https://www.linkedin.com/in/yasmine-asher-16623b35b/
جدول المحتويات
في عالمنا المتصل اليوم، تُعدّ إدارة حركة مرور الشبكة أمرًا بالغ الأهمية لضمان أمن الشبكة ونقل البيانات بكفاءة. ومن الطرق الجيدة لتحقيق ذلك استخدام فلترة حركة المرور على مستوى جهاز التوجيه. فهي تُتيح تحكمًا دقيقًا في حركة المرور الداخلة والخارجة من شبكتك، مما يُحسّن الأمان والأداء.
لماذا يعد تصفية حركة المرور أمرا بالغ الأهمية؟
تصفية حركة البيانات - خط الدفاع الأول ضد الوصول غير المصرح به والهجمات الخبيثة والازدحام. يمكنك: تصفية مجموعات البيانات باستخدام آليات التصفية
تحسينات الأمان: حظر حركة المرور الضارة ومنع الوصول غير المصرح به.
تحسين الأداء: التركيز على حركة المرور المهمة وتقليل ازدحام الشبكة.
إنفاذ السياسة: تأكد من أن البيانات تلتزم بمتطلباتك أو متطلبات الجهات التنظيمية.
كيفية تتبع نشاط الإنترنت على جهاز التوجيه الخاص بك
من أهم جوانب تصفية حركة المرور معرفة نوعية حركة المرور عبر شبكتك قبل تصفيتها. تُقدم تطبيقات المراقبة معلومات ثاقبة حول استخدامك والتهديدات المُحتملة وأي استخدام للنطاق الترددي.
لوحة معلومات جهاز التوجيه
تتضمن معظم أنظمة التوجيه الحديثة لوحة معلومات مدمجة تحتوي على إحصائيات في الوقت الفعلي حول الأجهزة المتصلة وحركة المرور واستخدام النطاق الترددي وما إلى ذلك.
برامج الطرف الثالث
تتيح لك أدوات مثل Wireshark أو SolarWinds التقاط وتحليل حزم حركة المرور على الشبكة، مما يوفر رؤية أكثر تفصيلاً لما يمر عبر السلك.
ميزات الرقابة الأبوية
تحتوي العديد من أجهزة التوجيه المخصصة للمستهلكين على إعدادات الرقابة الأبوية التي تتيح للمستخدمين مراقبة وتقييد استخدام الإنترنت حسب الجهاز أو ملفات تعريف المستخدم.
أدوات مراقبة الشبكة
توفر الأدوات المتقدمة مثل Nagios أو PRTG Network Monitor حلول مراقبة شاملة، وتنبه المسؤولين حول أنماط حركة المرور غير العادية أو المشكلات المحتملة.
تكوينات التوجيه للتصفية من جانب المستخدم
تعريف قوائم التحكم في الوصول
لتصفية حركة البيانات على مستوى جهاز التوجيه، تُعد قائمة التحكم في الوصول (ACL) من أكثر الأدوات شيوعًا وفعالية التي يستخدمها مسؤولو الشبكات. قائمة التحكم في الوصول هي قائمة قياسية أو موسّعة من الميزات تُستخدم لحظر أو السماح بحركة البيانات عبر جهاز بناءً على عنوان IP المصدر أو الوجهة، أو نوع البروتوكول، أو رقم المنفذ.
فيما يلي كيفية تكوين قوائم التحكم في الوصول (ACLs) لتصفية حركة المرور على مستوى جهاز التوجيه
تعرف على أنواع قوائم التحكم في الوصول (الخطوة 1)
تذكر أنه يمكنك تكوين نوعين من قوائم التحكم في الوصول:
قوائم التحكم بالوصول القياسية: تُصفّي هذه القوائم حركة المرور بناءً على عنوان IP المصدر فقط. وهي أسهل في الاستخدام، لكنها أقل تنوعًا.
قوائم التحكم بالوصول الموسعة: توفر هذه القوائم تصفيةً أكثر دقةً من خلال السماح بتكوين عنوان IP المصدر، وعنوان IP الوجهة، ونوع البروتوكول (TCP، UDP، ICMP، إلخ)، والمنافذ. عادةً ما تكون قوائم التحكم بالوصول الموسعة أكثر فائدةً في الحالات التي تتطلب تصفية أكثر من مجرد المنفذ.
الخطوة 2: إنشاء قائمة التحكم في الوصول (ACL)
الخطوة التالية هي إنشاء قائمة التحكم في الوصول (ACL) التي تحدد القواعد التي تسمح أو تمنع حركة المرور.
الخطوة 3: تطبيق قائمة التحكم بالوصول على الواجهة الجديدة
بعد إنشاء قائمة التحكم في الوصول (ACL)، نحتاج إلى تطبيقها على واجهة جهاز التوجيه المقابلة (حركة المرور الداخلة أو الخارجة).
الخطوة 4: التحقق من تكوين قائمة التحكم بالوصول (ACL)
بمجرد تكوين قائمة التحكم في الوصول (ACL)، نتأكد من تطبيق القواعد وأنها تعمل كما هو متوقع.
الخطوة 5: مراقبة الخدمة/السمسار
التحقق للتأكد من تصفية حركة المرور وفقًا لتوقعاتك بعد تطبيق قائمة التحكم في الوصول (ACL). يمكنك الوصول إلى الخدمات من عناوين IP أو المنافذ المسموح بها والمحظورة، وتحقق من سجلات جهاز التوجيه للتأكد من تصفية حركة المرور بشكل صحيح.
حاول الوصول إلى موقع ويب (حركة مرور HTTP) أو إرسال أمر ping إلى عنوان IP معروف أنه محظور بواسطة قائمة التحكم في الوصول (ACL).
نقاط رئيسية يجب تذكرها
ترتيب قوائم التحكم بالوصول (ACL) مهم: يُعالج جهاز التوجيه قوائم التحكم بالوصول (ACL) بالترتيب. عند العثور على تطابق، لن يُقيّم جهاز التوجيه القواعد المتبقية. بمعنى آخر، يجب تحديد قواعد المنع قبل قواعد السماح لتقييد حركة مرور معينة.
ما لم يتم ذكر خلاف ذلك - الرفض الضمني: إذا لم تتطابق الحزمة مع أي من قواعد قائمة التحكم في الوصول، فسيتم رفضها بشكل افتراضي، حيث توجد قاعدة "رفض الكل" الضمنية في نهاية كل قائمة تحكم في الوصول.
قوائم التحكم في الوصول (ACLs) اتجاهية: يمكن أن تكون قوائم التحكم في الوصول (ACLs) واردة أو صادرة. تأكد من أن اتجاه الدخول أو الخروج يتوافق مع ما ترغب في تصفيته.
انتقل إلى قوائم التحكم بالوصول الموسعة للتحكم الدقيق: بينما تحتوي قوائم التحكم بالوصول الموسعة أيضًا على خيارات تصفية متعددة مثل عنوان IP والبروتوكول والمنفذ وما إلى ذلك.
الأساليب الشائعة لتصفية حركة المرور
يمكن لمسؤولي الشبكات الاختيار بين طرق مختلفة لتصفية حركة البيانات على مستوى جهاز التوجيه، وكل منها فعّال للغاية. تتيح لهم هذه التقنيات تنظيم تدفق المعلومات، ومنع الوصول غير المصرح به إلى الشبكة، والحفاظ على الأداء من خلال تحسين استخدام النطاق الترددي. فيما يلي بعض أكثر تقنيات تصفية حركة البيانات شيوعًا:
حظر عنوان IP
من أبسط الطرق وأكثرها فعالية للتحكم في حركة البيانات حظر أجهزة توجيه IP. بمجرد حظر عناوين IP معينة، لن تتمكن الأجهزة أو الشبكات بأكملها من الوصول إلى مواردك. هذا النهج مفيد بشكل خاص إذا حددت عناوين IP للمستخدمين الضارين أو مصادر حركة البيانات غير المرغوب فيها.
على سبيل المثال، يمكنك حظر عنوان IP محدد على مستوى جهاز التوجيه إذا لاحظتَ أن عنوان IP معينًا يُغرق شبكتك أو يحاول الوصول إليها بشكل غير مصرح به. كما تُطبّق قوائم حظر عناوين IP لمنع حركة البيانات من جهات خارجية معروفة من خلال حظر عناوين IP.
حالات الاستخدام:
حظر عناوين IP الشريرة المعروفة.
حظر الوصول من بلدان أو مناطق معينة.
المزايا:
سهل الإعداد والنشر.
جيد لمنع التهديدات المحددة/الوصول غير المصرح به
العيوب:
حل مقطوع وجاف مع الحد الأدنى من المرونة
يمكن التحايل عليها إذا قام المهاجم بالقفز على عنوان IP مختلف (على سبيل المثال، عبر شبكات VPN أو وكلاء).
توجيه الثقب الأسود
توجيه الثقب الأسود، وهو نوع من أساليب إسقاط البيانات عن طريق التوجيه إلى عنوان غير موجود أو وجهة غير قابلة للوصول. عندما يستقبل جهاز التوجيه بيانات تتوافق مع قاعدة محددة (مثل البيانات الضارة أو غير المرغوب فيها)، فإنه يوجهها إلى "ثقب أسود"، مما يعني حذفها فعليًا.
هذه تقنية مفيدة جدًا أثناء هجمات رفض الخدمة (DoS) أو رفض الخدمة الموزع (DDoS)، حيث تُستهدف كمية هائلة من البيانات إلى عدد قليل من الشبكات لإغراقها. بعد ذلك، يُرسل جهاز التوجيه هذه البيانات إلى نقطة ضعف، لتخفيف الضغط على الشبكة.
حالات الاستخدام:
إعادة توجيه حركة المرور الضارة لمنع هجمات DDoS.
منع حركة المرور الضالة بعيدًا عن الخدمات الحيوية.
المزايا:
الحماية من الهجمات الجماعية
يعد هذا أمرًا بسيطًا وفعالًا ضد مسارات حركة المرور الضارة لتجنب ازدحام الشبكة.
العيوب:
لا يميز بين حركة المرور الضارة وحركة المرور المشروعة، حيث ينتهي كلاهما في نفس الحفرة السوداء.
يجب تكوينه بعناية، وإلا فقد يتم حظر حركة المرور العادية.
مواصفات تدفق BGP
في هذه المقالة، نتناول بالتفصيل معيار BGP Flowspec (معيار بروتوكول بوابة الحدود)، وهو نظام مُحسّن لنشر قواعد تصفية حركة البيانات عبر الشبكة. يُمكّن معيار BGP Flowspec (المقصود به "ماذا في ذلك") أجهزة التوجيه من ضبط كيفية تعاملها مع الحزم بدقة أكبر عبر التصفية (بناءً على التدفق (عنوان IP المصدر، عنوان IP الوجهة، البروتوكول، تعيينات المنفذ)). وهو مفيد بشكل خاص لمقدمي الخدمات أو شبكات المؤسسات ذات مستويات حركة البيانات العالية التي تمر عبر العديد من أجهزة التوجيه.
يمكن استخدام BGP Flowspec لتوزيع قواعد التصفية، مما يُساعد في الحد من الهجمات واسعة النطاق، مثل هجمات رفض الخدمة الموزعة (DDoS)، وذلك بنشر قواعد التصفية بسرعة بين أجهزة التوجيه المختلفة في الشبكة. عند القيام بذلك، عندما يتعرف جهاز التوجيه على تدفق بيانات ضار، يُمكنه مشاركة قواعد التصفية المُعدّة تلقائيًا مع أجهزة التوجيه الأخرى داخل الشبكة لإحباط الهجوم.
حالات الاستخدام:
حماية الشبكات واسعة النطاق من هجمات DDoS.
قواعد تصفية حركة المرور المضمنة في أجهزة التوجيه المختلفة في مجال التوجيه
المزايا:
كما أنها قابلة للتوسع بشكل كبير (حتى الشبكات الكبيرة).
تجزئة قواعد التصفية عبر أجهزة توجيه متعددة
العيوب:
من الصعب تنفيذه، لأنه يتطلب أجهزة وتكوينات متوافقة مع BGP Flowspec
ليس من السهل دائمًا تكوينه وصيانته مثل تقنيات التصفية البسيطة مثل قوائم التحكم في الوصول (ACLs).
تحديد المعدل وتشكيله
يُعدّ تحديد معدل البيانات وتشكيل حركة المرور من التقنيات المستخدمة أيضًا للتحكم في كمية ومعدل حركة المرور الواردة والصادرة من وإلى الشبكة. تتيح هذه الطرق لمديري الشبكة تحديد عرض النطاق الترددي المخصص لأنواع مختلفة من الحزم، مما يمنع أي تطبيق أو مستخدم من الإفراط في استخدام الموارد.
تحديد السرعة: يحدّ هذا من كمية البيانات التي يمكن أن تتدفق عبر جهاز توجيه أو عدد معين من الخطوط المتصلة خلال فترة زمنية محددة. على سبيل المثال، منع التحميل الزائد على الخادم عن طريق تحديد حركة مرور HTTP بعدد محدد من الطلبات في الثانية.
تشكيل حركة المرور: يُحسّن هذا النوع من تشكيل حركة المرور تدفقها عبر تحديد معدل نقل البيانات. على عكس تحديد المعدل، الذي يفرض حدودًا صارمة، يسعى تشكيل حركة المرور إلى تحسين تدفقها بسلاسة لتقليل ازدحام الشبكة والحفاظ على الأداء.
حالات الاستخدام:
تقليل نطاق التطبيقات التي تستهلك الكثير من النطاق الترددي لتجنب ازدحام الشبكة
تطبيق إعدادات جودة الخدمة (QoS) لإعطاء الأولوية للتطبيقات المهمة (مثل VoIP أو مؤتمرات الفيديو) من خلال منحها المزيد من النطاق الترددي.
المزايا:
يسمح بالتخصيص المتساوي للنطاق الترددي المرتبط.
يعمل على تحسين تجربة وأداء المستخدمين والشبكات.
العيوب:
غير فعال ضد الهجمات الحجمية أو الضربات الأخرى التي تستهلك قدرًا كبيرًا من النطاق الترددي.
لكي تجد حدود النطاق الترددي الأمثل، فأنت بحاجة إلى تكوين معقد.
القيود الإقليمية (الحظر الجغرافي)
الحظر الجغرافي: يعتمد على عنوان IP المصدر، مما يسمح بتصفية أو حظر حركة المرور. يمكن لأجهزة التوجيه استخدام تحديد الموقع الجغرافي لعنوان IP لتحديد حركة المرور من مناطق أو دول مختلفة واتخاذ إجراءات محددة لحظرها أو السماح بها.
من المعروف أن هذه التقنية تُساعد في الحد من الهجمات القادمة من دول ذات مخاطر عالية للمستخدمين الضارين. وتستخدم الشركات هذه الطريقة عادةً لتقييد الوصول إلى شبكاتها من مواقع محددة، خاصةً عند الحاجة إلى حماية البيانات الحساسة من أيادي خارجية.
حالات الاستخدام:
منع بلد معين من الوصول إلى موقع ويب أو خدمة.
منع الهجمات الإلكترونية أو الأساليب غير المصرح بها القادمة من مناطق معينة ذات احتيال من نوع عالي أو لا شيء ضار.
المزايا:
خنق الزوار من أجزاء غير ذات صلة من العالم
هل تعمل على منع الهجمات الضخمة التي لها جذور جغرافية معينة؟
العيوب:
وقد يؤثر هذا أيضًا على المستخدمين الشرعيين من المناطق المحظورة.
قد تكون قواعد بيانات الموقع الجغرافي معطلة في بعض الأحيان، وقد يؤدي ذلك إلى نتائج إيجابية خاطئة.
خاتمة
تُعد تصفية حركة المرور جانبًا أساسيًا في إدارة الشبكة، إذ تتيح للمسؤولين تأمين الشبكة من الوصول غير المصرح به، ومنع الازدحام، وتحسين الأداء. بتطبيق أساليب مثل حظر عناوين IP، وتوجيه الثقوب السوداء، وBGP Flowspec، وتحديد المعدلات، والحظر الجغرافي، يمكنك تخصيص تدفق حركة المرور في شبكتك بما يتناسب مع احتياجاتك الخاصة وحمايتها من مختلف التهديدات.
لكلٍّ من طرق التصفية هذه نقاط قوة وحالات استخدام مثالية، وذلك حسب حجم شبكتك، وأنواع حركة البيانات التي تحتاج إلى إدارتها، وأهدافك الأمنية. سيعزز التهيئة والمراقبة السليمة لهذه الطرق أمن شبكتك وأدائها وكفاءتها في عام ٢٠٢٥ وما بعده.
هل أفادك هذا المقال أم لا؟ شاركنا رأيك على فيسبوك ولينكدإن . يسعدنا سماع رأيك!
