الروتر بالإضافة لدوره كـ Gateway وNAT، بيشتغل كـ Firewall في أغلب الشبكات المنزلية والصغيرة. الـ Firewall هو طبقة أمان بتحمي الشبكة المحلية (LAN) من الاتصالات الغير مرغوب فيها أو الخطرة اللي جاية من الإنترنت أو شبكات خارجية. بيكون مدمج (Built-in) في برمجيات الروتر، وبيشتغل عشان:

  • يمنع الوصول غير المصرح به للشبكة المحلية.
  • يحمي الأجهزة من هجمات زي اختراق السيرفرات أو الفيروسات.
  • يتحكم في أنواع البيانات اللي بيسمح بيها أو يمنعها.

ازاي الروتر بيشتغل كـ Firewall؟

الروتر بيستخدم مجموعة من الآليات عشان يحمي الشبكة من الاتصالات الغير مرغوبة:

  1. الـ NAT كآلية أمان أساسية:

    • زي ما اتكلمنا قبل كده، الـ NAT (Network Address Translation) بيخفي عناوين الـ Private IP بتاعة الأجهزة داخل الشبكة المحلية، وكل الاتصالات بتظهر كأنها جاية من الـ Public IP بتاع الروتر.
    • ده بيخلي من الصعب على أي هكر أو مصدر خارجي يستهدف جهاز معين داخل الشبكة، لأنهم بيشوفوا بس الـ Public IP بتاع الروتر، مش الـ Private IP بتاع كل جهاز.
    • يعني، لو في طلب من الإنترنت بيحاول يدخل الشبكة، الروتر مش هيسمحله إلا لو كان رد على طلب أنت بعته أصلاً (زي رد من موقع فتحته). أي طلب غير متوقع من الإنترنت بيترفض تلقائيًا بسبب الـ NAT.

  2. الــ Stateful Packet Inspection (SPI):

    • معظم الروترات الحديثة بتستخدم تقنية تُسمى Stateful Packet Inspection، ودي بتعني إن الروتر بيراقب “حالة” الاتصالات.
    • يعني الروتر بيسمح بالبيانات اللي بتكون جزء من اتصال أنت بدأته (مثلًا فتحت موقع ويب)، لكنه بيمنع أي بيانات جاية من الإنترنت لو مكانتش مرتبطة باتصال موجود في جدول الـ NAT.
    • مثال: لو هكر حاول يبعت بيانات للروتر من غير ما تكون رد على طلب من جهازك، الـ Firewall هيرفض البيانات دي لأنها مش جزء من اتصال معروف.

  3. قواعد الفلترة (Filtering Rules):

    • الروتر بيكون فيه قواعد فلترة مضبوطة مسبقًا (أو يدويًا لو المستخدم عايز يعدلها). القواعد دي بتحدد إيه اللي ينفع يدخل أو يخرج من الشبكة بناءً على:
      • نوع البروتوكول: زي TCP أو UDP.
      • رقم المنفذ (Port): مثلاً، ممكن تمنع منافذ معينة معروفة إنها بتُستخدم في هجمات (زي Port 23 لـ Telnet).
      • عنوان IP المصدر أو الوجهة: ممكن تمنع عناوين IP معينة أو تسمح بس بمواقع معينة.
      • الاتجاه: بيانات داخلة (Inbound) أو خارجة (Outbound).
    • افتراضيًا، الروتر بيمنع كل الاتصالات الداخلة (Inbound) من الإنترنت ما عدا اللي مرتبطة باتصال أنت بدأته، وده بيقلل مخاطر الاختراق.

  4. الـ MAC Filtering:

    • الروتر بيقدر يستخدم الـ MAC Address عشان يتحكم في الأجهزة اللي مسموح لها تتصل بالشبكة. يعني لو جهاز غريب حاول يتصل بالواي-فاي، الروتر ممكن يرفضه لو الـ MAC Address بتاعه مش في قائمة الأجهزة المعتمدة.

  5. حماية من هجمات معينة:

    • الروترات الحديثة بتقدر تكتشف وتمنع أنواع معينة من الهجمات، زي:
      • الـ DoS (Denial of Service): هجمات بتحاول تغرق الشبكة بطلبات كتير عشان تعطلها.
      • الـ Port Scanning: محاولات هكرز لفحص المنافذ المفتوحة عشان يلاقوا ثغرات.
    • الـ Firewall في الروتر بيحلل أنماط الـ Traffic ويمنع أي نشاط مشبوه.

ازاي الـ Firewall بيحمي الشبكة من الاتصالات الغير مرغوبة؟

الاتصالات الغير مرغوبة هي أي بيانات بتحاول تدخل الشبكة أو تخرج منها من غير إذن، زي محاولات الاختراق، الفيروسات، أو الوصول غير المصرح به. الروتر بيحمي الشبكة بالطرق دي:

  1. منع الاتصالات الداخلة غير المطلوبة:
    • زي ما قلنا، الروتر بيمنع أي طلب داخلي (Inbound) من الإنترنت لو مكانش رد على طلب أنت بدأته. يعني لو هكر حاول يوصل لجهازك مباشرة، الـ Firewall هيمنعه لأن الطلب ده مش مرتبط باتصال في جدول الـ NAT.
  2. إخفاء الأجهزة الداخلية:
    • بفضل الـ NAT، الأجهزة في الشبكة المحلية (زي موبايلك أو لاب توبك) مش بتكون مرئية مباشرة على الإنترنت. ده بيقلل فرص استهدافها من هكرز.
  3. التحكم في الاتصالات الخارجة:
    • بعض الروترات بتسمح لك تضبط قواعد تمنع أجهزة معينة من الوصول لمواقع أو خدمات معينة (زي مواقع مشبوهة). ده مفيد مثلاً لو عايز تحدد استخدام الإنترنت للأطفال.
  4. تسجيل النشاط المشبوه:
    • بعض الروترات بتسجل محاولات الوصول غير المصرح بها، وبتقدر تراجع السجلات (Logs) عشان تعرف لو في نشاط مشبوه.

مثال عملي:

  • تخيل إن هكر بيحاول يوصل لكاميرا المراقبة في بيتك من الإنترنت. الكاميرا ليها Private IP زي 192.168.1.50.
  • الروتر هيمنع الطلب ده لأنه:
    • مش هيعرف يوصل للـ Private IP مباشرة بسبب الـ NAT.
    • الـ Firewall هيكتشف إن الطلب ده مش مرتبط باتصال بدأته الكاميرا، فيرفضه.
  • لكن لو إنت عايز تفتح الكاميرا للوصول من الإنترنت (زي لما تشوفها من برا البيت)، بتضطر تعمل Port Forwarding عشان تفتح منفذ معين وتسمح بالاتصال ده، لكن ده بيحتاج إعداد يدوي.

إعدادات إضافية للـ Firewall في الروتر:

  • الـ Port Forwarding: لو عايز تسمح لاتصال معين من الإنترنت (زي سيرفر ألعاب)، بتفتح منفذ معين وتوجهه لجهاز معين.
  • الـ DMZ (Demilitarized Zone): منطقة في الروتر بتسمح لجهاز معين يكون “مكشوف” للإنترنت، لكن ده بيقلل الأمان.
  • الـ Parental Controls: بعض الروترات بتستخدم الـ Firewall عشان تمنع مواقع معينة أو تحدد أوقات الاستخدام.
  • الـ VPN Filtering: ممكن الروتر يتحكم في الاتصالات اللي بتمر من خلال VPN بناءً على قواعد الـ Firewall.

ملخص بسيط:

الروتر بيشتغل كـ Firewall عن طريق:

  • استخدام الـ NAT لإخفاء الأجهزة الداخلية.
  • مراقبة الـ Traffic باستخدام Stateful Packet Inspection.
  • تطبيق قواعد فلترة لمنع الاتصالات الغير مرغوبة.
  • حماية من هجمات زي DoS أو Port Scanning.

ده بيخلي الشبكة المحلية محمية من محاولات الاختراق أو الوصول غير المصرح به.