فایروال های نسل بعدی(NGFW)
فایروالها اولین ابزار امنیتی برای جلوگیری از حملات و ترافیکهای غیرمجاز در شبکه میباشند. وظیفه اصلی آنها بررسی ترافیکهای ورودی و خروجی بر اساس سیاستهای تعریف شده و جلوگیری از حملات و تهدیدات امنیتی با استفاده از ماژولهای امنیتی خود میباشد.
تاریخچه فایروالها نشان میدهد که تولیدکنندگان این ابزار برای رسیدن به جایگاه فعلیشان در امنیت شبکه، راه طولانی و پرفراز و نشیبی را طی کردهاند. در فایروالهای نسل جدید استفاده از تکنولوژیهایی مانند سیستمهای IDS و IPS، استفاده از اطلاعات تهدیدات، قابلیت SSL Inspection برای پایش ترافیکهای رمز شده، ماژولهای Application Control و فیلترینگ وب، ماژول QoS، ماژول آنتی ویروس و پشتیبانی از زیرساختهای احراز هویت جانبی مانند Active Directory و Radius نشان دهنده این موضوع است. از دیگر ویژگیهای مهم و کاربردی فایروالهای نسل جدید احراز هویت چند عاملی آنها است. این ماژول به این صورت عمل میکند که در صورت دسترسی هکری به مجوزهای معتبر کاربران با استفاده از روشهای مهندسی اجتماعی یا هر روش دیگری، میتوانند با استفاده از احراز هویت چند عاملی مانع از هرگونه سوء استفادهای شود.
معماری فایروال
معماری فایروالها بر پایه فیلترینگ بستهها طبق سیاستهای سازمان بنا نهاده شده است. براساس این معماری اصلیترین وظیفه آنها صدور و عدم صدور مجوز برای ترافیکهای ورودی و خروجی براساس فیلترهای تعریف شده میباشد. این تفکر شاید تنها موردی است که در طول زمان در مورد معماری فایروالها ثابت بوده و کمترین تغییر را داشته است. عمده تغییرات معماری فایروالها مربوط به همراهی آنها با تکنولوژیهای مختلف و جدید جهت بهبود کارایی و اثربخشیشان میباشد.
استفاده از تکنولوژیهای جدید در توسعه فایروالها برای افزایش میزان اثربخشی و انعطاف پذیری آنها (جهت توسعه در محیطهای مختلف) باعث شد تا فایروالها به عنوان محصولاتی پیچیده و استراتژیک در حوزه امنیت شناخته شوند. یکی از ویژگیهای استراتژیک فایروالها مالتی پلتفرم بودن آنهاست. این ویژگی به توسعه دهندگان سرویسهای ابری اجازه میدهد تا دادههای ارسالی و دریافتی در زیرساختهای ابری خود را نیز تحت حفاظت فایروالها قرار دهند. علاوه بر این فایروالهای نسل جدید برای جلوگیری از تهدیداتی مانند Botnetها، حملات روز صفر، Exploitها، بدافزارها و ادغام شدن با سیستمهای Threat defense and intelligence گامهای بلندی را برداشتهاند.
انواع فایروالها
معماری پایهای همه فایروالها براساس 5 فاکتور اصلی (5-Tuple) ارتباطات IP یعنی آدرسهای مبدا و مقصد، پروتکلها و پورتهای مبدا و مقصد طراحی و پیاده سازی شده است. به همین دلیل پایهایترین کار فایروالها آنالیز ترافیکهای IP براساس آدرسهای مبدا و مقصد، پورتها و پروتکلهای بستههای IP میباشد. فایروالهای با این نوع معماری به فایروالهای Stateless معروفاند. اصلیترین نقطه ضعف معماری فایروالهای Stateless عدم تشخیص State مربوط به بستههای عبوری میباشد. زیرا هکرها میتوانند با تغییر هدر بستههای IP، آنها را به فرمتی قابل قبول برای فایروال دربیاورند و با این کار مکانیزمهای امنیتی را دور بزنند. این اصلیترین دلیل رو آوردن اکثر فایروالها به استفاده از مکانیزم Statefull یا Dynamic packet inspection در معماری فیلترینگ خود میباشد.
در معماری Statefull یا Dynamic packet inspection، فایروال بستههای ورودی و خروجی را در بازههای زمانی مشخصی بررسی و وضعیت (State) مربوط به آنها را نگهداری میکند. در طول یک ارتباط، فایروالها از این اطلاعات جهت جلوگیری از تغییر در اطلاعات بستهها استفاده و قبل از صدور هر گونه مجوزی، ابتدا بر روی بستههای ورودی و خروجی به دنبال State آنها میگردد.
Packet filtering firewalls
این نسل، اولین نسل از فایروالهاست که براساس معماری Stateless طراحی شدهاند. همه این فایروالها براساس فاکتورهای موجود در بسته IP برای بستههای ورودی و خروجی تصمیمگیری میکنند.
Statefull inspection firewalls
اصلیترین ویژگی فایروالهای Statefull، قابلیت تشخیص و نگهداری State بستهها توسط آنهاست. این نوع فایروالها با استفاده از این قابلیت بستههای مربوط به یک Session را شناسایی و بعد از این کار دیگر نیازی به کنترل بستههای مربوط به آن نشست ندارند.
Application layer firewalls
این نوع فایروالها علاوه بر دارا بودن ویژگیهای فایروالهای Stateful از قابلیتهایی مانند شناسایی اطلاعات مربوط به ترافیکهای لایه اپلیکیشن مانند آدرسهای URL مربوط به بستههای HTTP نیز برخوردارند.
Next-generation firewalls
در این نسل از فایروالها، آخرین نسل از تکنولوژیهای ارایه شده در حوزه فایروال استفاده شده است. این فایروالها نسبت به دو نسل قبلی از ویژگیها و امکانات بیشتری برخوردارند.
طبق تعریف ارایه شده توسط Gatrner، فایروالهای نسل بعدی (NGFW) دارای نسل سوم از تکنولوژیهای فایروالی هستند که ابزارهایی پیشرفته برای بررسی عمیق بستهها (Deep-packet inspection) به صورت in-line ارایه میدهند. این ابزارها در واقع راهکارهایی فراتر از راهکارهای موجود در دونسل قبلی میباشند. از امکانات جدید فایروالهای نسل بعدی میتوان به قابلیت فیلترینگ ترافیک لایه اپلیکیشن (Application Firewall) و سیستم هوشمند جلوگیری از حملات (IPS) آنها اشاره کرد.
فایروالهای نسل جدید را نباید به دلیل استفاده از سیستم تشخیص و جلوگیری از نفوذ (IPS) در معماریشان، در رده سیستمهای تشخیص و جلوگیری از نفوذ (IDPS) قرار داد. زیرا معماری سیستمهای تشخیص نفوذ برخلاف فایروالهای نسل جدید، تنها ترکیب ضعیفی از فایروال و سیستم تشخیص نفود میباشد. در حالی که فایروالهای نسل جدید (NGFW) در کنار قابلیتهای فایروالی خود قادرند کار Full-packet inspection را نیز انجام دهند. همچنین اصلیترین وظیفه ماژول IPS در فایروالهای نسل جدید (NGFW) جلوگیری از ورود بدافزار به شبکه میباشد. از دیگر ویژگیهای مهم فایروالهای نسل جدید، تعریف سیاستهای امنیتی براساس موجودیتهایی مانند کاربر و اپلیکیشن میباشد.
تعریف یک فایروال حرفهای و مناسب
با توجه به تعاریف و ویژگیهای گفته شده، یک فایروال حرفهای فایروالی است که بتواند علاوه بر تشخیص هویت کاربران و تشخیص ترافیک مربوط به اپلیکیشنهای مختلف، از تهدیدات موجود در شبکه سازمان نیز جلوگیری کند. قابلیتهایی مانند فیترینگ ترافیک لایه اپلیکیشن، آنالیز و بررسی ترافیک رمز شده SSL و بهرهمندی ازسیستم هوشمند تشخیص و جلوگیری از نفوذ باعث شده تا اکثر سازمانها از فایروالهای NGFW در لبه شبکه سازمان و شبکه داخلی برای تفکیک ترافیک بخشهای مختلف استفاده کنند.
نکته مهم
فایروالها از هر نسلی که باشند، توانایی تشخیص و جلوگیری از تهدیداتی که از راههای مهندسی اجتمایی، یا دستگاههای BYOD، ایمیل و هر روش دیگری که سازمان را تحت تاثیر قرار میدهند را نخواهند داشت. در اکثر سازمانها جهت پوشش نقاط ضعف فایروالها و در امان ماندن از تهدیدات امنیتی از ابزارهای امنیت نقاط پایانی مانند آنتی ویروسها،DLPها و سایر ابزارهای امنیتی ارایه شده استفاده میکنند.
بازار فایروالهای NGFW
طبق اعلام Gartner تا پایان سال 2018 کمتر از 50% ارتباطات اینترنتی با استفاده از فایروالهای نسل جدید امن شدهاند. پیش بینی میشود تا پایان سال 2019 این آمار به 90% ارتقا یابد. با توجه به این موضوع بسیاری از تولید گنندگان فایروال به دنبال ارایه قابلیتهای جدید بر روی محصولات خود هستند تا این اتفاق هرچه سریعتر در بازار فایروال بیافتد. در زیر لیستی از تولید کنندگان فایروال که از دید گارتنر به عنوان پیشگامان این حوزه هستند، آورده شده است.
Juniper Networks
فایروال این شرکت بیشتر در سازمانهای کوچک، متوسط، بزرگ، سرویسدهندگان ابری خصوصی و عمومی و محیطهای Hybrid استفاده میشوند. این شرکت با ارایه محصول امنیتی SDSN خود مدیریت یکپارچه ای بر روی سخت افزار و نرم افزار ارایه کرده است.
Palo Alto Networks
این شرکت مدعی است که بسیاری از شرکتهای تولید کننده فایروال فقط با اضافه کردن ویژگی Deep packet inspection بر روی فایروال سنتیشان محصول خود را به عنوان فایروال نسل جدید در بازار ارایه کردهاند. این در حالی است که این شرکت فقط فایروال ارایه شده توسط خود را به عنوان یک فایروال نسل جدید قبول دارد و مدعی است این فایروال ترافیک شبکه را براساس اپلیکیشنها، کاربران و محتوا کلاسبندی میکند.
Barracuda Networks
فایروال نسل جدید Barracuda با ماژولهای امنیتی خود به سازمانها کمک میکند تا کنترل مناسبی بر روی برنامههای کاربردی خود داشته باشند. این فایروال با استفاده از بالانس کردن لینکهای ارتباطی و بهینه سازی ارتباطات WAN ترافیک شبکه را الویت بندی میکند. فایروال نسل جدید Barracuda دارای قابلیت پیادهسازی در زیر ساختهای ابری، پلتفرمهای مجازی و هر زیرساخت ابری دیگری را دارد. علاوه بر این از فایروالهای این شرکت میتوان برای حفاطت از شبکه در مقابل حملات، دسترسیهای غیرمجاز، حملات DoS و DDoS، بد افزارهایی مانند ویروسها، تروجانها و کرمها و تهدیدات پیشرفته مانند حملات مربوط به Backdoorها یا فعالیتهای مخفی مربوط به باتنتها استفاده کرد. همچنین ماژول وب فیلترینگ این محصول میتواند از دسترسی کاربران به وب سایتهای غیرمجاز جلوگیری کند.
Cisco
با توجه به تنوع محصولات شرکت Cisco در حوزه شبکه، این شرکت یکی از غولهای بزرگ این حوزه به حساب میآید. این شرکت علاوه بر جایگاهش در محصولات شبکهای به طور پیوسته در جهت تکامل و پیشرفت محصولات امنیتی خود نیزحرکت کرده است. محصول فایروال ASA این شرکت به همراه سرویس FirePower، سیستمی یکپارچه (IPS) برای مقابله با تهدیدات و بدافزارها و همچنین جهت کنترل برنامههای کاربردی ارایه میکند.
Fortinet
محصول Fortigate این شرکت بیشتر توسط سرویس دهندهها و سازمانهایی با شبکههای بزرگ و پیچیده استفاده میشود. دلیل اصلی معروف بودن فایروال این شرکت بیشتر به علت سرعت بالای پردازش بستهها توسط آن میباشد.
10 تولید کننده برتر فایروالهای نسل جدید (NGFW) طبق گزارش Nsslab
وجود قابلیتهای ویژه و امکانات منحصر به فرد در فایروالهای نسل بعدی (Next Generation Firewall) منجر شده است این فایروالها در راس استراتژیهای امنیتی قرار بگیرند. فایروالهای نسل جدید بهترین ابزار جهت اعمال سیاستهای متنوع بر روی برنامههای کاربردی، و سیاستهای کنترلی بر روی کاربران، همچنین ابرازی مناسب برای جلوگیری از حملات و تهدیدات امنیتی، بررسی عمیق بسته ها (Packet-deep inspection)، سند باکسینگ (Sandboxing) و هوشمندی در مقابله با تهدیدات (Threat intelligence) میباشند.
تولید کنندگان فایروالهای نسل جدید
وجه تمایز تولید کنندگان فایروالهای نسل جدید (NGFW) در قیمت گذاری، کارایی، راحتی نصب و استفاده، اثربخشی در تشخیص و جلوگیری از تهدیدات و ویژگیهای پیشرفتهای مانند حفاظت از زیرساختهای ابری، شفافیت برنامههای کاربردی و قابلیت ادغام شدن با سایر ابزارهای امنیتی میباشد. به طبع، این اصل در مورد خرید راهکارهای امنیتی نیز صادق است که در صورت پرداخت پول بیشتر، محصول خریداری شده قابلیتهای بیشتری ارایه خواهد کرد و حوزه امنیتی گستردهتری را پوشش خواهد داد. بنابراین خریدار بایستی تصمیم بگیرد که کدام محصول نیاز امنیتیاش را پوشش میدهد و اینکه آیا بودجه و نیروی متخصص لازم برای نصب و نگهداری آن را دارد یا نه.
با توجه به اینکه فایروالهای نسل جدید (NGFWs) توانایی حفاظت از سازمان در مقابل همه تهدیدات داخلی و خارجی(مانند همه تهدیدات داخل سازمان و تهدیدات موجود در زیرساختهای ابری) را ندارند، به همین دلیل تولیدکنندگان فایروالهای نسل جدید به دلیل درخواستهای موجود برای ارایه راهکارهای امنیتی کامل برای زیرساختهای ابری و نرم افزاری همیشه تحت فشار قرار دارند. با وجود همه این فشارها بازار 10 بیلیون دلاری تخصصی فایروال همچنان پابرجاست و روز به روز در حال رشد میباشد.
در زیر مقایسهای از 10 تولید کننده برتر فایروال نسل بعدی (NGFW) ارایه شده و نمودار مقایسه مربوط به قابلیتهای اصلی این فایروال ها مانند اثربخشی امنیتی، ارزش، پشتیبانی فنی و راحتی نصب و مدیریت آنها آورده شده است.
محصول Fortigate شرکت Fortinet
فایروال Fortigate شرکت Fortinet با توجه به ارایه امنیت سطح بالا با قیمتی مناسب از محبوبیت بالایی در بین تولید کنندگان فایروال برخوردار است و این عامل باعث شده است تا همیشه در لیست نهایی خریداران قرار داشته باشد. فایروال Fortigate در تست های NSSLAB نیز نمره بالایی کسب کرده است، با توجه به امتیاز بالای Fortigate در عملکرد امنیتی، قیمت و کارایی میتواند یکی از گزینههای مورد ارزیابی شما جهت خرید باشد.
Forcepoint NGFW
فایروال Forcepoint ممکن است از جهت انجام تنظیمات کمی شما را به زحمت بیندازد، ولی در ازای پولی که پرداخت میکنید قابلیتهایی در کلاس امنیتی بالا و با عملکردی مناسب دریافت خواهید کرد. علاوهبراین تیم R&D قوی این محصول، موتور تشخیص نفوذ مقاوم شدهای در مقابل Byepass شدن ارایه کرده است که یکی از نقاط قوت این محصول به حساب میآید. در کنار همه این ویژگیها داشتن کنسول مدیریتی متمرکز و قوی یکی دیگر از نقاط قوت این محصول به حساب میآید.
Palo Alto NGFW
با توجه به اینکه فایروالهای شرکت Palo Alto در رنج قیمتی بالا در بازار عرضه میشوند، اما این شرکت فایروالهایی با قابلیتهای امنیتی مناسب و کارایی بالا ارایه کرده است که همه نیازمندیها و قابلیتهای مورد انتظار را پوشش میدهند. طبق گزارشات گارتنر فایروال پالو آلتو مکررا با کسب امتیازات بالا در ارزیابیهای کلی همیشه در بالاترین سطح امنیتی قرار داشته است.
SonicWall
فایروالهای SonicWall قابلیت پیاده سازی در هر سازمانی با هر وسعتی را دارند. این فایروالها از نظر ارزش، مدیریت و کارایی در زمرهی خوبهای این حوزه قرار دارند. SonicWall فایروال SuperMassive خود را برای شبکههای بزرگ، NSA را برای شبکه متوسط و سری TZ را برای شبکههای کوچک ارایه کرده است.
Barracuda F-Series
هیچ یک از تولید کنندگان فایروالهای نسل جدید (NGFWs) پشیبانی قوی در حوزه زیرساختهای ابری ندارند، این در حالی است که Barracuda در این حوزه با ارایه پشتبانی قوی برای شرکتهایی مانند وب سرویس آمازون(AWS Azure)، زیرساخت Cloud شرکت گوگل، VCloud Air شرکت VMware و … در این حوزه سابقه درخشانی دارد.
Cisco Firepower NGFW
بیشترین قدرت محصول شرکت سیسکو به خاطر گستره سرویسهای امنیتی و همچنین ادغام این سرویسهای امنیتی با فایروال ASA میباشد. از سرویسهای امنیتی این شرکت میتوان به سیستم جلوگیری از نفوذ، سیستم پیشرفته جلوگیری از بدافزار، سند باکس سرویسهای ابری، فیلترینگ URL، حفاظت از کلاینتها، امنیت Mail Server، آنالیز و بررسی ترافیک شبکه، کنترل دسترسیهای شبکه و CASB اشاره کرد. نکته قابل توجه در مورد محصولات امنیتی این شرکت این است که امنیت همه جانبه با قیمتی بالاتر از قیمت متوسط امکان پذیر میباشد.
Check Point AdvancedThreat Protection
گستره ویژگی های ارایه شده بر روی فایروال Check Point به گونه ای است که به فایروال قابلیت های وسیعی مانند مدیریت متمرکز بر مبنای سیاستهای تعریف شده را داده است. این فایروال نیازهای امنیتی مربوط به سه حوزه خارج سازمان، داخل سازمان و کاربران را با هم ادغام کرده و با قابیلتهای خود آنها را پوشش میدهد. فایروال Check Point در کنار این ویژگیها سیاستهای کنترلی جهت کنترل برنامههای کاربردی، سیستم فیلترینگ بر مبنای URL، سیستم DLP قوی و همچنین ابراز قوی جهت حفاظت از زیرساختهای ابری ارایه کرده است.
فایروال Sophos XG
فایروال XG شرکت Sophose کاندیدای خوبی جهت استفاده در سازمانهای متوسط و غیرمتمرکز میباشد. راحتی در یادگیری این فایروال و استفاده از فایروال اختصاصی در زیر مجموعههای سازمان از نقاط قوت این محصول به حساب میآید.
فایروال Juniper Networks SRX
این فایروال کاندیدای خوبی جهت استفاده در شبکه های بزرگ با Throughput بالا و مسیریابی پیچیده با صرف هزینه کم میباشد. فایروال SRX جونیپر به دلیل ادغام هزینههای مربوط به شبکه و امنیت، همیشه یکی از کاندیداهای خرید به حساب میآید. مدیریت آسان و ارایه سرویسهای امنیتی برای شرکتهای کوچک و ارایه شبکههای امن مبتنی بر نرمافزار(SDSN) از دیگر ویژگیهای مثبت فایروال Juniper Network SRX میباشد.
فایروال Huawei SUG
فایروال هواوی در رنج فایروالهای قوی قرار دارد و گزینهای مناسب برای کشوزهای اروپایی، آسیایی، آفریقایی و مشتریان محصولات شبکهای که به دنبال کارایی و ارزش خرید هستند، به حساب میآید. ارایه پشتیبانی قوی یکی از نقاط قوت این محصول میباشد.
دیدگاهتان را بنویسید