Firewall Fundamentals

Firewall Fundamentals

الجدار بالعربية يسمى ما أو Firewall الـ : بسيط تعريف مقدمةنظام أو) Hardware (جهاز عن عبارة هو الناري

)Software (البيانات مرور و مسيرة في بالتحكم يقوم)Packets (بالمنع إما يكون التحكم و الشبكات بين أو الشبكة فيمع التعامل و اإلنترمن وجود عند يستخدم غالبا , بالسماح أو

بتفصيل نتكلم أن قبل . شرطا ليس لكن و TCP/IP الـ بروتوآوالت ...باألصح أو صفاته بعض أذآر أن يجب النارية الجدران عن؟ الفايروول يفعل أن يستطيع ماذالهم مصرح الغير تبقي اللتي الفاصلة النقطة يعتبر الفايروول إن-

تقلل التتي و مباشر بشكل معها التعامل و لها الدخول من الشبكة بدخول, IP spoofing آـ خدماتها و الشبكة هذه ثغرات استغالل من

ARP spoofing , Routing attacks , DNSattacks

يحدد- .الشبكة إلى و من والواردة الصادة البيانات إتجاه الفايروول

Trusted Systems ( أو الموثوقة األنظمة الفايروول يحدد- لها ُيسمح اللتي و بهم الموثوق النظام أو الشبكة أو الجهاز هو و)

.المحمية الداخلية الشبكة مع بالتعاملأيضا و الشبكة إلى و من العابرة البيانات بمراقبة الفايروول يقوم-

تحصل غريبة أحداث أو أخطار أي عن التنبيه و األحداث تتبع و تسجيل.

و اإلنترنت بروتوآوالت بعض مع التعامل موثوقية الفايروول يقدم- آتوفير باإلنترنت المتصلين الشبكة مستخدمين تخدم أخرى بأشياء يقوم

أيضا و) , PAT (األشبكة لمنافذ حارسا و) NAT (العتواينإليها الوصول لتسريع زيارتها تم اللتي للمواقع آذاآرة يعمل أن يستطيع

) .Cash ( الشبكة لكامل بعد فيماو IP-sec مثل المتعددة األمن اإلتصال سبل أيضا الفايروول يخدم-

VPN . عيب نقول لن سنذآر األ و ...هو بس الفايروول

؟ الفايروول يفعله أن يستطيع ال اللذي مانفسه الفايروول تعبر اللتي الهجمات ضد الحماية الفايروول يستطيع ال- اإلتسغناء الشبكة تستطيع ال بروتوآوالت في ثغرات على تعتمد التتي و

.عنهانفسها الشبكة داخل اللتي المخاطر من الحماية الفايروول يستطيع ال- على حصلوا قد و الشبكة داخل الحال بطيعة هم اللذين األفراد من أيكةداخلفلتهاللتاللثقةتلك ةالش ال

Firewall Fundamentals http://www.microsoft-ac.com/vb/threads/2262-Firewall-Fundamentals

1 of 7 27/05/2010 11:57 PM

.المحميةالشبكةداخلفيجعلتهماللتياللثقةتلكاإلتصال و الديدان و الفايروسات من الحماية الفايروول يستطيع ال-

آامل على خطورة تسبب و بسرعة تنتشر اللتي و الشبكة في العكسي .الخبيثة الملفات مشارآة و الرسائل عبر تنتقل حيث الداخلة الشبكة

Firewall Characteristics ( الناري الجدار خصائص# (

:العمل في فكرته لتوضيح قسمين إلى الفايروولخصائص شرح سنقسمالفايروول تصيميم أهداف/ 1التحكم في الفايروول يستخدمها التي التقنيات/ 2

الفايروول تصيميم أهداف/ 1على - الشبكة آارت ( إلى و من الخارجة و الداخلة البيانات آل-

تمر أن يجب - ) الشبكة مستوى على أو الواحد الجهاز مستوى .األخر للطرف االنتقال قبل أوال بالفايروول

إلى و من استئصالها أو استثنائها طريق عن البيانات في التحكم يكون- تحدد اللتي هي الشبكة مدير يراها اللتي و الشبكة متطلبات و الشبكة .القواعد تلكلمستخميه يضمن مما االختراق ضد محصن نفسه الفايروول يكون أن-

.أنظمتهم و شبكاتهم لحماية لالستعماله الثقة

التحكم في الفايروول يستخدمها التي التقنيات/ 2اللتي و الشبكة إلى بالوصول للتحكم أنواع أربع الفايروول يستخدمفي التحكم غالبا تستخدم اللتي و Access Control تسمى

إلى و من بالوصول للتحكم للشبكة بالوصول تسمح اللتي الخدماتو األخرى الطرق سنذآر و الوحيدة الطريقة ليست هذه لكن و الشبكة ...هي *Service Controlالشبكة إلى و من الوصول طريقها عن تستطيع اللتي و اإلنترنت خدمات أنواع الفايروول يحدد

)Inbound , Outbound traffic . (استئصال أو باستثناء الفايروول يقوم قد وبالـ أيضا و IP address على باالعتماد الداخلة أو الخارجة سواء العابرة البيانات

TCP/UDP ports باتباعهم الشبكة أجهزة بإجبار ذلك و Proxy) هو البروآسي)غيرها و المواقع و الخدمات حجب و مرور قواعد فيه توجد اللذي و سيرفر الفايروول عنوان .مثال إنترنت على الحصول تستطيع لن بدونه حيث

*Detection Controlطريق عن بها يتحكم اللتي و الشبكة إلى و من العابرة الخدمات اتجاه هنا الفايروول بحدد

.المستأصلة و المستثناه البيانات إتجاه يحدد بهذا و تلبيتها و بالطلبات السماح

*User Controlو مستخدم اسم بوضع معين لمكان بالوصول لهم يسمح اللذي المستخدمين هنا الفايروول يحددأن مثل الشبكة داخل المستخدمين على تطبق غالبا و معينة استخدامات لهم يحدد و مرور آلمة. غيرها و IPsec أو VPN باستخدام) يجبر أو (يسمح *Behavior Controlأو Ping الـ لعمية يسمح ال أن : مثال . معينة بطريقة معينة خدمة استخجام سلوك يحدد هنا

فيه المرسله البيانات حزمة حجم تكون أن و مرات أربع من أآثر بالتكرار ICMP ال بروتوآولإلى الوصول من السبام رسائل يمنع أن أو مثال IP ال نفس من بايت آيلو 156 عن تزيد ال .وهكذا معين وقت لتصفحها يحدد أو المواقع بعض تصفح يمنع أن أو Mail Server الـ

هناك)Types of Firewalls(الناريةالجدرانأنواع#


2 of 7 27/05/2010 11:57 PM

هناك)Types of Firewalls(الناريةالجدرانأنواع# ...الشرح و بالرسم سنوضحها النارية للجدران أنواع ثالث

1 /Packet-Filters Router 2/Application-Level Gateway

3/ Circuit_Level Gateway

1 /Packet-Filters Router

الواردة للبيانات توضح) Roles (قواعد مجموعة عن عبارة)incoming PKTs (الصادرة و) outgoing PKTs(

,التجاهل أو بالطرد أم بالتمرير إما البيانات قرار تحدد اللتي هي حيثلنعرف نفسه اإلسم آلمات معنى بنفصيل التسمية هذه سبب سنذآر و

.التسمة سببRouter ... في الراوتر بطريقة شبيهة عملة طريقة ألن بذلك سمي

إلى و من الوارد و الصادر اإلتجاهين على البيانات رفض و تمرير .الداخلية الشبكة

Packet-Filter ... على االستئصال تعني الفلترة أغلبنا يفهم قد ,االستثناء أو االستئصال إما هي الفلترة في الصحيح لكن اإلطالق

منع فيعني االستثناء اما , البعض منع و للك السماح يعني فاالستئصالعليها تطبق أن يجب الحالتين آلتا طبعا و للبعض السماح و الكلم

.الشبكة دير من الموضوعه Roles القواعد -Source IP address : الشبكة أو الجهاز عنوان أي

لجهاز بإرسالها تقوم اللتي و نفسها البيانات لحزمة) الُمرسل (المنتجة .أخرى شبكة أو -Destination IP adress : الشبكة أو الجهاز عنوان أي

جهاز من إراسلها تم اللتي و البيانات حزمة) إليه المرَسل (المستقبلة .المرسل عنوان عن النظر بغض شبكة أو

-Source and Destination Transport-Leveladdress : في البروتوآوالت منافذ على يعتمد الحقيقة في هنا و

اللتي و TCP/UDP ports numbers : مثل قواعده تحديد :مثل الشبكة إلى و نم المارة التطبيقات في التحكم عنها ينتج

Telnet, http , SMTP .- IP protocol field :على تحديده في يعتمد هنا و

. OSI من Trasport Layer في تعمل اللتي البروتوآوالت- Interface : المتصلة الشبكة آروت/آارت على هنا يعتمد و

:مالحظة . قواعده في إليا و منها يمر ما يحدد و الشبكة/بالجهازهي و إفتراضية قاعدة هي الفايرووالت جميع في ثابتة قاعدة أول أن -األآثر القاعدة هذه حيث) deny/Block (أو) ممنوع شئ آل(أ


3 of 7 27/05/2010 11:57 PM

.يريدلمافقطبالسماحالشبكةمديريقومثممنوالشبكةعلىأماناالقاعدة حيث األسفل إلى األعلى من الفايروول في تطبق القواعد إن -

.أوال ستطبق من هي أي األعلى هي األحدث .متتاليتين مرتين القاعدة نفس تطبيق من فائدة ال - .شرطا وليس فوقها اللتي من صرامة أقل الدنيا القواعد تكون غالبا -

<< Packet Filter Firewall نوع في الضعف نقاط>> في المتبادلة البيانات إلى تنظر ال النوع هذا في الفايرووالت أن بسبب -

التطبيقات منع تستطيع ال فهي OSI Layers في العليا التطبيقاتأن مصل , الطبقة هذه في تعمل اللتي البرامج ثغرات تستغل اللتي

تصدر اللتي و التنفيذ من محددة أوامر يمنع أن يستطيع ال الفايروولالفايروول يستطيع فال Telnet,SSH بالــ يسمح آان إذا النظام إلىالبروتوآول لمنفذ السماح بعد أنه حيث نفسها األوامر في يتحكم أن

) .أوامر (بيانات من يمرر ماذا ينظر ال نفسه ,محدودة معلومات على إال الحصول يتسطيع ال الفايروول أن يسبب -

يعتمد أنه قلنا آما حيث محدود و جدا تقليدي يكون بالوصول تحكمه فإن)source ,destination , traffic type (علىاللتي و عنها غنى ال اللتي البروتوآوالت في خطيرة ثغرات هناك-

Network (الثالثة الطبقة في تعمل اللتي و لها السماح يجب غالباlayer (الـ عمليات على الثغرات هذه فيها تعتمد اللتي و

)Routing, addressing. (يسمح حيث للفايروول القواعد وضع في خطأ حدوث جدا السهل من-

التعامل و الشبكة إلى بالوصول لها يسمح ال أن يجب خدمات و لعناوين .الشبكة هذه في المطلوبة الحماية لقواعد خالفا معها

2 /Application-Level Gateway

للطبقة آمنظم يعمل حيث Proxy Server بالـ يسمى ما أويخرج حيث, )OSI (Application Layer من السابعة

تطبيقات باستخدام Gatewy الـ طريق عن الخارجي للعالم المستخدمTCP/IP الـ مثل FTP,Telnet الـ حيث Gateway تسأل

المرور آلمة و المستخدم اسم عن االتصان يريد اللذي المستخدماالتصال فإن بالصواب تتطابق حينها و االتصال إآمال يتم لكي للمصادقة

فإن Proxy server ال في تعريفها يتم لم الخدمة آانت فإذا يتمفإن الخاصية هذه من و إتمامها يتم لن المطلوبة الخدمة أو االتصالو تداولها يريد اللتي للخدمات فقط بالسماح يستطيع الشبكة مدير

بمراقبة تسمح أنها هو الطريقة هذه يميز . آلها البقية منع و استخدامها .السفلى و العليا التطبيقات آل في يحصل ما آل تسجيل و

Application Level نوع في الضعف نقاط >>Gateway >>

عمليات يعمل أنه هو النوع هذا في ضعف نقطة أخطر و أآبر إن -يؤثر مما زائدا حمال السيرفر يحمل أنه و سابقة من بكثير أآثر معالة


4 of 7 27/05/2010 11:57 PM

والتطبيقاتآلبفحصيقومحيثعليهالضغطزيادةهندآفائتهعلىبشكل TCPالـ اتصال يراقب حيث الوارد و منها الصادر مراقبتها

end-to-end .3/ Circuit_Level Gateway

أنه على فكرته في يعتمد اللذي و الفايروول أنواع من الثالث النوع هذامصل تعمل وال تأهب حالة في لكن و Gateway عبور آبوابه يعملاألخير حيث Applicatin level Gateway الثاني التوعالنوع هذا أم , باالتصال له السماح بعد حتى االتصال يراب و يعمل يضل -آخر بطرف االتصال بطلب طربف يقوم عندما أنه على عمله في يعنمد

الشبكة خارج من بجهاز االتصال أرد الشبكة داخل من جهاز أن لنفرضداخل من اللذي الجهاز بين و بينه اتصال بفتح يقوم النوع هذا فإن-

خارج اللذي الجهاز بين و بينه اتصال بإنشاء بنفسه يقوم ثم , الشبكةلهما حرا االتصال يترك و ببعضهما توصليهما يت ذلك بعد ثم الشبكةو االتصال من العتوات هذا داخل المرسلة البيانات على االضطالع دونتسمح هل - القواعد إلى النظر طريق عن هنا الحماية حاجة تلبية يكون

لهما يترك و بنجاح االتصال يتم فإنه تسمح آانت فإن - ال أم باالتصال .تامة براحه االتصال :مالحظة

عندما الشبكة مدير يستخدمه الفايروول من النوع هذا استخدام إن - .الداخلية الشبكة مستخدمين وبين بينه ثقة هناك يكون

للشبكة Proxy server آــ أيضا العمل النوع هذا يستطيع - .الخارجية للشبكة Circuit-level Gateway و الداخليةاالتصاالت آل مراقبة و السيرفر على الحمل قلل قد يكون الطريقة بهذه .الطلبات وCircuit-level على األمثلة أقوى و أشهر من إن -

Gateway الــ هو SOCKS؟ SOCKS الـــ هو مابرامج بين محددة اتصال طريقة لينتج صمم و وضع بروتوآول هو

Clint-Server-Applications العملي و الخادم الجهازاألجهزة بين االتصال يؤمن لكي UDP و TCP بروتوآوالت على

)البروتوآوالت لتلك المستخدمة :التالية المحتويات على SOCKS الــ يحتوي

-SOCKS server : بية أساسها بيئة أي على يعمل اللذي وUNIX .

- SOCKS Client liberary : األجهزة على تعمل اللتي و .بالفايروول المحمية الداخلية الشبكة في اللتي

-SOCKS - ified : يتداولها اللتي التطبيقات عن عبارة هي و .FTP,Telnet مثل العمالء أجهزة


5 of 7 27/05/2010 11:57 PM

...معهالتعاملخطواتإليكموالمعتمد العميل أو) TCP-based client (الـ ينوي عندما^ بمكن آخر جهاز بين و بينه جديد اتصال فتح TCP بروتوآول على

من إتصال فتح يجب فإنه الفايرول طريق عن فقط إلي الوصولSOCKS الـ خدمة في له منفذ بتحديد و TCP الـ بروتوآول

server. هو TCP طريق عن االتصال في SOCKS الـ خدمة منفذ إن^ 1080 رقم منفذإلتمام مفاوضة في يدخل العميل فإن , مقبول العملي طلب آان إذا^

ثم , الخارجي للعالم خروجه طريقة على الخادم بين و بينه المصادقة .االتصال يتم ذلك بعداألن سنتكلم . UDP الــ بروتوآول على السابقة الخطوات نفس تتم^ :Bastion Host هو و أال بموضوعنا متعلقة أخرى نقطة عن؟ Bastion Host الـــ هو ماو حرجة نقطة أنه على الفايروول نظام مدير من تعريفه بتم نظام هو

بين من عليها أو منها أآثر حماية إلى تحتاج اللتي و الشبكة في خطيرةعمل آمنصة بخدم Bastion host الــ إن . آلها الشبكة نقاط

)Platform (للــ Application level أوCircuit-level Gateway . للـ رئيسية خصائص هناك

Bastion Host هي و : -Bastion Hardware: إحتياجاتها يلبي أن يستطيع التشغيل نظام من إصدارة على تعمل منصة .PIX,ASA مثلاللتي و الشبكة مدير إال عليها الحدمات تشغيل و تثبيت يستطيع أحد ال-

و آتطبيقات تعمل اللتي البروتوآوالت و Proxy الـ خدمات تتضمنأيضا و DNSالــ أيضا و telnet, SMTP,FTP مثل غيرها .غيرها و آلها الخدمات هذه في المصادقة يتولى

لهم يسمح لكي أآثر مصادقة يحتاجون Proxy الـ مستخدمين إن- إلى أيضا يحتاج proxy server آل أن إلى باالضافة باستخدامه .باستخدامه للمستخدمين السماح قبل مصادقة

تقوم و تعمل اللتي التشغيل أنظمة نوع تحدد أن أيضا تستطيع- مع تعمل اللتي الخدمات و األوامر تحديد يعني هذا و , معه بالمصادقة

.الشبكة عبر البروتوآوالت .تسجيلها و البيانات آراقة و تتبع و جمع البروآسي يستطيع- و بسيطو سيرفراتها على تنصب و توصع اللتي البروآسي برامج إن-

.معها التعامل سهلة و النظام على خفيفةال و البعض ببعضها ترتبط أن Proxy server الــ تستطيع-

)سماح/منع (إلضافة الشبكة مدير حاجة عن و آفائتها على ذلك يؤثرحرجة نقطة وجدت إن و حتى جدا سهل أمرا يعتبر فإنه جديده خدمة أي

Bastion host.

أي يعطيهم ال للمسنخدمين بالنسبة الشبكة في البروآسي استخدام إن- :الفايرووالت أمثلة من .Bastio ohst الـ منطقة في صالحيات

IPtables >> LinuxPIX >> CiscoASA >> Cisco

ISA >> Microsoft


6 of 7 27/05/2010 11:57 PM

ISA >> MicrosoftJuniper firewall >> juniper


7 of 7 27/05/2010 11:57 PM

Firewall Fundamentals

Documents

Transcript of Firewall Fundamentals