الوظيفة
وظيفة الجدار الناري الأساسية هي تنظيم بعض تدفق أزمة الشبكة بين شبكات الحاسوب المكونة من مناطق ثقة المتعددة. ومن الأمثلة على هذا النوع الإنترنت و- التي تعتبر منطقة غير موثوق بها- وأيضا شبكة داخلية ذات ثقة أعلى، ومنطقة ذات مستوى ثقة متوسطة، متمركزة بين الإنترنت و الشبكة الداخلية الموثوق بها، تدعى عادة بالمنطقة منزوعة السلاح (Demilitarized Zone DMZ).
وظيفة الجدار الناري من داخل الشبكة هو مشابه إلى أبواب الحريق في تركيب المباني. في الحالة الأولى يستعمل في منع اختراق الشبكات الخاصة، و في الحالة الثانية يفترض به أن يحتوي و يؤخر حريق الموجود في بناء معين من الانتقال إلى بناء آخر.
من دون الإعداد الملائم فإنه غالباً ما يصبح الجدار الناري عديم الفائدة. فممارسات الأمان المعيارية تحكم بما يسمى بمجموعة قوانين "المنع أولاً" للجدار الناري، الذي من خلاله يسمح بمرور فقط وصلات الشبكة المسموح بها بشكل تخصيصي. ولسوء الحظ فان إعداد مثل هذا يستلزم فهم مفصل لتطبيقات الشبكة و نقاط النهاية اللازمة للعمل اليومي للمنظمات. العديد من أماكن العمل ينقصهم مثل هذا الفهم و بالتالي يطبقون مجموعة قوانين "السماح أولاً"، الذي من خلاله يسمح بكل البيانات بالمرور إلى الشبكة ان لم تكن محددة بالمنع مسبقاً.
التاريخ
على الرغم من أن مصطلح "الجدار الناري" قد اكتسب معنى جديد في الوقت الحالي، إلا أن تاريخ المصطلح يعود إلى أكثر من قرن، حيث أن العديد من البيوت قد تم بناؤها من طوب موضوع في الحائط بشكل يوقف انتقال النيران المحتملة، هذا الطوب في الحائط سمي بالحائط الناري.
ظهرت تقنية الجدار الناري في أواخر الثمانينات عندما كانت الإنترنت تقنية جديدة نوعاً ما من حيث الاستخدام العالمي. الفكرة الأساسية ظهرت استجابة لعدد من الاختراقات الأمنية الرئيسية لشبكة الإنترنت التي حدثت في أواخر الثمانينات. في العام 1988 قام موظف في مركز ابحاث "Ames" التابع لناسا في كاليفورنيا بإرسال مذكرة عن طريق البريد الاليكتروني إلى زملائه قائلاً فيها "نحن الآن تحت الهجوم من فيروس من الإنترنت، لقد أصيبت جامعات بيركلي، سان دييغو، لورنس ليفير مور، ستانفورد و ناسا ايمز".
دودة موريس نشرت نفسها عبر العديد من نقاط الضعف في الأحهزة في ذلك الوقت. على الرغم أنها لم تكن مؤذية في النية لكنها كانت أول هجوم من الحجم الكبير على أمن الإنترنت: المجتمع الموصول على الشبكة لم يكن يتوقع هجوما أو جاهزاً للتعامل معه.
الجيل الاول: مفلترات العبوة (Packet Filters)
أول بحث نشر عن تقنية الجدار الناري كانت عام 1988، عندما قام مهندسون من (DEC) بتطوير نظام فلترة عرف باسم جدار النار بنظام فلترة العبوة، هذا النظام الأساسي يمثل الجيل الأول الذي سوف يصبح عالي التطور في مستقبل أنظمة أمان الإنترنت. في مختبراتAT&T قام بيل شيزويك وستيف بيلوفين بمتابعة الأبحاث على فلترة العبوات و طوروا نسخة عاملة مخصصة لشركتهم معتمدة على التركيبة الأصلية للجيل الأول.
تعمل فلترة العبوات بالتحقق من "العبوات"(packets) التي تمثل الوحدة الأساسية المخصصة لنقل البيانات بين الحواسيب على الإنترنت. إذا كانت العبوة تطابق مجموعة قوانين فلتر العبوة فإن النظام سيسمح بمرور العبوة أو يرفضها (يتخلص منها و يقوم بإرسال استجابة "خطأ" للمصدر).
هذا النظام من فلترة العبوات لا يعير اهتماما إلى كون العبوة جزءاً من تيار المعلومات (لا يخزن معلومات عن حالة الاتصال). و بالمقابل فإنه يفلتر هذه العبوات بناءً على المعلومات المختزنة في العبوة نفسها (في الغالب يستخدم توليفة من مصدر العبوة المكان الذاهبة إليه، النظام المتبع، و رقم المرفأ المخصص ل(TCP) (UDP) الذي يشمل معظم تواصل الإنترنت).
لأن (TCP ) و ( UDP) في العادة تستخدم مرافىء معروفة إلى أنواع معينة من قنوات المرور، فإن فلتر عبوة "عديم الحالة" يمكن أن تميز و تتحكم بهذه الأنواع من القنوات ( مثل تصفح المواقع، الطباعة البعيدة المدى، إرسال البريد الإلكتروني، إرسال الملفات)، إلا اذا كانت الأجهزة على جانبي فلتر العبوة يستخدمان نفس المرافىء الغير اعتيادية.
الجيل الثاني: فلتر محدد الحالة (Stateful" Filters")
من عام 1980 إلى عام 1990 قام ثلاث زملاء منAT&T ( ديف بيرستو ، جاناردان شارما ، كشيتيج نيجام ) بتطوير الجيل الثاني من الجدران النارية مطلقين عليها اسم الجدران النارية ذات مرحلة الدارة.
الجدران النارية من الجيل الثاني لا تقوم معاينة كل عبوة لوحدها دون الانتباه إلى موقعها ضمن سلسلة العبوات مثل تصميم الجيل السابق، انما تقارن بعض الأجزاء الرئيسية من عبوات من قاعدة البيانات الموثوق بها، هذه التقنية عموماً ما يشار إليها ب(الجدار الناري ذو الحالة) حيث تحافظ على سجلات على كل الاتصالات المارة عبر الجدار الناري مع القدرة على تحديد إذا ما كانت العبوة بداية اتصال جديد او جزءاً من اتصال حالي. على الرغم من أن هناك مجموعة أوامر ثابتة في مثل هذا الجدار الناري، إلا أن حالة الاتصال نفسها قد تكون المعيار الذي يطلق بعض الأوامر المعينة.
هذا النوع من الجدران النارية قد تساعد في الحماية من الهجمات التي يمكن أن تستغل الوصلات الحالية، أو بعض هجمات منع الخدمة.
الجيل الثالث: طبقات التطبيقات (Application Layer Firewall)
بعض المنشورات بقلم جين سبافورد من جامعة بوردو، بيل شيزويك من مختبرات AT&T ، و ماركوس رانوم شرحت جيلاً ثالثاً من الجدارن النارية عرف باسم "الجدار الناري لطبقات التطبيقات" (Application Layer Firewall)، و عرف أيضا بالجدار الناري المعتمد على الخادم النيابي (Proxy server). وعمل ماركوس رانوم قاد ابتكار أول نسخة تجارية من المنتج. قامت "DEC" بإطلاق المنتج تحت اسم "SEAL".
أول مبيع للمنتج من"DEC" كان في 13 أغسطس 1991 إلى شركة كيميائية متمركزة على الساحل الشرقي من الولايات المتحدة.
الفائدة الرئيسية من الجدار الناري لطبقات التطبيقات أنه يمكن أن "يفهم" بعض التطبيقات و الأنظمة (مثل نظام نقل الملفات "DNS" تصفح المواقع)، و يمكنه أن يكتشف إذا ما كان هنالك نظام غير مرغوب فيه يتم تسريبه عبر مرافىء غير اعتيادية أو إذا كان هنالك نظام يتم إساءة استخدامه بطريقة مؤذية و معروفة.
تطويرات لاحقة
في العام 1992 لبوب برادين و انييت ديشون في جامعة جنوب كاليفورنيا كانوا يقومو بعمل تحسينات على مبدأ الجدار الناري. و كان اسم المنتج "Visas" الذي كان النظام الأول الذي له واجهة إدخال مرئية مع ألوان و أيقونات، الأمر الذي سهل عملية تطبيقه و الوصول له على حاسوب مشغل بأنظمة تشيغيل مثل MICROSOFT WINDOWS ، APPLE MACOS . و في العام 1994 قامت شركة اسرائيلية اسمها CHECK POINT SOFTWARE TECHNOLOGIES ببناء مثل هذا النظام داخل برنامج متوفر بشكل كبير اسمه"FireWall-1".
وظيفة: التحقق العميق للعبوة الحالية للجدران الحديثة يمكن مشاركتها مع أنظمة منع الاختراق(IPS) .
مجموعة الصندوق الأوسط للاتصالات من قوة مهام هندسة النترنت (IETF) تعمل حالياً على تحديد الأنظمة الاعتيادية لتنظيم الجدران النارية و الصناديق الأوسطية الاخرى.
الأنواع
هنالك العديد من فئات الجدران النارية بناءً على مكان عمل الاتصال، و مكان تشفير الاتصال و الحالة التي يتم تتبعها.
1 طبقات الشبكة و مفلترات العبوات(Network Layer and Packet Filters)
الجدار الناري ذو طبقات الشبكة الذي يسمى ايضا مفلترات العبوة، تعمل على رصة أنظمة TCP\IP منخفضة المستوى، ولا تسمح للعبوات بالمرور عبر الجدار الناري دون أن تطابق مجموعة القوانين المحددة. يمكن للمسؤول عن الجدار الناري أن يحدد الأوامر، وإن لم يتم هذا تطبق الأوامر الطبيعية. المصطلح فلتر العبوة نشأ في نطاق أنظمة تشغيل "BSD".
الجدار الناري ذو طبقات الشبكة عادة ينقسم إلى قسمين فرعيين اثنين ، ذو الحالة و عديم الحالة . تتحفظ الجدران النارية ذات الحالة بنطاق يتعلق بالجلسات المفتوحة حالياً، و يستخدم معلومات الحالة لتسريع معالجة العبوة. أي اتصال شبكي يمكن تحديده بعدة امور، تشتمل على عنوان المصدر و الوجهة، مرافىء UDP" " و "TCP"، و المرحلة الحالية من عمر الاتصال (يشمل ابتداء الجلسة، المصافحة، نفل البيانات، و إنهاء الاتصال). إذا كانت العبوة لا تطابق الاتصال الحالي، فسوف يتم تقدير ماهيتها طبقاً لمجموعة الأوامر للاتصال الجديد، و إذا كانت العبوة تطابق الاتصال الحالي بناءً على مقارنة عن طريق جدول الحالات للحائط الناري، فسوف يسمح لها بالمرور دون معالحة أخرى.
الجدار الناري العديم الحالة يحتوي على قدرات فلترة العبوات، ولكن لا يستطيع اتخاذ قرارات معقدة تعتمد على المرحلة التي وصل لها الاتصال بين المضيفين.
الجدران النارية الحديثة يمكنها ان تفلترالقنوات معتمدة على كثير من الجوانب للعبوة، مثل عنوان المصدر، مرفأ المصدر، عنوان الوجهة أو مرفأها، نوع خدمة الوجهة مثل"WWW" و "FTP" ، ويمكن أن يفلتر اعتماداً على أنظمة و قيم"TTL" ، صندوق الشبكة للمصدر، اسم النطاق للمصدر، و العديد من الجوانب الأخرى.
فلاتر العبوات لنسخ متعددة من "UNIX" هي ، "IPF" (لعدة ) ، IPFW" " (FREEBSD /MAC OS X ) ، "PF" (OPEN BSD AND ALL OTHER BSD ) ، IPTABELSIPCHAINS (LINUX) .
2 طبقات التطبيقات (Application Layer)
تعمل الجدران النارية لطبقات التطبيقات على مستوى التطبيق لرصة"TCP\IP" ( مثل جميع أزمة المتصفح ، أو جميع أزمة "TELNET" و "FTP"، ويمكن أن يعترض جميع العبوات المنتقلة من و إلى التطبيق). و يمكن أن يحجب العبوات الأخرى دون إعلام المرسل عادة. في المبدأ يمكن لجدران التطبيقات النارية منع أي اتصال خارجي غير مرغوب فيه من الوصول إلى الأجهزة المحمية.
عند تحري العبوات جميعها لإيجاد محتوى غير ملائم، يمكن للجدار الناري أن يمنع الديدان(worms) و الأحصنة الطروادية (Trojan horses) من الانتشار عبر الشبكة. ولكن عبر التجربة تبين أن هذا الأمر يصبح معقدا جداً و من الصعب تحقيقه (مع الأخذ بعين الاعتبار التنوع في التطبيقات و في المضمون المرتبط بالعبوات) و هذا الجدار الناري الشامل لا يحاول الوصول إلى مثل هذه المقاربة.
الحائط الناريXML يمثل نوعاً أكثر حداثة من جدار طبقات التطبيقات الناري.
3 الخادمين النيابيين (Proxy Servers)
الخادم النيابي (سواء أكان يعمل على معدات مخصصة أو
برامج الأجهزة المتعددة الوظائف) قد يعمل مثل كجدار ناري بالاستجابة إلى العبوات الداخلة (طلبات الاتصال على سبيل المثال) بطريقة تشبه التطبيق مع المحافظة على حجب العبوات الأخرى.
يجعل الخادم النيابي العبث بالأنظمة الداخلية من شبكة خارجية أصعب و يجعل إساءة استخدام الشبكة الداخلية لا يعني بالضرورة اختراق أمني متاح من خارج الجدار الناري (طالما بقي تطبيق الخادم النيابي سليماً و معداً بشكل ملائم). بالمقابل فإن المتسللين قد يختطفون نظاماً متاحاً للعامة و يستخدمونه كخادم نيابي لغاياتهم الشخصية، عند اإن يتنكر الخادم النيابي بكونه ذلك النظام بالنسبة إلى الأجهزة الداخلية. و مع أن استخدام مساحات للمواقع الدخلية يعزز الأمن، إلا أن المشقين قد يستخدمون أساليب مثل "IP Spoofing" لمحاولة تمرير عبوات إلى الشبكة المستهدفة.
4 ترجمة عنوان الشبكة (Network Address Translation)
عادة ما تحتوي الجدران النارية على وظيفة ترجمة عنوان الشبكة (NAT)، و يكون المضيفين محميين خلف جدار ناري يحتوي على مواقع ذو نطاق خاصة، كما عرّفت في"RFC 1918" . تكون الجدران النارية متضمنة على هذه الميزة لتحمي الموقع الفعلي للمضيف المحمي. و بالأصل تم تطوير خاصية "NAT" لتخاطب مشكلة كمية "IPv4" المحدودة و التي يمكن استخدامها و تعيينها للشركات أو الأفراد و بالإضافة إلى تخفيض العدد و بالتالي كلفة إيجاد مواقع عامة كافية لكل جهاز في المنظمة. و أصبح إخفاء مواقع الإجهزة المحمية أمراً متزايد الأهمية للدفاع ضد استطلاع الشبكات