يُعد التحكم في البرامج التي تتصل بالإنترنت أحد تلك المهام التي يتجاهلها العديد من المستخدمين... حتى يحدث خطأ ما. التحديثات التلقائية التي تعطل الميزات، والتطبيقات التي تحتوي على إعلانات مزعجة، والألعاب التي تسمح لأطفالك بالتحدث إلى الغرباء، أو البرامج التي ترسل بيانات حساب أكثر من اللازم. هذه مجرد أمثلة قليلة توضح سبب أهمية إتقان قواعد جدار الحماية لحظر التطبيقات.
والخبر السار هو أنه، سواء في نظام التشغيل ويندوز (على سبيل المثال)، يمكنك تعلم كيفية حظر البرامج في نظام التشغيل ويندوز 11كما هو الحال في نظام macOS وحتى نظام Linux، لديك عدة طرق لـ السماح أو حظر حركة مرور الشبكة لكل تطبيقسواء باستخدام جدران الحماية المدمجة في النظام، أو حلول الأمان الخارجية (مثل ESET)، أو جدران حماية تطبيقات الويب (WAFs)، أو عن طريق التلاعب بـ iptables على أنظمة GNU/Linux، فسوف نفحص هذا الأمر بعناية وتفصيل، باستخدام لغة واضحة وعملية.
لماذا يمكن أن يوفر لك حظر التطبيقات في جدار الحماية الكثير من المتاعب
يعمل جدار الحماية كمرشح يحدد نوع البيانات الواردة والصادرة. ضمن فريقك أو شبكتك، وفقًا لمجموعة من القواعد التي حددتها أنت أو النظام نفسه. والمثال الشائع هو تشبيهه بمراقبة الحدود: فكل ما يدخل ويخرج يُفحص، وأي شيء لا يستوفي المعايير يُستبعد.
من خلال حظر تطبيقات معينة باستخدام جدار الحماية، يمكنك لمنع الاتصالات غير المصرح بها، والحد من مخاطر البرامج الضارة، والحد من إرسال المعلومات أنك لا ترغب في مشاركتها. علاوة على ذلك، فإنك تمنع بعض البرامج من طلب البيانات من خوادم خارجية أو تنزيل محتوى قد يكون غير ذي صلة أو حتى خطيرًا.
في الحياة اليومية، يترجم هذا إلى أشياء ملموسة للغاية: أوقف التحديثات التلقائية التي قد تؤدي إلى خلل في التوافق، وقم بإزالة الإعلانات المضمنة في بعض التطبيقات المجانية. أو منع برنامج من الاتصال عند استخدام شبكة واي فاي عامة ذات مستوى أمان مشكوك فيه. مجموعة كبيرة من المضايقات والمخاطر التي يمكنك معالجتها باتباع بعض القواعد الواضحة.
إذا كان لديك أطفال في المنزل، فإن جدار الحماية يُعد أيضاً حليفاً قوياً: يمكنك حظر حركة المرور عبر الإنترنت من منصات ألعاب أو وسائل تواصل اجتماعي معينة. لمنعهم من التفاعل مع الغرباء دون إشراف. ليس هذا حلاً كاملاً للرقابة الأبوية، ولكنه ركن أساسي من أركان تلك الحماية.
في البيئات المهنية والتعليمية، يساعد التحكم في التطبيقات من خلال جدار الحماية على منع تسريب البيانات، وتقليل مساحة الهجوم، والحد من استخدام الأدوات غير المصرح بهايكمن السر في إيجاد التوازن: فالأمر لا يتعلق بمنع كل شيء، بل بالسماح فقط بما تحتاجه فعلاً.
حظر التطبيقات في نظامي التشغيل ويندوز 10 و11 باستخدام جدار حماية ويندوز
في نظام التشغيل ويندوز، الطريقة الأكثر مباشرة للتحكم في البرامج التي تصل إلى الإنترنت هي استخدام جدار حماية Windows Defender مع الأمان المتقدمإنها ليست واجهة المستخدم الأكثر سهولة في العالم، لكنها تسمح بتحكم دقيق للغاية من خلال قواعد الوارد (incoming) والصادر (outgoing).
إلى حظر الوصول إلى الإنترنت لبرنامج معين في نظامي التشغيل ويندوز 10 و11، تتضمن العملية المعتادة إنشاء قاعدة بيانات صادرة مرتبطة بملف التطبيق القابل للتنفيذ. وبهذه الطريقة، حتى لو حاول التطبيق الاتصال، سيقوم جدار الحماية بحظر حركة البيانات قبل مغادرتها الكمبيوتر.
من المعتاد العمل باستخدام المسار الكامل لملف .exe. توجد الملفات القابلة للتنفيذ عادةً في "C:\Program Files" أو "C:\Program Files (x86)".يلي ذلك اسم مجلد التطبيق والملف التنفيذي الرئيسي. معرفة هذا المسار أو تحديد موقعه باستخدام مستكشف الملفات أمر أساسي لإنشاء القاعدة بشكل صحيح.
بمجرد تحديد موقع التطبيق، يمكنك تحديد قاعدة قم بحظر الاتصال على جميع ملفات تعريف الشبكة: النطاق، والخاصة، والعامة.يضمن هذا أن التطبيق لن يتصل بشبكة Wi-Fi المنزلية أو شبكة العمل أو نقطة اتصال عامة، إلا إذا قمت بتغيير هذا الإعداد.
كيفية إنشاء قاعدة خروج في نظام التشغيل ويندوز لحظر تطبيق
سير العمل الكلاسيكي لحظر تطبيق باستخدام قاعدة صادرة في جدار حماية ويندوز يعتمد هذا النظام على وحدة تحكم "الأمان المتقدم"، حيث يمكنك إنشاء قواعد مخصصة وتعديلها وحذفها. قد يبدو الأمر معقدًا في البداية، لكن بمجرد القيام به عدة مرات، يصبح تلقائيًا تمامًا.
على هذه المنصة، تتحكم "قواعد الإرسال" في ما يحاول جهاز الكمبيوتر الخاص بك إرساله إلى الشبكةإذا قمت بحظر تطبيق من هنا، فسيتم حظر جميع الاتصالات الصادرة منه. يمكنك بعد ذلك مراجعة هذه القائمة لتذكر التطبيقات التي قمت بحظرها وإلغاء حظرها في أي وقت.
عند تكوين القاعدة، سترى خيارات لاختيار نوع القاعدة (في هذه الحالة، "برنامج")، ومسار الملف التنفيذي، والإجراء المراد تنفيذه، وملفات تعريف الشبكة التي تنطبق عليها. الإجراء الرئيسي هو "حظر الاتصال".وهذا ما يضمن أن التواصل لن يؤدي إلى شيء.
الخطوة الأخيرة هي إعطاء القاعدة اسماً معروفاً. استخدام أسماء واضحة ومتسقة سيجنبك الكثير من المتاعب عندما تحتاج، بعد مرور بعض الوقت، إلى تحديد القاعدة التي تؤثر على تطبيق معين من أجل السماح له مرة أخرى.
حظر البرامج مؤقتًا باستخدام جدار حماية ويندوز
هناك أوقات لا ترغب فيها بـ حظر وصول التطبيق إلى الإنترنت بشكل دائمولكن لفترة وجيزة فقط: أثناء قيامك بإجراء اختبار، أو أثناء استخدامك لشبكة معينة، أو أثناء وجودك في الفصل الدراسي مع الطلاب، على سبيل المثال.
لا يحتوي جدار حماية ويندوز على زر "إيقاف مؤقت" للتطبيقات، ولكنه يسمح لك بـ تفعيل وإلغاء تفعيل القواعد الفردية بالنقر بزر الماوس الأيمنمن الناحية العملية، يعمل هذا كمفتاح لهذا التطبيق: عندما تكون القاعدة قيد التشغيل، يتم قطع الاتصال؛ وعندما تقوم بإيقاف تشغيلها، يستعيد البرنامج الوصول إلى الشبكة.
تتميز هذه التقنية بالميزة التالية: ليس عليك حذف القاعدة أو إعادة إنشائها من الصفر. عندما تريد استئناف الحظر، ما عليك سوى التبديل بين "تفعيل القاعدة" و "إلغاء تفعيل القاعدة" حسب احتياجاتك.
إذا كنت تعمل مع العديد من التطبيقات والسياسات المختلفة، فمن المستحسن الاحتفاظ بنسخة صغيرة توثيق داخلي يوضح القواعد المؤقتة والدائمةحتى لا ينتهي بك الأمر بجدار حماية مليء بالقواعد المنسية التي لم تعد تعرف ما إذا كانت لا تزال منطقية.
أنشئ "قائمة بيضاء" للتطبيقات المسموح بها في نظام التشغيل ويندوز
بالإضافة إلى الحظر، يتيح لك جدار حماية ويندوز حدد البرامج التي لديها إذن صريح بالمرور عبر جدار الحمايةيُطلق على هذا عادةً اسم "القائمة البيضاء" وهو المكمل المثالي لنهج حظر الحالات بشكل فردي.
في شاشة "السماح لتطبيق أو ميزة بالمرور عبر جدار حماية Windows Defender"، سترى قائمة بالبرامج والخدمات. من خلال تحديد أو إلغاء تحديد خانتي "خاص" و "عام"، يمكنك تحديد نوع الشبكة التي يمكنهم التواصل عليها.يمكن أن يكون إلغاء تحديد تطبيق ما بشكل كامل بمثابة طريقة حظر سريعة.
إذا لم يكن البرنامج الذي تهتم به مدرجًا في تلك القائمة، فيمكنك استخدام خيار "السماح لتطبيق آخر" بإضافة ملفه التنفيذي يدويًاعلى الرغم من أن الاسم يوحي بأنك ستسمح به، إلا أنه بمجرد إضافته إلى القائمة، لا يوجد ما يمنعك من إلغاء تحديده لحظره. قد يبدو هذا غير بديهي بعض الشيء، ولكن هكذا صُممت واجهة المستخدم.
ضع في اعتبارك ذلك إن تمكين تطبيق على الشبكات العامة يعني تعريضه لبيئات معادية محتملةمثل شبكة الواي فاي في المقاهي أو الفنادق. أما بالنسبة للخدمات التي تتعامل مع بيانات حساسة، فمن الأفضل بكثير الالتزام بالشبكات الخاصة الموثوقة.
طرق أخرى لقطع الاتصال بالإنترنت في نظام التشغيل ويندوز
إذا كنت تبحث عن انقطاع تام عن الاتصال، دون كل هذه التفاصيل الدقيقة، يظل وضع الطيران هو الاختصار الأقوى والأسرعتقوم بتفعيله من مركز الإجراءات ويتم فصل جميع الاتصالات (الواي فاي، بيانات الهاتف المحمول، إلخ) في وقت واحد، لذلك لن يتمكن أي تطبيق من التواصل مع العالم الخارجي.
في الحالات التي يعجز فيها جدار حماية ويندوز عن أداء وظيفته، يوجد نظام بيئي واسع النطاق من جدران الحماية الخارجية لنظام التشغيل ويندوزالعديد منها مجاني. توفر هذه الأدوات عادةً واجهات أكثر سهولة في الاستخدام، وقواعد تعتمد على المعالج، وميزات إضافية مثل مراقبة الاتصال في الوقت الفعلي أو الملفات الشخصية المُعدة مسبقًا.
يجدر التذكير بأن التكوين المتقدم السيئ قد يكون أسوأ من عدم تغيير أي شيء على الإطلاق: إن إنشاء القواعد أو تعديلها أو حذفها دون فهم تأثيرها بشكل كامل يمكن أن يترك ثغرات أمنية أو يعطل التطبيقات الحيوية.من الأفضل دائماً المضي قدماً ببطء، وتجربة الأمور، وإذا أمكن، الاحتفاظ بنسخة احتياطية من إعداداتك.
وأخيرًا، إذا تعقدت الأمور في أي وقت أو بدأت تلاحظ سلوكًا غريبًا، يمكنك دائمًا اللجوء إلى خيار أعد جدار الحماية إلى حالته الافتراضيةإنه أشبه بزر "إعادة ضبط المصنع" لجدار الحماية، وهو مفيد للغاية عندما لا تعرف أي تغيير تسبب في المشكلة.
قواعد جدار الحماية في منتجات ESET لنظام التشغيل Windows (المنزل والمكاتب الصغيرة)
إذا كنت تستخدم حزمة أمان مثل تلك التي من ESET على نظام التشغيل ويندوز، لديك جدار الحماية المدمج الخاص بالمنتج يتيح لك هذا إنشاء قواعد محددة للسماح أو حظر اتصال التطبيقات. وتُكمّل طبقة التصفية هذه جدار حماية ويندوز الأصلي أو تحل محله، وذلك بحسب الإعدادات.
يمكنك الوصول إلى النافذة الرئيسية للبرنامج الإعدادات المتقدمة بالضغط على مفتاح F5في الداخل، القسم ذو الصلة هو "حماية الوصول إلى الشبكة"، حيث يتم عرض قسم "جدار الحماية" وزر "تحرير" بجوار "القواعد".
ستجد هناك قائمة القواعد الحالية وخيار "إضافة" لإنشاء قاعدة جديدةوبذلك، يمكنك تحديد اسم وصفي، واختيار الإجراء (السماح، الحظر، السؤال، إلخ)، وتحديد التطبيق المتأثر، واتجاه حركة المرور.
بتوسيع حقل "التطبيق" ستتمكن من تصفح النظام حتى تجد الملف التنفيذي للتطبيق الذي تريد التحكم فيه.في قسم "الاتجاه" يمكنك تحديد ما إذا كانت القاعدة تنطبق على الاتصالات الواردة أو الاتصالات الصادرة أو كليهما، مما يوفر مرونة كبيرة اعتمادًا على هدفك.
بمجرد ضبط هذه المعلمات، قم بالتأكيد باستخدام "موافق" ثم باستخدام أزرار "قبول" المختلفة. احفظ التغييرات وقم بتفعيل القاعدة.من تلك اللحظة فصاعدًا، سيقوم جدار الحماية ESET بتطبيق السياسة المختارة على جميع حركة المرور التي يتم إنشاؤها بواسطة هذا التطبيق، مع التكامل مع بقية المجموعة (اكتشاف التهديدات، والتسجيل، وما إلى ذلك).
جدار حماية ويندوز: ملفات تعريف الشبكة، والإعدادات الإضافية، والأمان
بالإضافة إلى القواعد الخاصة بكل برنامج، يتيح لك جدار حماية ويندوز ضبط كيف يتصرف الجهاز اعتمادًا على نوع الشبكة التي تتصل بها: النطاق (عادةً بيئات الشركات)، أو الخاص (منزلك، مكتبك الصغير) أو العام (الشبكات المفتوحة أو غير الموثوقة).
الفرق الرئيسي بين تصنيف الشبكة على أنها خاصة أو عامة هو مستوى التعرض الذي تقبله: في الشبكات الخاصة، تسمح عادةً للأجهزة الأخرى برؤيتك وحتى الاتصال بك.بينما في الشبكات العامة، تفضل أن تمر دون أن يلاحظك أحد قدر الإمكان.
في كل ملف تعريف، يمكنك تفعيل أو تعطيل جدار الحماية وضبط خيارات مثل "حظر جميع الاتصالات الواردة، بما في ذلك تلك الموجودة في قائمة التطبيقات المسموح بها"يحوّل هذا المربع الملف الشخصي إلى وضع مقيد للغاية: يتم رفض أي شيء يحاول الدخول، حتى لو تم وضع علامة على التطبيق بأنه مسموح به.
توجد أيضًا اختصارات لوظائف مثل يمكنك السماح لتطبيقات محددة بالمرور عبر جدار الحماية، أو تشغيل أداة استكشاف أخطاء الشبكة وإصلاحها، أو تكوين إشعارات الحظر، أو الدخول إلى "الإعدادات المتقدمة". للتلاعب بقواعد أمان الدخول والخروج والاتصال.
إذا أصبح الإعداد معقدًا أو كنت تشك في حدوث تغيير ما دون موافقتك، فإن النظام نفسه يوفر خيارًا لـ أعد ضبط جدران الحماية إلى قيمها الافتراضيةيؤدي هذا إلى مسح القواعد المخصصة والعودة إلى إعدادات المصنع أو السياسات التي تمليها مؤسستك، إذا كنت في بيئة مُدارة.
قواعد جدار حماية تطبيقات الويب (WAF) ودورها في حماية الخدمات عبر الإنترنت
عندما نتحدث عن التطبيقات التي تعمل على الإنترنت (صفحات الويب، وواجهات برمجة التطبيقات، وخدمات البرمجيات كخدمة...)، يبرز عنصر أساسي آخر: جدار حماية تطبيقات الويب (WAF)على عكس جدار الحماية الخاص بالنظام، يركز جدار حماية تطبيقات الويب (WAF) على فحص طلبات HTTP/HTTPS الموجهة إلى تطبيق ويب وتحديد ما يجب فعله بها.
تصف قواعد جدار حماية تطبيقات الويب (WAF) ما الذي يجب أن ينظر إليه النظام في كل طلب (الرؤوس، والمعلمات، والجسم، وعنوان IP، والمسار، وما إلى ذلك)، وما هي الشروط التي يجب تفعيلها، وما الإجراء الذي يجب اتخاذه؟ عند استيفاء هذا الشرط. تتكون ما يسمى "سياسة أمنية" من عدة قواعد منظمة ومرتبة حسب الأولوية.
لأن تطبيقات الويب تتغير باستمرار و تظهر تهديدات جديدة كل يوملا يمكن أن تكون سياسات جدار حماية تطبيقات الويب ثابتة. من الضروري تحديث هذه المجموعة من القواعد وتحسينها باستمرار لتغطية المسارات والمعلمات والخدمات وأساليب الهجوم الجديدة.
يشمل موفرو جدار حماية تطبيقات الويب عادةً مجموعات قواعد "جاهزة للاستخدام" محددة مسبقًااستنادًا إلى توقيعات الهجمات المعروفة، وقوائم عناوين IP الخبيثة، وأنماط الحقن، وما إلى ذلك. كلما كانت هذه المجموعة الأولية أكثر اكتمالًا وحداثة، كان مستوى الحماية الذي يقدمه المنتج الأولي أفضل.
في الحلول المتقدمة، يتم تغذية هذه القواعد بواسطة معلومات استخباراتية حول التهديدات العالمية (موجزات عناوين IP الخبيثة، وشبكات الخداع، وشبكات التضليل، والتعلم الآلي) الذي يكتشف السلوك المشبوه في الوقت الفعلي ويضبط سياسة الأمان تلقائيًا لمواكبة المهاجمين.
البيانات الوصفية والشروط والإجراءات والأولوية في قواعد جدار حماية تطبيقات الويب
يتضمن تصميم قاعدة جدار حماية تطبيقات الويب عادةً عدة أقسام: البيانات الوصفية والشروط والإجراءاتإن فهم هذا المخطط يساعد على بناء قواعد أنظف وأسهل في الصيانة.
في البيانات الوصفية، تحدد اسم واضح، ووصف، وحالة القاعدة (مفعلة أو غير مفعلة)يتم تسجيل هذه المعلومات أيضًا في أحداث الأمان بحيث عندما يتم تشغيل شيء ما، يمكنك معرفة القاعدة التي تم تطبيقها وسبب تطبيقها بسرعة.
تمثل الشروط "إذا حدث هذا ...". يمكن ضبط شروط متعددة لكل قاعدةعلى سبيل المثال: إذا كان المسار هو /login، والطريقة هي POST، والمعامل "user" يحتوي على أحرف مشبوهة، وكان عنوان IP ضمن نطاق محدد، فإن القاعدة تُفعّل فقط عند استيفاء جميع هذه الشروط.
الفعل هو "فعل هذا الشيء الآخر". اعتمادًا على نوع القاعدة، يمكنك حظر الطلب، أو السماح به، أو إعادة توجيهه، أو تعديل الرؤوس، أو تحديد معدل حركة البيانات، أو حساب المحاولات، أو تطبيق عناصر تحكم إضافيةغالباً ما يتم تجميع كل مجموعة من الإجراءات في أنواع مختلفة من القواعد (إعادة التوجيه، والأمان، وإعادة الكتابة، وتحديد المعدل، وما إلى ذلك).
على مستوى التنفيذ، تقوم جدران حماية تطبيقات الويب عادةً بإنشاء ترتيب الأولوية بين أنواع القواعدعلى سبيل المثال، ابدأ بقواعد إعادة توجيه العمليات، ثم قواعد الأمان، ثم قواعد إعادة الكتابة... وضمن كل مجموعة، حدد أولوية داخلية للقواعد. بهذه الطريقة، يمكنك التحكم في القواعد التي لها الأولوية عندما يمكن تطبيق عدة قواعد على نفس الطلب.
القواعد المحددة مسبقًا، والقواعد المخصصة، ونماذج الأمان الإيجابية/السلبية
يقوم موردون مثل رادوير بتنظيم سياسات جدار حماية تطبيقات الويب الخاصة بهم من خلال الجمع بين قواعد محددة مسبقًا (يتم الاحتفاظ بها تلقائيًا بواسطة الشركة المصنعة) مع قواعد مخصصة (يحددها العميل)، لضبط السلوك بدقة في بيئات محددة للغاية.
يمكن إنشاء القواعد المحددة مسبقًا من خوارزميات التعلم الآلي، والتحليل المكثف لبيانات حركة المرور، والتغذية من المهاجمين النشطينوهذا يسمح بتكييف الحماية مع نقاط الضعف الجديدة وأنماط الهجوم دون أن يضطر المسؤول إلى قضاء اليوم بأكمله في تعديل التكوين.
أما القواعد المخصصة، من ناحية أخرى، فهي تلك التي تقوم بإنشائها بنفسك لـ قم بضبط جدار حماية تطبيقات الويب (WAF) وفقًا للمنطق المحدد لتطبيقك: حماية مسارات معينة، وتطبيق حصص على نقاط نهاية واجهة برمجة التطبيقات، وحظر دول محددة، والتحكم في تسليم الاستجابة، وإدارة الروبوتات، وما إلى ذلك.
تجمع سياسة جدار الحماية الجيدة بين نموذج الأمن السلبي (الذي يحدد ما هو ممنوع) ونموذج الأمن الإيجابي (الذي يحدد ما هو مسموح به).في النهج السلبي، تعتمد على قوائم التوقيعات والأنماط التي تعرف أنها خبيثة. أما في النهج الإيجابي، فتحدد نوع المدخلات الصالحة لكل مُعامل، وتحظر أي شيء يقع خارج هذه النطاقات، وهو أمر بالغ الأهمية لإيقاف هجمات اليوم الصفر.
قد يصبح العمل باستخدام القواعد الإيجابية أو السلبية فقط مكلفًا للغاية وعرضة للأخطاء إذا تم يدويًا. ولهذا السبب، تتضمن جدران الحماية الحديثة لتطبيقات الويب (WAFs) الأتمتة والتوليد التلقائي للسياساتوالتي تراقب المعاملات المشروعة، وتحدد خصائص حركة المرور العادية، وتقترح قواعد "الإذن" بناءً على هذا السلوك.
التوليد التلقائي والتحسين المستمر لسياسات جدار حماية تطبيقات الويب
لتقليل العمل اليدوي وخطر حدوث ثغرات في السلامة، تقوم العديد من منظمات العمل في مجال المياه بتطبيق آليات توليد السياسات التلقائية باستخدام التعلم الآلييراقب النظام كيفية تصرف حركة المرور المشروعة، والقيم التي تحتوي عليها المعلمات عادةً، والمسارات المستخدمة وكيف، ومن ثم يقترح أو ينشئ قواعد تصف هذا النمط بأنه مقبول.
هذا النهج يسمح تعديل ملفات تعريف السلامة الإيجابية دون الاعتماد بشكل كبير على العين البشريةتقليل أخطاء التكوين التي قد تجعل التطبيق مكشوفًا أو، على العكس من ذلك، تحظر المستخدمين الجيدين بشكل مفرط.
وفي الوقت نفسه، من الضروري أن تجري هيئة إدارة المياه مراجعات دورية. سجلات النشاط وتوليد مقترحات التحسين المستمرالفكرة هي الحفاظ على مستوى عالٍ من الأمان مع تقليل الإنذارات الكاذبة بحيث لا تتعارض الحماية مع حركة المرور العادية.
يُمكّن الجمع بين التعلم الآلي ومراجعة السجلات ومعلومات التهديدات الخارجية جدار حماية تطبيقات الويب (WAF) يتطور بالتوازي مع تطبيقك ونظام الهجمات المحيطة به.دون إجبارك على إعادة صياغة السياسة من الصفر كل بضعة أشهر.
حظر التطبيقات في لينكس: iptables، ومجموعات المستخدمين، وفلاتر الوجهة
أما في أنظمة لينكس، فالنهج مختلف: لا توجد لوحة رسومية عالمية، ولكن يوجد نظام فرعي قوي لتصفية الحزم يعتمد على iptables أو nftables.بحسب التوزيع والإصدار، يمكنك حظر حركة المرور على مستوى العالم، أو حسب المستخدم، أو حسب المجموعة، أو حسب عنوان الوجهة.
قد تكون إحدى الأفكار الأولية لحظر برنامج معين هي قطع الوصول إلى العناوين أو النطاقات التي تستخدمهالاكتشاف هذه الوجهات، لديك عدة خيارات: استخدم netstat (أو ss) أثناء اتصال التطبيق، أو راقب طلبات DNS باستخدام خدمات مثل dnsmasq التي تعمل في الوضع المطول.
بمجرد تحديد النطاقات، يمكنك إعادة توجيهها إلى جهازك الخاص عن طريق إضافة إدخالات من النوع "127.0.0.1 domain_to_block" في /etc/hostsوبالتالي، فإن أي محاولة لحل هذا النطاق ستظل محلية ولن يتمكن التطبيق من الاتصال بالخادم الحقيقي.
إذا كنت تفضل العمل مباشرةً مع عناوين IP، فيمكنك أيضًا إنشاء قواعد iptables مثل "iptables -I OUTPUT -s ip_a_block -j DROP"تتجاهل هذه القواعد جميع حركة المرور الصادرة إلى ذلك العنوان. ولضمان استمرارها بعد إعادة التشغيل، من الممارسات الشائعة تضمينها في نصوص بدء التشغيل مثل /etc/rc.local (قبل سطر "exit 0")، أو استخدام أنظمة حفظ/استعادة القواعد.
يتمثل عيب هذا النهج في أن يؤثر الانسداد على النظام بأكملهأي تطبيق يرغب في التواصل مع تلك النطاقات أو عناوين IP سيتأثر، وليس فقط التطبيق الذي يهمك. علاوة على ذلك، قد تنتمي تلك العناوين إلى خدمات مشتركة تحتاجها في سياقات أخرى.
تصفية التطبيقات حسب مجموعة المستخدمين في نظام لينكس لحظر تطبيقات معينة فقط
البديل الأفضل هو الاعتماد على نظام أذونات المستخدمين والمجموعات في لينكسالفكرة هي إنشاء مجموعة خاصة للعمليات "المفلترة" وإخبار iptables بحظر جميع حركة المرور القادمة من العمليات التي تعمل مع تلك المجموعة.
سيكون التدفق المعتاد على النحو التالي: أولاً يمكنك إنشاء مجموعة جديدة (على سبيل المثال، "filtered") باستخدام groupaddثم تقوم بإضافة المستخدمين الذين تريد التحكم بهم (على سبيل المثال، "student") إلى المجموعة باستخدام adduser، بحيث ينتمي هؤلاء المستخدمون أيضًا إلى تلك المجموعة.
بعد ذلك، تقوم بتحديد قاعدة iptables، على سبيل المثال "iptables -A OUTPUT -m owner –gid-owner filtered -j REJECT"هذا يُخبر النظام بأنه يجب رفض أي حزمة إخراج يتم إنشاؤها بواسطة عملية يتم "تصفية" مجموعتها الفعالة.
لتشغيل برنامج ضمن تلك المجموعة المحددة، يمكنك استخدام الأمر "sg filtered «programname»"يؤدي هذا إلى تغيير المجموعة الأساسية للعملية إلى "مُفلترة" أثناء التنفيذ. ومن تلك اللحظة فصاعدًا، تُطبق قيود iptables على تلك العمليات فقط، دون التأثير على بقية النظام.
هذا النهج يسمح صمم مجموعات مختلفة بمستويات وصول مختلفةيُمكّن هذا بعض التطبيقات من توجيه البيانات إلى وجهات أو بروتوكولات مُحددة فقط، بينما يتم حظر تطبيقات أخرى تمامًا. يُعدّ هذا مفيدًا بشكل خاص في البيئات التعليمية أو المشتركة، حيث يتشارك عدة مستخدمين جهازًا واحدًا، وتحتاج إلى تقييد حركة البيانات إلى أدوات مُحددة فقط.
عند دمج هذه التقنية مع تصفية النطاقات والمنافذ، يمكنك وضع سياسات دقيقة للغاية لكل سياق استخدامعلى الرغم من أن ذلك يأتي على حساب زيادة التعقيد الإداري والحاجة إلى اختبار كل تغيير بدقة.
