذ جدار الحماية. لا يعني الفحص تحليل الحزمة بأكملها، بل يعني فقط الجزء الرئيسي الخاص بها ومقارنتها بالقيم المعروفة مسبقًا من قاعدة بيانات الموارد المسموح بها. توفر هذه الطريقة أعلى أداء لجدار الحماية وأقل تأخير.

الخادم الوكيل: في هذه الحالة، يتم تركيب جهاز خادم وكيل إضافي بين الشبكات المحلية والخارجية، والذي يعمل بمثابة "بوابة" يجب أن تمر من خلالها جميع حركة المرور الواردة والصادرة.

جدار الحمايةيسمح لك بتكوين المرشحات المسؤولة عن تمرير حركة المرور من خلال:

عنوان IP. من خلال تعيين عنوان معين أو نطاق معين، يمكنك منع تلقي الحزم منها، أو على العكس من ذلك، السماح بالوصول فقط من عناوين IP هذه.

- ميناء. يمكن لجدار الحماية تكوين نقاط وصول التطبيق إلى خدمات الشبكة. على سبيل المثال، يستخدم بروتوكول نقل الملفات المنفذ 21، وتستخدم تطبيقات تصفح الويب المنفذ 80.

بروتوكول. يمكن تكوين جدار الحماية للسماح بمرور البيانات من بروتوكول واحد فقط، أو رفض الوصول باستخدامه. في أغلب الأحيان، يمكن أن يشير نوع البروتوكول إلى المهام المنجزة والتطبيق الذي يستخدمه ومجموعة معلمات الأمان. وفي هذا الصدد، يمكن تكوين الوصول فقط لتشغيل تطبيق واحد محدد ومنع الوصول الذي يحتمل أن يكون خطيرًا باستخدام جميع البروتوكولات الأخرى.

اسم النطاق. في هذه الحالة، يرفض عامل التصفية الاتصالات بموارد محددة أو يسمح بها. يتيح لك ذلك رفض الوصول إلى الخدمات وتطبيقات الشبكة غير المرغوب فيها، أو على العكس من ذلك، السماح بالوصول إليها فقط.

يمكن استخدام معلمات أخرى للمرشحات الخاصة بهذه الشبكة المحددة للتكوين، اعتمادًا على المهام التي يتم تنفيذها فيها.

في أغلب الأحيان، يتم استخدام جدار الحماية مع أدوات الأمان الأخرى، على سبيل المثال، برامج مكافحة الفيروسات.

كيف يعمل جدار الحماية

جدار الحمايةقابل للتنفيذ:

المعدات. في هذه الحالة، يعمل جهاز التوجيه الموجود بين الكمبيوتر والإنترنت بمثابة جدار حماية للأجهزة. يمكن توصيل عدة أجهزة كمبيوتر بجدار الحماية، وستكون جميعها محمية بواسطة جدار الحماية، وهو جزء من جهاز التوجيه.

برمجيا. النوع الأكثر شيوعًا لجدار الحماية، وهو برنامج متخصص يقوم المستخدم بتثبيته على جهاز الكمبيوتر الخاص به.

حتى في حالة توصيل جهاز توجيه مزود بجدار حماية مدمج، يمكن تثبيت جدار حماية إضافي على كل كمبيوتر على حدة. في هذه الحالة، سيكون من الصعب على المهاجم اختراق النظام.

مستندات رسمية

في عام 1997، تم اعتماد الوثيقة التوجيهية للجنة الفنية الحكومية برئاسة رئيس الاتحاد الروسي "تكنولوجيا الكمبيوتر. جدران الحماية. الحماية من الوصول غير المصرح به إلى المعلومات. مؤشرات الأمن من الوصول غير المصرح به إلى المعلومات". تحدد هذه الوثيقة خمس فئات أمان لجدار الحماية، تتميز كل منها بحد أدنى معين من متطلبات حماية المعلومات.

وفي عام 1998، تم تطوير وثيقة أخرى: “المتطلبات المؤقتة للأجهزة من نوع جدار الحماية”. ووفقًا لهذه الوثيقة، تم إنشاء 5 فئات أمان لجدار الحماية، والتي تستخدم لحماية المعلومات في الأنظمة الآلية التي تحتوي على أدوات التشفير.

ومنذ عام 2011، دخلت المتطلبات التشريعية لشهادة جدار الحماية حيز التنفيذ. وبالتالي، إذا تمت معالجة البيانات الشخصية على شبكة مؤسسة، فمن الضروري تثبيت جدار حماية معتمد من الخدمة الفيدرالية لمراقبة الصادرات (FSTEC).

في الآونة الأخيرة، كان هناك اتجاه للحد من الخصوصية على شبكة الإنترنت. ويرجع ذلك إلى القيود التي يفرضها التنظيم الحكومي للإنترنت على المستخدم. يوجد تنظيم حكومي للإنترنت في العديد من البلدان (الصين وروسيا وبيلاروسيا).

"عملية احتيال لتسجيل اسم النطاق في آسيا" في RuNet! لقد قمت بالتسجيل أو شراء نطاق وأنشأت موقعًا إلكترونيًا عليه. مع مرور السنين، يتطور الموقع ويصبح مشهورًا. لقد "تلاشى" الدخل منه بالفعل. تتلقى دخلك وتدفع ثمن النطاق والاستضافة والمصاريف الأخرى...

تحتاج الشبكة إلى الحماية من التهديدات الخارجية. يمكن أن تؤثر سرقة البيانات والوصول غير المصرح به والأضرار على عمليات الشبكة وتتسبب في خسائر فادحة. استخدم برامج وأجهزة خاصة لحماية نفسك من التأثيرات المدمرة. في هذه المراجعة سنتحدث عن جدار الحماية وننظر إلى أنواعه الرئيسية.

الغرض من جدران الحماية

جدران الحماية (جدران الحماية) أو جدران الحماية هي تدابير للأجهزة والبرامج لمنع التأثيرات السلبية من الخارج. يعمل جدار الحماية كمرشح: من تدفق حركة المرور بالكامل، يتم غربلة حركة المرور المسموح بها فقط. وهذا هو خط الدفاع الأول بين الشبكات الداخلية والشبكات الخارجية مثل الإنترنت. وقد تم استخدام هذه التكنولوجيا لمدة 25 عاما.

نشأت الحاجة إلى جدران الحماية عندما أصبح من الواضح أن مبدأ الاتصال الكامل بالشبكة لم يعد يعمل. بدأت أجهزة الكمبيوتر في الظهور ليس فقط في الجامعات والمختبرات. مع انتشار أجهزة الكمبيوتر والإنترنت، أصبح من الضروري فصل الشبكات الداخلية عن الشبكات الخارجية غير الآمنة لكي تحمي نفسك من المتطفلين وتحمي حاسوبك من الاختراق.

لحماية شبكة الشركة، يتم تثبيت جدار حماية للأجهزة - يمكن أن يكون هذا جهازًا منفصلاً أو جزءًا من جهاز التوجيه. ومع ذلك، لا يتم تطبيق هذه الممارسة دائما. الطريقة البديلة هي تثبيت برنامج جدار الحماية على الكمبيوتر الذي يحتاج إلى الحماية. ومن الأمثلة على ذلك جدار الحماية المدمج في نظام التشغيل Windows.

من المنطقي استخدام برنامج جدار الحماية على كمبيوتر محمول خاص بالشركة تستخدمه على شبكة آمنة للشركة. خارج أسوار المنظمة، تجد نفسك في بيئة غير محمية - سيحميك جدار الحماية المثبت في رحلات العمل، عند العمل في المقاهي والمطاعم.

كيف يعمل جدار الحماية

تتم تصفية حركة المرور بناءً على قواعد الأمان المحددة مسبقًا. ولهذا الغرض، يتم إنشاء جدول خاص يتم فيه إدخال وصف للبيانات المقبولة وغير المقبولة للنقل. لا يسمح جدار الحماية بحركة المرور إذا تم تشغيل إحدى قواعد الحظر من الجدول.

يمكن أن ترفض جدران الحماية الوصول أو تسمح به بناءً على معلمات مختلفة: عناوين IP وأسماء النطاق والبروتوكولات وأرقام المنافذ، بالإضافة إلى مجموعة منها.

  • عناوين الانترنت بروتوكول. كل جهاز يستخدم بروتوكول IP له عنوان فريد. يمكنك تحديد عنوان أو نطاق محدد لإيقاف محاولات تلقي الحزم. أو العكس - منح الوصول فقط إلى دائرة معينة من عناوين IP.
  • الموانئ. هذه هي النقاط التي تتيح للتطبيقات الوصول إلى البنية التحتية للشبكة. على سبيل المثال، يستخدم بروتوكول ftp المنفذ 21، والمنفذ 80 مخصص للتطبيقات المستخدمة لتصفح مواقع الويب. وهذا يمنحنا القدرة على منع الوصول إلى تطبيقات وخدمات معينة.
  • اسم النطاق. يعد عنوان مورد الإنترنت أيضًا معلمة تصفية. يمكنك منع حركة المرور من موقع واحد أو أكثر. ستتم حماية المستخدم من المحتوى غير المناسب، والشبكة من التأثيرات الضارة.
  • بروتوكول. تم تكوين جدار الحماية للسماح بحركة مرور بروتوكول واحد أو منع الوصول إلى أحد البروتوكولات. يشير نوع البروتوكول إلى مجموعة معلمات الأمان والمهمة التي ينفذها التطبيق الذي يستخدمه.

أنواع الاتحاد الدولي للاتصالات

1. الخادم الوكيل

أحد مؤسسي الاتحاد الدولي للاتصالات الذي يعمل كبوابة للتطبيقات بين الشبكات الداخلية والخارجية. لدى الخوادم الوكيلة وظائف أخرى، بما في ذلك حماية البيانات والتخزين المؤقت. بالإضافة إلى ذلك، فهي لا تسمح بالاتصالات المباشرة من خارج حدود الشبكة. قد يؤدي استخدام ميزات إضافية إلى فرض ضغط غير ضروري على الأداء وتقليل الإنتاجية.

2. جدار الحماية مع التحكم في حالة الجلسة

تعد الشاشات التي تتمتع بالقدرة على مراقبة حالة الجلسات بمثابة تقنية راسخة بالفعل. يتأثر قرار قبول البيانات أو حظرها بالحالة والمنفذ والبروتوكول. تقوم هذه الإصدارات بمراقبة كافة الأنشطة مباشرة بعد فتح الاتصال حتى يتم إغلاقه. يقرر النظام ما إذا كان سيتم حظر حركة المرور أم لا، بناءً على القواعد والسياق الذي يحدده المسؤول. وفي الحالة الثانية، تؤخذ في الاعتبار البيانات المقدمة من الاتحاد الدولي للاتصالات من الاتصالات السابقة.

3. إدارة التهديدات الموحدة للاتحاد الدولي للاتصالات (UTM)

جهاز معقد. كقاعدة عامة، يحل جدار الحماية هذا ثلاث مشاكل:

  • تراقب حالة الجلسة؛
  • يمنع التطفل؛
  • يقوم بإجراء فحص مكافحة الفيروسات.

في بعض الأحيان، تتضمن جدران الحماية التي تمت ترقيتها إلى إصدار UTM وظائف أخرى، على سبيل المثال: إدارة السحابة.

4. جدار الحماية من الجيل التالي (NGFW)

الرد على التهديدات الحديثة. يعمل المهاجمون باستمرار على تطوير تقنيات الهجوم، وإيجاد نقاط ضعف جديدة، وتحسين البرامج الضارة، وزيادة صعوبة صد الهجمات على مستوى التطبيق. جدار الحماية هذا لا يقوم فقط بتصفية الحزم ومراقبة حالة الجلسات. وهو مفيد في الحفاظ على أمن المعلومات بسبب الميزات التالية:

  • مع الأخذ في الاعتبار ميزات التطبيق، مما يجعل من الممكن التعرف على البرامج الضارة وتحييدها؛
  • الدفاع ضد الهجمات المستمرة من الأنظمة المصابة؛
  • قاعدة بيانات محدثة تحتوي على أوصاف للتطبيقات والتهديدات؛
  • مراقبة حركة المرور المشفرة باستخدام بروتوكول SSL.

5. جدار الحماية من الجيل الجديد مع حماية نشطة من التهديدات

هذا النوع من جدار الحماية هو نسخة محسنة من NGFW. يساعد هذا الجهاز على الحماية من التهديدات المتقدمة. وظائف إضافية يمكن أن:

  • النظر في السياق وتحديد الموارد الأكثر عرضة للخطر؛
  • وصد الهجمات بسرعة من خلال أتمتة الأمان، التي تدير الحماية وتضع السياسات بشكل مستقل؛
  • تحديد الأنشطة المشتتة للانتباه أو المشبوهة من خلال استخدام ارتباط الأحداث على الشبكة وأجهزة الكمبيوتر؛

يقدم هذا الإصدار من جدار الحماية NGFW سياسات موحدة تعمل على تبسيط الإدارة إلى حد كبير.

عيوب الاتحاد الدولي للاتصالات

تعمل جدران الحماية على حماية الشبكة من المتسللين. ومع ذلك، عليك أن تأخذ تكوينها على محمل الجد. كن حذرًا: إذا ارتكبت خطأً عند تكوين معلمات الوصول، فسوف تتسبب في ضرر وسيقوم جدار الحماية بإيقاف حركة المرور الضرورية وغير الضرورية، وستصبح الشبكة غير صالحة للعمل.

يمكن أن يؤدي استخدام جدار الحماية إلى انخفاض أداء الشبكة. تذكر أنهم يعترضون كل حركة المرور الواردة للتفتيش. عندما تكون الشبكة كبيرة، فإن محاولة فرض الأمن وإدخال المزيد من القواعد ستؤدي إلى بطء الشبكة.

في كثير من الأحيان، لا يكفي جدار الحماية وحده لتأمين الشبكة بشكل كامل من التهديدات الخارجية. ولذلك، يتم استخدامه مع برامج أخرى، مثل برامج مكافحة الفيروسات.

تصنيف جدران الحماية

إحدى الآليات الفعالة لضمان أمن المعلومات لشبكات الكمبيوتر الموزعة هي الحماية، التي تؤدي وظائف تحديد تدفقات المعلومات على حدود الشبكة المحمية.

يعمل جدار الحماية على زيادة أمان كائنات الشبكة الداخلية من خلال تجاهل الطلبات غير المصرح بها من البيئة الخارجية، وبالتالي ضمان أمن جميع مكونات المعلومات. بالإضافة إلى وظائف التحكم في الوصول، يضمن التدريع تسجيل عمليات تبادل المعلومات.

يتم تنفيذ وظائف التدريع بواسطة جدار الحمايةأو جدار الحماية، والذي يُفهم على أنه نظام برمجي أو جهاز برمجي يتحكم في تدفقات المعلومات الداخلة و/أو الخارجة من نظام المعلومات ويضمن حماية نظام المعلومات عن طريق تصفية المعلومات. تتكون تصفية المعلومات من تحليل المعلومات بناءً على مجموعة من المعايير واتخاذ القرار بشأن استقبالها و/أو إرسالها.

يتم تصنيف جدران الحماية وفقًا للمعايير التالية:

· حسب الموقع في الشبكة - خارجي وداخلي، مما يوفر الحماية على التوالي من الشبكة الخارجية أو الحماية بين قطاعات الشبكة؛

· وفقًا لمستوى التصفية المتوافق مع النموذج المرجعي OSI/ISO.

تعمل جدران الحماية الخارجية عادةً فقط مع بروتوكول TCP/IP الخاص بالإنترنت العالمي. يمكن أن تدعم جدران الحماية الداخلية بروتوكولات متعددة، على سبيل المثال، عند استخدام نظام تشغيل الشبكة Novell Netware، يجب أخذ بروتوكول SPX/IPX في الاعتبار.

خصائص جدران الحماية

يعتمد تشغيل جميع جدران الحماية على استخدام المعلومات من طبقات مختلفة من نموذج OSI. بشكل عام، كلما ارتفع مستوى نموذج OSI الذي يقوم جدار الحماية عنده بتصفية الحزم، زاد مستوى الحماية الذي يوفره.

تنقسم جدران الحماية إلى أربعة أنواع:

· بوابات مستوى الدورة.

بوابات مستوى التطبيق؛

الجدول 4.5.1. أنواع جدران الحماية ومستويات نموذج ISO OSI

جدران الحماية لتصفية الحزمهي أجهزة توجيه أو برامج تعمل على خادم تم تكوينها لتصفية الحزم الواردة والصادرة. لذلك، تُسمى هذه الشاشات أحيانًا بمرشحات الحزم. يتم إجراء التصفية من خلال تحليل عناوين IP المصدر والوجهة، بالإضافة إلى منافذ حزم TCP وUDP الواردة ومقارنتها بجدول القواعد الذي تم تكوينه. تتميز جدران الحماية هذه بأنها سهلة الاستخدام وغير مكلفة ولها تأثير ضئيل على أداء نظام الكمبيوتر. العيب الرئيسي هو تعرضهم لانتحال عنوان IP. بالإضافة إلى ذلك، فهي معقدة في التكوين: يتطلب تثبيتها معرفة بروتوكولات الشبكة والنقل والتطبيقات.

بوابات الجلسةالتحكم في مقبولية جلسة التبليغ. ويقومون بمراقبة المصافحة بين العميل المعتمد والمضيف الخارجي (والعكس صحيح)، وتحديد ما إذا كانت جلسة الاتصال المطلوبة صالحة. عند تصفية الحزم، تعتمد بوابة طبقة الجلسة على المعلومات الموجودة في رؤوس حزم طبقة جلسة TCP، أي أنها تعمل بطبقتين أعلى من جدار حماية تصفية الحزمة. بالإضافة إلى ذلك، تحتوي هذه الأنظمة عادةً على وظيفة ترجمة عنوان الشبكة التي تخفي عناوين IP الداخلية، وبالتالي تمنع انتحال عنوان IP. ومع ذلك، تفتقر جدران الحماية هذه إلى التحكم في محتويات الحزم التي يتم إنشاؤها بواسطة الخدمات المختلفة. للتخلص من هذا العيب، يتم استخدام بوابات مستوى التطبيق.

بوابات التطبيقفحص محتويات كل حزمة تمر عبر البوابة ويمكنها تصفية أنواع محددة من الأوامر أو المعلومات في بروتوكولات طبقة التطبيق المكلفة بخدمتها. يعد هذا نوعًا أكثر تقدمًا وموثوقية من جدار الحماية الذي يستخدم وكلاء أو وكلاء طبقة التطبيق. يتم تجميع الوكلاء لخدمات إنترنت محددة (HTTP، FTP، Telnet، وما إلى ذلك) ويتم استخدامها للتحقق من حزم الشبكة للتأكد من وجود بيانات موثوقة.

تعمل بوابات مستوى التطبيق على تقليل مستويات أداء النظام بسبب إعادة المعالجة في برنامج الوكيل. لا يكون هذا ملحوظًا عند العمل على الإنترنت عند العمل عبر قنوات منخفضة السرعة، ولكنه يكون ملحوظًا عند العمل على شبكة داخلية.

تجمع جدران الحماية على مستوى الخبراء بين عناصر الفئات الثلاث الموضحة أعلاه. مثل جدران الحماية لتصفية الحزم، فإنها تعمل في طبقة الشبكة لنموذج OSI، حيث تقوم بتصفية الحزم الواردة والصادرة بناءً على فحص عناوين IP وأرقام المنافذ. تعمل جدران الحماية على مستوى الخبراء أيضًا كبوابة على مستوى الجلسة، حيث تحدد ما إذا كانت الحزم تنتمي إلى الجلسة المناسبة. وأخيرًا، تتولى جدران الحماية المتخصصة دور بوابة التطبيقات، حيث تقوم بتقييم محتويات كل حزمة وفقًا لسياسة الأمان الخاصة بالمؤسسة.

بدلاً من استخدام برامج الوسيط الخاصة بالتطبيقات، تستخدم جدران الحماية المتخصصة خوارزميات متخصصة للتعرف على البيانات ومعالجتها على مستوى التطبيق. تقوم هذه الخوارزميات بمقارنة الحزم بأنماط البيانات المعروفة، والتي من المفترض نظريًا أن توفر تصفية أكثر كفاءة للحزم.

استنتاجات حول الموضوع

1. يعمل جدار الحماية على زيادة أمان كائنات الشبكة الداخلية من خلال تجاهل الطلبات غير المصرح بها من البيئة الخارجية، وبالتالي ضمان أمن جميع مكونات المعلومات. بالإضافة إلى وظائف التحكم في الوصول، يوفر التدريع تسجيل تبادل المعلومات.

2. يتم تنفيذ وظائف الحماية بواسطة جدار الحماية أو جدار الحماية، والذي يُفهم على أنه برنامج أو نظام برمجي للأجهزة يتحكم في تدفقات المعلومات الداخلة و/أو الخارجة من نظام المعلومات ويضمن حماية نظام المعلومات عن طريق تصفية المعلومات.

3. يتم تصنيف جدران الحماية وفقًا للمعايير التالية: حسب الموقع على الشبكة ومستوى التصفية المتوافق مع النموذج المرجعي OSI/ISO.

4. تعمل جدران الحماية الخارجية عادةً فقط مع بروتوكول TCP/IP الخاص بالإنترنت العالمي. يمكن لجدران الحماية الداخلية أن تدعم بروتوكولات متعددة.

5. تنقسم جدران الحماية إلى أربعة أنواع:

· جدران الحماية مع تصفية الحزم.

· بوابات مستوى الدورة.

بوابات مستوى التطبيق؛

· جدران الحماية على مستوى الخبراء.

6. الحل الأكثر شمولاً لمشكلة التدريع هو جدران الحماية على مستوى الخبراء، والتي تجمع بين عناصر جميع أنواع جدران الحماية.

أسئلة للتحكم في النفس

1. ما هي آلية جدار الحماية؟

2. تحديد جدار الحماية.

3. مبدأ تشغيل جدران الحماية مع تصفية الحزم.

4. على أي مستوى بروتوكول تعمل بوابة مستوى الجلسة؟

5. ما الذي يميز جدران الحماية على مستوى الخبراء؟



مقالات مماثلة
أنواع
  • أجهزة التوجيه
  • الأقراص الصلبة
  • لا يتم تشغيله
  • الطابعات
  • الفرامل
  • يتجمد
  • الفيروسات
  • أجهزة لوحية
المواد شعبية
مقالات جديدة