جدار الحماية هو نظام أمان لشبكة الكمبيوتر يقيِّد حركة مرور الإنترنت الداخل إلى شبكة خاصة أو خارج منها أو يمر خلالها.
يكون هذا برنامجًا أو مزيجًا من النظام والعتاد، ويعمل عن طريق الحظر الانتقائي لحزم البيانات أو السماح بها. الهدف الأساسي منه في معظم الحالات هو المساعدة في منع النشاط الضار ومنع أي شخص داخل شبكة خاصة أو خارجها من المشاركة في أنشطة غير مصرح بها على الإنترنت.
يمكن القول إن جدران الحماية هي حدود أو بوابات تدير حركة نشاط الإنترنت المسموح به والمحظور في شبكة خاصة. يأتي هذا المصطلح من مفهوم الجدران المادية كونها حواجز لإبطاء انتشار الحرائق حتى تتمكن خدمات الطوارئ من إخمادها. عند المقارنة، جدران حماية أمان الشبكة مخصصة لإدارة حركة مرور الإنترنت تهدف في العادة إلى إبطاء انتشار تهديدات الإنترنت.
تعمل جدران الحماية على إنشاء "نقاط خنق" لتوجيه حركة مرور الإنترنت حيث تتم مراجعتها بعد ذلك عبر مجموعة من المقاييس المبرمجة ثم التعامل معها وفقًا لذلك. أيضًا بعض جدران الحماية تتعقب حركة المرور والاتصالات في سجلات التدقيق للإشارة إلى ما تم السماح به أو حظره.
تُستخدم جدران الحماية في المعتاد كبوابة حدودية لشبكة خاصة أو أجهزتها المضيفة، وبهذا فهي تعد أداة أمان واسعة النطاق للتحكم في وصول المستخدم. عادةً ما يتم إنشاء هذه الحواجز في موقعين: أولهما على أجهزة كمبيوتر مخصصة على الشبكة أو أجهزة كمبيوتر المستخدم وثانيهما هو نقاط النهاية الأخرى نفسها (المضيفين).
يقرر جدار الحماية أي حركة مرور على الشبكة يُسمح لها بالمرور وأي حركة مرور تعتبر خطيرة، فهو في الأساس يعمل على تصفية الجيد من السيئ، والموثوق به من غير الموثوق به. لكن قبل الخوض في التفاصيل، من المفيد فهم بنية الشبكات القائمة على الويب.
الهدف من جدران الحماية هو تأمين الشبكات الخاصة وأجهزة نقاط النهاية عليها، والمعروفة باسم مضيفي الشبكة، وهي أجهزة "تتحدث" مع مضيفين آخرين على الشبكة. ترسل تلك الأجهزة المضيفة وتستقبل بين الشبكات الداخلية، وكذلك الصادرة والواردة بين الشبكات الخارجية.
أجهزة الكمبيوتر وأجهزة نقاط النهاية الأخرى تستخدم الشبكات للوصول إلى الإنترنت وبعضها بعضًا، إلا أن الإنترنت ينقسم إلى شبكات فرعية للأمان والخصوصية. قطاعات الشبكة الفرعية الأساسية هي:
أجهزة توجيه الفحص هي أجهزة كمبيوتر حدودية متخصصة موضوعة على شبكة لتقسيمها، ومعروفة بأنها جدران حماية المنزل على مستوى الشبكة. أكثر نموذجين قطاعات شيوعًا هما جدران الحماية المضيفة المفحوصة وجداران حماية الشبكة الفرعية المفحوصة:
يمكن لكل من محيط الشبكة والأجهزة المضيفة نفسها أن تحتوي على جدار حماية، ولكي يتم ذلك يتم وضعه بين جهاز كمبيوتر واحد واتصاله بشبكة خاصة.
يتطلب جدار حماية الشبكة تكوينًا على نطاق واسع من الاتصالات حيث يمكن تخصيص جدار حماية مضيف ليناسب احتياجات كل جهاز، لكن تتطلب جدران الحماية المضيفة مزيدًا من الجهد للتخصيص، مما يعني أن الشبكة المستندة إلى الشبكة مثالية لحل تحكم شامل؛ أما استخدام جداري الحماية في كلا الموقعين في وقتٍ واحد يعد مثاليًا لنظام أمان متعدد الطبقات.
تصفية حركة المرور عبر جدار حماية تستفيد من القواعد المحددة مسبقًا أو التي تم تعلمها ديناميكيًا للسماح بالاتصالات التي تتم أو رفضها. هذه القواعد هي كيف ينظم جدار الحماية تدفق حركة مرور الويب عبر شبكتك الخاصة وأجهزة الكمبيوتر الخاصة. وبغض النظر عن النوع، قد تتم تصفية جميع جدران الحماية عبر مجموعة من العناصر التالية:
يتم التوصيل بين المصدر والوجهة عن طريق عناوين ومنافذ بروتوكول الإنترنت (IP). عناوين IP هي أسماء أجهزة فريدة لكل مضيف. المنافذ هي مستوى فرعي لأي جهاز مضيف مصدر ووجهة معينة، مثل غرف المكاتب داخل مبنى أكبر. عادةً ما يتم تخصيص أغراض محددة للمنافذ، لذلك يمكن أن تكون بعض البروتوكولات وعناوين IP التي تستخدم منافذ غير شائعة أو منافذ معطلة مصدر قلق.
وباستخدام هذه المعرفات، يمكن لجدار الحماية تحديد ما إذا كان سيتم تجاهل حزمة البيانات التي تحاول الاتصال (بصمت أو مع وجود خطأ في الرد على المرسل) أو إعادة توجيهها.
تتضمن الأنواع المختلفة من جدران الحماية طرقًا متنوعة للتصفية. تم تطوير كل نوع ليتجاوز الأجيال السابقة من جدران الحماية في القوة، إلا أن الكثير من التكنولوجيا الأساسية هي نفسها بين الأجيال.
تتميز أنواع جدران الحماية بنهجها في:
يعمل كل نوع على مستوى مختلف من نموذج الاتصالات القياسي، أي نموذج ربط الأنظمة المفتوحة (OSI). يوفر هذا النموذج رؤية أفضل لكيفية تفاعل كل جدار حماية مع الاتصالات.
جدران حماية تصفية الحزم الثابتة والمعروفة أيضًا باسم جدران حماية الفحص عديمة الحالة تعمل في طبقة شبكة OSI (الطبقة 3). توفر جدران الحماية هذه التصفية الأساسية عن طريق التحقق من جميع حزم البيانات الفردية المرسلة عبر الشبكة، بناءً على المكان الذي أتت منه والمكان الذي تحاول الذهاب إليه. الجدير بالذكر أن الاتصالات المقبولة مسبقًا لا يتم تعقبها، وهذا يعني أنه يجب إعادة الموافقة على كل اتصال مع إرسال كل حزمة بيانات.
تعتمد التصفية على عناوين IP والمنافذ وبروتوكولات الحزم، وتمنع جدران الحماية هذه -كحدٍ أدنى- شبكتين من الاتصال مباشرة دون إذن.
يتم تعيين قواعد التصفية بناءً على قائمة التحكم في الوصول التي تم إنشاؤها يدويًا، وهذه ثابتة للغاية ومن الصعب تغطية حركة المرور غير المرغوب فيها بشكل مناسب دون المساس بإمكانية استخدام الشبكة. التصفية الثابتة تتطلب مراجعة يدوية مستمرة لاستخدامها بفعالية، ويمكن التحكم في ذلك على الشبكات الصغيرة، ولكن يمكن أن تصبح بسرعة صعبة على الشبكات الأكبر حجمًا.
عدم القدرة على قراءة بروتوكولات التطبيق يعني أنه لا يمكن قراءة محتويات الرسالة التي تم تسليمها داخل حزمة. بدون قراءة المحتوى، تتمتع جدران حماية تصفية الحزم بجودة حماية محدودة.
تعمل جدران حماية البوابة على مستوى الدائرة على مستوى الجلسة (الطبقة 5). تتحقق جدران الحماية هذه من الحزم الوظيفية في محاولة الاتصال، وإذا كانت تعمل بشكل جيد ستسمح باتصال مفتوح مستمر بين الشبكتين، وبعد حدوث ذلك سيتوقف جدار الحماية عن الإشراف على الاتصال.
وبصرف النظر عن نهجها في التوصيلات، يمكن أن تكون البوابة على مستوى الدائرة مشابهة لجدران حماية الوكيل.
الاتصال المستمر غير الخاضع للرقابة أمر خطير حيث يمكن أن تؤدي الوسائل المشروعة إلى فتح الاتصال والسماح لاحقًا لبرنامج ضار بالدخول دون أي اعتراض.
جدران حماية الفحص ذات الحالة معروفة كذلك باسم جدران الحماية الديناميكية لتصفية الحزم، وهي مختلفة عن التصفية الثابتة في قدرتها على مراقبة الاتصالات الجارية وتذكر الاتصالات السابقة. تبدأ جدران الحماية هذه من خلال العمل على طبقة النقل (الطبقة 4)، لكن في الوقت الحاضر يمكن لجدران الحماية هذه مراقبة العديد من الطبقات، بما في ذلك طبقة التطبيق (الطبقة 7).
مثل جدار حماية التصفية الثابت، جدران حماية الفحص ذات الحالة تسمح بحركة المرور أو تمنعها استنادًا إلى الخصائص التقنية، مثل بروتوكولات الحزمة المحددة أو عناوين IP أو المنافذ. مع ذلك، تعمل جدران الحماية هذه على التعقب والتصفية بشكل فريد بناءً على حالة الاتصالات باستخدام جدول الحالة.
يعمل جدار الحماية هذا على تحديث قواعد التصفية استنادًا إلى أحداث الاتصال السابقة التي تم تسجيلها في جدول الحالة بواسطة جهاز توجيه الفحص.
بشكلٍ عام، تستند قرارات التصفية غالبًا إلى قواعد المسؤول عند إعداد الكمبيوتر وجدار الحماية، لكن يسمح جدول الحالة لجدران الحماية الديناميكية هذه باتخاذ قراراتها الخاصة بناءً على التفاعلات السابقة التي "تعلمت" منها. على سبيل المثال: أنواع حركات المرور التي تسببت في مشكلات في الماضي سيتم تصفيتها في المستقبل. مرونة الفحص الدقيق عززت من كونها واحدة من أكثر أنواع دروع الحماية المتوفرة في كل مكان.
جدران حماية الوكيل -والمعروفة كذلك باسم جدران الحماية على مستوى التطبيق (الطبقة 7)- فريدة من نوعها في قراءة بروتوكولات التطبيقات وتصفيتها. تجمع هذه بين الفحص على مستوى التطبيق -أو "الفحص العميق للحزمة (DPI)"- والفحص المفروض على الحالة.
جدار حماية الوكيل هو أقرب ما يكون إلى حاجز مادي فعليّ. وعلى عكس الأنواع الأخرى من جدران الحماية، يعمل جدار الحماية الوكيل كمضيفين إضافيين بين الشبكات الخارجية وأجهزة الكمبيوتر المضيفة الداخلية، مع أحدهما كممثل (أو "وكيل") لكل شبكة.
تعتمد التصفية على البيانات على مستوى التطبيق بدلاً من عناوين IP والمنافذ وبروتوكولات الحزمة الأساسية (UDP و ICMP) كما هو الحال في جدران الحماية المعتمدة على الحزم. قراءة بروتوكولات FTP و HTTP و DNS والبروتوكولات الأخرى وفهمها يتيح مزيدًا من التحقيق المتعمق والتصفية المتقاطعة للعديد من سمات البيانات المختلفة.
يُشبه جدار حماية الوكيل حارس مدخل، حيث ينظر بشكل أساسي إلى البيانات الواردة ويقيّمها. وفي حال عدم اكتشاف أي مشكلة، يُسمح للبيانات بالمرور إلى المستخدم.
أما الجانب السلبي لهذا النوع من الأمن المشدد، فهو أنه أحيانًا يتداخل مع بيانات واردة لا تُشكّل تهديدًا، مما يؤدي إلى تأخر في الوظائف.
تتطلب التهديدات المتطورة باستمرار حلولاً أقوى، وتواكب جدران حماية الجيل التالي هذه المشكلة بدمج مميزات جدار الحماية التقليدي مع أنظمة منع اختراق الشبكات.
جدران حماية الجيل التالي التي تستهدف تهديدات محددةً مُصمَّمةٌ لفحص وتحديد تهديدات محددة، مثل البرامج الضارة المتطورة، على مستوى أكثر دقة. تُستخدم كثيرًا من جانب الشركات والشبكات المتطورة، حيث توفر حلاً شاملاً لتصفية التهديدات.
كما هو واضح من اسمه، تستخدم جدران الحماية الهجينة نوعين أو أكثر من أنواع جدار الحماية في شبكة خاصة واحدة.
يجب النظر إلى اختراع جدران الحماية على أنه أمر مستمر، وهذا لأنها تتطور باستمرار، وشارك العديد من المبدعين في تطويرها وتطورها.
من أواخر الثمانينيات إلى منتصف التسعينيات في القرن الماضي، توسع كل مبتكر في المكونات والإصدارات المختلفة المتعلقة بجدار الحماية قبل أن يصبح المنتج المستخدم أساس لجميع جدران الحماية الحديثة.
بريان ريد، بول فيكسي، جيف موغول
في أواخر ثمانينيات القرن الماضي، لعب كل من جيف موغول و بريان ريد وبول فيكسي أدوارًا في شركة Digital Equipment Corp (DEC) في تطوير تقنية تصفية الحزم التي من شأنها أن تصبح ذات قيمة في جدران الحماية المستقبلية، وأدى ذلك إلى مفهوم فحص الاتصالات الخارجية قبل الاتصال بأجهزة الكمبيوتر على شبكة داخلية. قد يعتبر بعض الناس مرشح الحزمة هذا هو أول جدار حماية، إلا أنه كان بمثابة تقنية مكونة تدعم أنظمة جدار الحماية الحقيقية القادمة.
ديفيد بريستو، جاناردان شارما، كشيتيجي نيجام، ويليام تشيسويك، ستيفن بيلوفين
في أواخر الثمانينيات وأوائل التسعينيات للقرن الماضي، أجرى العديد من العاملين في AT&T Bell Labs أبحاثًا وطوروا المفهوم المبكر لجدار حماية البوابة على مستوى الدائرة. كان هذا هو أول جدار ناري يفحص الاتصالات الجارية ويسمح بها مقابل إعادة التفويض بشكل متكرر بعد كل حزمة بيانات. طور كل من ديفيد بريستو وجاناردان شارما وكشيتيجي نيجام البوابة على مستوى الدائرة من عام 1989 إلى عام 1990 وتبعهم عمل ويليام تشيسويك وستيفن بيلوفين باستخدام تقنية جدار الحماية في عام 1991.
ماركوس رانوم
من عام 1991 إلى عام 1992، اخترع ماركوس رانوم وكلاء الأمان في شركة DEC التي أصبحت مكونًا حيويًا من أول منتج جدار حماية طبقة التطبيق: منتج رابط الوصول الخارجي الآمن (SEAL) المستند إلى الوكيل لعام 1991. كان هذا امتدادًا لعمل كل من بريان ريد وبول فيكسي وجيف موغول في DEC، وكان أول جدار حماية تم إصداره تجاريًا.
جيل شويد ونير زوك
من 1993 إلى 1994 في شركة Check Point، لعب مؤسس الشركة جيل شويد والمطور المجتهد نير زوك دورًا مهمًا في تطوير أول منتج جدار حماية سهل الاستخدام ومُعتمد على نطاق واسع: Firewall-1. اخترع جيل شويد وسجل براءة الاختراع الأمريكية وقدمها للفحص الحكومي في عام 1993. وتبع ذلك عمل نير زوك على واجهة رسومية سهلة الاستخدام لجدار الحماية Firewall-1 لعام 1994، والذي كان حيويًا في التبني الأوسع لجدران الحماية في الشركات والمنازل في المستقبل المنظور.
كانت هذه التطورات ضرورية في تشكيل منتج جدار الحماية الذي نعرفه اليوم حيث يتم استخدام كل منها في بعض القدرات في العديد من حلول الأمن الإلكتروني.
ما هو الغرض إذًا من جدار الحماية؟ ولماذا هو مهم؟ الشبكات غير المحمية معرضة لأي حركة مرور تحاول الوصول إلى أنظمتك، لذلك يجب دائمًا فحص حركة مرور الشبكة سواء كانت ضارة أم لا.
توصيل أجهزة الكمبيوتر الشخصية بأنظمة تكنولوجيا المعلومات الأخرى أو الإنترنت يؤدي إلى توفير مجموعة من الفوائد، بما في ذلك سهولة التعاون مع الآخرين والجمع بين الموارد وتحسين الإبداع، لكن يمكن أن يأتي ذلك على حساب الحماية الكاملة للشبكة والجهاز. الاختراق وسرقة الهوية والبرمجيات الخبيثة والاحتيال عبر الإنترنت كلها تشكل تهديدات شائعة قد يواجهها المستخدمون عندما يعرّضون أنفسهم للمخاطر بربط أجهزة الحاسوب الخاصة بهم بشبكة أو بالإنترنت.
بمجرد اكتشاف جهة ضارة لشبكتك، يمكن بسهولة العثور عليها هي وأجهزتك والوصول إليها بسرعة وتعرضها للتهديدات المتكررة. والاتصال بالإنترنت طوال الوقت يزيد من مخاطر ذلك حيث يمكن الوصول إلى شبكتك في أي وقت.
الحماية الاستباقية ذات أهمية بالغة عند استخدام أي نوع من الشبكات، ويمكن للمستخدمين حماية شبكتهم من أسوأ المخاطر باستخدام جدار حماية.
ما الذي يفعله جدار الحماية؟ وما الذي يمكن لجدار الحماية الحماية منه؟ يهدف مفهوم جدار حماية أمان الشبكة إلى تضييق نطاق هجوم الشبكة إلى نقطة اتصال واحدة. وبدلاً من أن يتعرض كل مضيف على الشبكة للإنترنت الواسع بشكل مباشر، يجب أن تتصل كل حركة المرور أولاً بجدار الحماية. ونظرًا لأن هذا يعمل بشكل عكسي كذلك، يمكن لجدار الحماية تصفية حركة المرور غير المسموح بها وحظرها، سواء الداخلة للشبكة أو الخارجة منها. أيضًا تُستخدم جدران الحماية لإنشاء مسار تدقيق لاتصالات الشبكة التي تم محاولة إجرائها لتحسين الوعي الأمني.
نظرًا لأن تصفية حركة المرور يمكن أن تكون مجموعة قواعد من إنشاء مالكي شبكة خاصة، ينشئ هذا حالات استخدام مخصصة للجدران النارية. تتضمن حالات الاستخدام الشائعة إدارة ما يلي:
رغم ذلك، جدران الحماية أقل فاعلية في الحالات التالية:
من الناحية العملية، جذبت التطبيقات الواقعية للجدران النارية المديح والجدل في آنٍ واحد! يوجد سجل طويل لإنجازات جدران الحماية، إلا أنه يجب تنفيذ هذا النوع من الأمان بشكل صحيح لتجنب عمليات الاستغلال، كما أنه من المعروف أن جدران الحماية تُستخدم بطرق مشكوك فيها أخلاقياً.
منذ عام 2000 تقريبًا والصين تطبق إطارات جدار حماية داخلية لإنشاء شبكتها الداخلية المراقبة بعناية. الطبيعي أن جدران الحماية تسمح بإنشاء نسخة مخصصة من الإنترنت العالمي داخل الدولة، وتفعل ذلك عن طريق منع استخدام خدمات ومعلومات محددة أو الوصول إليها داخل هذه الشبكة الداخلية الوطنية.
تسمح المراقبة والرقابة الوطنية بالقمع المستمر لحرية التعبير مع الحفاظ على صورة الحكومة. علاوةً على ذلك، يسمح جدار الحماية الصيني لحكومتها بقصر خدمات الإنترنت على الشركات المحلية، وهذا يجعل التحكم في أشياء مثل محركات البحث وخدمات البريد الإلكتروني أسهل بكثير للتنظيم لصالح أهداف الحكومة.
شهدت الصين احتجاجًا داخليًا مستمرًا ضد هذه الرقابة. واستخدام الوكلاء والشبكات الخاصة الافتراضية سمح بتجاوز جدار الحماية الوطني للكثيرين بالتعبير عن عدم رضاهم.
في عام 2020، كان جدار الحماية الذي تم تكوينه بشكل خاطئ مجرد جدار حماية من العديد من نقاط الضعف الأمنية التي أدت إلى خرق مجهول من وكالة فيدرالية أمريكية.
يُعتقد أن جهة فاعلة تابعة للدولة استغلت سلسلة من نقاط الضعف في الأمن الإلكتروني للوكالة الأمريكية! ومن بين العديد من المشكلات التي تم الاستشهاد بها فيما يتعلق بأمانهم، كان جدار الحماية قيد الاستخدام يحتوي على العديد من المنافذ الخارجية التي كانت متساهلة بشكل غير مناسب لحركة المرور. وإلى جانب سوء الصيانة، من المحتمل أن شبكة الوكالة واجهت تحديات جديدة مع العمل عن بعد. بمجرد دخول المهاجم إلى الشبكة، تصرف بطرق تظهر نية واضحة للتحرك عبر أي مسارات مفتوحة أخرى للوكالات الأخرى. هذا النوع من الجهد لا يعرض الوكالة المخترقة لخطر الخرق الأمني فحسب، بل يعرض العديد من الآخرين أيضًا.
في 2019، تأثر مزود عمليات شبكة طاقة في الولايات المتحدة بثغرة الحرمان من الخدمات (DoS) استغلها المخترقون. كانت جدران الحماية على الشبكة المحيطة عالقة في حلقة استغلال إعادة التشغيل لمدة عشر ساعات تقريبًا،
وتم اعتبار هذا لاحقًا نتيجة لثغرة أمنية معروفة ولكن غير مصححة في البرامج الثابتة في جدران الحماية. لم يتم تنفيذ إجراء تشغيل قياسي للتحقق من التحديثات قبل التنفيذ، وهذا تسبب في حدوث تأخيرات في التحديثات ومشكلة أمنية حتمية. لحسن الحظ لم تؤد مشكلة الأمان إلى أي اختراق كبير للشبكة.
تؤكد هذه الأحداث على أهمية تحديثات البرامج المنتظمة، فبدونها تعد جدران الحماية مجرد نظام أمان آخر في الشبكة يمكن استغلاله.
الإعداد السليم لجدار الحماية الخاص بك والمحافظة عليه أمر ضروري للحفاظ على حماية شبكتك وأجهزتك. إليك بعض النصائح التي يمكن أن تساعدك في ضبط ممارسات أمان شبكة جدار الحماية لديك:
حصل Kaspersky Endpoint Security على ثلاث جوائز AV-TEST لأفضل أداء وحماية وإمكانية استخدام لمنتج أمان نقطة النهاية للشركة في عام 2021. أظهر برنامج Kaspersky Endpoint Security في جميع الاختبارات أداءً متميزًا وحماية وسهولة استخدام للشركات.
روابط ذات صلة: