در این مقاله سعی داریم ،انواع فایروال و پرفروش ترین برندهای فایروال، با هم بررسی کنیم. برای شروع، باید ابتدا به تعریف فایروال بپردازیم. با ما در این مقاله همراه باشید.
فایروال (Firewall)
فایروال، یک پوسته و دیوار اطراف کامپیوتر ویا شبکه فراهم میکند و به اینترتیب با جلوگیری از ورود کدهای مخرب و ترافیک غیرلازم اینترنت، از شبکه در برابر تهدیدات خارجی، محافظت میکند. به کمک فایروال، بلاک کردن دیتا از یک مکان خاص، ممکن میگردد. تصمیمگیری فایروال برای مسدود ساختن و یا اجازه ورود دادن به ترافیک، براساس قواعد امنیتی از پیش تعریفشده انجام میشودو یک مانع بین شبکه داخلی امن و شبکه بیرونی ناامن مانند اینترنت، به وجود میآورد. بنابراین برای تمام کاربران اینترنت که DSL و یا مودمهای کابلی را به کار می گیرند، مزایای فایروال بسیار حائز اهمیت است.
انواع فایروال
- نرمافزاری: نرمافزارهای قابل نصب روی سیستم عامل که امکان کنترل ترافیک ورودی و خروجی به شبکه یا کامپیوتر را دارند. فایروالهای نرمافزاری با امکان محافظت از سیستمها در برابر تهدیدات معمول مانند دسترسیهای غیرمجاز در اینترنت، بهمنظور استفادههای خانگی و شرکتهای کوچک تا متوسط معرفی شدهاند. در پارهای از مواقع، توسط ابزارهای جانبی که فایروالهای نرمافزاری ارائه میدهند، امکان اعمال تنظیمات محرمانگی و نیز فیلترینگهای مخصوص برای خودتان یا کاربران دیگر، فراهم میکنند. فایروالهای نرمافزاری دارای تنوع بسیاری هستند، با توجه بهاینکه موضوع این مقاله فایروالهای سختافزاری است، انواع نرمافزاری آن به اجمال بررسی میشود.
- فایروالهای نرمافزاری تحت شبکه : همانطور که از نام آن پیداست، امکان کنترل و محافظت از یک شبکه را فراهم میسازند.
- فایروالهای نرمافزاری تکمحصولی: تنها بر روی سیستمعامل قابل نصب هستند و محفاظت از آن را ارائه میدهند. بدیهی است که در صورتی که بخواهید در یک شبکه با 70 کامپیوتر از این نوع فایروال استفاده کنید، باید 70 بار روی کل شبکه نصب کنید!!!
- سختافزاری: این دسته از فایروالها از سوی کمپانیهای سازنده به صورت سختافزاری ارائه میشوند و نصب و راهاندازی آن روی برد سختافزاری انجام میشود. محافظت از شبکه از ورد دیتا و ترافیک غیرضروری و حفظ ایمنی اطلاعات، توسط فایروالهای سختافزاری بدون پیشفرض انجام میشود و نیازی به تنظیمات اولیه ندارد. بنابراین برای کاربران عادی هم به سهولت قابل استفاده است و تنها تعدادی از تنظیمات امنیتی در فایروالهای سختافزاری لازم است که برای اعمال آن نیاز به تخصص دارید. اما نکته حائز اهمیت آن است که تمامی فایروالهای سختافزاری میبایست از سوی کارشناس امنیت شبکه، مورد آزمایش قرار بگیرد و بعد از حصول اطمینان از کارکرد آنها، قابل استفاده میشود. فایروالهای سختافزاری، پرهزینهتر از فایروالهای نرمافزاری هستند اما بار ترافیکی ایجادشده از سوی آنها برای شبکه کمتر است که ارائه سرعت و کارایی بهتر را به دنبال خواهد داشت.
فایروال میتواند یکی از دونوع گفته شده و یا به صورت ترکیبی از آن دو باشد.
چرا باید از فایروال استفاده کنیم؟
دستگاههایی که قابلیت اتصال به شبکه دارند، مدام رو به افزایش است و بدیهی است که احتمال حمله سایبری به این دستگاه، بیش از پیش شده است. در نتیجه تأمین و حفظ امنیت شبکه بسیار مهم و حیاتی به نظر میرسد. ضمن آنکه در صورت بروز مشکل در شبکه، مسئولیت آن با مدیر شبکه خواهد بود. بنابراین لازم است اطلاعات خود را افزایش دهید. ساپراصنعت، پرفروش ترین برندهای فایروالهای سختافزاری سیسکو، فورتینت و F5 را ارائه میدهد. در ادامه با ویژگیهای هرکدام از مدلهای پرفروش برندهای فایروال آشنا میشویم.
فایروالهای فورتینت (Fotinet Firewall)
کمپانی فورتینت فایروالهای فورتیگیت بسیار متنوعی به بازار معرفی کرده است. این فایروالها با پشتیبانی از توان عملیاتی مختلف و نیز تعداد پورتهای گوناگون، میتوانند نیازهای شبکه در ابعاد مختلف از کوچک تا بزرگ را برآورده سازند. فایروالهای فورتیگیت از امکانات امنیتی مانند آنتی اسپم، وب فیلترینگ، آنتیویروس، سیستم تشخیص و ممانعت از نفوذ IPS،مدیریت دسترسی کاربران کامپیوترها، سیستمعاملها و ابزارها و نیز فیلترینگ مبتنی بر محتوا پشتیبانی میکنند. این فایروالهای سختافزاری، ابزارهایی هستند که ضمن بهوجود آوردن یک سیستم دفاعی وسیع، هزینههای مدیریتی را کاهش میدهند. ** در صورتی که در شبکه خود به هرکدام از امکانات مانند: اکانتیگ کاربران اینترنت، ضد اسپم و ضد ویروس، سرویسهای ایمیل و گزارشگیری، و نیز اختصاص پهنای باند به صورت شناور نیاز دارید، باید بدانید که فایروالهای UTM فورتیگیت عملکرد ضعیفی از لحاظ اکانتینگ دارند و بر مبنای یوزر عمل میکنند و همچنین امکان گزارشدهی توسط فورتیگیت وجود ندارد و نیاز به فورتی آنالایزر خواهید داشت. فایروالهای FortiGate علاوه برسختافزاری، به صورت مجازی Virtual UTM Firewall نیز بر روی زیرساخت شبکه با فناوری مجازیسازی Vmware، Citrix و نیز Microsoft Hyper-v را دارند.
فایروالهای Next Genereation Firewall (NGFW)
فایروال های نسل جدید(NGFW)، قابلیت مسدود نمودن تهدیدهای بیشتر دارند و به کمک Threat-focused NGFW، دفعات نفوذ به سیستم دفاعی را کاهش میدهند. این فایروالها بهمنظور محافظت از شبکه در برابر malwareهای پیشرفته و حملات لایه اپلیکیشن، توسط کمپانیها مستقر میشوند.
فایروالهای NGFW موارد زیر را در برمیگیرد:
- پشتیبانی از قابلیتهای Firewall استاندارد مانند Stateful inspection
- ممانعت از نفوذ
- اطلاع از برنامههای کاربردی و مسدود نمودن برنامههای کاربردی پرخطر و مخرب از طریق مشاهده و کنترل آنها
- قابلیت ارتقای Pathها به منظور تحت پوشش قرار دادن Feedهای اطلاعاتی در آینده
- بهکارگیری فنون جدید بهمنظور کنترل و مدیریت رشد خطرها و تهدیدهای امنیتی
فایروالهای Cisco ASA با سرویسهای FirePower:
فایروال Cisco ASA ، بهعنوان اولین فایروال سازگار است که با پشتیبانی از رویکردی تهدیدمحور نسلبعدی ، طراحیشده است تا بتواند در مقابل تهدیدات جدید و بدافزارها، از شبکهها محافظت نماید. فناوری این فایروال بهگونهای است که دفاع در برابر حملات، در زمان حمله و قبل و بعد آن، به صورت یک فرآیند یکپارچه ارائه میشود. این مزیت به کمک پشتیبانی ترکیبی از امکانات امنیتی تأییدشده ی فایروال سیسکو ASA، با تهدید Sourcefire پیشرو در صنعت و محافظت در برابر بدافزار پیشرفته یا AMP ارائه میشود که همگی توسط یک دستگاه فایروال فراهم میگردند. این ویژگی، مزیت منحصر بهفرد فایروالهای نسلبعدی ASA 5500-X سیسکو است که فراتر از قابلیتهای فایروالهای NGFW است. فایروال Cisco ASA به کمک سرویسهای FirePower، از کسبوکارها در ابعاد کوچک یا متوسط، یا شرکتهای توزیعکننده و یا مراکز داده مجزا، با ارائه مقیاس و زمینه لازم در راهحلهای NGFW محافظت میکنند.
فایروالهای Cisco Firepower سری 9000
این فایروالها که امنیتی قابل ارتقاء برای بار ترافیک و جریان دیتا روی محیطهای ابری، مجازی و نیز فیزیکی فراهم میسازند در دیتاسنتر، و مکانهایی که کارایی بالاتر، کاهش زمان تأخیر و ارائه توان عملیاتی بالا حائز اهمیت است، بسیار کاربردی است. این سری از فایروالها با ارائه سرویسهای یکپارچه، قابلیت پشتیبانی از شبکههای Open Programmable را به همراه کاهش هزینه ، فراهم میسازد.
فایروالهای Cisco Firepower سری 4100
این فایروالها روی لبه اینترنت و نیز دیتا سنتر قرار میگیرند و مجموعهای 4تایی از پلتفرمهای امنیتی Threat- focused NGFW است. این سری از فایروالهای سیسکو با ارائه کارایی بهینهشده ، ارائه مدیریت یکپارچه و نیز پشتیبانی از ترکیب با محصولات Cisco و محصولات شخص ثالث، قابلیت پشتیبانی از امنیت بالاتر، سرعت بیشتر و نیز فرم فکتوری کمتر را فراهم میسازند.
فایروالهای Cisco Firepower سری 2100
این فایروال نیز مجموعهای 4تایی از پلتفرمهای امنیتی Threat- focused NGFW است که کارایی پایدار چشمگیری را در هنگام فعالشدن توابع Threat فراهم میسازند که به دنبال آن امنیت نیز تأمین خواهد شد. قابلیت پشتیبانی از معماری پردازنده مرکزی چندهستهای وجود دارد که موجب بهینهسازی همزمان فایروال، رمزنگاری و توابع نفوذ تهدیدها میشود. محدوده توان عملیاتی فایروالهای سری 2100، این امکان را فراهم میکند که این فایروال از لبه شبکه تا دیتاسنتر را پوشش دهد. . این سری از فایروالهای سیسکو با ارائه کارایی بهینهشده با توان عملیاتی 2 تا 5.8 گیگابیت بر ثانیه (که با فعالسازی ویژگیهای حفاظت از تهدید، کم یا زیاد نمیگردد) ،پشتیبانی از Dual-CPU و معماری نوین و ارائه مدیریت یکپارچه موجب کاهش زمان کانفیگ و نیز هزینه مدیریت میگردد. در ارتباط با فایروالهای سیسکو به طور کلی میتوانیم اینطور جمعبندی کنیم: همزمان با پیشرفته و پیچیدهترشدن تهدیدات، سیسکو نیز سعی بر آن داشته است که راهکارهای مقابله با تهدیدات امنیتی را جدی بگیرد. نتیجه آن، فایروالهای NGFW (نسل بعدی) است که مجهز به فناوریهای پیشرفته برای مقابله با تهدیدات امنیتی طراحی شدهاند و فایروالهای ASA در این دسته قرار میگیرند. فایروالهای سیسکو، دارای ویژگی proactive threat defense هستند، این بدان معناست که پیش از آنکه تهدید امنیتی انجام شده، عمل کندو موجب از کار انداختن کل شبکه شود، این فایروالها دست به کار میشوند و جلوی آن را میگیرند. ویژگی فایروالهای سیسکو به شرح زیر است:
- پشتیبانی از فناوری DPI و فیلترینگ Application-Layer (لایه 7)
- مجهز به ماژول IPS بهمنظور محافظت از حملات DOS و DDOS و نیز بدافزارها و ویروسها
- بررسی بستههای رمزنگاریشده سایتهایی رمزشده با استفاده از SSL یا TLS
- بازرسی بسته های شبکه و بررسی وجود ویروس و انواع malware به کمک ماژول آنتی ویروس
- پشتیبانی از ارتباطات راه دور به شبکه با قابلیت پشتیبانی از VPN و انواع تونلینگ
سیستمعامل مدیریتی در فایروالهای ASA سیسکو، مانند سیستم عامل IOS در سوئیچها و روترهای سیسکو عمل میکند و براساس لینوکس است و دستورات خط فرمان در آن به کار برده میشود.
فایروال های نسل بعدی F5
این گروه از فایروالها، تنها در مقابله با تهدیدات تحت وب معرفی و ارائه شدهاند که به صورت کامل میتوانند آنها را شناسایی کنند و مانع از حملات شوند.
راهکار Web Application Firewall (WAF)
معتبرترین محصولات امنیتی در حوزه WAF، از سوی شرکت F5 ارائه شده است که همزمان امکان استفاده از قابلیتهای ASM نیز وجود دارد. F5 LTM با پشتیبانی از قابلیت Load Balancing پرکاربردترین محصول شرکت F5 محسوب میگردد. برخی از قابلیتهایی که توسط این راهکار ارائه میشود به شرح زیر است:
- قابلیت پشتیبانی از SSL Offloading و SSL Accelerator
- پشتیبانی از احراز هویت کلاینتها به کمک Certificate
- پشتیبانی از قابلیت فیلترینگ مبتنی بر آدرس IP و port
- ویژگی محدودکردن دسترسی براساس لوکیشن (IP Geo-Location)
- استفاده از Caching، Compression و TCP/IP Optimization و در نتیجه افزایش کیفیت خدمترسانی و سرویسدهی
BIG-IP Application Security Manager :
از محبوبترین محصولات که از فروش بالایی در بازار تکنولوژی برخوردار است، BIG-IP ASM است که بیشترین قابلیت انعطافپذیری در میان محصولات در ارتباط با امنیت وبسرویسها و اپلیکیشنهای تحت وب دارد. فایروال BIG-IP ASM در محیط های مجازی، Cloud و نیز Private امنیت برنامههای تحت وب را فراهم میسازد و در برابر تهدیدات و خطرات احتمالی کاملاْ از برنامهها و سرویس تحت وب محافظت میکند و در راهکارهای مرکز داده، سطوح دسترسی به منابع را در اختیار قرار میدهد.
ویژگیهای F5 BIG-IP Application Security Manager
- قابلیت شناسایی تهدیدات و حملات تحت وب براساس لوکیشن مبدا حملات و نیز حملات انکار سرویس با نمایش گرافیکی
- بیشترین میزان محافظت در برابر تهدیدات و حملات روی برنامههای کاربردی تحت وب Web 2.0
- قابلیت اطمینان از میزان کارایی و سطح پایداری اپلیکیشنهای تحت وب
- تأمین امنیت پیشرفته اپلیکیشنها و حفاظت حداکثری و در نتیجه افزایش کارایی و کاهش هزینه
- نظارت و کنترل رفتارهای کاربران اپلیکیشنهای تحت وب
- قابلیت اطمینان از سطح امنیت وب و نیز میزان پایداری سرویس تحت وب
- بازرسی فایلهای آپلودشده از لحاظ آسیبپذیری و تأثیر malwareها
فایروالهای سیسکو یا فورتینت؟
فایروالهای تولیدی هر دو کمپانی دارای ویژگیهای عالی و البته اعتبار هستند وهمین امر انتخاب بین آنها را مشکل میکند. به نکات زیر برای انتخاب بهتر توجه کنید:
- قابلیت VDOM فورتیگیت، مجازیسازی در سطح تجهیز را فراهم میسازد حال آنکه سری FTD هنوز به این قابلیت مجهز نشده است.
- قابلیت محافظت از بدافزارها که در سری Firepower وجود دارد و بر استفاده از سرویسهای AMP روی محیط ابری مبتنی است و یا بهطور Private است، به طور چشمگیری ، افزایش هزینه و ریسک آن را به دنبال خواهد داشت.
- Firepower، از ساختار IPS بهتر و قویتری نسبت به فورتینت برخوردار است.
- بخشی از قابلیتهای WAF، به ورژنهای جدید فورتیگیت، اضافه شده است.
- پشتیبانی از قابلیت CSF یا Security Fabric در فورتینت، موجب افزایش امنیت در لایه دسترسی میگردد.
- قابلیت امکان ادغام با نرمافزارهای دیگر از سوی تجهیز FTD سیسکو، که عملکرد قویتر در ارتباط با Remediation و Response را به دنبال دارد.
- FTD از قابلیت DLP در فورتیگیت، پشتیبانی نمیکند.
بدیهی است که تنها گوشهای از تفاوتها بیان شده است، برای آشنایی بیشتر و دریافت مشاوره روی کمک کارشناسان آگاه ساپراصنعت، حساب کنید. ساپراصنعت با همراهی متخصصان و کارشناسان شبکه، آماده است تا با بررسی دقیق نیازهای شما، باتوجه به بودجه درنظر گرفته شده توسط سازمانتان، شمارا در انتخاب فایروال مناسب یاری دهد. با ما تماس بگیرید تا ضمن اطلاع از قیمت انواع فایروال، اطلاعات لازم به شما داده شود.