• صفحه اصلی
  • وبلاگ
    • مفاهیم امنیت شبکه
    • معرفی راهکارها و سرویس‌های امنیتی
    • آموزش‌‌ راهکارهای امنیت شبکه
    • تهدیدات امنیتی
    • مسیرهای شغلی امنیت سایبری
  • اخبار
  • دوره‌های امنیت

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت
ایرانشل
  • صفحه اصلی
  • وبلاگ
    • مفاهیم امنیت شبکه
    • معرفی راهکارها و سرویس‌های امنیتی
    • آموزش‌‌ راهکارهای امنیت شبکه
    • تهدیدات امنیتی
    • مسیرهای شغلی امنیت سایبری
  • اخبار
  • دوره‌های امنیت
ورود و ثبت نام

وبلاگ

ایرانشل > وبلاگ > مفاهیم امنیت شبکه > فایروال های نسل بعدی(NGFW)

فایروال های نسل بعدی(NGFW)

مفاهیم امنیت شبکه
ارسال شده توسط ایرانشل
19 فوریه 2019
480 بازدید

 فایروال‌ها اولین ابزار امنیتی برای جلوگیری از حملات و ترافیک‌های غیرمجاز در شبکه می‌باشند. وظیفه اصلی آنها بررسی ترافیک‌های ورودی و خروجی بر اساس سیاست‌های تعریف شده و جلوگیری از حملات و تهدیدات امنیتی با استفاده از ماژول‌های امنیتی خود می‌باشد.

تاریخچه فایروال‌ها نشان می‌دهد که تولیدکنندگان این ابزار برای رسیدن به جایگاه فعلی‌شان در امنیت شبکه، راه طولانی و پرفراز و نشیبی را طی کرده‌اند. در فایروال‌های نسل جدید استفاده از تکنولوژی‌هایی مانند سیستم‌های IDS و IPS، استفاده از اطلاعات تهدیدات، قابلیت‌ SSL Inspection برای پایش ترافیک‌های رمز شده، ماژول‌های Application Control و فیلترینگ وب، ماژول QoS، ماژول آنتی ویروس و پشتیبانی از زیرساخت‌های احراز هویت جانبی مانند Active Directory و Radius نشان دهنده این موضوع است. از دیگر ویژگی‌های مهم و کاربردی فایروال‌های نسل جدید احراز هویت چند عاملی آن‌ها است. این ماژول به این صورت عمل می‌کند که در صورت دسترسی هکری به مجوزهای معتبر کاربران با استفاده از روش‌های مهندسی اجتماعی یا هر روش دیگری، می‌توانند با استفاده از احراز هویت چند عاملی مانع از هرگونه سوء استفاده‌ای شود.

معماری فایروال

معماری فایروال‌ها بر پایه فیلترینگ بسته‌ها طبق سیاست‌های سازمان بنا نهاده شده است. براساس این معماری اصلی‌ترین وظیفه آنها صدور و عدم صدور مجوز برای ترافیک‌های ورودی و خروجی براساس فیلترهای تعریف شده‌ می‌باشد. این تفکر شاید تنها موردی است که در طول زمان در مورد معماری فایروال‌ها ثابت بوده و کمترین تغییر را داشته است. عمده تغییرات معماری فایروال‌ها مربوط به همراهی آنها با تکنولوژی‌های مختلف و جدید جهت بهبود کارایی و اثربخشی‌شان می‌باشد.

استفاده از تکنولوژی‌های جدید در توسعه فایروال‌ها برای افزایش میزان اثربخشی و انعطاف پذیری آنها (جهت توسعه در محیط‌های مختلف) باعث شد تا فایروال‌ها به عنوان محصولاتی پیچیده و استراتژیک در حوزه امنیت شناخته شوند. یکی از ویژگی‌های استراتژیک فایروال‌ها مالتی پلتفرم بودن آنهاست. این ویژگی به توسعه دهندگان سرویس‌های ابری اجازه می‌دهد تا داده‌های ارسالی و دریافتی در زیرساخت‌های ابری خود را نیز تحت حفاظت فایروال‌ها قرار دهند. علاوه بر این فایروال‌های نسل جدید برای جلوگیری از تهدیداتی مانند Botnetها، حملات روز صفر، Exploitها، بدافزارها و ادغام شدن با سیستم‌های Threat defense and intelligence گام‌های بلندی را برداشته‌اند.

انواع فایروال‌ها

معماری پایه‌ای همه فایروال‌ها براساس 5 فاکتور اصلی (5-Tuple) ارتباطات IP یعنی آدرس‌های مبدا و مقصد، پروتکل‌ها و پورت‌های مبدا و مقصد طراحی و پیاده سازی شده است. به همین دلیل پایه‌ای‌ترین کار فایروال‌ها آنالیز ترافیک‌های IP براساس آدرس‌های مبدا و مقصد، پورت‌ها و پروتکل‌های بسته‌های IP می‌باشد. فایروال‌های با این نوع معماری به فایروال‌های Stateless معروف‌اند. اصلی‌ترین نقطه ضعف معماری فایروال‌های Stateless عدم تشخیص State مربوط به بسته‌های عبوری می‌باشد. زیرا هکرها می‌توانند با تغییر هدر بسته‌های IP، آنها را به فرمتی قابل قبول برای فایروال در‌بیاورند و با این کار مکانیزم‌های امنیتی را دور بزنند. این اصلی‌ترین دلیل رو آوردن اکثر فایروال‌ها به استفاده از مکانیزم Statefull یا Dynamic packet inspection در معماری فیلترینگ خود می‌باشد.

در معماری Statefull یا Dynamic packet inspection، فایروال بسته‌های ورودی و خروجی را در بازه‌های زمانی مشخصی بررسی و وضعیت (State) مربوط به آنها را نگهداری می‌کند. در طول یک ارتباط، فایروال‌ها از این اطلاعات جهت جلوگیری از تغییر در اطلاعات بسته‌ها استفاده و قبل از صدور هر گونه مجوزی، ابتدا بر روی بسته‌های ورودی و خروجی به دنبال State آنها می‌گردد.

Packet filtering firewalls

این نسل، اولین نسل از فایروال‌هاست که براساس معماری Stateless طراحی شده‌اند. همه این فایروال‌ها براساس فاکتورهای موجود در بسته IP برای بسته‌های ورودی و خروجی تصمیم‌گیری می‌کنند.

Statefull inspection firewalls

اصلی‌ترین ویژگی فایروال‌های Statefull، قابلیت تشخیص و نگهداری State بسته‌ها توسط آنهاست. این نوع فایروال‌ها با استفاده از این قابلیت بسته‌های مربوط به یک Session را شناسایی و بعد از این کار دیگر نیازی به کنترل بسته‌های مربوط به آن نشست ندارند.

Application layer firewalls

این نوع فایروال‌ها علاوه بر دارا بودن ویژگی‌های فایروال‌های Stateful از قابلیت‌هایی مانند شناسایی اطلاعات مربوط به ترافیک‌های لایه اپلیکیشن مانند آدرس‌های URL مربوط به بسته‌های HTTP  نیز برخوردارند.

Next-generation firewalls

در این نسل از فایروال‌ها، آخرین نسل از تکنولوژی‌های ارایه شده در حوزه فایروال استفاده شده است. این فایروال‌ها نسبت به دو نسل قبلی از ویژگی‌ها و امکانات بیشتری برخوردارند.

طبق تعریف ارایه شده توسط Gatrner، فایروال‌های نسل بعدی (NGFW) دارای نسل سوم از تکنولوژی‌های فایروالی هستند که ابزارهایی پیشرفته برای بررسی عمیق بسته‌ها (Deep-packet inspection) به صورت in-line ارایه می‌دهند. این ابزارها در واقع راهکارهایی فراتر از راهکارهای موجود در دونسل قبلی می‌باشند. از امکانات جدید فایروال‌های نسل بعدی می‌توان به قابلیت فیلترینگ ترافیک لایه اپلیکیشن (Application Firewall) و سیستم هوشمند جلوگیری از حملات (IPS) آنها اشاره کرد.

فایروال‌های نسل جدید را نباید به دلیل استفاده از سیستم تشخیص و جلوگیری از نفوذ (IPS) در معماریشان، در رده سیستم‌های تشخیص و جلوگیری از نفوذ (IDPS) قرار داد. زیرا معماری سیستم‌های تشخیص نفوذ برخلاف فایروال‌های نسل جدید، تنها ترکیب ضعیفی از فایروال و سیستم تشخیص نفود می‌باشد. در حالی که فایروال‌های نسل جدید (NGFW) در کنار قابلیت‌های فایروالی خود قادرند کار Full-packet inspection را نیز انجام دهند. همچنین اصلی‌ترین وظیفه ماژول IPS در فایروال‌های نسل جدید (NGFW) جلوگیری از ورود بدافزار به شبکه می‌باشد. از دیگر ویژگی‌های مهم فایروال‌های نسل جدید، تعریف سیاست‌های امنیتی براساس موجودیت‌هایی مانند کاربر و اپلیکیشن می‌باشد.

تعریف یک فایروال حرفه‌ای و مناسب

با توجه به تعاریف و ویژگی‌های گفته شده، یک فایروال حرفه‌ای فایروالی است که بتواند علاوه بر تشخیص هویت کاربران و تشخیص ترافیک مربوط به اپلیکیشن‌های مختلف، از تهدیدات موجود در شبکه سازمان نیز جلوگیری کند. قابلیت‌هایی مانند فیترینگ ترافیک لایه اپلیکیشن، آنالیز و بررسی ترافیک رمز شده SSL و بهره‌مندی ازسیستم هوشمند تشخیص و جلوگیری از نفوذ باعث شده تا اکثر سازمان‌ها از فایروال‌های NGFW در لبه شبکه سازمان و شبکه داخلی برای تفکیک ترافیک بخش‌های مختلف استفاده کنند.

نکته مهم

فایروال‌ها از هر نسلی که باشند، توانایی تشخیص و جلوگیری از تهدیداتی که از راه‌های مهندسی اجتمایی، یا دستگاه‌های BYOD، ایمیل و هر روش دیگری که سازمان را تحت تاثیر قرار می‌دهند را نخواهند داشت. در اکثر سازمان‌ها جهت پوشش نقاط ضعف فایروال‌ها و در امان ماندن از تهدیدات امنیتی از ابزارهای امنیت نقاط پایانی مانند آنتی ویروس‌ها،DLPها و سایر ابزارهای امنیتی ارایه شده استفاده می‌کنند.

فایروال نسل بعدی

بازار فایروال‌های NGFW

طبق اعلام Gartner تا پایان سال 2018 کمتر از 50% ارتباطات اینترنتی با استفاده از فایروال‌های نسل جدید امن شده‌اند. پیش بینی می‌شود تا پایان سال 2019 این آمار به 90% ارتقا یابد. با توجه به این موضوع بسیاری از تولید گنندگان فایروال به دنبال ارایه قابلیت‌های جدید بر روی محصولات خود هستند تا این اتفاق هرچه سریعتر در بازار فایروال بیافتد. در زیر لیستی از تولید کنند‌گان فایروال که از دید گارتنر به عنوان پیشگامان این حوزه هستند، آورده شده است.

Juniper Networks

فایروال این شرکت بیشتر در سازمان‌های کوچک، متوسط، بزرگ، سرویس‌دهندگان ابری خصوصی و عمومی و محیط‌های Hybrid استفاده می‌شوند. این شرکت با ارایه محصول امنیتی SDSN خود مدیریت یکپارچه ای بر روی سخت افزار و نرم افزار ارایه کرده است.

Palo Alto Networks

این شرکت مدعی است که بسیاری از شرکت‌های تولید کننده فایروال فقط با اضافه کردن ویژگی Deep packet inspection بر روی فایروال سنتی‌شان محصول خود را به عنوان فایروال نسل جدید در بازار ارایه کرده‌اند. این در حالی است که این شرکت فقط فایروال ارایه شده توسط خود را به عنوان یک فایروال نسل جدید قبول دارد و مدعی است این فایروال ترافیک شبکه را براساس اپلیکیشن‌ها، کاربران و محتوا کلاس‌بندی می‌کند.

Barracuda Networks

فایروال نسل جدید Barracuda با ماژول‌های امنیتی خود به سازمان‌ها کمک می‌کند تا کنترل مناسبی بر روی برنامه‌های کاربردی خود داشته باشند. این فایروال با استفاده از بالانس کردن لینک‌های ارتباطی و بهینه سازی ارتباطات WAN ترافیک شبکه را الویت بندی می‌کند. فایروال نسل جدید Barracuda دارای قابلیت پیاده‌سازی در زیر ساخت‌های ابری،  پلتفرم‌های مجازی و هر زیرساخت ابری دیگری را دارد. علاوه بر این از فایروال‌های این شرکت می‌توان برای حفاطت از شبکه در مقابل حملات، دسترسی‌های غیرمجاز، حملات DoS و DDoS، بد افزارهایی مانند ویروس‌ها، تروجان‌ها و کرم‌ها و تهدیدات پیشرفته مانند حملات مربوط به Backdoorها یا فعالیت‌های مخفی مربوط به باتنت‌ها استفاده کرد. همچنین ماژول وب فیلترینگ این محصول می‌تواند از دسترسی کاربران به وب سایت‌های غیرمجاز جلوگیری کند.

Cisco

با توجه به تنوع محصولات شرکت Cisco در حوزه شبکه، این شرکت یکی از غول‌های بزرگ این حوزه به حساب می‌آید. این شرکت علاوه بر جایگاهش در محصولات شبکه‌ای به طور پیوسته در جهت تکامل و پیشرفت محصولات امنیتی خود نیزحرکت کرده است. محصول فایروال ASA این شرکت به همراه سرویس FirePower، سیستمی یکپارچه (IPS) برای مقابله با تهدیدات و بدافزارها و همچنین جهت کنترل برنامه‌های کاربردی ارایه می‌کند.

Fortinet

محصول Fortigate این شرکت بیشتر توسط سرویس دهنده‌ها و سازمان‌هایی با شبکه‌های بزرگ و پیچیده استفاده می‌شود. دلیل اصلی معروف بودن فایروال این شرکت بیشتر به علت سرعت بالای پردازش بسته‌ها توسط آن می‌باشد.

10 تولید کننده برتر فایروال‌های نسل جدید (NGFW) طبق گزارش Nsslab

وجود قابلیت‌های ویژه و امکانات منحصر به فرد در فایروال‌های نسل بعدی (Next Generation Firewall) منجر شده است این فایروال‌ها در راس استراتژی‌های امنیتی قرار بگیرند. فایروال‌های نسل جدید بهترین ابزار جهت اعمال سیاست‌های متنوع بر روی برنامه‌های کاربردی، و سیاست‌های کنترلی بر روی کاربران، همچنین ابرازی مناسب برای جلوگیری از حملات و تهدیدات امنیتی، بررسی عمیق بسته ها (Packet-deep inspection)، سند باکسینگ (Sandboxing) و هوشمندی در مقابله با تهدیدات (Threat intelligence) می‌باشند.

تولید کنندگان فایروال‌های نسل جدید

وجه تمایز تولید کنندگان فایروال‌های نسل جدید (NGFW) در قیمت گذاری، کارایی، راحتی نصب و استفاده، اثربخشی در تشخیص و جلوگیری از تهدیدات و ویژگی‌های پیشرفته‌ای مانند حفاظت از زیرساخت‌های ابری، شفافیت برنامه‌های کاربردی و قابلیت ادغام شدن با سایر ابزارهای امنیتی می‌باشد. به طبع، این اصل در مورد خرید راهکارهای امنیتی نیز صادق است که در صورت پرداخت پول بیشتر، محصول خریداری شده قابلیت‌های بیشتری ارایه خواهد کرد و حوزه امنیتی گسترده‌تری را پوشش خواهد داد. بنابراین خریدار بایستی تصمیم بگیرد که کدام محصول نیاز امنیتی‌اش را پوشش می‌دهد و اینکه آیا بودجه و نیروی متخصص لازم برای نصب و نگهداری آن را دارد یا نه.

با توجه به اینکه فایروال‌های نسل جدید (NGFWs) توانایی حفاظت از سازمان در مقابل همه تهدیدات داخلی و خارجی(مانند همه تهدیدات داخل سازمان و تهدیدات موجود در زیرساخت‌های ابری) را ندارند، به همین دلیل تولیدکنندگان فایروال‌های نسل جدید به دلیل درخواست‌های موجود برای ارایه راهکارهای امنیتی کامل برای زیرساخت‌های ابری و نرم افزاری همیشه تحت فشار قرار دارند. با وجود همه این فشارها بازار 10 بیلیون دلاری تخصصی فایروال همچنان پابرجاست و روز به روز در حال رشد می‌باشد.

در زیر مقایسه‌ای از 10 تولید کننده برتر فایروال نسل بعدی (NGFW) ارایه شده و نمودار مقایسه مربوط به قابلیت‌های اصلی این فایروال ها مانند اثربخشی امنیتی، ارزش، پشتیبانی فنی و راحتی نصب و مدیریت آنها آورده شده است.

محصول Fortigate شرکت Fortinet

فایروال Fortigate شرکت Fortinet با توجه به ارایه امنیت سطح بالا با قیمتی مناسب از محبوبیت بالایی در بین تولید کنندگان فایروال برخوردار است و این عامل باعث شده است تا همیشه در لیست نهایی خریداران قرار داشته باشد. فایروال Fortigate در تست های NSSLAB نیز نمره بالایی کسب کرده است، با توجه به امتیاز بالای Fortigate در عملکرد امنیتی، قیمت و کارایی می‌تواند یکی از گزینه‌های مورد ارزیابی شما جهت خرید باشد.

Forcepoint NGFW

فایروال Forcepoint ممکن است از جهت انجام تنظیمات کمی شما را به زحمت بیندازد، ولی در ازای پولی که پرداخت می‌کنید قابلیت‌هایی در کلاس امنیتی بالا و با عملکردی مناسب دریافت خواهید کرد. علاوه‌براین تیم R&D قوی این محصول، موتور تشخیص نفوذ مقاوم شده‌ای در مقابل Byepass شدن ارایه کرده است که یکی از نقاط قوت این محصول به حساب می‌آید. در کنار همه این ویژگی‌ها داشتن کنسول مدیریتی متمرکز و قوی یکی دیگر از نقاط قوت این محصول به حساب می‌آید.

Palo Alto NGFW

با توجه به اینکه فایروال‌های شرکت Palo Alto در رنج قیمتی بالا در بازار عرضه می‌شوند، اما این شرکت فایروال‌هایی با قابلیت‌های امنیتی مناسب و کارایی بالا ارایه کرده است که همه نیازمندی‌ها و قابلیت‌های مورد انتظار را پوشش می‌دهند. طبق گزارشات گارتنر فایروال پالو آلتو مکررا با کسب امتیازات بالا در ارزیابی‌های کلی همیشه در بالاترین سطح امنیتی قرار داشته است.

SonicWall

فایروال‌های SonicWall قابلیت پیاده سازی در هر سازمانی با هر وسعتی را دارند. این فایروال‌ها از نظر ارزش، مدیریت و کارایی در زمره‌ی خوب‌های این حوزه قرار دارند. SonicWall فایروال SuperMassive خود را برای شبکه‌های بزرگ، NSA را برای شبکه متوسط و سری TZ را برای شبکه‌های کوچک ارایه کرده است.

Barracuda F-Series

هیچ یک از تولید کنندگان فایروال‌های نسل جدید (NGFWs) پشیبانی قوی در حوزه زیرساخت‌های ابری ندارند، این در حالی است که Barracuda در این حوزه با ارایه پشتبانی قوی برای شرکت‌هایی مانند وب سرویس آمازون(AWS Azure)، زیرساخت Cloud شرکت گوگل، VCloud Air شرکت VMware و … در این حوزه سابقه درخشانی دارد.

Cisco Firepower NGFW

بیشترین قدرت محصول شرکت سیسکو به خاطر گستره سرویس‌های امنیتی و همچنین ادغام این سرویس‌های امنیتی  با فایروال ASA می‌باشد. از سرویس‌های امنیتی این شرکت می‌توان به سیستم جلوگیری از نفوذ، سیستم پیشرفته جلوگیری از بدافزار، سند باکس سرویس‌های ابری، فیلترینگ URL، حفاظت از کلاینت‌ها، امنیت Mail Server، آنالیز و بررسی ترافیک شبکه، کنترل دسترسی‌های شبکه و CASB اشاره کرد. نکته قابل توجه در مورد محصولات امنیتی این شرکت این است که امنیت همه جانبه با قیمتی بالاتر از قیمت متوسط امکان پذیر می‌باشد.

Check Point AdvancedThreat Protection

گستره ویژگی های ارایه شده بر روی فایروال Check Point به گونه ای است که به فایروال قابلیت های وسیعی مانند مدیریت متمرکز بر مبنای سیاست‌های تعریف شده را داده است. این فایروال نیازهای امنیتی مربوط به سه حوزه خارج سازمان، داخل سازمان و کاربران را با هم ادغام کرده و با قابیلت‌های خود آنها را پوشش می‌دهد. فایروال Check Point در کنار این ویژگی‌ها سیاست‌های کنترلی جهت کنترل برنامه‌های کاربردی، سیستم فیلترینگ بر مبنای URL، سیستم DLP قوی و همچنین ابراز قوی جهت حفاظت از زیرساخت‌های ابری ارایه کرده است.

فایروال Sophos XG

فایروال XG شرکت Sophose کاندیدای خوبی جهت استفاده در سازمان‌های متوسط و غیرمتمرکز می‌باشد. راحتی در یادگیری این فایروال و استفاده از فایروال اختصاصی در زیر مجموعه‌های سازمان از نقاط قوت این محصول به حساب می‌آید.

 فایروال Juniper Networks SRX

این فایروال کاندیدای خوبی جهت استفاده در شبکه های بزرگ با Throughput بالا و مسیریابی پیچیده با صرف هزینه کم می‌باشد. فایروال SRX جونیپر به دلیل ادغام هزینه‌های مربوط به شبکه و امنیت، همیشه یکی از کاندیداهای خرید به حساب می‌آید. مدیریت آسان و ارایه سرویس‌های امنیتی برای شرکت‌های کوچک و ارایه شبکه‌های امن مبتنی بر نرم‌افزار(SDSN) از دیگر ویژگی‌های مثبت فایروال Juniper Network SRX می‌باشد.

فایروال Huawei SUG

فایروال هواوی در رنج فایروال‌های قوی قرار دارد و گزینه‌ای مناسب برای کشوزهای اروپایی، آسیایی، آفریقایی و مشتریان محصولات شبکه‌ای که به دنبال کارایی و ارزش خرید هستند، به حساب می‌آید. ارایه پشتیبانی قوی یکی از نقاط قوت این محصول می‌باشد.

10 تولید کننده فایروال نسل بعدی

اشتراک گذاری:

دیدگاهتان را بنویسید لغو پاسخ

درباره ایرانشل

تیم ایرانشل با این هدف تشکیل شده است‌ تا بتوانند با کمک شما همراهان عزیز اقدامات مثبتی در جهت شفاف‌سازی نیازمندی‌های امنیتی، معرفی سرویس‌ها و راهکارهای امنیتی انجام دهد.

عضویت در خبرنامه

اطلاعات تماس
  • تهران - خیابان شریعتی - بالاتر از پل سیدخندان
  • 09125162976
  • [email protected]
شبکه‌های اجتماعی
کلیه حقوق این وب سایت متعلق به ایرانشل می‌باشد.
جستجو

جستجو با زدن Enter و بستن با زدن ESC