ما هو الجدار الناري Advanced Policy Firewall

اقرأ في هذا المقال


يعتبر (Advanced Policy Firewall) نظام جدار حماية (iptables) قائم على السياسة يوفر تحكمًا بسيطًا وقويًا في أمان الخادم اليومي، وهو عبارة عن جدار حماية يتم ملاحظته أحيانًا على خوادم (Liquid Web)، إنه في الأساس واجهة لـ (iptables)، وهي واجهة (Linux) القياسية للتحكم في منافذ الشبكة والمحافظة على أمنها.

ما هو الجدار الناري Advanced Policy Firewall

(Advanced Policy Firewall) هو نظام جدار حماية قائم على (netfilter)، مصمم لتلبية الإحتياجات الأساسية للخوادم المنشورة عبر الإنترنت والإحتياجات الفريدة لعمليات تثبيت (Linux) المخصصة المنشورة، تم تصميم تكوين (APF) ليكون مفيدًا للغاية ويقدم للمستخدم عملية سهلة المتابعة، من أعلى إلى أسفل ملف التكوين.

يتمثل الجانب التقني لـ (APF) في أنه يستخدم أحدث الميزات المستقرة من مشروع (iptables netfilter) لتوفير جدار حماية قوي جدًا، تتكون التصفية التي يقوم بها (APF) من السياسات المستندة إلى القواعد الثابتة ويجب عدم الخلط بينها وبين جدار الحماية الثابت والسياسات المعتمدة على حالة الإتصال والسياسات القائمة على الصحة.

ملاحظة: “APF” اختصار لـ “Advanced Policy Firewall”.

أجزاء التصفية التي يقوم بها Advanced Policy Firewall

  • السياسات المستندة إلى القواعد الثابتة، هي الطريقة الأكثر تقليدية لجدار الحماية، يحدث هذا عندما يكون لجدار الحماية مجموعة غير متغيرة من التعليمات القواعد حول كيفية التعامل مع حركة المرور في ظروف معينة، أحد الأمثلة على السياسة المستندة إلى قاعدة ثابتة عندما يسمح المستخدم أو يرفض وصول عنوان إلى الخادم باستخدام نظام الثقة أو فتح منفذ جديد باستخدام (conf.apf).
  • سياسات الحالة القائمة على الإتصال، هي وسيلة لتمييز الحزم الشرعية لأنواع مختلفة من الإتصالات، يسمح جدار الحماية فقط للحزم المطابقة لإتصال معروف، سيتم رفض الآخرين، ومن الأمثلة على ذلك عمليات نقل بيانات بروتوكول نقل الملفات، في عصر أقدم من جدران الحماية، سيتعين على المستخدم تحديد مجموعة معقدة من السياسات الثابتة للسماح بنقل بيانات اتفاقية التجارة الحرة بالتدفق دون مشكلة.
  • السياسات الثالثة، هي قدرة جدار الحماية على مطابقة أنماط حركة المرور المختلفة بأساليب الهجوم المعروفة أو تدقيق حركة المرور لتتوافق مع معايير الإنترنت، مثال على ذلك عندما يبدأ جهاز توجيه معطل على الإنترنت في ترحيل الحزم المشوهة إليه، حيث يمكن لـ (APF) ببساطة تجاهلها أو في حالات أخرى الرد على جهاز التوجيه وإيقاف إرسال حزم جديدة إلى المستخدم إعادة تعيين (TCP).

ملاحظة: “TCP” اختصار لـ “Transmission Control Protocol”.

فوائد وسمات Advanced Policy Firewall

  • ينظم (APF) حركة المرور من وإلى الخادم باستخدام القائمة البيضاء والقائمة السوداء، تحتوي القائمة السوداء والبيضاء على عناوين (IP) والشبكات التي تم منحها حق الوصول على وجه التحديد.

ملاحظة: “IP” اختصار لـ “Internet Protocol””.

  • يستخدم جدار حماية (Advanced Policy Firewall)، على نطاق واسع على خوادم الويب التي تعمل بنظام (CentOS)، إنها في الأساس واجهة لـ (iptables)، وهي الواجهة القياسية لإدارة منافذ الشبكة على أجهزة (Linux)، يمكن أن يكون التفاعل مع (iptables) معقدًا ومعرضًا للخطأ، كما يعمل (APF) على تبسيط العمل معه بشكل كبير.
  • تصفية الشبكة الداخلية والخارجية المحببة وتصفية الشبكة الصادرة بناءً على معرف المستخدم وتصفية الشبكة القائمة على التطبيق.
  •  ملفات القواعد القائمة على الثقة، نظام ثقة عالمي حيث يمكن تنزيل القواعد من مركز مركزي خادم الإدارة ومنع العنوان التفاعلي والجيل التالي من منع التطفل على الإنترنت ووضع التصحيح المقدم لإختبار الميزات الجديدة وإعدادات التكوين.
  • ميزة التحميل السريع التي تسمح بتحميل أكثر من (1000) قاعدة في أقل من ثانية واحدة وواجهات الشبكة الواردة والصادرة، كما يمكن تكوينه بشكل مستقل منفذ (tcp / udp) عالمي وتصفية (icmp) بفلاتر متعددة.

ملاحظة: “udp” اختصار لـ “User Datagram Protocol””.

  • سياسات قابلة للتكوين لكل عنوان(IP) على النظام مع متغيرات ملائمة لإستيراد الإعدادات، الحد من معدل تدفق الحزم الذي يمنع إساءة استخدام البروتوكول الأكثر إساءة استخدامًا.
  • قواعد التوجيه المسبق وبعد النشر لأداء الشبكة الأمثل ودعم قائمة حظر (dshield) لحظر الشبكات التي تظهر نشاطًا مشبوهًا، ودعم عدم توجيه الرسائل غير المرغوب فيها أو قائمة الأقران لحظر عنوانين (IP).
  • يمكن أن يكون للواجهات المحصنة بجدار الحماية سياسات جدار حماية فريدة مطبقة والتحقق الذكي من المسار لمنع أخطاء التكوين وفحوصات وسلامة الحزمة المتقدمة للتأكد من أن حركة المرور القادمة والذهاب تلبي أكثر المعايير صرامة.
  • التكوين الديناميكي لخوادم (DNS) المحلية في جدار الحماية والتصفية الإختيارية لمساحة عنوان (IP) الخاص والمحجوز وإعدادات تتبع اتصال قابلة للتكوين لتوسيع نطاق جدار الحماية وفقًا لحجم الشبكة.
  • التحكم المتقدم في الشبكة مثل إشعار الإزدحام الصريح والتحكم في التدفق الزائد وسلاسل المساعدة لإتصالات (FTP DATA) لمنع المشكلات من جانب العميل.
  • نظام فرعي للتسجيل، يسمح بتسجيل البيانات إلى برامج مساحة المستخدم أو ملفات سجل النظام القياسية وتسجيل شامل لكل قاعدة مضافة وفحص تفصيلي لأخطاء بدء التشغيل.

بعض بدائل الجدار الناري Advanced Policy Firewall

أداة Shoreline Firewall

تعد أداة (Shoreline Firewall)، المعروفة أكثر باسم (Shorewall)، أداة عالية المستوى لتكوين (Netfilter)، يقرأ (Shorewall) ملفات التكوين هذه وبمساعدة (iptables) و(iptables-response)، تقوم (Shorewall) بتهيئة (Netfilter) والنظام الفرعي لشبكات (Linux) لمطابقة متطلبات المستخدم، يمكن استخدام (Shorewall) على نظام جدار حماية مخص أو بوابة أو موجه أو خادم متعدد الوظائف أو على نظام (GNU / Linux) مستقل.

خدمة HeatShield

(HeatShield) هي خدمة إدارة جدار حماية الشبكة لخوادم (Linux)، يمنع جدار الحماية الذي تم تكوينه بواسطة (HeatShield) الوصول غير المصرح به إلى الخدمات التي تعمل على خوادم المستخدم، يقوم (HeatShield) بتكوين جدار حماية (iptables) على الخادم الخاص بالمستخدم ولا يتطلب أي أجهزة إضافية أو بنية أساسية للشبكة المتخصصة.

عند توصيل الخادم الخاص بالمستخدم بـ (HeatShield)، يتم تثبيت وكيل إدارة جدار الحماية على الخادم الخاص به، يتواصل الوكيل مع (HeatShield) ويحافظ على تكوين جدار الحماية الخاص بالخادم كما حددته، ويبلغ عن محاولات تسجيل الدخول.

نظام تشغيل CacheGuard

يركز نظام تشغيل (CacheGuard) على تقديم محتويات ويب آمنة وجيده للعملاء لتحقيق الهدف، تم إنشاء نظام التشغيل (CacheGuard)، بمجرد التثبيت على جهاز، يقوم نظام تشغيل (CacheGuard) بتحويله إلى جهاز بوابة ويب قوي، كما يساعد (CacheGuard) في ضمان النجاح في بناء حلول قوية وآمنة لإدارة حركة مرور الويب الخاصة بالمستخدم بينما يركز على عمله الأساسي.

بالإضافة إلى إنه يدمج أفضل التقنيات في حل جاهز للإستخدام، والنتيجة هي حل قوي وسهل الإنجاز يسمح للمستخدم بحماية وتحسين حركة مرور الويب التي تمر عبر البنية الأساسية للويب.

من أهم ما يتميز به (Advanced Policy Firewall) ملف التكوين الشامل والمعلق بشكل صحيح لتصفية الشبكة الصادرة المستندة إلى معرف المستخدم وتصفية الشبكة الواردة والصادرة الدقيقة، وتصفية الشبكة على أساس التطبيقات وعلى أساس الثقة مع المستخدمين، يتم تخزين جميع ملفات تكوين (APF) على الخادم الخاص بالمستخدم.


شارك المقالة: