سواء كنت تدير موقعاً صغيراً، أو خادماً سحابياً لتطبيقات شركتك، أو حتى بيئة اختبار منزلية، فإن خط الدفاع الأول الذي يحمي خادمك من المخترقين وبرامج المسح التلقائي هو جدار الحماية (Firewall). ترك خادمك متصلاً بالإنترنت العام دون جدار حماية نشط يشبه ترك باب منزلك مفتوحاً بالكامل للغرباء.
في أنظمة لينكس (مثل Ubuntu و Debian)، تعتبر أداة UFW (Uncomplicated Firewall) هي الأداة القياسية الأسهل والأكثر فاعلية لإدارة قواعد جدار الحماية (iptables) بذكاء وبساطة. في هذا الدليل، سنشرح كيفية ضبط وتأمين خادمك بالكامل باستخدام UFW في 5 خطوات أساسية فقط.
ما هو جدار الحماية UFW؟
تعتمد أنظمة لينكس افتراضياً على أداة iptables لإدارة حزم البيانات وقواعد العبور. ولكن كتابة قواعد iptables صعبة ومعقدة جداً للمبتدئين وتتطلب وقتاً كبيراً.
تم تطوير UFW ليكون واجهة مبسطة وسهلة الفهم (Frontend) لأداة iptables؛ حيث يتيح لك فتح المنافذ وإغلاقها وإضافة شروط الحماية المعقدة بأوامر إنجليزية واضحة ومباشرة.
الخطوات الـ 5 الأساسية لتأمين سيرفرك
الخطوة 1: ضبط السياسات الافتراضية (Default Policies)
القاعدة الذهبية في أمن المعلومات هي **منع كل شيء افتراضياً والسماح فقط بما تحتاجه**. سنقوم بضبط UFW ليمنع جميع الاتصالات الواردة للسيرفر، ويسمح لجميع الاتصالات الصادرة منه (لكي يتمكن السيرفر من تحميل التحديثات والوصول للإنترنت):
sudo ufw default deny incoming
sudo ufw default allow outgoing
الخطوة 2: السماح باتصالات SSH (مهم جداً!)
تحذير قاتل: إذا قمت بتفعيل جدار الحماية في الخطوة القادمة دون السماح لخدمة SSH، فسيتم قطع اتصالك بالخادم فوراً ولن تتمكن من الدخول إليه مرة أخرى أبداً! تأكد دائماً من تنفيذ هذه الخطوة أولاً.
للسماح بالدخول عبر منفذ SSH القياسي (المنفذ 22):
sudo ufw allow ssh
إذا كنت تستخدم منفذاً مخصصاً لـ SSH غير المنفذ 22 (وهي ممارسة ممتازة للأمان)، اسمح للمنفذ المخصص مباشرة (مثلاً: 2222):
sudo ufw allow 2222/tcp
الخطوة 3: السماح بحركة الويب (HTTP & HTTPS)
إذا كان خادمك يستضيف مواقع ويب أو مدونات، يجب عليك السماح للزوار بالوصول عبر منافذ الويب القياسية (المنفذ 80 للمرور غير المشفر، و 443 للمرور المشفر SSL):
sudo ufw allow http
sudo ufw allow https
الخطوة 4: تشغيل جدار الحماية (Enable UFW)
بعد أن تأكدت تماماً من إضافة قاعدة SSH ومنافذ الويب، يمكنك الآن تشغيل جدار الحماية بأمان:
sudo ufw enable
ستظهر لك رسالة تنبيه تفيد بأن تفعيل الجدار قد يؤدي لقطع الاتصالات النشطة، اضغط على y ثم Enter للموافقة والتشغيل.
الخطوة 5: التحقق من حالة القواعد النشطة
للتحقق من أن جدار الحماية يعمل بنجاح ورؤية جميع القواعد التي قمت بإضافتها:
sudo ufw status verbose
ستظهر لك حالة الجدار (Status: active) متبوعة بجدول يعرض المنافذ المسموح بالاتصال بها من الخارج والسياسة الافتراضية.
أوامر متقدمة لإدارة جدار الحماية بذكاء
أحد أسباب تميز UFW هو قدرتك على صياغة قواعد مخصصة وحماية فائقة للخوادم الحساسة:
السماح لعنوان IP محدد بالاتصال
إذا كان لديك سيرفر قاعدة بيانات وتريد منع الجميع من الوصول إليه باستثناء سيرفر التطبيق الخاص بك (مثلاً ذو عنوان IP 192.168.1.50):
sudo ufw allow from 192.168.1.50
وإذا أردت السماح لهذا السيرفر بالوصول لمنفذ محدد فقط (مثل منفذ قاعدة بيانات PostgreSQL 5432):
sudo ufw allow from 192.168.1.50 to any port 5432 proto tcp
حظر عنوان IP محدد (Block/Deny IP)
إذا لاحظت في السجلات وجود عنوان IP مزعج يقوم بمحاولات اختراق متكررة لسيرفرك، يمكنك حظره بالكامل بلمسة واحدة:
sudo ufw deny from 203.0.113.100
حذف القواعد (Delete Rules)
إذا رغبت في حذف قاعدة قمت بإضافتها سابقاً، يمكنك عرض القواعد مرقمة:
sudo ufw status numbered
ثم حذف الرقم المقابل للقاعدة (مثلاً الرقم 3):
sudo ufw delete 3
خاتمة
تعد أداة UFW هي الطريقة الأسرع والأكثر فاعلية لتأمين خوادم Ubuntu و Debian. بفضل بساطتها وقوتها، تمكنك من وضع قواعد أمان محكمة لحماية سيرفراتك وتطبيقاتك وقواعد بياناتك من العبث الخارجي دون الغرق في تفاصيل الشبكات المعقدة.
تذكر دائماً: أمن خادمك يبدأ من جدار الحماية، وتطبيق سياسة المنع الافتراضية هو مفتاح الاستقرار والخصوصية.
اترك تعليقاً
يجب أنت تكون مسجل الدخول لتضيف تعليقاً.