هو خط الدفاع الأول عن جهازك وشبكتك الخاصة ويضمن بقاء كل من لا ترغب به بعيدًا عنها، ويكون جدار الحماية إمَّا جهازًا أو برنامجًا يحيط عادةً بالشبكة ليضبط حركة دخول البيانات وخروجها.
يسمح لك جدار الحماية بوضع قواعد معينة تحدد حركة البيانات المسموح بها داخل شبكتك الخاصة وخارجها، فباستطاعتك تضييق مجال الوصول تبعًا لنمط جدار الحماية المستخدم ليشمل عناوين IP محددة وأسماء المجال، كما يمكنك حظر أنماطٍ محددة من حركة البيانات من خلال حظر أجزاء TCP/IP المستخدمة.
جدار حماية الحاسوب
هو نظام حماية خاص بالحاسوب فقط ويشير إلى أي تطبيق أو جهاز يعمل على منع الفيروسات أو القراصنة من غزو الحاسوب وسرقة مُحتواه. ويمكن لجدار الحماية هذا أن يكون برنامجًا مُتخصصًا مثل Zone Alarm/Sygate windows firewall - أو جهاز مُثبَّت على الحاسوب Linksys/D-link أو كليهما معًا.*
جدار حماية الشبكة
يحمي جدار الحماية شبكة الحواسيب الداخلية من عمليات الدخول المشبوهة لجهاتٍ خارجيةٍ كالمواقع التي تحتوي بياناتٍ ضارة أو منافذُ الشبكة المفتوحة دون حماية، ويمكن استخدامه للحدّ من الاتصالات الخارجية التي يُجريها مستخدمون داخل الشبكة تمامًا كما في حالة الرقابة الأبوية أو عند إنشاء منطقة عمل مُغلقة.*
الفرق بين جدار حماية الحاسوب وجدار حماية الشبكة
أنواع جدار الحماية
يمكن أن تكون جدران الحماية إما برامج (Software) أو أجهزة مادية (Hardware)، والحقيقة يكون من الأفضل امتلاك النوعين، فجدران الحماية من نوع (Software)
هي برامج تثبت على كل حاسب لتعمل عملها في تنظيم حركة عبور البيانات خلال المنافذ والتطبيقات،
في حين أن جدران الحماية من النوع (Hardware) عبارة عن أجهزة مادية توضع بين الشبكة الخارجية وحاسبك الذي تتصل بواسطته، أي أنها تمثل الوصلة بين حاسبك والشبكة الخارجية.
أنواع جدران الحماية ووظائفها
بسبب العديد من الاضطرابات أو المشاكل الناشئة عن استخدام الإنترنت ليس من المستغرب إذا كانت هناك أنواع أخرى من الجدران النارية مع وظائفها الرئيسية.
هناك سبعة أنواع من الجدران النارية وهي مرشح الحزمة ، بوابة مستوى الدائرة ، مستوى التطبيق ، NAT ، جدار حماية الدولة ، وغيرها. سنشرح كل من هذه بمزيد من التفاصيل أدناه:
1. عامل تصفية الحزمة
أنواع فلاتر حزم جدار الحماية
الأول هو أبسط نوع من جدار الحماية وتستخدم على نطاق واسع وهي مرشح الحزم. مزود ببطاقتي واجهة شبكة (NICs) ووظائف لتصفية (تصفية) الحزم الواردة. ويسمى مرشح الحزم أيضًا بشكل شائع موجه حزم تصفية الحزم.
2. بوابة مستوى الدائرة
النوع التالي من جدار الحماية هو جزء من الخادم الوكيل. الخادم الوكيل عبارة عن بوابة أو ارتباط بين الإنترنت وأجهزة الكمبيوتر العميلة.
في تشغيل بوابة مستوى الدائرة لديها أداء أعلى في نموذج OSI المرجعي من نوع مرشح الحزم وموضعه في قسم طبقة الجلسة. من خلال استخدام التعديلات من جدار الحماية هذا، يمكن للمستخدمين إخفاء المعلومات المتعلقة بالشبكات المحمية حتى إذا لم يقوموا بتصفية الحزم المختلفة في الاتصال.
3. مستوى التطبيق
أنواع مستوى تطبيق جدار الحماية
جدار الحماية التالي هو مستوى التطبيق أو الذي يمكن تسميته أيضًا وكيل التطبيق (البوابة). باستخدام هذا النوع من جدار الحماية، لن يُسمح للحزمة بالمرور مباشرة.
تطبيق وكيل حقيقي على جهاز الكمبيوتر سيقوم تلقائيًا بتنشيط جدار الحماية وتحويل الطلب إلى شبكة أكثر خصوصية، إذا كانت المعلومات التي تم تلقيها آمنة بالفعل، فسيتم إعادة توجيه الطلب إلى شبكة كمبيوتر عامة. ويعتبر أيضًا أنه يتمتع بمستوى جيد إلى حد ما من الأمان.
4. ترجمة عنوان الشبكة (NAT)
التالي هو نوع جدار الحماية المسمى عنوان الشبكة Translation أو اختصارًا شائعًا باسم NAT. هذا النوع من جدار الحماية قادر على تنفيذ الحماية التلقائية ضد الأنظمة التي تعمل خلف جدار الحماية. الغرض من ترجمة عنوان الشبكة هذا هو مضاعفة حركة مرور الشبكة ثم إرسالها إلى شبكة WAN أو MAN أو شبكة أوسع.
كما يوحي الاسم، وجود عنوان الشبكة تعطي هذه الترجمة الانطباع كما لو كانت الحزمة من عنوان IP. إلى جانب هذا، يقوم NAT تلقائيًا بإنشاء جداول وعرض معلومات حول الاتصالات الموجودة في جدار الحماية. باستخدام هذا الجدول، يمكن للمستخدم أيضًا تعيين عنوان الشبكة أو عنوان IP الخاص بها إلى الشبكة الخارجية واستنادًا إلى منافذ جدار الحماية NAT.
5. جدار حماية الدولة
جدار حماية الدولة
من المعروف أن جدار الحماية هذا له خاصية مميزة بسبب وظيفتها في الجمع بين أنواع مختلفة من المزايا التي يتم تقديمها بشكل عام من خلال تصفية نوع جدار الحماية الأخرى، ومستوى الوكيل والدائرة في النظام.
قبل التحقق من جدار حماية الدولة دائما تصفية الممرات المرورية وفقا لخصائص الحزمة. بعد التصفية، يمكن تحديد ما إذا كان مسموحًا للحزمة بالدخول أم لا.
6. جدار الحماية الظاهري
بالإشارة إلى اسم جدار الحماية الافتراضي هذا المقصود منها ذكر جدار حماية منطقي معين موجود في جهاز مادي، يمكن أن يكون في كمبيوتر آخر أو جدار حماية. في هذا الجدار الناري الافتراضي، ليس فقط شبكة واحدة، ولكن العديد من الشبكات يمكن أن تحصل على الحماية مع التفرد الذي هو السمة المميزة لجدار الحماية الافتراضي، أي فقط من خلال استخدام جهاز.
عند استخدام هذا جدار الحماية الظاهري ثم يمكن لمزود خدمة الإنترنت أو مزود خدمة الإنترنت توفير المزيد من الراحة والأمان لعملائه لأن حركة مرور الشبكة الخاصة بهم آمنة دائمًا.
إلى جانب الاستخدام الآمن لجهازكما يمنح مزاياه الخاصة من خلال توفير المزيد من التكاليف والمزيد من الكفاءة. ولكن للأسف، لا يوجد هذا النوع من جدار الحماية إلا من الطبقات العليا، على سبيل المثال في Cisco PIX 535.
7. جدار حماية شفاف
أنواع جدران الحماية الشفافة
والأخير هو جدار الحماية الشفاف أيضًا ويسمى عادة المباني سد جدار الحماية. هذا الجدار الناري ليس في الواقع جدار حماية نقي ولكنه مشتق من جدار الحماية Stateful، وهو النوع الذي ناقشناه سابقًا.
يمكن لجدار الحماية الشفاف أن يفعل كل شيء يعمل من تصفية Packet، كما هو الحال في جدار حماية Stateful. وكما يوحي الاسم في بعض الأحيان، يكون جدار الحماية الشفاف هذا غير مرئي للمستخدمين ولكنه يمكن أن يوفر حماية جيدة.
الأجيال:
الجيل الأول: مرشحات العبوة (Packet Filters)
أول بحث نشر عن تقنية الجدار الناري كانت عام 1988، عندما قام مهندسون من (DEC) بتطوير نظام مرشح عرف باسم جدار النار بنظام فلترة العبوة، هذا النظام الأساسي يمثل الجيل الأول الذي سوف يصبح عالي التطور في مستقبل أنظمة أمان الإنترنت. في مختبرات AT&T قام بيل شيزويك وستيف بيلوفين بمتابعة الأبحاث على ترشيح العبوات وطوروا نسخة عاملة مخصصة لشركتهم معتمدة على التركيبة الأصلية للجيل الأول.
تعمل فلترة العبوات بالتحقق من "العبوات"(packets) التي تمثل الوحدة الأساسية المخصصة لنقل البيانات بين الحواسيب على الإنترنت. إذا كانت العبوة تطابق مجموعة شروطات مرشح العبوة، فإن النظام سيسمح بمرور العبوة أو يرفضها (يتخلص منها ويقوم بإرسال إشارة "خطأ" للمصدر).
هذا النظام من مرشحات العبوات لا يعير اهتماما إلى كون العبوة جزءاً من تيار المعلومات (لا يخزن معلومات عن حالة الاتصال). وبالمقابل فإنه يرشح هذه العبوات بناءً على المعلومات المختزنة في العبوة نفسها (في الغالب يستخدم توليفة من مصدر العبوة المكان الذاهبة إليه، النظام المتبع، ورقم المرفأ المخصص ل(TCP) (UDP) الذي يشمل معظم تواصل الإنترنت).
لأن (TCP) و(UDP) في العادة تستخدم مرافئ معروفة إلى أنواع معينة من قنوات المرور، فإن فلتر عبوة "عديم الحالة" يمكن أن تميز وتتحكم بهذه الأنواع من القنوات (مثل تصفح المواقع، الطباعة البعيدة المدى، إرسال البريد الإلكتروني، إرسال الملفات)، إلا إذا كانت الأجهزة على جانبي فلتر العبوة يستخدمان نفس المرافئ الغير اعتيادية.
الجيل الثاني: فلتر محدد الحالة (Stateful" Filters")
هنا يقوم جدار الحماية بمراقبة حقول معينة في المظروف الإلكتروني، ويقارنها بالحقول المناظرة لها في المظاريف الأخرى التي في السياق نفسه، ونعني بالسياق هنا مجموعة المظاريف الإلكترونية المتبادلة عبر شبكة الإنترنت بين جهازين لتنفيذ عملية ما. وتجري غربلة المظاريف التي تنتمي لسياق معين إذا لم تلتزم بقواعده: لأن هذا دليل على أنها زرعت في السياق وليست جزءا منه، مما يثير الشكوك بأنها برامج مسيئة أو مظاريف أرسلها متطفل.
الجيل الثالث: طبقات التطبيقات (Application Layer Firewall)
بعض المنشورات بقلم جين سبافورد من جامعة بوردو، بيل شيزويك من مختبرات AT&T، وماركوس رانوم شرحت جيلاً ثالثاً من الجدارن النارية عرف باسم "الجدار الناري لطبقات التطبيقات" (Application Layer Firewall)، وعرف أيضا بالجدار الناري المعتمد على الخادم النيابي (Proxy server). وعمل ماركوس رانوم قاد ابتكار أول نسخة تجارية من المنتج. قامت "DEC" بإطلاق المنتج تحت اسم "SEAL".
أول مبيع للمنتج من"DEC" كان في 13 أغسطس 1991 إلى شركة كيميائية متمركزة على الساحل الشرقي من الولايات المتحدة.
الفائدة الرئيسية من الجدار الناري لطبقات التطبيقات أنه يمكن أن "يفهم" بعض التطبيقات والأنظمة (مثل نظام نقل الملفات "DNS" تصفح المواقع)، ويمكنه أن يكتشف إذا ما كان هنالك نظام غير مرغوب فيه يتم تسريبه عبر مرافئ غير اعتيادية أو إذا كان هنالك نظام يتم إساءة استخدامه بطريقة مؤذية ومعروفة.
شاهد ايضا