منتدى برنامج حياه على النت باذاعة صوت العرب
عزيزى الزائر مرحبا بك

انضم إلى المنتدى ، فالأمر سريع وسهل

منتدى برنامج حياه على النت باذاعة صوت العرب
عزيزى الزائر مرحبا بك
منتدى برنامج حياه على النت باذاعة صوت العرب
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.

الجدران النارية

اذهب الى الأسفل

الجدران النارية Empty الجدران النارية

مُساهمة من طرف manal kamal الأربعاء مارس 24, 2010 11:45 am

تفجّرت في القرن المنصرم ظواهر تقنية عديدة تركت أثراً بيّناً في حياة الناس، لكن يبقى الحاسب الآلي أبرز هذه الظواهر قاطبة، وذلك لسرعة تطوره وانتشاره، ولعمق أثره في حياة الناس، بل وفي التقنيات التي سبقته وجوداً، فقلما تجد آلة أو جهازاً إلاّ وتجد الحاسب الآلي جزءً أصيلاً منه.
وقد ساهم الحاسب في رفع نوعية الحياة التي يعيشها الناس بتذليله كثيراً من الصعوبات، واختصاره للوقت والجهد، وأصبح كثير من الأمور لا يمكن أن يسير إلا بمساعدة الحاسب الآلي، ومن ذلك على سبيل المثال المعاملات المالية وتنظيم رحلات الطائرات، وتشغيل الكثير من الأجهزة الطبية والصناعية، إلى غير ذلك من الأمثلة التي جعلت الحاسب منا ملء السمع والبصر.
ثم جاءت شبكة المعلومات (الإنترنت)، فوسمت بميسمها وجه الحياة في السنوات العشر الماضية، كما زادت مقدار الخدمات التي يقدمها الحاسب، فضاعفت انتشار الحاسب وعمقت أثره، وأحدثت ثورة في مجال المعلومات صناعة وحفظاً ونقلاً ونشراً.
1. لمحة عن شبكة الإنترنت
إذا كان معظم الناس يملكون قدراً لا بأس به من المعرفة فيما يتعلق بالحاسب كجهاز، فإنهم قد لا يملكون القدر نفسه عندما يتعلق الأمر بالإنترنت. وللتوضيح نقول: إن الإنترنت شبكة مكونة من شبكات، وكل من هذه الشبكات قد يحوي بدوره شبكات أصغر، وهلم جرا حتى نصل إلى أصغر مستوى من هذه الشبكات التي تتكون من عدد من الحاسبات المرتبطة بعضها ببعض،
وحرص الناس على الاتصال بشبكة الإنترنت له ما يبرره، نظراً لما تقدمه من خدمات على المستوى الشخصي والتجاري والحكومي، فأنت إذا رغبت أن تشرح لابنك درساً في مادة العلوم يتحدث عن محرّك الاحتراق الداخلي، فإن بإمكانك أن تزور موقعاً مثل: http//www.hostuffwork.com، لتجد فيه شرحاً مفصلاً مدعوماً بالرسومات التوضيحية المتحركة. ومن جهة أخرى، يمكن لشركة ما أن تعرض وتبيع منتجاتها عن طريق شبكة الإنترنت، فتصل بذلك إلى عدد كبير من الزبائن. وقد اتجهت كثير من الحكومات إلى تقديم خدماتها للجمهور عن طريق شبكة الإنترنت؛ فإدارة المرور مثلاً تجعل لها موقعاً على الشبكة، وإذا كنت بحاجة إلى تسديد مخالفة فما عليك إلاّ زيارة الموقع ودفع الرسوم، دون الحاجة إلى الذهاب شخصياً إلى إدارة المرور.
وخلاصة القول، إن المقام سيطول بنا لو حاولنا سرد الخدمات التي توفّرها الإنترنت، وستكون معرفة الاستفادة منها عاملاً مهماً في نجاح الفرد والشركة والمجتمع، وبخاصة في زمن العولمة الذي ألغى الحدود الجغرافية تقريباً.
2. طرق الاتصال بشبكة الإنترنت
وهناك عدة طرق للاتصال بشبكة الإنترنت تختلف بحسب موقعك، فإذا كنت في منزلك فإن الاتصال غالباً ما يتوفر بربط جهاز الحاسب بأحد مزودي الخدمة
أما الشركات والدوائر الحكومية، فإنها غالباً ما تمتلك شبكات داخلية ترتبط بمزوّد الخدمة بواسطة خطوط اتصال خاصة تتميز بسرعة نقل كبيرة، ومن أمثلة هذه الخطوط ما يُعرف باسم (E1)، الذي يعطي سرعة تصل إلى (2 مليون نبضة في الثانية)، و (E3)، الذي يعطي سرعة تصل إلى (4،34 مليون نبضة في الثانية)، وهذه الخطوط السريعة تتصل بمزود الخدمة الذي يصلها بدوره بشبكة الإنترنت.
وتسعى الشركات والمنظمات وحتى الجهات الحكومية لربط شبكاتها الداخلية أو بعضها بشبكة الإنترنت، وذلك لدواعٍ عدة، منها:
1. تحقيق المكسب المادي، فالشركات التي تعرض منتجاتها أو تقدم خدماتها، تصل لعدد كبير من الزبائن إن هي ربطت نفسها بشبكة الإنترنت.
2. نشر المبادئ والمفاهيم التي تتبناها المنظمات غير الربحية.
3. تقديم الخدمات بمقابل أو بدونه كشأن بعض الجهات الحكومية، بحيث تمكن الموطنين مثلاً من تسديد الرسوم وتحصيل الخدمات عن طريق الإنترنت، فترقى بمستوى معيشة المجتمع وتقلل الضغط على موظفي الجهة مقدمة الخدمة.
3. الجرائم المتعلقة بالمعلومات
وكما أدخل الحاسب والإنترنت خدمات وتسهيلات ومعارف، بل ومصطلحات جديدة، فقد أعطيا عالم الجريمة آفاقاً أخري، فصار من الممكن ارتكاب جريمة اختلاس أو سرقة أو تزوير عن بعد. وأصبحت وسائل الأمن والحماية المحسوسة من حراسات وصناديق حفظ وأماكن تخزين لا تكفي وحدها لحماية المعلومات من اللصوص. وظهر مصطلح (Cybercrime)، الذي يعني الجرائم التي ترتكب باستخدام الحاسب الآلي وشبكة الإنترنت، وقد وصل الأمر إلى أن الحكومة الأمريكية أطلقت في فبراير 2004م مبادرة لحماية المجال المعلوماتي (Cyberspace) القومي الأمريكي أسمتها (Strategy to Secure Cyberspace National)
وقد حذا عدد من الدول حذوها. ومما ينبغي ذكره في هذا المقام، أن من المشروعات المقترحة في الخطة الوطنية لتقنية المعلومات في المملكة العربية السعودية مشروع إنشاء مركز وطني لأمن المعلومات، ومشروع إنشاء وحدة خاصة للمتابعة والتحقيق في المخالفات المتعلقة بأمن المعلومات. مكونات أمن المعلومات
عند ذكر كلمة أمن المعلومات وجرائم الحاسب، فإن ما يتبادر إلى الذهن غالباً هو كشف معلومات كان يجب أن تبقى سراً، والحقيقة أن الحفاظ على سرّية المعلومات هو أحد جوانب الأمن، بيد أن المتخصصين يرون أن لأمن الحواسب والمعلومات مكونات ثلاثة على درجة واحدة من الأهمية، وهذه المكونات هي:
أ. سرّية المعلومات: (Data Confidentiality) وهذا الجانب يشمل كافة التدابير اللازمة لمنع اطلاع غير المصرّح لهم على المعلومات الحساسة أو السرية. وهذا كما أسلفنا هو ما يتبادر إلى ذهن السامع عند الحديث عن أمن المعلومات. ومن أمثلة المعلومات التي يحرص على حفظ سريتها: المعلومات الشخصية، الموقف المالي لشركة ما قبل إعلانه، والمعلومات العسكرية.
ب. سلامة المعلومات: (Data Integrity) خلافاً لما جاء في الفقرة السابقة، فإنه لا يعنينا هنا أن نحافظ على سرّية المعلومات، ولكن ما يهمنا هو اتخاذ التدابير اللازمة لحماية المعلومات من التغيير. وهناك أمثلة كثيرة لهذا المطلب، فقد تنشر جهة ما قوائم أسماء المقبولين ممن تقدموا بطلبات للعمل لديها، وكما نرى جميعاً فإننا عندما نتحدث عن أمن هذه القوائم نعني حمايتها من التغيير، إذ من المحتمل أن يقوم شخص ما بحذف بعض الأسماء وإدراج أسماء أخرى بدلاً منها مسبباً كثيراً من الإرباك للناس والحرج للجهة المعنية.
ج. ضمان الوصول إلى المعلومات والموارد الحاسوبية (Availability): إن الحفاظ على سرّية المعلومات وسلامتها أمر مهم ولا ريب، لكن هذه المعلومات تصبح غير ذات قيمة إذا كان من يحق له الاطلاع عليها لا يمكنه الوصول إليها. ويتخذ المهاجمون وسائل شتى لحرمان المستفيدين من الوصول إلى المعلومات، إما بحذف المعلومات نفسها أو بمهاجمة الأجهزة التي تخزن المعلومات فيها.
5. الجدران النارية:
سبقت الإشارة أعلاه إلى أن الفوائد والخدمات التي جاءت بها شبكة الإنترنت لم تأتِ خلواً من المنغصات، فراجت سوق الطفيليين (Hckers)، الذين لا همّ لهم سوى التلصّص على معلومات الآخرين، كما ظهر أناس يستمتعون بإلحاق الأذى بالآخرين، إما بحذف وثائقهم المهمة، أو العبث بمحتوياتها، أو نشر البرامج السيئة (Malware) مثل: الديدان، والفيروسات، وأحصنة طروادة ... وغيرها.
ولمقاومة تلك الأخطار والحدّ منها ظهرت تقنيات ومفاهيم متعددة، من أكثرها انتشاراً الجدران النارية (Firewalls)، ولتقريب المعنى للأذهان نقول: إن الجدار الناري نظام مؤلف من برنامج (Software) يجري في حاسب آلي متخصص أو حاسب آلي عادي مثل الحاسبات الشخصية.
ولتوفير بعض الحماية لنفسها، تقوم المنشآت بوضع جدار ناري لعزل شبكتها الداخلية عن شبكة الإنترنت، بيد أن هذا العزل لا يمكن أن يكون كلياً، وذلك للسماح للجمهور بالاستفادة من الخدمات المقدمة، وفي الوقت ذاته منع الطفيليين والمخربين من الدخولويقوم البرنامج الموجود في الجدار الناري بمراقبة المعلومات بين الشبكة الداخلية للمنشأة والعالم الخارجي، ولتحقق الغاية من الجدار الناري فلابد من وضعه في موقع استراتيجي يضمن أن لا تخرج المعلومات أو تدخل إلى الشبكة الداخلية إلاّ عن طريقه، ولذلك فإن الوضع غير محبذ عند المختصين في مجال أمن المعلومات، لأن الوصول للشبكة الداخلية ممكن عن طريق الاتصال بجهاز المودم، الذي يشكِّل في هذه الحالة بوابة خلفية يلج المتطفلون والمخربون من خلالها.
6. كيف تعمل الجدران النارية؟
لتبسيط هذا الموضوع نقول: إن هناك ثلاثة أساليب في تصميم الجدران النارية، وهي:
أ. غربلة مظاريف البيانات المرسلةPacket Filtering) تنتقل المعلومات على شبكة الإنترنت في صورة مظروف إلكتروني، وإذا كان الجدار الناري مصمماً بهذه الطريقة، فإنه يفحص كل مظروف يمر عبره ويتحقق من الموافقة لشروط معينة، وهذه الشروط تدخل بطريقة خاصة في البرنامج المكوّن للجدار الناري.
ب. غربلة المظاريف مع تغيير عناوين المظاريف القادمة من الشبكة الداخلية (الصادرة)، بحيث لا يرى من الشبكة الداخلية سوى الجدار الناري، فيحجب الجدار كل أجهزة الشبكة المراد حمايتها وينصب نفسه وكيلاً (proxy) عنها، وبهذا تأخذ كل المظاريف القادمة (الواردة) إلى الشبكة الداخلية عنوان الجدار الناري، ويقوم هو عند استلامها بغربلتها، ثم توجيهها إلى وجهتها النهائية. ولابد في هذه الحالة أن يحتفظ الجدار بجدول متابعة يربط فيه بين عناوين المظاريف الصادرة والواردة، وهذا التنظيم يوفّر مقعداً كبر من الحماية مقارنة بالطريقة الأولى، لأن الجدار يحجب عناوين الشبكة الداخلية، مما يصعّب مهمة من أراد مهاجمتها.
ج. مراقبة السياق (Stateful Inspection): هنا يقوم الجدار الناري بمراقبة حقول معينة في المظروف الإلكتروني ويقارنها بالحقول المناظرة لها في المظاريف الأخرى التي في السياق نفسه، ونعني بالسياق هنا مجموعة المظاريف الإلكترونية المتبادلة عبر شبكة الإنترنت بين جهازين لتنفيذ عملية ما، وتجري غربلة المظاريف التي تنتمي لسياق معين إذا لم تلتزم بقواعده، لأن هذا دليل على أنها زرعت في السياق وليست جزءاً منه، مما يولّد غلبة ظن بأنها برامج مسيئة أو مظاريف أرسلها شخص متطفل.
وهناك عدة معايير يمكن استخدام واحد منها أو أكثر لغربلة صحيح المظاريف من سقيمها، ومن هذه المعايير ما يلي:
أ. العنوان الرقمي (IP Address)، وهو رقم يميّز كل مشترك في شبكة الإنترنت، فيمكن للجدار الناري أن يجيز أو يمنع مرور مظروف ما بناء على العنوان الرقمي للمرسل أو المستقبل.
ب. اسم النطاق (Domain Name)، مثل ksu.edu.sa، الذي يدل على جامعة الملك سعود، وتمكن برمجة الجدار الناري، بحيث يمنع مرور المظاريف الإلكترونية القادمة من نطاق معين.
ج. بروتوكول التخاطب المستخدم: المقصود بالبروتوكول هنا الطريقة المعينة للتخاطب وتبادل المعلومات بين طالب الخدمة والجهة التي تقدم تلك الخدمة. وطالب الخدمة هنا قد يكون إنساناً أو برنامجاً مثل المتصفح (Browser)، ومن هذه البروتوكولات:
(1) بروتوكول HTTP: يستخدم لتبادل المعلومات بين برنامج المتصفح ومزود الخدمة في الموقع الذي يزوره المتصفح.
(2) بروتوكول FTP: يستخدم لنقل الملفات وخصوصاً كبيرة الحجم منها بدلاً من إرسالها كمرفقات (Attachments) في البريد الإلكتروني.
(3) بروتوكول SMTP: يستخدم لنقل البريد الإلكتروني.
(4) بروتوكول SNMP: يستخدم لإدارة الشبكات وجمع المعلومات عن بعد.
(5) بروتوكول Telnet: يستخدم للدخول على جهاز ما من بعد وتنفيذ بعض الأوامر داخله.
وهنا نقول إن الشخص المسؤول عن الجدار الناري يمكنه برمجة الجدار الناري، بحيث يغربل المظاريف بناء على البروتوكول المستخدم لتراسل البيانات. وهناك خانة في المظروف تدل على نوع البروتوكول، فيقوم الجدار الناري بمعاينتها، فإن وجد أنه بروتوكول مسموح به، فإن الجدار الناري يسمح للمظروف بالمرور وإلاّ فإنه يحذف المظروف. وهناك معايير أخرى يمكن استخدامها أساساً للغربلة مثل رقم المنفذ الذي سيستقبل المظروف في الجهاز المرسل إليه.
كما يمكن برمجة بعض الجدران النارية للبحث عن كلمات أو عبارات معينة في المظاريف فتحذف منها ما يحتوي على تلك العبارات وتمرر الباقي.
7. لماذا نحتاج إلى تطوير قدراتنا الذاتية لبناء الجدران النارية؟
إن تحقيق قدر معقول من الأمن للمعلومات أمر عسير للغاية، وهذا القول ينطبق على ما كان مستقراً منها في وسائط التخزين في أجهزة الحاسب، أو كان منتقلاً في الشبكات. وتبعاً لذلك يمكن تقسيم أساليب الحماية بشكل إجمالي إلى ما يلي:
(1) حماية سرّية وسلامة المعلومات المستقرة في وسائط التخزين في أجهزة الحاسب (Resident Data): من أهم وسائل الحماية النارية (Firewalls)، وأنظمة كشف الاختراق والتشفير (Intrusion Detection Systems).
(2) حماية سرّية وسلامة المعلومات المنتقلة في الشبكة (Data in Transient): هناك العديد من بروتوكولات الاتصال التي صُممت لتوفير مستويات مختلفة من الحماية للمعلومات المتبادلة مثل (IPSec)، و (SSL/TLS) وغيرهما.
غير أن هناك فرقاً جوهرياً بين الوسائل المتاحة للحماية في القسمين السابقين، ذلك أن التصميم الفني لغالب هذه البروتوكولات المستخدمة لحماية سرّية وسلامة المعلومات المنتقلة في الشبكة متاح للعموم، بل إنه توجد تطبيقات مفتوحة المصدر (Open Source شأنه أن يتيح للمتخصص التحقُّق من أن هذه البروتوكولات تقوم بالوظائف التي يزعم أنها صُممت من أجلها، فالمواصفات الفنية لبروتوكول (SSL/TLS) مثلاً مفصّلة في وثيقة RFC2246، التي يمكن تنزيلها من شبكة الإنترنت، كما يمكن تنزيل تطبيق مفتوح المصدر لبروتوكول (SSL/TLS) من موقع (http//www.openssl.org).
أما الجدران النارية وأنظمة كشف الاختراق، فإن الغالب احتكار تصميمها الفني وبرامجها المصدرية، يضاف إلى هذا أن نظام التشغيل من شركة مايكروسوفت (Windows) واسع الانتشار في عالم أجهزة الحاسبات الشخصية محتكر برنامجه المصدري، وعلى هذا فإن وجود أبواب خلفية (Backdoors) في هذه الأنظمة أمر لا يمكن استبعاده، ولأن تطوير نظام تشغيل متكامل مهمة شاقة، تدعو الحاجة إلى تطوير أنظمة جدران نارية، وأنظمة كشف الاختراق بقدرات وطنية لتقليل المخاطر الناجمة عن الأبواب الخلفية المشار إليها آنفاً. ويجب ألاّ يغيب عن الذهن أن هذه المخاطر تطال كل أنظمة المعلومات التابعة للدولة أو للقطاع الخاص على حد سواء.
ومما يشجع على تطوير أنظمة جدران نارية وأنظمة كشف الاختراق بقدرات وطنية، حجم سوق هذه الأنظمة، فقد بلغ حجم سوق أنظمة الجدران النارية (1،3) مليار دولار عام 2003م، ويُتوقع أن يصل إلى (6،18) ملياراً عام 2009م(3). أما سوق أنظمة كشف الاختراق فقد بلغ حجمها (600) مليون دولار عام 2001م، ويُتوقع أن يصل إلى (45،1) مليار عام 2006م
ولكن تطور هذه الأنظمة يستلزم توطين تقنياتها محلياً، وهذا بدوره يجعل إنشاء مراكز أبحاث خاصة بهذه التقنيات أمراً محتماً، ولهذا نقترح إنشاء مركز للأبحاث المتقدمة في مجال أمن المعلومات، وتتلخص مهمة المركز في الحصول على التقنية المتعلقة بأمن المعلومات، وتوطين تلك التقنية بالمساهمة في خلق بيئة تقنية تساعد في تحويل المعرفة المكتسبة في هذا المجال إلى مشاريع تجارية تحقق بدورها عائدات ربحية.
والتقنية المتعلقة بأمن المعلومات لها شقان، أحدهما دفاعي والآخر هجومي، وما يعنينا من تقنيات هذين الشقين هو ما يلي:
أ. الشق الدفاعي:
(1) بناء الجدران النارية (Firewalls).
(2) بناء أنظمة كشف الاختراق (Intrusion Detection Systems).
ب. الشق الهجومي:
(1) تطوير تقنيات اختراق أنظمة المعلومات.
(2) تطوير البرمجيات المفخخة (Miliclouse Code).
وأري أنه رغم أن مهمة المركز الوطني السعودي لأمن المعلومات الرئيسة ستكون تطوير وتوطين التقنيات ذات الصبغة الدفاعية، إلا أنه يجب أن يضطلع أيضاً بتطوير وتوطين التقنيات ذات الصبغة الهجومية، لأن كلا النوعين مطلوب كجزء من منظومة حرب المعلومات التي يتحتم امتلاكها.
ويقترح لتنفيذ المشروع مراعاة التالي:
أ. الاستعانة بالخبرات الأجنبية في المراحل الأولى لتكوين النواة الأولى (Core Team)، مع إحلال السعوديين تدريجياً.
ب. التعاون مع الجامعات لاستقطاب الخريجين المتميزين.
ج. في بيئة البحث، يراعى استخدام التقنيات (الآمنة) المتاحة حالياً، لتقليل الصعوبات الفنية التي سيواجهها الباحثون، وتركيز جهودهم البحثية على تطوير الأنظمة ذاتها بدلاً من تشتيتها في محاولة تطوير حلول متكاملة منذ البداية.
ومن المقترحات في هذا الصدد:
(1) استخدام معدات الحاسب التجارية المخصصة بدلاً من بنائها من العدم.
(2) استخدام نظام (Linux) مفتوح المصدر كنظام تشغيل تعمل فوقه الأنظمة بعد تطويرها مع التخطيط، لإحلال نظام تشغيل خاص محله، على أن يبني المختصون في المركز هذا النظام الخاص في مراحل لاحقة.
manal kamal
manal kamal
مدير المنتدى
مدير المنتدى

كيف تعرفت على المنتدى ؟ : غير ذلك
تاريخ التسجيل : 19/01/2010

http://wwwalmarefa.blogspot.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

الجدران النارية Empty رد: الجدران النارية

مُساهمة من طرف manal kamal الجمعة مايو 07, 2010 11:39 am

الجدار الناري ويسمى أيضاً جدار اللهب (بالإنجليزية: Firewall)، هو جهاز و/أو برنامج يفصل بين المناطق الموثوق بها في شبكات الحاسوب، ويكون أداة مخصصة أو برنامج على جهاز حاسوب آخر، الذي بدوره يقوم بمراقبة العمليات التي تمر بالشبكة ويرفض أو يقرر أحقية المرور ضمناً لقواعد معينة.
الوظيفة
وظيفة الجدار الناري الأساسية هي تنظيم بعض تدفق أزمة الشبكة بين شبكات الحاسوب المكونة من مناطق ثقة المتعددة. ومن الأمثلة على هذا النوع الإنترنت و- التي تعتبر منطقة غير موثوق بها- وأيضا شبكة داخلية ذات ثقة أعلى، ومنطقة ذات مستوى ثقة متوسطة، متمركزة بين الإنترنت والشبكة الداخلية الموثوق بها، تدعى عادة بالمنطقة منزوعة السلاح (Demilitarized Zone DMZ).
وظيفة الجدار الناري من داخل الشبكة هو مشابه إلى أبواب الحريق في تركيب المباني. في الحالة الأولى يستعمل في منع اختراق الشبكات الخاصة، وفي الحالة الثانية يفترض به أن يحتوي ويؤخر حريق الموجود في بناء معين من الانتقال إلى بناء آخر.
من دون الإعداد الملائم فإنه غالباً ما يصبح الجدار الناري عديم الفائدة. فممارسات الأمان المعيارية تحكم بما يسمى بمجموعة قوانين "المنع أولاً" للجدار الناري، الذي من خلاله يسمح بمرور فقط وصلات الشبكة المسموح بها بشكل تخصيصي. ولسوء الحظ فان إعداد مثل هذا يستلزم فهم مفصل لتطبيقات الشبكة ونقاط النهاية اللازمة للعمل اليومي للمنظمات. العديد من أماكن العمل ينقصهم مثل هذا الفهم وبالتالي يطبقون مجموعة قوانين "السماح أولاً"، الذي من خلاله يسمح بكل البيانات بالمرور إلى الشبكة ان لم تكن محددة بالمنع مسبقاً.
التاريخ
على الرغم من أن مصطلح "الجدار الناري" قد اكتسب معنى جديد في الوقت الحالي، إلا أن تاريخ المصطلح يعود إلى أكثر من قرن، حيث أن العديد من البيوت قد تم بناؤها من طوب موضوع في الحائط بشكل يوقف انتقال النيران المحتملة، هذا الطوب في الحائط سمي بالحائط الناري.
ظهرت تقنية الجدار الناري في أواخر الثمانينات عندما كانت الإنترنت تقنية جديدة نوعاً ما من حيث الاستخدام العالمي. الفكرة الأساسية ظهرت استجابة لعدد من الاختراقات الأمنية الرئيسية لشبكة الإنترنت التي حدثت في أواخر الثمانينات. في العام 1988 قام موظف في مركز ابحاث "Ames" التابع لناسا في كاليفورنيا بإرسال مذكرة عن طريق البريد الاليكتروني إلى زملائه قائلاً فيها "نحن الآن تحت الهجوم من فيروس من الإنترنت، لقد أصيبت جامعات بيركلي، سان دييغو، لورنس ليفير مور، ستانفورد وناسا ايمز".
دودة موريس نشرت نفسها عبر العديد من نقاط الضعف في الأحهزة في ذلك الوقت. على الرغم أنها لم تكن مؤذية في النية لكنها كانت أول هجوم من الحجم الكبير على أمن الإنترنت: المجتمع الموصول على الشبكة لم يكن يتوقع هجوما أو جاهزاً للتعامل معها.
الجيل الأول: مفلترات العبوة (Packet Filters)
أول بحث نشر عن تقنية الجدار الناري كانت عام 1988، عندما قام مهندسون من (DEC) بتطوير نظام فلترة عرف باسم جدار النار بنظام فلترة العبوة، هذا النظام الأساسي يمثل الجيل الأول الذي سوف يصبح عالي التطور في مستقبل أنظمة أمان الإنترنت. في مختبراتAT&T قام بيل شيزويك وستيف بيلوفين بمتابعة الأبحاث على فلترة العبوات وطوروا نسخة عاملة مخصصة لشركتهم معتمدة على التركيبة الأصلية للجيل الأول.
تعمل فلترة العبوات بالتحقق من "العبوات"(packets) التي تمثل الوحدة الأساسية المخصصة لنقل البيانات بين الحواسيب على الإنترنت. إذا كانت العبوة تطابق مجموعة قوانين فلتر العبوة فإن النظام سيسمح بمرور العبوة أو يرفضها (يتخلص منها ويقوم بإرسال استجابة "خطأ" للمصدر).
هذا النظام من فلترة العبوات لا يعير اهتماما إلى كون العبوة جزءاً من تيار المعلومات (لا يخزن معلومات عن حالة الاتصال). وبالمقابل فإنه يفلتر هذه العبوات بناءً على المعلومات المختزنة في العبوة نفسها (في الغالب يستخدم توليفة من مصدر العبوة المكان الذاهبة إليه، النظام المتبع، ورقم المرفأ المخصص ل(TCP) (UDP) الذي يشمل معظم تواصل الإنترنت).
لأن (TCP) و(UDP) في العادة تستخدم مرافئ معروفة إلى أنواع معينة من قنوات المرور، فإن فلتر عبوة "عديم الحالة" يمكن أن تميز وتتحكم بهذه الأنواع من القنوات (مثل تصفح المواقع، الطباعة البعيدة المدى، إرسال البريد الإلكتروني، إرسال الملفات)، إلا إذا كانت الأجهزة على جانبي فلتر العبوة يستخدمان نفس المرافئ الغير اعتيادية.
الجيل الثاني: فلتر محدد الحالة (Stateful" Filters")
eu gosto de mamar nos peitos da cabritinha
الجيل الثالث: طبقات التطبيقات (Application Layer Firewall)
بعض المنشورات بقلم جين سبافورد من جامعة بوردو، بيل شيزويك من مختبرات AT&T، وماركوس رانوم شرحت جيلاً ثالثاً من الجدارن النارية عرف باسم "الجدار الناري لطبقات التطبيقات" (Application Layer Firewall)، وعرف أيضا بالجدار الناري المعتمد على الخادم النيابي (Proxy server). وعمل ماركوس رانوم قاد ابتكار أول نسخة تجارية من المنتج. قامت "DEC" بإطلاق المنتج تحت اسم "SEAL".
أول مبيع للمنتج من"DEC" كان في 13 أغسطس 1991 إلى شركة كيميائية متمركزة على الساحل الشرقي من الولايات المتحدة.
الفائدة الرئيسية من الجدار الناري لطبقات التطبيقات أنه يمكن أن "يفهم" بعض التطبيقات والأنظمة (مثل نظام نقل الملفات "DNS" تصفح المواقع)، ويمكنه أن يكتشف إذا ما كان هنالك نظام غير مرغوب فيه يتم تسريبه عبر مرافئ غير اعتيادية أو إذا كان هنالك نظام يتم إساءة استخدامه بطريقة مؤذية ومعروفة.
تطويرات لاحقة
في العام 1992 لبوب برادين وانييت ديشون في جامعة جنوب كاليفورنيا كانوا يقومو بعمل تحسينات على مبدأ الجدار الناري. وكان اسم المنتج "Visas" الذي كان النظام الأول الذي له واجهة إدخال مرئية مع ألوان وأيقونات، الأمر الذي سهل عملية تطبيقه والوصول له على حاسوب مشغل بأنظمة تشيغيل مثل MICROSOFT WINDOWS، APPLE MACOS. وفي العام 1994 قامت شركة إسرائيلية اسمها CHECK POINT SOFTWARE TECHNOLOGIES ببناء مثل هذا النظام داخل برنامج متوفر بشكل كبير اسمه"FireWall-1".
وظيفة: التحقق العميق للعبوة الحالية للجدران الحديثة يمكن مشاركتها مع أنظمة منع الاختراق(IPS).
مجموعة الصندوق الأوسط للاتصالات من قوة مهام هندسة النترنت (IETF) تعمل حالياً على تحديد الأنظمة الاعتيادية لتنظيم الجدران النارية والصناديق الأوسطية الأخرى.
الأنواع
هنالك العديد من فئات الجدران النارية بناءً على مكان عمل الاتصال، ومكان تشفير الاتصال والحالة التي يتم تتبعها.
1 طبقات الشبكة ومفلترات العبوات(Network Layer and Packet Filters)
الجدار الناري ذو طبقات الشبكة الذي يسمى أيضا مفلترات العبوة، تعمل على رصة أنظمة TCP\IP منخفضة المستوى، ولا تسمح للعبوات بالمرور عبر الجدار الناري دون أن تطابق مجموعة القوانين المحددة. يمكن للمسؤول عن الجدار الناري أن يحدد الأوامر، وإن لم يتم هذا تطبق الأوامر الطبيعية. المصطلح فلتر العبوة نشأ في نطاق أنظمة تشغيل "BSD".
الجدار الناري ذو طبقات الشبكة عادة ينقسم إلى قسمين فرعيين اثنين، ذو الحالة وعديم الحالة. تتحفظ الجدران النارية ذات الحالة بنطاق يتعلق بالجلسات المفتوحة حالياً، ويستخدم معلومات الحالة لتسريع معالجة العبوة. أي اتصال شبكي يمكن تحديده بعدة امور، تشتمل على عنوان المصدر والوجهة، مرافئ UDP" " و"TCP"، والمرحلة الحالية من عمر الاتصال (يشمل ابتداء الجلسة، المصافحة، نفل البيانات، وإنهاء الاتصال). إذا كانت العبوة لا تطابق الاتصال الحالي، فسوف يتم تقدير ماهيتها طبقاً لمجموعة الأوامر للاتصال الجديد، وإذا كانت العبوة تطابق الاتصال الحالي بناءً على مقارنة عن طريق جدول الحالات للحائط الناري، فسوف يسمح لها بالمرور دون معالحة أخرى.
الجدار الناري العديم الحالة يحتوي على قدرات فلترة العبوات، ولكن لا يستطيع اتخاذ قرارات معقدة تعتمد على المرحلة التي وصل لها الاتصال بين المضيفين.
الجدران النارية الحديثة يمكنها ان تفلترالقنوات معتمدة على كثير من الجوانب للعبوة، مثل عنوان المصدر، مرفأ المصدر، عنوان الوجهة أو مرفأها، نوع خدمة الوجهة مثل"WWW" و"FTP"، ويمكن أن يفلتر اعتماداً على أنظمة وقيم"TTL"، صندوق الشبكة للمصدر، اسم النطاق للمصدر، والعديد من الجوانب الأخرى.
فلاتر العبوات لنسخ متعددة من "UNIX" هي، "IPF" (لعدة)، IPFW" " (FREEBSD /MAC OS X)، "PF" (OPEN BSD AND ALL OTHER BSD)، IPTABELSIPCHAINS (LINUX).
2 طبقات التطبيقات (Application Layer)
تعمل الجدران النارية لطبقات التطبيقات على مستوى التطبيق لرصة"TCP\IP" (مثل جميع أزمة المتصفح، أو جميع أزمة "TELNET" و"FTP"، ويمكن أن يعترض جميع العبوات المنتقلة من وإلى التطبيق). ويمكن أن يحجب العبوات الأخرى دون إعلام المرسل عادة. في المبدأ يمكن لجدران التطبيقات النارية منع أي اتصال خارجي غير مرغوب فيه من الوصول إلى الأجهزة المحمية.
عند تحري العبوات جميعها لإيجاد محتوى غير ملائم، يمكن للجدار الناري أن يمنع الديدان(worms) والأحصنة الطروادية (Trojan horses) من الانتشار عبر الشبكة. ولكن عبر التجربة تبين أن هذا الأمر يصبح معقدا جداً ومن الصعب تحقيقه (مع الأخذ بعين الاعتبار التنوع في التطبيقات وفي المضمون المرتبط بالعبوات) وهذا الجدار الناري الشامل لا يحاول الوصول إلى مثل هذه المقاربة.
الحائط الناريXML يمثل نوعاً أكثر حداثة من جدار طبقات التطبيقات الناري.
3 الخادمين النيابيين (Proxy Servers)
الخادم النيابي (سواء أكان يعمل على معدات مخصصة أو برامج الأجهزة المتعددة الوظائف) قد يعمل مثل كجدار ناري بالاستجابة إلى العبوات الداخلة (طلبات الاتصال على سبيل المثال) بطريقة تشبه التطبيق مع المحافظة على حجب العبوات الأخرى.
يجعل الخادم النيابي العبث بالأنظمة الداخلية من شبكة خارجية أصعب ويجعل إساءة استخدام الشبكة الداخلية لا يعني بالضرورة اختراق أمني متاح من خارج الجدار الناري (طالما بقي تطبيق الخادم النيابي سليماً ومعداً بشكل ملائم). بالمقابل فإن المتسللين قد يختطفون نظاماً متاحاً للعامة ويستخدمونه كخادم نيابي لغاياتهم الشخصية، عند اإن يتنكر الخادم النيابي بكونه ذلك النظام بالنسبة إلى الأجهزة الداخلية. ومع أن استخدام مساحات للمواقع الدخلية يعزز الأمن، إلا أن المشقين قد يستخدمون أساليب مثل "IP Spoofing" لمحاولة تمرير عبوات إلى الشبكة المستهدفة.
4 ترجمة عنوان الشبكة (Network Address Translation)
عادة ما تحتوي الجدران النارية على وظيفة ترجمة عنوان الشبكة (NAT)، ويكون المضيفين محميين خلف جدار ناري يحتوي على مواقع ذو نطاق خاصة، كما عرّفت في"RFC 1918". تكون الجدران النارية متضمنة على هذه الميزة لتحمي الموقع الفعلي للمضيف المحمي. وبالأصل تم تطوير خاصية "NAT" لتخاطب مشكلة كمية "IPv4" المحدودة والتي يمكن استخدامها وتعيينها للشركات أو الأفراد وبالإضافة إلى تخفيض العدد وبالتالي كلفة إيجاد مواقع عامة كافية لكل جهاز في المنظمة. وأصبح إخفاء مواقع الإجهزة المحمية أمراً متزايد الأهمية للدفاع ضد استطلاع الشبكات.
manal kamal
manal kamal
مدير المنتدى
مدير المنتدى

كيف تعرفت على المنتدى ؟ : غير ذلك
تاريخ التسجيل : 19/01/2010

http://wwwalmarefa.blogspot.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

الرجوع الى أعلى الصفحة

- مواضيع مماثلة

 
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى