الانترنتالتقنيةشبكات الحاسوب

ماهي قواعد الجدار الناري؟

اقرأ في هذا المقال
  • السياسة الافتراضية (Default Policy):
  • كتابة قواعد البيانات الخارجة:

كما ذُكِر في المقال السّابق مدى أهمية جدار الحماية، حيث أن البيانات الشبكيّة التي ستعبر جدار الحماية أو الجدار الناري سيتم تطبيق قواعد معينة عليها لتحديد إذا كان يُسمَح لها بالمرور أم لا، جدار الحماية عبارة عن نظام أمان يستخدم قواعد لحظر أو إتاحة الاتّصالات ونقل البيانات بين الحاسوب الخاص بك والإنترنت. وتقوم قواعد جدار الحماية بالتحكُّم في الطّريقة التي يحمي بها (Smart Firewall) الحاسوب من البرامج الضّارة والوصول غير المصرّح به. ويقوم (Norton firewall) تلقائياً بفحص جميع نشاطات المرور للبيانات الواردة من الحاسوب والصّادرة إليه بناءً على هذه القواعد.

ويستخدم (Smart Firewall) نوعين من القواعد:

  • قواعد البرامج: التحكّم بالبرامج المثبّتة على الحاسوب في وصولها إلى الشبكة.
  • قواعد حركة المُرور: التحكّم في جميع حركات مرور البيانات بالشّبكة سواءً كانت البيانات الواردة أوالصّادرة.

قواعد البرامج:

في علامة التّبويب وحدة التحكّم في البرامج، يمكنك القيام بما يلي:

  • إعادة تسمية وصف البرنامج.
  • تعديل القواعد الخاصّة ببرنامج.
  • إضافة قاعدة للبرنامج.
  • تعديل إعدادات الوصول لقاعدة برنامج.
  • تعديل أولوية قواعد برنامج بتغيير التسلسل للقواعد المعروضة في القائمة.
  • إزالة قاعدة ما لبرنامج معين.
  • عرض مستوى الموثوقية لأي برنامج تريده.

لشرح كيف تبدو قواعد الجدار النّاري سنعرض بعض الأمثلة، إفترض أن لديك هذه القائمة من قواعد جدار الحماية التي ستنطبق على البيانات القادمة على الشبكة:

  1. السماح للبيانات الشبكية القادمة من اتصالات جديدة أو مُنشَأة مسبقًا إلى البطاقة الشبكية العامة على المنفذين “80” و “443” (بيانات “HTTP” و “HTTPS” للويب).
  2. تجاهل البيانات القادمة من عناوين IP للموظفين غير التقنيين منهم في مكتبك إلى المنفذ “22” (خدمة “SSH”).
  3. السماح للبيانات الشبكية القادمة من الاتّصالات الجديدة أو التي تم إنشاؤها مُسبقاً من مجال عناوين (IP) لمكتبك إلى البطاقة الشبكية الخاصّة على المنفذ “22” (خدمة “SSH”).

لاحظ أنَّ أول كلمة في كل مثال من الأمثلة الثلاثة السابقة هي إما كلمة «سماح» (accept) أو «رفض» (reject) أو «تجاهل» (drop). هذا سيُحدِّد ما يجب على جدار الحماية فعله في حال تطابقت البيانات الشبكية مع تلك القاعدة. «السماح» تعني أنه يمكن للبيانات الشبكية المرور، و«الرفض» تعني المنع من مرور البيانات الشبكية ولكن إرسال خطأ «unreachable»، بينما «التجاهل» تعني منع مرور البيانات الشبكية وعدم إرسال رد، يحتوي ما تبقى من كل قاعدة على الشرط الذي يجب أن تُطبق عليه كل حزمه شبكية (packet).

وكما يبدو، فإن البيانات الشبكية ستُطابَق على قائمة بقواعد الجدار الناري بتسلسل من أول قاعدة إلى آخر قاعدة. وخصوصًا عندما تُطبَق قاعدة، فسينفَّذ الحدث المُطابِق لها على البيانات الشبكية؛ في مثالنا السابق، إذا حاول محاسب في المكتب إنشاء اتصال (SSH) إلى (server)، فسيُتم رفض اتّصاله بناءً على القاعدة رقم 2، حتى قبل التحقق من القاعدة رقم 3، لكن سيتمكَّن من إنشاء الاتصال مديراً للنظام لأنه سيُطابِق القاعدة رقم 3 فقط.

السّياسة الافتراضيّة (Default Policy):

من المؤكد لسلسلة من قواعد جدار الحماية أن يصعب عليها تغطية كافة الحالات الممكنة بدقة، فلهذا السبب، يتوجب تحديد سياسة افتراضية لسلاسل قواعد جدار الحماية، التي تحتوي على ما سيُطبق على البيانات (رفض، أو قبول، أو تجاهل).

افترض أننا قمنا بتطبيق السياسة الافتراضية للمثال السابق إلى «تجاهل»، فإذا حاول حاسوب خارج مكتبك من إنشاء اتصال “SSH” إلى الخادم (server) الخاص بك، فسيتم تجاهل البيانات الشبكية التي أرسلها لأنها لا تحقّق أيّ من القواعد السابقة.

أما لو طُبقت السياسة الافتراضية إلى «السماح»، فإن أي شخص، ما عدا موظفي المكتب من الغير مختصين بالتقنية سيتمكن من إنشاء اتصال لأي خدمة مفتوحة على الخادم الخاص بك، هذا مثال عن أن الجدارا ناري ضُبط ضبطاً سيئاً حيث سيمنع جزءً من الموظفين فقط.

البيانات الشبكيّة الدّاخلة والخارجة:

البيانات الشبكية تُفصل من وجهة نظر ال(Server) إلى بيانات إما داخلة أو خارجة، فإن جدار الحماية الناري يبقي مجموعةً منفصلةً من القواعد لكل حالة؛ البيانات التي أصلها من مكانٍ خارجي (أي البيانات الداخلة) تُعامَل بطريقة وقواعد مختلفة عن البيانات الخارجة فمن الطبيعي أن يسمح السيرفر بأغلبية البيانات الخارجة لأن السيرفر عادةً «يثق بنفسه». ومع هذا، يمكن استخدام مجموعة من القواعد للبيانات الخارجة لمنع الاتّصالات الغير المرغوبة في حال تم اختراق السيرفر من قبل مُخرّبين أو عبر ملفات تنفيذية خبيثة.

كتابة قواعد البيانات الخارجة:

افترض أن مثالنا عن الجدار الناري مضبوط لتجاهل البيانات الشبكية الخارجة افتراضياً، هذا يعني بأنَ قواعد السّماح للبيانات الداخلة ستكون بلا فائدة تُرجى منها دون قواعد البيانات الشبكية الخارجة بحيث تكون مكملة لها.

لملائمة المثال عن قواعد البيانات الداخلة في جدار الحماية للقاعدتين القاعدة رقم 1 و القاعدة رقم 3، من قواعد الجدار الناري السابق، وللسماح بالاتصالات المناسبة بناءً على هذه العناوين والمنافذ، فعلينا استخدام هذه القواعد للاتصالات الخارجة:

  1. السماح بالبيانات الشبكية الخارجة التي تم إنشاؤها على البطاقة الشبكية العامة على المنفذ “80” و “443” (HTTP و HTTPS).
  2. السماح بالبيانات الخارجة التي تم إنشاؤها على البطاقة الشبكية الخاصة على المنفذ “22” (SSH).

من الجيد أننا لم نحتج إلى كتابة قاعدة محدّدة للبيانات القادمة التي أُهمِلَت (القاعدة رقم 2) لأن (server) لا يحتاج إلى إنشاء أو إرسال أي إشعار إلى ذالك الاتّصال.


المصدر
CCSP Cisco Secure PIX FirewallEugenics and the Firewall: Canada's Nasty Little Secret

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى