- بواسطة x32x01 ||
الناس دايمًا بتتلخبط في المصطلحات دي: Firewall، WAF، وIPS. كل واحد ليه دور مختلف في حماية الشبكات والتطبيقات، وفي نفس الوقت بيتكلموا مع بعض عشان يبقّى عندك حماية متكاملة. هنا هاشرحلك كل واحد ببساطة، إمتيازاته، أمثلة عملية، وكمان أمثلة كود دفاعي لو انت مهندس شبكات أو سكيوريتي. 
ايه هو الـ Firewall؟ ومين يستخدمه؟
Firewall هو الحارس الأول بين شبكتين - عادة بين شبكتك الداخلية والإنترنت. وظيفته الأساسية: يسمح أو يرفض حركة المرور (traffic) بناءً على قواعد بتتحدد من قبل الادمن.
الكود دا أعرض فكرة - قواعد بسيطة لحماية من الوصول غير المصرح بيه.
ايه هو الـ WAF (Web Application Firewall)؟ ومين محتاجه؟
WAF متخصص في حماية تطبيقات الويب من هجمات الـ Application Layer (طبقة 7). يعني بيبص جوه الطلبات (HTTP/HTTPS) ويفهم لو في محاولات هجوم زي SQL Injection أو XSS أو محاولات تحميل ملفات خبيثة.
قاعدة بسيطة بتمنع نماذج فيها كلمات مفتاحية لحقن SQL. طبعًا في أنظمة حقيقة القواعد أعقد ومتعلمة.
ايه هو الـ IPS (Intrusion Prevention System)؟ وليه مختلف؟
IPS بيئازرع نفسه في مسار الشبكة ويراقب كل الحركات عشان يمنع الهجمات فعليًا - مش بس يبلغ. بيستخدم توقيعات (signatures) وتحليل سلوك (behavioral) علشان يرد على التهديد، وغالبًا بيشتغل على أكثر من طبقة (Network, Transport, Application).
دي مجرد فكرة - قواعد الـ IPS الفعلية بتبقى ضخمة ومحدثة باستمرار.
مقارنة سريعة: امتى تستخدم كل واحد؟
بمعنى تاني: استخدم Firewall لتسيير المرور، WAF لحماية الكود والـ inputs بتاعت الويب، وIPS كدرع نشط بيقطع الهجوم وهو بيحاول يحصل.
هندسة الحماية المثالية - ازاي تجمعهم مع بعض؟
أفضل تنفيذ حقيقي بيبقى مكوّن من كله مع بعض:
نصايح عملية للـ Admins والـ Devs
خاتمة سريعة - خلاصة مع شوية تحذيرات
ايه هو الـ Firewall؟ ومين يستخدمه؟ 
Firewall هو الحارس الأول بين شبكتين - عادة بين شبكتك الداخلية والإنترنت. وظيفته الأساسية: يسمح أو يرفض حركة المرور (traffic) بناءً على قواعد بتتحدد من قبل الادمن.خصائص سريعة:
- يشتغل عادة على طبقة الشبكة (Network Layer) وطبقة النقل (Transport Layer).
- بيبني قواعد على الـ IP، المنافذ (ports)، والبروتوكولات.
- مثال عملي: تمنع كل الاتصالات الواردة على بورت 23 (Telnet) لكن تسمح بورت 80 و443 للويب.
أمثلة استخدم:
- حماية شبكة شركة صغيرة أو مكتب.
- فصل سيرفر داخلي عن الإنترنت وتقييد الاتصالات.
مثال عملي (قواعد iptables بسيطة - دفاعية)
Code:
# فك التصفح (SSH) من شبكة الإدارة فقط
iptables -A INPUT -p tcp --dport 22 -s 192.168.10.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
# السماح للويب
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPTايه هو الـ WAF (Web Application Firewall)؟ ومين محتاجه؟ 
WAF متخصص في حماية تطبيقات الويب من هجمات الـ Application Layer (طبقة 7). يعني بيبص جوه الطلبات (HTTP/HTTPS) ويفهم لو في محاولات هجوم زي SQL Injection أو XSS أو محاولات تحميل ملفات خبيثة.خصائص سريعة:
- يشتغل على طبقة التطبيقات (Application Layer).
- بيحلل محتوى الـ HTTP Requests ويمنع الهجمات اللي تستهدف صفحات الويب أو قواعد البيانات.
- مثال عملي: يخلي الموقع آمن لو حد حاول يدخل استعلام SQL بطريقة ضارة.
أمثلة استخدام:
- مواقع التجارة الإلكترونية، أنظمة تسجيل الدخول، أو أي واجهة ويب بتتعامل مع بيانات حساسة.
مثال عملي (قاعدة ModSecurity بسيطة)
Code:
# قاعدة ModSecurity لمنع محاولة SQL Injection بسيطة
SecRule ARGS "@rx (?i:(select|union|insert|update|delete)\s)" "id:1001,deny,status:403,msg:'SQL Injection attempt blocked'"ايه هو الـ IPS (Intrusion Prevention System)؟ وليه مختلف؟ 
IPS بيئازرع نفسه في مسار الشبكة ويراقب كل الحركات عشان يمنع الهجمات فعليًا - مش بس يبلغ. بيستخدم توقيعات (signatures) وتحليل سلوك (behavioral) علشان يرد على التهديد، وغالبًا بيشتغل على أكثر من طبقة (Network, Transport, Application).خصائص سريعة:
- يشتغل كتقنية توقّعية ومنع للهجمات اللحظية.
- ممكن يمنع DDoS، استغلال ثغرات، نقل برمجيات خبيثة.
- بيبقى أقوى وأسرع في رصد الهجمات المعقدة، وبيحتاج تحديثات توقيع مستمرة.
أمثلة استخدام:
- شبكات بيانات الشركات الكبيرة، مراكز البيانات، والبيئات الحساسة اللي محتاجة حماية فورية.
مثال عملي (قاعدة Snort بسيطة)
Code:
# قاعدة Snort لمنع محاولة اتصال بميناء معين من IP معروف
alert tcp 192.168.100.0/24 any -> $HOME_NET 22 (msg:"SSH scan detected"; sid:1000001; rev:1;)مقارنة سريعة: امتى تستخدم كل واحد؟ 
- Firewall = خط الدفاع الأول. مناسب لتصفية حركة الإنترنت وفرض سياسات أساسية.
- WAF = متخصص لتطبيقات الويب. لازم لأي موقع أو API بيستقبل بيانات من المستخدمين.
- IPS = منع متقدّم في الزمن الحقيقي. مناسب للمؤسسات اللي محتاجة رد على الهجوم فورًا.
بمعنى تاني: استخدم Firewall لتسيير المرور، WAF لحماية الكود والـ inputs بتاعت الويب، وIPS كدرع نشط بيقطع الهجوم وهو بيحاول يحصل.
هندسة الحماية المثالية - ازاي تجمعهم مع بعض؟ 
أفضل تنفيذ حقيقي بيبقى مكوّن من كله مع بعض:- Perimeter Firewall لفصل الشبكة والتحكم في البورتات.
- WAF قدّام خوادم الويب لفلترة الطلبات وحماية الـ Apps.
- IPS داخل الشبكة أو قبل السيرفرات للاكتشاف والمنع الفوري.
- نظم مراقبة (SIEM) لتجميع اللوجات وتحليلها على المدى الطويل.
نصايح عملية للـ Admins والـ Devs 
- للـ Admins: حدّث قواعد الـ IPS والـ Firewall بانتظام وراجع اللوجات.
- للـ Devs: بلاش تعتمد على الحماية الخارجية بس - طوّر الكود بأمان (input validation, prepared statements).
- طبّق Defense in Depth - طبقات حماية متعددة أفضل من طبقة واحدة قوية.
- اختبر الأنظمة بتاعك بانتظام (Pentest) وخلي عندك خطة استجابة للحوادث (IR plan).
خاتمة سريعة - خلاصة مع شوية تحذيرات 
- Firewall، WAF، وIPS تلاتتهم مهمين لكن كل واحد فيهم ليه دور خاص.
- علشان تحمي شبكة أو تطبيق لازم تخلّيهم يشتغلوا مع بعض بطريقة متناسقة.
- دايمًا استخدم أدوات موثوقة، حدّثها، واعمل باك أب وخطة استجابة للحوادث.
التعديل الأخير: