هل جدار الحماية الخاص بجهاز التوجيه كافٍ للاستخدام المنزلي؟

بالنسبة للاستخدام المنزلي العادي، نعم، حيث يعمل جهاز التوجيه ذو الإعدادات الافتراضية على حظر حركة المرور الواردة غير المرغوب فيها، وهو التهديد الخارجي الرئيسي. قم بإقرانه بجدار حماية معقول لنظام التشغيل على كل جهاز وستكون قد قمت بتغطية القواعد. تضيف جدران الحماية على مستوى المؤسسات ميزات (IPS، والتحكم في التطبيقات، ومكثف VPN) التي لا يحتاجها الاستخدام المنزلي عادةً.

هل تتجاوز VPN جدار الحماية؟

من الداخل، نعم - حركة المرور الصادرة إلى نقطة نهاية VPN هي إحدى التدفقات المسموح بها؛ كل شيء آخر يركب داخل هذا النفق. تقوم معظم جدران الحماية الخاصة بالشركات بحظر منافذ VPN الشائعة على وجه التحديد لهذا السبب. من الخارج، لا - لا يزال جدار الحماية يسقط حركة المرور الواردة غير المرغوب فيها إلى خدمة VPN ما لم يسمح بذلك صراحة.

ما الفرق بين جدار الحماية وIPS؟

يسمح جدار الحماية أو يحظر بناءً على القواعد المتعلقة بالترويسات (والحمولات المتزايدة). يقوم نظام IPS (نظام منع التطفل) بفحص حركة المرور بشكل نشط بحثًا عن أنماط الهجوم المعروفة أو الحالات الشاذة ويمكنه منع اكتشافها. تجمع جدران الحماية الحديثة بين وظائف IPS؛ من الناحية النظرية فهي ميزات مميزة.

هل يمكنني إيقاف تشغيل جدار الحماية لإصلاح مشكلة الاتصال؟

لا تفعل ذلك، ولو مؤقتاً. إذا كان الاتصال يتطلب إيقاف تشغيل جدار الحماية، فهناك منفذ أو قاعدة معينة يجب فتحها - ابحث عن المنفذ أو القاعدة. كان تعطيل جدار الحماية أثناء "تصحيح الأخطاء" بمثابة بداية للعديد من الحوادث الحقيقية.

ما هو جدار حماية تطبيقات الويب؟

WAF هو جدار حماية متخصص يفهم HTTP. فهو يفحص مسارات URL، والعناوين، ونصوص الطلبات، وملفات تعريف الارتباط، ويطبق القواعد على أنماط الهجوم المعروفة (إدخال SQL، وXSS، وإدخال الأوامر). يتم تشغيله أمام تطبيقات الويب، غالبًا كجزء من شبكة CDN مثل Cloudflare أو AWS WAF. وهو يكمل جدران الحماية الخاصة بطبقة الشبكة بدلاً من استبدالها.

شرح جدران الحماية: تصفية الحزم، والفحص الدقيق، وما يفعله أمن الشبكات الحديث فعليًا

يعد جدار الحماية أقدم جزء من أمان الشبكة الذي لا يزال قيد الاستخدام على نطاق واسع، وقد توسع المصطلح ليشمل كل شيء بدءًا من جهاز التوجيه المنزلي بقيمة 30 دولارًا وحتى جهاز المؤسسة الذي تبلغ قيمته مليون دولار. إن فهم ما يفعله كل جيل بالفعل - وما لا يفعله - يفسر لماذا "لدينا جدار حماية" لا يكاد يكون أبدًا إجابة كافية لسؤال أمني.

يتم توفير نص المقالة الكامل باللغة الإنجليزية أدناه.

A firewall هو نظام يتحكم في حركة مرور الشبكة بين منطقتين بناءً على مجموعة من القواعد. السماح بحركة المرور أو رفضها أو تحويلها؛ تكون المناطق عادةً "داخل" (شبكة موثوقة) و"خارجية" (الإنترنت العام)، على الرغم من أن التجزئة الدقيقة الحديثة تحتوي على العديد من المناطق. القواعد المتعلقة بعناوين IP وأرقام المنافذ والبروتوكولات. اسمح لـ TCP/443 بـ 198.51.100.0/24، ورفض كل شيء آخر. رخيصة وسريعة. لا يمكن معرفة حركة المرور المرتجعة من الاتصالات الجديدة.

فحص الحالة (التسعينيات). يتتبع حالة اتصالات TCP. يصبح "السماح بعودة حركة المرور للاتصالات القائمة" ممكنًا، مما يؤدي إلى تحسين دقة القواعد وأمانها بشكل كبير. كانت نقطة الفحص FireWall-1 رائدة في هذا الأمر في عام 1993.

جدران الحماية ذات طبقة التطبيقات (العقد الأول من القرن الحادي والعشرين). افحص الحمولة، وليس فقط الرؤوس. تتفهم جدران الحماية المدركة لـ HTTP (جدران حماية تطبيقات الويب) عناوين URL والأساليب وملفات تعريف الارتباط، ويمكنها فرض سياسات مثل "يُسمح فقط لـ POST بـ /api/login."

Next-Generation Firewalls (2010). يجمع بين الفحص الدقيق والفحص العميق للحزم وIDS/IPS والتصفية المدركة للتطبيقات وخلاصات معلومات التهديدات في جهاز واحد. تبيع كل من Palo Alto وFortinet وCheck Point وCisco المتغيرات.

Zero Trust / الهوية المدركة (2020). يتم منح تفويض لكل طلب، بناءً على هوية المستخدم ووضعية الجهاز والسياسة الديناميكية - وليس على منطقة الشبكة. تمويه وظيفة جدار الحماية في وكلاء الوصول الأوسع (Cloudflare Access، Zscaler، BeyondCorp).

هيكل القاعدة الأساسي

كل قاعدة جدار حماية لها نفس الحقول تقريبًا:

Source — IP أو النطاق، أحيانًا الواجهة
Destination — IP أو النطاق
Protocol — TCP، UDP، ICMP، ESP، إلخ.
منفذ المصدر — عادةً Any
منفذ الوجهة — الخدمة التي يتم الوصول إليها
Action — السماح، الرفض، السجل، REJECT

يتم تقييم القواعد من أعلى إلى أسفل. المباراة الأولى تفوز، لذا النظام مهم. النمط التقليدي: السماح باستثناءات محددة، ثم الرفض الافتراضي.

Stateful مقابل عديم الحالة: لماذا يهم التمييز

A يجب أن يسمح مرشح عديم الحالة لكلا الاتجاهين لاتصال TCP بشكل منفصل. السماح لـ TCP/443 الصادر؛ السماح باستجابات TCP/443 الواردة مع مجموعة بت ACK. تسمح القاعدة الواردة بأي حزمة تحتوي على ACK، بما في ذلك حزم التحقيق غير المرغوب فيها التي تم إنشاؤها باستخدام تلك البت. لقد استخدم المهاجمون الحقيقيون هذا لسنوات. يتتبع جدار الحماية

A كل اتصال من خلال 5 مجموعات (عنوان IP المصدر، منفذ المصدر، عنوان IP المقصود، المنفذ المقصود، البروتوكول) ويتذكر الاتجاه الذي بدأ فيه. تتم مطابقة حركة العودة مع جدول الاتصال؛ الحزم غير المرغوب فيها التي تتظاهر بأنها ردود ليس لها أي إدخال ويتم إسقاطها. جميع جدران الحماية الحديثة فعالة. جدار حماية

Host مقابل جدران حماية الشبكة

A host جدار حماية يعمل على نقطة النهاية نفسها - جدار حماية Windows، وpf على macOS، وnftables/iptables على Linux. يقوم بتصفية حركة المرور في مكدس شبكة نظام التشغيل قبل أن تراها التطبيقات. من السهل تجاوزه إذا تم اختراق نقطة النهاية، ولكنه يوقف المسح الانتهازي للشبكة.

A network firewall يعمل على جهاز مخصص أو جهاز توجيه افتراضي بين مناطق الشبكة. يرى كل حركة المرور التي تعبر الحدود. لا يمكن تجاوزه دون المساس بجدار الحماية نفسه. الاثنان متكاملان؛ يستخدم الدفاع المتعمق كلاً من.

أخطاء جدار الحماية الشائعة

Implicitallow. قائمة القواعد التي تنتهي بدون رفض صريح ترث السياسة الافتراضية، والتي تكون في بعض المنتجات "سماح". كارثي.
السماح بكل شيء من "داخلي". بمجرد دخول المهاجم إلى المحيط، لن يكون لجدار الحماية ما يفعله. تفترض الثقة المعدومة أن المحيط قد تم اختراقه بالفعل. قواعد
Stale. قواعد المتراكمة على مر السنين، تشير إلى عناوين IP التي تغيرت والمشاريع التي انتهت. كل قاعدة هي سطح الهجوم. قم بمراجعتها.
ثقة منافذ المصدر. منافذ المصدر سريعة الزوال ويتم اختيارها من قبل العميل. القواعد التي تسمح بمنفذ مصدر محدد يمكن تشغيلها من قبل أي شخص يختار هذا المنفذ.
ICMP غطاء بطانية. يسقط الرسائل التي يعتمد عليها مسار MTU Discovery، مما يؤدي إلى كسر الحزم الكبيرة في بعض المسارات. السماح بأنواع ICMP 3 (الوجهة غير قابلة للوصول) و11 (تم تجاوز الوقت) كحد أدنى.

حيث تعجز جدران الحماية اليوم

Cloud عن تغيير عناوين IP بشكل متكرر، وحركة المرور المشفرة تقاوم DPI، وتستخدم التطبيقات المنفذ 443 لكل شيء، ويتصل المستخدمون من المقاهي والفنادق بدلاً من مكاتب الشركات. لم يعد جدار الحماية المحيطي الكلاسيكي يرى معظم حركة المرور المهمة بعد الآن. الاستجابة متعددة الطبقات: وكلاء مدركون للهوية للمستخدمين، وشبكة خدمة من خدمة إلى خدمة، وتجزئة دقيقة على مستوى المضيف في كل مكان. جدار الحماية لم يختف؛ لقد تضاعفت واقتربت من كل حمل عمل.

الأسئلة المتداولة

هل جدار الحماية الخاص بجهاز التوجيه كافٍ للاستخدام المنزلي؟: بالنسبة للاستخدام المنزلي العادي، نعم، حيث يعمل جهاز التوجيه ذو الإعدادات الافتراضية على حظر حركة المرور الواردة غير المرغوب فيها، وهو التهديد الخارجي الرئيسي. قم بإقرانه بجدار حماية معقول لنظام التشغيل على كل جهاز وستكون قد قمت بتغطية القواعد. تضيف جدران الحماية على مستوى المؤسسات ميزات (IPS، والتحكم في التطبيقات، ومكثف VPN) التي لا يحتاجها الاستخدام المنزلي عادةً.
هل تتجاوز VPN جدار الحماية؟: من الداخل، نعم - حركة المرور الصادرة إلى نقطة نهاية VPN هي إحدى التدفقات المسموح بها؛ كل شيء آخر يركب داخل هذا النفق. تقوم معظم جدران الحماية الخاصة بالشركات بحظر منافذ VPN الشائعة على وجه التحديد لهذا السبب. من الخارج، لا - لا يزال جدار الحماية يسقط حركة المرور الواردة غير المرغوب فيها إلى خدمة VPN ما لم يسمح بذلك صراحة.
ما الفرق بين جدار الحماية وIPS؟: يسمح جدار الحماية أو يحظر بناءً على القواعد المتعلقة بالترويسات (والحمولات المتزايدة). يقوم نظام IPS (نظام منع التطفل) بفحص حركة المرور بشكل نشط بحثًا عن أنماط الهجوم المعروفة أو الحالات الشاذة ويمكنه منع اكتشافها. تجمع جدران الحماية الحديثة بين وظائف IPS؛ من الناحية النظرية فهي ميزات مميزة.
هل يمكنني إيقاف تشغيل جدار الحماية لإصلاح مشكلة الاتصال؟: لا تفعل ذلك، ولو مؤقتاً. إذا كان الاتصال يتطلب إيقاف تشغيل جدار الحماية، فهناك منفذ أو قاعدة معينة يجب فتحها - ابحث عن المنفذ أو القاعدة. كان تعطيل جدار الحماية أثناء "تصحيح الأخطاء" بمثابة بداية للعديد من الحوادث الحقيقية.
ما هو جدار حماية تطبيقات الويب؟: WAF هو جدار حماية متخصص يفهم HTTP. فهو يفحص مسارات URL، والعناوين، ونصوص الطلبات، وملفات تعريف الارتباط، ويطبق القواعد على أنماط الهجوم المعروفة (إدخال SQL، وXSS، وإدخال الأوامر). يتم تشغيله أمام تطبيقات الويب، غالبًا كجزء من شبكة CDN مثل Cloudflare أو AWS WAF. وهو يكمل جدران الحماية الخاصة بطبقة الشبكة بدلاً من استبدالها.