في مجالات علوم الحاسوب، الجدار الناري ويسمى أيضاً جدار اللهب (بالإنجليزية: Firewall)، هوجهاز و/أوبرنامج يفصل بين المناطق الموثوق بها في شبكات الحاسوب، ويكون أداة مخصصة أوبرنامج على جهاز حاسوب آخر، الذي بدوره يقوم بمراقبة العمليات التي تمر بالشبكة ويرفض أويقرر أحقية المرور ضمناً لقواعد معينة.

الجدار النارى هوجزء من نظام الكمبيوتر أوالشبكة التي تم تصميمها لمنع الوصول غير المصرح به في حين السماح بإتاحة الاتصالات المسموح بهاأذن. هوجهاز أومجموعة من الأجهزة تم برمجته للسماح ، أوإنكار أوتشفير أوفك شفرة ، أو الملقم الجميع (داخل وخارج) حركة الكمبيوتر بين مختلف المجالات الأمنية استنادا إلى مجموعة من القواعد والمعايير الأخرى.

الجدران النارية يمكن حتى تنفذ في أي من الأجهزة أوالبرامج ، أومزيج من الاثنين معا. الجدران النارية غالبا ما تستخدم لمنع المستخدمين عبر الإنترنت غير المخولين من الوصول إلى الشبكات الخاصة بشبكة الإنترنت ، وخاصة إنترانت. جميع الرسائل دخول أومغادرة إنترانت بالمرور عبر جدار الحماية ، والذي يفحص جميع رسالة وجميع كتلة من تلك التي لا تستوفي معايير أمنية محددة.

There are several types of firewall techniques:

1. Packet filter: Packet filtering inspects each packet passing through the network and accepts or rejects it based on user-defined rules. Although difficult to configure, it is fairly effective and mostly transparent to its users. In addition, it is susceptible to IP spoofing.
2. Application gateway: Applies security mechanisms to specific applications, such as FTP and Telnet servers. This is very effective, but can impose a performance degradation.
3. Circuit-level gateway: Applies security mechanisms when a TCP or UDP connection is established. Once the connection has been made, packets can flow between the hosts without further checking.
4. Proxy server: Intercepts all messages entering and leaving the network. The proxy server effectively hides the true network addresses.

الوظيفة

وظيفة الجدار الناري الأساسية هي تنظيم بعض تدفق أزمة الشبكة بين شبكات الحاسوب المكونة من مناطق ثقة المتعددة. ومن الأمثلة على هذا النوع الإنترنت و- التي تعتبر منطقة غير موثوق بها- وأيضا شبكة داخلية ذات ثقة أعلى، ومنطقة ذات مستوى ثقة متوسطة، متمركزة بين الإنترنت والشبكة الداخلية الموثوق بها، تدعى عادة بالمنطقة منزوعة السلاح (Demilitarized Zone DMZ).

وظيفة الجدار الناري من داخل الشبكة هومشابه إلى أبواب الحريق في هجريب المباني. في الحالة الأولى يستعمل في منع اختراق الشبكات الخاصة، وفي الحالة الثانية يفترض به حتى يحتوي ويؤخر حريق الموجود في بناء معين من الانتنطق إلى بناء آخر.

من دون الإعداد الملائم فإنه غالباً ما يصبح الجدار الناري عديم الفائدة. فممارسات الأمان المعيارية تحكم بما يسمى بمجموعة قوانين "المنع أولاً" للجدار الناري، الذي من خلاله يسمح بمرور فقط وصلات الشبكة المسموح بها بشكل تخصيصي. ولسوء الحظ فان إعداد مثل هذا يستلزم فهم مشروح لتطبيقات الشبكة ونقاط النهاية اللازمة للعمل اليومي للمنظمات. الكثير من أماكن العمل ينقصهم مثل هذا الفهم وبالتالي يطبقون مجموعة قوانين "السماح أولاً"، الذي من خلاله يسمح بكل البيانات بالمرور إلى الشبكة ان لم تكن محددة بالمنع مسبقاً.

التاريخ

على الرغم من حتى مصطلح "الجدار الناري" قد اكتسب معنى حديث في الوقت الحالي، إلا حتى تاريخ المصطلح يعود إلى أكثر من قرن، حيث حتى الكثير من البيوت قد تم بناؤها من طوب موضوع في الحائط بشكل يوقف انتنطق النيران المحتملة، هذا الطوب في الحائط سمي بالحائط الناري.

ظهرت تقنية الجدار الناري في أواخر الثمانينات عندما كانت الإنترنت تقنية جديدة نوعاً ما من حيث الاستخدام العالمي. الفكرة الأساسية ظهرت استجابة لعدد من الاختراقات الأمنية الرئيسية لشبكة الإنترنت التي حدثت في أواخر الثمانينات. في العام 1988 قام موظف في مركز ابحاث "Ames" التابع لناسا في كاليفورنيا بإرسال مذكرة عن طريق البريد الاليكتروني إلى زملائه قائلاً فيها "نحن الآن تحت الهجوم من فيروس من الإنترنت، لقد أصيبت جامعات بيركلي، سان دييغو، لورنس ليفير مور، ستانفورد وناسا ايمز".

دودة موريس نشرت نفسها عبر الكثير من نقاط الضعف في الأحهزة في ذلك الوقت. على الرغم أنها لم تكن مؤذية في النية لكنها كانت أول هجوم من الحجم الكبير على أمن الإنترنت: المجتمع الموصول على الشبكة لم يكن يتسقط هجوما أوجاهزاً للتعامل معه.

الجيل الاول: مفلترات العبوة (Packet Filters)

أول درس نشر عن تقنية الجدار الناري كانت عام 1988، عندما قام مهندسون من (DEC) بتطوير نظام فلترة عهد باسم جدار النار بنظام فلترة العبوة، هذا النظام الأساسي يمثل الجيل الأول الذي يفترض أن يصبح عالي التطور في مستقبل أنظمة أمان الإنترنت. في مختبراتAT&T قام بيل شيزويك وستيف بيلوفين بمتابعة الأبحاث على فلترة العبوات وطوروا نسخة عاملة مخصصة لشركتهم معتمدة على الهجريبة الأصلية للجيل الأول.

تعمل فلترة العبوات بالتحقق من "العبوات"(packets) التي تمثل الوحدة الأساسية المخصصة لنقل البيانات بين الحواسيب على الإنترنت. إذا كانت العبوة تطابق مجموعة قوانين فلتر العبوة فإن النظام سيسمح بمرور العبوة أويرفضها (يتخلص منها ويقوم بإرسال استجابة "خطأ" للمصدر).

هذا النظام من فلترة العبوات لا يعير اهتماما إلى كون العبوة جزءاً من تيار المعلومات (لا يخزن معلومات عن حالة الاتصال). وباللقاء فإنه يفلتر هذه العبوات بناءً على المعلومات المختزنة في العبوة نفسها (في الغالب يستخدم توليفة من مصدر العبوة المكان الذاهبة إليه، النظام المتبع، ورقم المرفأ المخصص ل(TCP) (UDP) الذي يضم معظم تواصل الإنترنت).

لأن (TCP ) و( UDP) في العادة تستخدم مرافىء معروفة إلى أنواع معينة من قنوات المرور، فإن فلتر عبوة "عديم الحالة" يمكن حتى تميز وتتحكم بهذه الأنواع من القنوات ( مثل تصفح المواقع، الطباعة البعيدة المدى، إرسال البريد الإلكتروني، إرسال الملفات)، إلا اذا كانت الأجهزة على جانبي فلتر العبوة يستخدمان نفس المرافىء الغير اعتيادية.

الجيل الثاني: فلتر محدد الحالة (Stateful" Filters")

eu gosto de mamar nos peitos da cabritinha

الجيل الثالث: طبقات التطبيقات (Application Layer Firewall)

بعض المنشورات بقلم جين سبافورد من جامعة بوردو، بيل شيزويك من مختبرات AT&T ، وماركوس رانوم شرحت جيلاً ثالثاً من الجدارن النارية عهد باسم "الجدار الناري لطبقات التطبيقات" (Application Layer Firewall)، وعهد أيضا بالجدار الناري المعتمد على الخادم النيابي (Proxy server). وعمل ماركوس رانوم قاد ابتكار أول نسخة تجارية من المنتج. قامت "DEC" بإطلاق المنتج تحت اسم "SEAL".

أول مبيع للمنتج من"DEC" كان في 13 أغسطس 1991 إلى شركة كيميائية متمركزة على الساحل الشرقي من الولايات المتحدة.

الفائدة الرئيسية من الجدار الناري لطبقات التطبيقات أنه يمكن حتى "يفهم" بعض التطبيقات والأنظمة (مثل نظام نقل الملفات "DNS" تصفح المواقع)، ويمكنه حتى يكتشف إذا ما كان هنالك نظام غير مرغوب فيه يتم تسريبه عبر مرافىء غير اعتيادية أوإذا كان هنالك نظام يتم إساءة استخدامه بطريقة مؤذية ومعروفة.

تطويرات لاحقة

في العام 1992 لبوب برادين وانييت ديشون في جامعة جنوب كاليفورنيا كانوا يقوموبعمل تحسينات على مبدأ الجدار الناري. وكان اسم المنتج "Visas" الذي كان النظام الأول الذي له قابلة إدخال مرئية مع ألوان وأيقونات، الأمر الذي سهل عملية تطبيقه والوصول له على حاسوب مشغل بأنظمة تشيغيل مثل MICROSOFT WINDOWS ، APPLE MACOS . وفي العام 1994 قامت شركة إسرائيلية اسمها CHECK POINT SOFTWARE TECHNOLOGIES ببناء مثل هذا النظام داخل برنامج متوفر بشكل كبير اسمه"FireWall-1".

وظيفة: التحقق العميق للعبوة الحالية للجدران الحديثة يمكن مشاركتها مع أنظمة منع الاختراق(IPS) .

مجموعة الصندوق الأوسط للاتصالات من قوة مهام هندسة النترنت (IETF) تعمل حالياً على تحديد الأنظمة الاعتيادية لتنظيم الجدران النارية والصناديق الأوسطية الأخرى.

الأنواع

هنالك الكثير من فئات الجدران النارية بناءً على مكان عمل الاتصال، ومكان تشفير الاتصال والحالة التي يتم تتبعها.

1 طبقات الشبكة ومفلترات العبوات(Network Layer and Packet Filters)

الجدار الناري ذوطبقات الشبكة الذي يسمى أيضا مفلترات العبوة، تعمل على رصة أنظمة TCP\IP منخفضة المستوى، ولا تسمح للعبوات بالمرور عبر الجدار الناري دون حتى تطابق مجموعة القوانين المحددة. يمكن للمسؤول عن الجدار الناري حتى يحدد الأوامر، وإن لم يتم هذا تطبق الأوامر الطبيعية. المصطلح فلتر العبوة نشأ في نطاق أنظمة تشغيل "BSD".

الجدار الناري ذوطبقات الشبكة عادة ينقسم إلى قسمين فرعيين اثنين ، ذوالحالة وعديم الحالة . تتحفظ الجدران النارية ذات الحالة بنطاق يتعلق بالجلسات المفتوحة حالياً، ويستخدم معلومات الحالة لتسريع معالجة العبوة. أي اتصال شبكي يمكن تحديده بعدة امور، تشتمل على عنوان المصدر والوجهة، مرافىء UDP" " و"TCP"، والفترة الحالية من عمر الاتصال (يضم ابتداء الجلسة، المصافحة، نفل البيانات، وإنهاء الاتصال). إذا كانت العبوة لا تطابق الاتصال الحالي، فسوف يتم تقدير ماهيتها طبقاً لمجموعة الأوامر للاتصال الجديد، وإذا كانت العبوة تطابق الاتصال الحالي بناءً على مقارنة عن طريق جدول الحالات للحائط الناري، فسوف يسمح لها بالمرور دون معالحة أخرى.

الجدار الناري العديم الحالة يحتوي على قدرات فلترة العبوات، ولكن لا يستطيع اتخاذ قرارات معقدة تعتمد على الفترة التي وصل لها الاتصال بين المضيفين.

الجدران النارية الحديثة يمكنها ان تفلترالقنوات معتمدة على كثير من الجوانب للعبوة، مثل عنوان المصدر، مرفأ المصدر، عنوان الوجهة أومرفأها، نوع خدمة الوجهة مثل"WWW" و"FTP" ، ويمكن حتى يفلتر اعتماداً على أنظمة وقيم"TTL" ، صندوق الشبكة للمصدر، اسم النطاق للمصدر، والكثير من الجوانب الأخرى.

فلاتر العبوات لنسخ متعددة من "UNIX" هي ، "IPF" (لعدة ) ، IPFW" " (FREEBSD /MAC OS X ) ، "PF" (OPEN BSD AND ALL OTHER BSD ) ، IPTABELSIPCHAINS (LINUX) .

2 طبقات التطبيقات (Application Layer)

تعمل الجدران النارية لطبقات التطبيقات على مستوى التطبيق لرصة"TCP\IP" ( مثل جميع أزمة المتصفح ، أوجميع أزمة "TELNET" و"FTP"، ويمكن حتى يعترض جميع العبوات المنتقلة من وإلى التطبيق). ويمكن حتى يحجب العبوات الأخرى دون إعلام المرسل عادة. في المبدأ يمكن لجدران التطبيقات النارية منع أي اتصال خارجي غير مرغوب فيه من الوصول إلى الأجهزة المحمية.

عند تحري العبوات جميعها لإيجاد محتوى غير ملائم، يمكن للجدار الناري حتى يمنع الديدان(worms) والأحصنة الطروادية (Trojan horses) من الانتشار عبر الشبكة. ولكن عبر التجربة تبين حتى هذا الأمر يصبح معقدا جداً ومن الصعب تحقيقه (مع الأخذ بعين الاعتبار التنوع في التطبيقات وفي المضمون المرتبط بالعبوات) وهذا الجدار الناري الكامل لا يحاول الوصول إلى مثل هذه المقاربة.

الحائط الناريXML يمثل نوعاً أكثر حداثة من جدار طبقات التطبيقات الناري.

3 الخادمين النيابيين (Proxy Servers)

الخادم النيابي (سواء أكان يعمل على معدات مخصصة أوبرامج الأجهزة المتعددة الوظائف) قد يعمل مثل كجدار ناري بالاستجابة إلى العبوات الداخلة (طلبات الاتصال على سبيل المثال) بكيفية تشبه التطبيق مع المحافظة على حجب العبوات الأخرى.

يجعل الخادم النيابي العبث بالأنظمة الداخلية من شبكة خارجية أصعب ويجعل إساءة استخدام الشبكة الداخلية لا يعني بالضرورة اختراق أمني متاح من خارج الجدار الناري (طالما بقي تطبيق الخادم النيابي سليماً ومعداً بشكل ملائم). باللقاء فإن المتسللين قد يختطفون نظاماً متاحاً للعامة ويستخدمونه كخادم نيابي لغاياتهم الشخصية، عند اإن يتنكر الخادم النيابي بكونه ذلك النظام بالنسبة إلى الأجهزة الداخلية. ومع حتى استخدام مساحات للمواقع الدخلية يؤيد الأمن، إلا حتى المشقين قد يستخدمون أساليب مثل "IP Spoofing" لمحاولة تمرير عبوات إلى الشبكة المستهدفة.

4 ترجمة عنوان الشبكة (Network Address Translation)

عادة ما تحتوي الجدران النارية على وظيفة ترجمة عنوان الشبكة (NAT)، وقد يكون المضيفين محميين خلف جدار ناري يحتوي على مواقع ذونطاق خاصة، كما عرّفت في"RFC 1918" . تكون الجدران النارية متضمنة على هذه الميزة لتحمي المسقط العملي للمضيف المحمي. وبالأصل تم تطوير خاصية "NAT" لتخاطب معضلة كمية "IPv4" المحدودة والتي يمكن استخدامها وتعيينها للشركات أوالأفراد وبالإضافة إلى تخفيض العدد وبالتالي كلفة إيجاد مواقع عامة كافية لكل جهاز في المنظمة. وأصبح إخفاء مواقع الإجهزة المحمية أمراً متزايد الأهمية للدفاع ضد استطلاع الشبكات.

أنظر أيضا

• Access control list
• Bastion host
• Circuit-level gateway
• Comodo Firewall Pro
• Comparison of firewalls
• Computer security
• End-to-end connectivity
• Firewall pinhole
• Firewalls and Internet Security (book)
• مشروع الدرع المضىي (المعروق بإسم "سور نيران الصين العظيم")
• List of Linux router or firewall distributions
• Mangled packet
• network reconnaissance
• Personal firewall
• Sandbox (computer security)
• Screened-subnet firewall
• Unified threat management

المراجع

الروابط الخارجية

مشاع الفهم فيه ميديا متعلقة بموضوع [[commons: Category:Firewall | Firewall ]].

• Internet Firewalls: Frequently Asked Questions, compiled by Matt Curtin, Marcus Ranum and Paul Robertson.
• Firewall Connection Count Exceeded, The impact of intermittent users on firewall device connection counts.
• Evolution of the Firewall Industry - Discusses different architectures and their differences, how packets are processed, and provides a timeline of the evolution.
• A History and Survey of Network Firewalls - provides an overview of firewalls at the various ISO levels, with references to the original papers where first firewall work was reported.
• Software Firewalls: Made of Straw? Part 1 of 2 and Software Firewalls: Made of Straw? Part 2 of 2 - a technical view on software firewall design and potential weaknesses

مشاع الفهم فيه ميديا متعلقة بموضوع Firewall.