• شبكات الحاسب (Computer network ) يمكن أن يتم حمايتها من الهجمات ( الداخلية internal – الخارجية external ) عن طريق استخدام الجداران النارية (firewalls (FW) ) حيث أن التشكيل الخاص للجدار النارى (specially configured firewall ) على الشبكة سيمنع الوصول الغير مرغوب (block unwanted access ) ... وعلى أى حال فإننا نجد أن مفهوم الجدار النارى Firewall يساء فهمه بشكل كامل ... كما أن العديد من المنظمات لا تفهم ( قابلية capabilities – حدود limitations ) الجدار النارى ... ونتيجة لذلك يمكن أن يكون لديها شعور مزيف بالأمان (Security) ... دعنا نستعرض ( حسنات – سيئات ) الجدار النارية firewalls • مزايا الجدار النارى ... منع الوصول الخارجى إلى الشبكة . • عيوب الجدار النارى : o هناك دائماً ثغرة للمرور خلالها .. إما مرور جيد أو مرور سىء o الجدار النارى يستطيع فقط السيطرة على حركة البيانات traffic الذى يمر من خلاله .... ولكنه لا يحمى الموديم modems أو نقاط الوصول access points o الجدار النارى يمكن أن يتم تشكيله بشكل خاطئ misconfigured أو قد يتم مراوغته تقنياً technically circumvented ) o ليس هناك شىء أسوأ من " الشعور المزيف بالأمان " (false sense of security ) • مرت الجدار النارية بعدة أجيال بغرض التحسين ... فالجيل الأول كان بسيط جداً ... كان عبارة عن موجه (Router) لديه access list بدائية ... تحدد اتجاهات المرسل sender والمستقبل destination من عناوين الشبكة network addresses ... ولكن المهاجمون Attackers أصبحوا أكثر تطوراً (more sophisticated ) وظهرت الحاجة إلى جدار نارية firewalls أفضل .
أولاً : الأجيال المختلفة لتقنيات للجدار النارية firewalls
الجيل الأول ... مرشح الحزم packet filter :
الجيل الأول كان مرشح حزم البيانات (packet filter ) ... وكان الترشيح (Filtering ) يستند على عنوان المرسل والمستلم (sending and receiving address ) متحد مع منفذ الخدمة (service port ) الذى تمر خلاله حزمة البيانات packet ... وكانت ميزة هذا التصميم هو " التكلفة المنخفضة " ... ولكن من عيوبه أن هذا التصميم أنه كان عرضة للمشاكل ( فهذا التصميم أصيب بالـ poor logging – القواعد rules كانت صعبة التطبيق عملياً – المهاجمون Hackers مازالوا قادرين على الدخول إلى الشبكات )
الجيل الثانى ... البروكسى مرشح التطبيقات application proxy filter
وفى الجدار النارية الخاصة بهذا الجيل تم إضافة تصميم الجيل الأول ... ففى هذا الجيل يتم استخدام الـ " application proxy " لنقل الطلبات requests خلال الجدار النارى firewall ... ويقوم البروكسى Proxy بفحص الطلبات القادمة inbound requests لضمان أنها تتوافق مع الاستعمال الآمن للحاسبات ... سواء من ناحية ( الصيغة format – نوع الطلبات type of requests ) ... والـ Application proxies يقوم بتلبية طلبات المستخدم User بدون أن يسمح له مباشرة بالوصول إلى البرامج المستهدفة ... والـ application proxy يطلق عليه أيضاً (circuit-level firewall ) ... وهذا لأن الـ application proxy يتطلب إكمال الدائرة .. وإلا فإن الاتصال لا يحدث ... وهذا التصميم قام بتحسين سجلات الإحداث event logging ولكن المهاجمون hackers مازالوا قادرون على الدخول .
الجيل الثالث " فحص الحالة " stateful inspection
مهاجمو الكمبيوتر Hackers كانوا قادرين على خداع trick أجهزة الجدار النارية firewalls الخاصة بالجيل الثانى عن طريق إرسال طلبات request مهيأة على تجاوز الـ proxy design ... حيث أن الـ Application proxy firewalls اعتمدت على الحفاظ على الارتباطات open connections maintained المفتوحة مع المستخدمين ... ولكن Connectionless sessions مثل (UDP protocol in IP ) لم تكن محمية ... ولكن فى الجيل الثالث نجد أن طلبات الـ UDP connectionless يتم تسجيلها فى history table .... والـ state التاريخية لطلبات الـ connectionless الآن تحت سيطرة الـ firewall ... لتحقيق حماية أفضل ... وهذا ما يشار إليه بمصطلح "stateful inspection" ... وهو اقل معيار واقعى لتقنيات الجدار النارية للشبكات ... وعلى أى حال فإنه ما زال هناك مكان للتحسينات .
الجيل الرابع " الاستجابة التكيفية " adaptive response
التحسينات فى التقنيات سمحت للجدار النارى firewall بالاتصال مع نظام تعقب المتطفلين intrusion detection system ... وهذا زودنا بـ "استجابة تكيفية " adaptive response مع هجمات الشبكة network attacks ... و فى هذا الجيل نجد أن مسئول الجدار النارى firewall administrator يمكنه أن يقوم بتشكيل configure إجراءات مخزنة صممت لصد rebut العديد من أنواع الهجمات على الجدار النارى ... كما نجد أن الجدار النارى firewall يمكنه إعادة تشكيل نفسه reconfigure itself ليقوم بـ ( غلق منافذ block ports – إعادة ارتباطات reset connections ) ... وهناك عائق واحد وهو أن المهاجم الماهر skilled attacker قد يتنكر (masquerade ) كأداة حرجة critical device مثل ( سيرفر ضرورى necessary server ) ... وأجهزة الجدار النارية من الجيل الرابع يمكنها أن يعطل عرضياً accidentally disable المعدات الحرجة critical device التى تخلق مشكلة نكران الخدمة denial of service problem
الجيل الخامس " معالجة النواة " kernel process
الجيل الخامس من الجدار النارى يعتبر فى الحقيقة آلية للسيطرة الداخلية .. صممت داخل نواة نظام التشغيل (designed into the operating system kernel ) ... وكل طلب للمعالجة يتم التحقق مع بمقارنته بالقامة الداخلية للسماح بالوصول internal access control list ... فهذه ليست قائمة بالأشخاص المرفوض السماح لهم ... العديد من الأنظمة العسكرية الخاصة تستخدم أجهزة الجيل الخامس منذ عدة سنوات ... كما أن نظام التشغيل Windows XP يقوم بتطبيق جدار نارى أساسى من الجيل الخامس basic fifth-generation firewall .
ثانياً : تصميمات وطرق تطبيق الجدار النارى للشبكة
الطريقة الأولى ... screened host implementation :
فالـ screened host تقوم بحماية Host واحد من خلال الجدار النارى firewall ... حيث أن الـ host computer يتم الدفاع عنه بشدة ... والشكل التالى يصور الـ screened host implementation
الطريقة الثانية ... تركيب two interface cards على نفس الـ Host :
وهذه الطريقة يشار إليها بـ "dual-homed" ... والـ host computer يتم تشكيله بحيث يتم تعطيل التوجيه configured with the routing disabled ... ثم يتم استخدام تطبيق خاص لتحقيق الاتصال الملائم بين بطاقتى الشبكة ... وهذه هى الـ configuration للعديد من الـ Internet firewalls ... والشكل التالى يصور dual-homed host .
الطريقة الثالثة ... screened subnet - DMZ design :
الـ DMZ هو تعبير يشير إلى "منطقة منزوعة السلاح " demilitarized zone بين قوات العدو فى ساحة المعركة ... تصميم الـ DMZ يسمح لعدة حاسبات several computers بأن توضع فى شبكة فرعية محمية protected subnet هذه المنطقة يتم الوصول إليها ( من الخارج – بواسطة الأنظمة من داخل الشبكة ) ... والشكل التالى يصور مفهوم الـ DMZ