شرح 8 أنواع من جدران الحماية

يفهم الجميع الوظيفة الأساسية لجدار الحماية - لحماية شبكتك من البرامج الضارة والوصول غير المصرح به. لكن التفاصيل الدقيقة لكيفية عمل جدران الحماية أقل شهرة.

ما هو جدار الحماية(firewall) بالضبط ؟ كيف تعمل الأنواع المختلفة من جدران الحماية؟ وربما الأهم من ذلك - ما هو نوع جدار الحماية الأفضل؟

جدار الحماية 101

ببساطة(Simply) ، جدار الحماية هو مجرد نقطة نهاية شبكة أخرى. ما يجعله مميزًا هو قدرته على اعتراض وفحص حركة المرور الواردة قبل دخولها إلى الشبكة الداخلية ، مما يمنع الجهات الخبيثة من الوصول.

التحقق من مصادقة كل اتصال ، وإخفاء عنوان IP الوجهة من المتسللين ، وحتى فحص محتويات كل حزمة بيانات - تقوم جدران الحماية بكل ذلك. يعمل جدار الحماية كنقطة تفتيش من نوع ما ، حيث يتحكم بعناية في نوع الاتصال المسموح به.

جدران الحماية لتصفية الحزم

تُعد جدران الحماية التي تعمل بفلترة الحزم من أبسط تقنيات جدران الحماية المتوفرة وأقلها كثافة في استخدام الموارد. على الرغم من أنها غير مفضلة هذه الأيام ، إلا أنها كانت العنصر الأساسي في حماية الشبكة في أجهزة الكمبيوتر القديمة.

يعمل جدار حماية تصفية الحزم على مستوى الحزمة ، ويقوم بمسح كل حزمة واردة من موجه الشبكة. لكنه لا يفحص فعليًا محتويات حزم البيانات - فقط رؤوسها. يسمح هذا لجدار الحماية بالتحقق من البيانات الوصفية مثل عناوين المصدر والوجهة وأرقام المنافذ وما إلى ذلك.

كما قد تظن ، هذا النوع من جدار الحماية ليس فعالاً للغاية. كل ما يمكن لجدار حماية تصفية الحزم القيام به هو تقليل حركة مرور الشبكة غير الضرورية وفقًا لقائمة التحكم في الوصول. نظرًا لعدم فحص محتويات الحزمة نفسها ، لا يزال بإمكان البرامج الضارة الوصول إليها.

بوابات مستوى الدائرة

طريقة أخرى فعالة من حيث الموارد للتحقق من شرعية اتصالات الشبكة هي بوابة على مستوى الدائرة. بدلاً من التحقق من رؤوس حزم البيانات الفردية ، تتحقق بوابة على مستوى الدائرة من الجلسة نفسها.

مرة أخرى ، لا يمر جدار الحماية مثل هذا عبر محتويات الإرسال نفسه ، مما يجعله عرضة لمجموعة من الهجمات الضارة. ومع ذلك ، فإن التحقق من اتصالات بروتوكول التحكم(Transmission Control Protocol) في الإرسال ( TCP ) من طبقة الجلسات في نموذج OSI يتطلب موارد قليلة جدًا ، ويمكنه بشكل فعال إيقاف اتصالات الشبكة غير المرغوب فيها.

هذا هو السبب في أن البوابات على مستوى الدائرة غالبًا ما تكون مدمجة في معظم حلول أمان الشبكات ، وخاصة جدران حماية البرامج. تساعد هذه البوابات أيضًا في إخفاء عنوان IP للمستخدم عن طريق إنشاء اتصالات افتراضية لكل جلسة.

جدران حماية التفتيش الدولة

يعد كل من جدار حماية تصفية الحزمة(Packet-Filtering Firewall) وبوابة مستوى الدائرة(Circuit Level Gateway) تطبيقات جدار حماية عديمة الحالة. هذا يعني أنهم يعملون وفقًا لقواعد ثابتة ، مما يحد من فعاليتهم. يتم التعامل مع كل حزمة (أو جلسة) بشكل منفصل ، مما يسمح بإجراء فحوصات أساسية للغاية فقط.

من ناحية أخرى ، يتتبع جدار حماية الفحص(Inspection Firewall)  الدقيق حالة الاتصال ، جنبًا إلى جنب مع تفاصيل كل حزمة يتم إرسالها عبره. من خلال مراقبة مصافحة TCP طوال مدة الاتصال ، يمكن لجدار حماية فحص الحالة تجميع جدول يحتوي على عناوين IP وأرقام منافذ المصدر والوجهة ومطابقة الحزم الواردة مع مجموعة القواعد الديناميكية هذه.

بفضل هذا ، من الصعب التسلل إلى حزم البيانات الضارة بعد جدار حماية فحص مفعم بالحالة. على الجانب الآخر ، فإن هذا النوع من جدار الحماية له تكلفة باهظة للموارد ، مما يؤدي إلى إبطاء الأداء وخلق فرصة للمتسللين لاستخدام هجمات رفض الخدمة(Denial-of-Service) الموزعة ( DDoS ) ضد النظام.

وكيل جدران الحماية

تعمل جدران (Better)الحماية الوكيل(Proxy Firewalls) ، المعروفة باسم بوابات مستوى التطبيق(Application Level Gateways) ، في الطبقة الأمامية لنموذج OSI - طبقة التطبيق. باعتبارها الطبقة الأخيرة التي تفصل المستخدم عن الشبكة ، تتيح هذه الطبقة الفحص الأكثر شمولاً وتكلفة لحزم البيانات ، على حساب الأداء.

على غرار العبّارات على مستوى الدائرة(Circuit-Level Gateways) ، تعمل جدران الحماية الوكيل(Proxy Firewalls) عن طريق التوسط بين المضيف والعميل ، مما يؤدي إلى تشويش عناوين IP الداخلية لمنافذ الوجهة. بالإضافة إلى ذلك ، تقوم البوابات على مستوى التطبيق بإجراء فحص عميق للحزمة لضمان عدم وصول أي حركة مرور ضارة.

وبينما تعمل كل هذه الإجراءات على تعزيز أمان الشبكة بشكل كبير ، فإنها تؤدي أيضًا إلى إبطاء حركة المرور الواردة. يتأثر أداء الشبكة(Network) بسبب عمليات الفحص كثيفة الاستخدام للموارد التي يتم إجراؤها بواسطة جدار حماية ذي حالة مثل هذا ، مما يجعلها غير مناسبة للتطبيقات الحساسة للأداء. 

جدران الحماية NAT

في العديد من إعدادات الحوسبة ، يتمثل المحور الرئيسي للأمن السيبراني في ضمان وجود شبكة خاصة ، وإخفاء عناوين IP الفردية لأجهزة العميل من كل من المتسللين ومقدمي الخدمات. كما رأينا بالفعل ، يمكن تحقيق ذلك باستخدام جدار حماية وكيل(Proxy) أو بوابة على مستوى الدائرة.

هناك طريقة أبسط بكثير لإخفاء عناوين IP وهي استخدام جدار حماية (Firewall)ترجمة عنوان الشبكة(Network Address Translation) ( NAT ) . لا تتطلب جدران حماية NAT(NAT) العديد من موارد النظام لتعمل ، مما يجعلها وسيلة الانتقال بين الخوادم والشبكة الداخلية.

جدران حماية تطبيقات الويب

فقط جدران حماية الشبكة(Network Firewalls) التي تعمل في طبقة التطبيق هي القادرة على إجراء مسح عميق لحزم البيانات ، مثل جدار حماية الوكيل(Proxy Firewall) ، أو جدار حماية تطبيق الويب(Web Application Firewall) ( WAF ).

يعمل WAF(WAF) من داخل الشبكة أو المضيف ، ويمر عبر جميع البيانات المرسلة بواسطة تطبيقات الويب المختلفة ، مع التأكد من عدم وصول أي رمز ضار. يتخصص هذا النوع من بنية جدار الحماية في فحص الحزم ويوفر أمانًا أفضل من جدران الحماية السطحية.

جدران الحماية السحابية

لا تتسع جدران الحماية التقليدية ، سواء كانت جدران الحماية للأجهزة أو البرامج ، بشكل جيد. يجب تثبيتها مع وضع احتياجات النظام في الاعتبار ، إما التركيز على أداء حركة المرور العالية أو أمان حركة مرور الشبكة المنخفض.

لكن جدران الحماية السحابية(Cloud Firewalls) أكثر مرونة بكثير. يتم نشر هذا النوع من جدار الحماية من السحابة كخادم وكيل ، ويعترض حركة مرور الشبكة قبل أن يدخل الشبكة الداخلية ، ويفوض كل جلسة ويتحقق من كل حزمة بيانات قبل السماح لها بالدخول.

أفضل جزء هو أن جدران الحماية هذه يمكن زيادتها وتقليصها حسب الحاجة ، والتكيف مع المستويات المختلفة لحركة المرور الواردة. يتم تقديمها كخدمة قائمة على السحابة ، ولا تتطلب أي أجهزة ويتم صيانتها بواسطة مزود الخدمة نفسه.

الجيل القادم من جدران الحماية

يمكن أن يكون مصطلح "الجيل القادم" مصطلحًا مضللًا. تحب جميع الصناعات القائمة على التكنولوجيا إلقاء مثل هذه الكلمات الطنانة ، ولكن ماذا يعني ذلك حقًا؟ ما نوع الميزات التي تؤهل جدار الحماية ليتم اعتباره من الجيل التالي؟

في الحقيقة ، لا يوجد تعريف صارم. بشكل عام ، يمكنك التفكير في الحلول التي تجمع بين أنواع مختلفة من جدران الحماية في نظام أمان واحد فعال ليكون جدار حماية من الجيل التالي(Next-Generation Firewall) ( NGFW ). مثل هذا الجدار الناري قادر على فحص الحزمة بعمق مع تجاهل هجمات DDoS ، مما يوفر دفاعًا متعدد الطبقات ضد المتسللين.

غالبًا ما تجمع معظم جدران الحماية من الجيل التالي بين عدة حلول للشبكات ، مثل الشبكات الافتراضية الخاصة(VPNs) وأنظمة منع التطفل(Intrusion Prevention Systems) ( IPS ) وحتى برنامج مكافحة الفيروسات في حزمة واحدة قوية. تكمن الفكرة في تقديم حل كامل يعالج جميع أنواع نقاط الضعف في الشبكة ، مما يوفر أمانًا مطلقًا للشبكة. تحقيقًا لهذه الغاية ، يمكن لبعض NGFWs فك تشفير اتصالات طبقة مآخذ التوصيل الآمنة(Secure Socket Layer) ( SSL ) أيضًا ، مما يسمح لهم بملاحظة الهجمات المشفرة أيضًا.

ما نوع (Type)جدار الحماية(Firewall) الأفضل لحماية شبكتك(Your Network) ؟

الشيء المتعلق بجدران الحماية هو أن الأنواع المختلفة من جدران الحماية تستخدم أساليب مختلفة لحماية الشبكة(protect a network) .

أبسط جدران الحماية تقوم فقط بمصادقة الجلسات والحزم ، ولا تفعل شيئًا بالمحتويات. تدور جميع جدران حماية البوابة(Gateway) حول إنشاء اتصالات افتراضية ومنع الوصول إلى عناوين IP الخاصة. تتعقب(Stateful) جدران الحماية ذات الحالة الخاصة الاتصالات من خلال مصافحات TCP الخاصة بها ، وتقوم بإنشاء جدول حالة بالمعلومات.

ثم هناك جدران حماية من الجيل التالي(Next-Generation) ، والتي تجمع بين جميع العمليات المذكورة أعلاه مع فحص عميق للحزم ومجموعة من ميزات حماية الشبكة الأخرى. من الواضح أن نقول إن NGFW ستوفر لنظامك أفضل أمان ممكن ، لكن هذا ليس دائمًا الإجابة الصحيحة.

اعتمادًا على مدى تعقيد شبكتك ونوع التطبيقات التي يتم تشغيلها ، قد تكون أنظمتك في وضع أفضل مع حل أبسط يحمي من الهجمات الأكثر شيوعًا بدلاً من ذلك. قد تكون أفضل فكرة هي مجرد استخدام خدمة جدار الحماية السحابي لجهة خارجية(third-party Cloud firewall) ، وإلغاء التحميل الدقيق لجدار الحماية وصيانته لمزود الخدمة.



باسم بافقية

About the author

أنا مهندس برمجيات بخبرة تزيد عن 10 سنوات في العمل على أجهزة Apple iOS والأجهزة الطرفية. جعلتني تجربتي في هندسة الأجهزة شغوفًا بالتأكد من أن أجهزة عملائنا موثوقة وسلسة قدر الإمكان. لقد كنت أكتب كودًا خلال السنوات القليلة الماضية وتعلمت استخدام Git و Vim و Node.js.


Related posts