الانتقال إلى المحتوى الرئيسي
لديك بالفعل سياسة جدار حماية تثق بها في staging، وتريد ثانية للإنتاج بقاعدتين مُغيَّرتين — أو تريد تشديد السياسة الحية دون فقدان تتبّع ما تغيّر. كلاهما حركتان في دورة حياة السياسة: أقم سياسة ثانية كنقطة بداية، واعتمد على الإصدار الذي يرتفع عند كل تحديث لتعرف أن تغييرك انتشر. هذه الصفحة مرجع دورة الحياة — التفرّع، الإصدار، الافتراضي، والتفعيل/التعطيل/الحذف. للإعداد لأول مرة انظر إنشاء وربط؛ ولقواعد القواعد انظر قواعد جدار الحماية.
كل إدارة للسياسة تحدث في وحدة التحكم (أو مسارات الإدارة /api/workspace/firewall/*، التي تصادق بجلستك / رمز الوصول — وليس مفتاح ترحيل sk-orca-…). فقط استدعاءات /v1/* لوكيلك تستخدم مفتاح الترحيل. إنشاء سياسة وتحريرها وجعلها افتراضية إجراءات Developer+؛ قراءة قائمة السياسات وإصدارها مفتوحة لكل Member.

1. تفرّع موقفك إلى سياسة ثانية

لا يوجد حكم “fork” أو زر نسخ — اسم السياسة فريد لكل مساحة عمل، فالنمط هو إقامة سياسة ثانية ذات إصدار مستقل وتفريعها بحرية دون لمس الأصل. طريقتان لبذرها:
1

أنشئ السياسة الجديدة، ثم ألّف قواعدها

افتح Security → Firewall → Policies → New policy. تُنشأ سياسة جديدة بـ لا قواعد وdefault_verdict الذي اخترته — ألّف قواعدها في المحرر (أو انسخ بضعاً من السياسة المصدر يدوياً). امنحها اسماً فريداً لمساحة العمل (مثل prod-firewall بجانب staging-firewall).
2

أو طبّق قالب حالة استخدام

معرض Templates (POST /api/workspace/firewall/templates/apply) ينشئ سياسة جديدة واحدة بالإضافة إلى كل قواعدها في معاملة واحدة — Coding أو Support أو RAG أو Data أو DevOps أو Browser أو Baseline. أسرع من التأليف اليدوي عندما يطابق قالب.
3

فرّع واربط

حرّر قواعد السياسة الجديدة — شدّد deny لـ shell المدمّر، بدّل مضيف قائمة سماح egress — ثم اربطها بمفتاح الإنتاج عبر firewall_policy_id، أو علّمها افتراضي مساحة العمل. السياسة المصدر دون مساس.
سياسة ثانية هي الطريقة الآمنة لاختبار موقف أكثر مخاطرة. أقم واحدة، فعّل وضع الظل عليها، اربطها بمفتاح كناري واحد، وراقب تغذية الأحداث — سياسة الإنتاج على كل مفتاح آخر تبقى تفرض دون تغيير.
كل سياسة تحمل أصلها الخاص، وعدد مفاتيحها المربوطة الخاص، وسطر إصدارها الخاص.

2. الإصدار الذي يرتفع عند كل تحديث

كل سياسة جدار حماية لها عدد version صحيح. يبدأ من 1 عند إنشاء السياسة ويزداد بواحد عند كل تحديث — تحرير قاعدة، تغيير حكم افتراضي، تبديل تفعيل/تعطيل، قلب وضع ظل. إنه رتيب ولا يُعاد ضبطه أبداً. 
// GET /api/workspace/firewall/policies/:id  → (abridged)
{
  "id": 42,
  "name": "prod-firewall",
  "enabled": true,
  "is_default": true,
  "default_verdict": "audit",
  "shadow_mode": false,
  "version": 7,          // bumped from 6 → 7 by your last save
  "rule_count": 11,
  "attached_key_count": 3
}
الإصدار هو إشارة انتشارك: تخزّن البوابة السياسات المُحَلّة مؤقتاً لفترة قصيرة، وكل حفظ يُبطل ذلك التخزين فيحدث تحريرك أثره على المفاتيح المربوطة خلال ثوانٍ — لا إعادة نشر، لا تغيير في كود الوكيل. الـ version لا يقود التخزين؛ إنه عدّاد تغيير رتيب تقرأه عائداً. عندما تحفظ سياسة وتريد تأكيد أن التغيير حي، أعد قراءة السياسة وتحقّق من أن version تقدّم.
version السياسة عدّاد تغيير، وليس نقطة استعادة. يخبرك بأن السياسة تغيّرت ويتيح للبوابة نشر التحرير — إنه ليس فرقاً لكل إصدار أو تراجعاً. لـ تاريخ مُصدَّر بفرق وتراجع بنقرة واحدة، تلك القدرة تعيش على حواجز الحماية: GET /api/guardrail/:id/history، و…/history/diff، وPOST /api/guardrail/:id/revert (التراجع Developer+). لسياسات جدار الحماية، مسار تدقيقك وإبقاء سياسة منزَّلة معروفة-جيدة في القائمة هما كيف تحفظ نقطة استعادة — انظر §5.

3. اضبط وحرّك افتراضي مساحة العمل

مساحة عمل يمكنها تعليم سياسة واحدة كافتراضية. كل مفتاح بلا firewall_policy_id خاص به يُحَل إليها (ترتيب الحل).
  • حرّر سياسة واضبطها كافتراضي مساحة العمل. ترقية افتراضي جديد تُنزّل القديم في نفس المعاملة — لا توجد أبداً نافذة بافتراضيين، ولا أبداً نافذة بلا أي منهما في منتصف التبديل.
  • إقامة سياسة ثانية طريقة نظيفة لدفع الافتراضي قُدُماً: ابنِ السياسة الجديدة، اضبط، تحقّق تحت وضع الظل، ثم رقّها. يبقى الافتراضي القديم في القائمة، منزَّلاً، كتراجعك.
تحريك الافتراضي يغيّر الفرض لـ كل مفتاح غير مرتبط دفعةً واحدة. إذا شدّد الافتراضي الجديد default_verdict إلى deny، تبدأ الاستدعاءات التي لا تسمح بها قواعدك صراحةً في الحجب فوراً. اطرح افتراضياً جديداً خلف وضع الظل وراقب الأحداث قبل أن ترقّيه.

4. فعّل، عطّل، واحذف

تبديل Enabled إلى مطفأ يوقف سياسة عن الحل. لكن تذكّر التراجع في جدار الحماية: مفتاح سياسته المرتبطة معطّلة يتراجع إلى افتراضي مساحة العمل — التعطيل لا يُخرج المفتاح من نطاق جدار الحماية. لإزالة مفتاح من الفرض، افصله (اضبط firewall_policy_id على 0)، ولا تعطّل سياسته فحسب. (هذا يختلف عن حواجز الحماية، حيث يُحَل ربط معطّل إلى لا شيء.)
DELETE /api/workspace/firewall/policies/:id (Developer+) يزيل سياسة — لكن يعيد 409 إذا كان أي مفتاح لا يزال يشير إليها. افصل أو أعد توجيه تلك المفاتيح أولاً، ثم احذف. هذا الحارس هو سبب أن إقامة سياسة ثانية، وليس إعادة الكتابة في المكان، هي الطريقة الأكثر أماناً لتطوير سياسة تعتمد عليها مفاتيح حية.
اسم السياسة فريد داخل مساحة عمل، فسياسة ثانية تحتاج اسماً جديداً. استخدم اصطلاحاً يبقى عبر دورة الحياة — staging-firewall / prod-firewall، أو لاحقة تاريخ — بدلاً من policy-copy-2.

5. مسار التدقيق

كل إنشاء سياسة، وتحديث (يشمل ترقية افتراضي أو قلب وضع ظل)، وحذف يكتب صف تدقيق — صف مساحة عمل وصف مسؤول مركزي — بعد أن يُثبَّت التغيير. حفظ فاشل (اسم مكرَّر، حكم غير صالح) لا يكتب شيئاً. كتل القواعد والأسرار لا تُكتَب أبداً إلى سجل التدقيق. فحتى رغم أن سياسات جدار الحماية لا تحمل تاريخ فرق-وتراجع خاصاً بها، يخبرك مسار التدقيق من غيّر أي سياسة، ومتى، ويخبرك version الرتيب كم مرة تغيّرت. اقرن ذلك بإبقاء سياسة منزَّلة معروفة-جيدة في القائمة، ولديك مسار استعادة عملي.

6. دورة الحياة في لمحة

الإجراءالمسارالدور
سرد السياسات (+ الإصدار، الأعداد)GET /api/workspace/firewall/policiesMember
قراءة سياسة واحدةGET /api/workspace/firewall/policies/:idMember
إنشاء سياسة (بلا قواعد)POST /api/workspace/firewall/policiesDeveloper+
تطبيق قالب (سياسة + قواعد)POST /api/workspace/firewall/templates/applyDeveloper+
التحديث (يرفع version)PUT /api/workspace/firewall/policiesDeveloper+
الحذف (409 إذا كانت مفاتيح مربوطة)DELETE /api/workspace/firewall/policies/:idDeveloper+
قبل الاعتماد على سياسة جديدة أو مرقّاة حديثاً، أجرها تجريبياً في تبويب صندوق رمل Test — يعيد الحكم، والقاعدة المطابقة، والسبب دون إرسال أي شيء. انظر اختبار القواعد.

أين تذهب بعد ذلك

إنشاء وربط

مسار الإعداد لأول مرة — أنشئ سياسة ووجّه مفتاحاً إليها.

وضع الظل

اطرح سياسة جديدة أو مُعاد جعلها افتراضية دون تغيير حركة المرور الحية.

جدار الحماية + حواجز الحماية

كيف تتركّب سياسات الإجراء مع حواجز حماية النص — وأين يعيش التراجع المُصدَّر.

النطاق: المفاتيح، السياسات، مساحات العمل

كيف يُحَل الربط وافتراضي مساحة العمل.