آشنایی با بهترین دیوارهای آتش (firewall) سخت افزاری سازمانی
دیوارهای آتش با هدف برای نظارت بر ترافیک وارد و خارج شونده به شبکه یک سازمان استفاده میشوند
و با رصد بستههای اطلاعاتی مانع سرقت یا دستکاری دادهها شده و به هکرها اجازه نمیدهند به راحتی به شبکههای سازمانی نفوذ کنند. در حالی که کاربران عادی، دیوار آتش را به عنوان یک نرمافزاری کاربردی میشناسند که همراه سیستمعامل یا بستههای نرمافزاری در اختیار آنها قرار میگیرد، اما واقعیت این است که دیوارهای آتش محدود به نمونه نرمافزاری نمیشوند و نسخه سختافزاری آنها قابلیتهای کاربردی خوبی در اختیار سازمانها قرار میدهد. در یک شبکه خانگی عادی، تجهیزات متصل به شبکه محلی مثل گوشیهای هوشمند، تبلتها، لپتاپها و سایر تجهیزات هوشمندی که متصل به وایفای یا شبکه محلی میشوند توسط دیوار آتش روتر محافظت میشوند. بااینحال، بهکارگیری دیوار آتش سختافزاری، میتواند یک لایه امنیتی مضاعف برای محافظت از دستگاههای تحت شبکه خانگی یا سازمانی به وجود آورد.
دیوار آتش (firewall) سختافزاری چیست؟
کارشناسان حوزه امنیت پیشنهاد میکنند برای افزایش امنیت شبکه خانگی یا سازمانی از یک دیوار آتش سختافزاری در تعامل با نسخه نرمافزاری استفاده کنید تا سطح امنیت شبکه بهبود پیدا کند. بر همین اساس در این مقاله گلچینی از بهترین دیوارهای آتش سختافزاری سال را انتخاب کردهایم که قابلیتهای کاربردی خوبی در اختیار کاربران قرار میدهند. دیواره آتش سختافزاری دستگاه مستقلی است که پردازنده، حافظه و سیستمعامل اختصاصی دارد. با توجه به اینکه در بسیاری از شبکههای متوسط و بزرگ، سرورها و دیگر تجهیزات شبکه درون رک نصب میشوند، بعضی از فایروالهای سختافزاری مستقل برای نصب در رکهای سرور طراحی شدهاند و لذا اندازه استانداردی دارند. بعضی از فایروالهای سختافزاری نیز بهجای آنکه دستگاه مستقلی باشند، جزئی از روتر شبکه هستند. به عبارت دیگر، برخی از مسیریابها یا روترهای شبکه، فایروال سختافزاری داخلی نیز دارند. فایروال سختافزاری در مرز شبکه، یعنی بین روتر و دنیای خارج (اینترنت یا دیگر شبکهها) جای میگیرد و اولین سد دفاعی در ورودی شبکه است. هر دادهای پیش از آنکه به روتر و سپس رایانههای موجود در شبکه برسد، باید از فایروال سختافزاری بگذرد. برخی از دیوارهای آتش سختافزاری اجازه میدهند میزان استفاده از اینترنت کارمندان را کنترل کرده و هشدارهایی در ارتباط با تهدیدات احتمالی سایبری ارائه میکنند. به طور معمول، سازمانهای بزرگ و مراکزی که اطلاعات حساسی دارند از دیوارهای آتش سختافزاری به جای نمونههای نرمافزاری یا در تعامل با نسخههای نرمافزاری استفاده میکنند.
. دیوارهای آتش فورتی گیت (سری Mid-Range)
فورتی گیت سری Mid-Range برای سازمانهایی در مقیاس متوسط تا بزرگ آماده شده است. حداکثر ترافیک خروجی در دیوارهای آتش میانرده فورتی گیت حدود ۵۲ گیگابیت بر ثانیه است و امکان برقراری حداکثر 11 میلیون نشست (Session) همزمان را دارد. یکی از ویژگیهای جالبتوجه دیوارهای آتش سطح میانی فورتی گیت پردازندههای امنیتی (SPU) با توان پردازشی ایدئال است که بهترین بازدهی در بررسی ترافیکهای رمزگذاری شده SSL را ارائه میکنند. توان پردازشی زیاد پردازنده این دیوار آتش به ویژه هنگامی که قصد پیادهسازی راهحلهایی مثل SD-WAN را دارید یا به دنبال گسترشپذیری شبکه هستید مناسب است. دیوارهای آتش فورتی گیت با قابلیت رصد دقیق برنامهها، کاربران و دستگاههای اینترنت اشیا به سرعت مشکلات امنیتی را شناسایی میکنند. به طور مثال، در رده متوسط سریهای ۹۰۰، ۸۰۰، ۶۰۰، ۵۰۰، ۴۰۰، ۳۰۰، ۲۰۰ و ۱۰۰ با استقبال خوبی از سوی کاربران روبرو شدهاند. از ویژگیهای شاخص دیوارهای آتش فورتی گیت باید به IPsec VPN، Threat Protection و SSL Inspection با بازدهی بیشتر، دروازه وب ایمن (SWG) که دسترسی امن به محتوای اینترنت را فراهم کرده و دامنهها، آدرسهای اینترنتی و درخواستهای سامانه نام دامنه مخرب را مسدود میکند. سیستم پیشگیری از نفوذ (IPS) با حداکثر توان عملیاتی ۲/۴گیگابیت بر ثانیه (در رنج متوسط) که از ورود ترافیک مخرب به شبکه سازمانها جلوگیری میکند اشاره کرد. آزمایشگاههای امنیتی FortiGaurd با بهروزرسانی و اشتراکگذاری مداوم نشانگرهای تهدید در محصولاتشان، از سازمانها در برابر بدافزارها، اکسپلویتها، وبسایتهای آلوده، شبکههای بات، باجافزارها و سایر تهدیدات ناشناخته محافظت میکنند. دیوارهای آتش فورتی گیت، به دلیل برخورداری از سیستمعامل یکپارچه FortiOS و داشبورد مرکزی Security Fabric قابلیت دید گستردهتر مولفههای شبکه، شناسایی End-to-End، اشتراکگذاری هوشمند تهدیدات (Threat Intelligence) و ترمیم خودکار مشکلات امنیتی را برای مشتریان این محصولات ارائه میکنند. در مجموع، دیوارهای آتش میانرده شرکت فورتی گیت از ویژگیها و قابلیتهای کاربردی گستردهای در اختیار کسبوکارها قرار میدهند.
-
Ubiquiti Unifi Security Gateway (USG)
Ubiquiti Unifi Security Gateway یکی از قدرتمندترین دیوارهای آتش سختافزاری است که ترکیبی از یک دیوار آتش سختافزاری و روتری است که از سرعت اترنت گیگابیت و حتی بیشتر پشتیبانی میکند. درحالیکه این دستگاه برای کسبوکارها در نظر گرفته شده، اما برای استفاده در منازل نیز گزینه مقرون به صرفهای است. این دیوار آتش میان اینترنت و روتر وایفای محلی قرار میگیرد و تمامی ترافیک شبکه را ارزیابی و مسیریابی میکند و سرپرست شبکه اجازه میدهد تمامی دستگاههای متصل به شبکه را از طریق ویژگیهای پیشرفته مدیریت شبکه، نظارت و کنترل کند. مثل بیشتر دیوارهای آتش سختافزاری، نظارت و مدیریت از راه دور از طریق رابط کاربری گرافیکی که Unifi Controller نام دارد انجام میشود. کاربران میتوانند بهراحتی تنظیمات دیوار آتش را تغییر دهند، شبکه محلی مجازی (VLAN) ایجاد کنند، به بازرسی عمیق بستهها Deep Packet Inspection بپردازند، برنامههایی که از اینترنت استفاده میکنند را بررسی کنند، از ویژگی کیفیت خدمات استفاده کنند و مکانیزم تشخیص و پیگیری نفوذ را فعال کنند. ویژگیهای مدیریت بخشی از نرمافزار Unifi Controller است که از مدیریت دیگر محصولات Ubiquity UniFi مثل اکسسپوینتهای وایفای و سوئیچهای UniFi پشتیبانی میکند. اگر دستگاههای UniFi دیگری در شبکه دارید یا قصد دارید از یک اکسسپوینت WiFi UniFi استفاده کنید، دیوار آتش USG گزینه خوبی است. از مزایای شاخص محصول فوق به موارد زیر باید اشاره کرد:
نظارت بر ترافیک قبل از رسیدن به شبکه محلی با استفاده از DPI
مدیریت از راه دور از طریق رابط وب محور یا گوشی هوشمند از طریق UniFi Controller
قابلیت بازرسی بستههای عمیق و ویژگی کیفیت خدمات
پشتیبانی از مکانیزمهای تشخیص و پیشگیری از نفوذ
-
Mikrotik hEX RB750Gr3
محصولات شرکت میکروتیک در مقیاس حرفهای طراحی میشوند و همگی از محصولات قدرتمند دنیای شبکه شناخته میشوند. در نگاه اول hEX RB750Gr3 شبیه یکروتر سوهو سیمی عادی با قابلیتهای محدود است، اما عملکردهای این دستگاه متفاوت از ظاهر سادهای است که دارد. hEX RB750Gr3 یک روتر مجهز به 5 درگاه گیگابیتی است و برای کاربران طراحی شده که نیازی به اتصال بیسیم ندارند. این محصول مجهز به یک درگاه یواسابی از نوع USB A است تا کاربران بتوانند به راحتی تجهیزات جانبی را به روتر فوق متصل کنند. از ویژگیهای فنی و سختافزاری این محصول باید به پردازنده مرکزی دو هستهای 880 مگاهرتزی و 256 مگابایت حافظه اصلی اشاره کرد که از تمام پیکربندیهای پیشرفته موردنیاز کاربران پشتیبانی میکند. در مقایسه با دیوارهای آتش رایج بازار، محصول فوق قیمت کمتری دارد، اما هنوز هم از دیوارهای آتش سختافزاری قدرتمند موجود است که امکان استفاده از آن در محیطهای تجاری (هتل، دفتر، مراکز آموزش، نمایندگیها) وجود دارد. این روتر از میانافزاری RouterOS استفاده میکند که از تنظیمات پیشرفته مسیریابی NAT، انتقال پورت، شبکه خصوصی مجازی، پل زدن، تشخیص و محافظت از برنامههای لایه هفت، قواعد فیلترینگ دیوار آتش و تنظیمات مهم امنیتی پشتیبانی میکند. وجود 4 پورت LAN یگابیتی به همراه یک پورت WAN گیگابیتی به راحتی جوابگوی نیازهای کاربران است. درست است که پورتهای این دیوارهای آتش از سرعتهای گیگابیتی پشتیبانی میکنند، اما دیوار آتش فوق حداکثر تا سرعت 470 مگابیت بر ثانیه را پشتیبانی میکند که جوابگوی نیازهای کاری کاربران عادی است. از مزایای شاخص دیوار آتش فوق باید به قیمت مناسب در مقابل قابلیتهای کاربردی که ارائه میکند، راهاندازی ساده برای استفاده در شبکه خانگی و دفاتر، بهکارگیری RouterOS که یک سیستمعامل رایگان برای روترها و دیوارهای آتش است، بهروزرسانی منظم سیستمعامل و قابلیتهای کاربردی مناسب کاربران عادی اشاره کرد. بااینحال، به دلیل اینکه از حداکثر 470 مگابیت در ثانیه پشتیبانی میکند، برای کاربردهای حرفهای مناسب نیست.
-
Firewalla
بزرگترین مزیتی که Firewalla نسبت به نمونههای مشابه دارد، سهولت در نصب و راهاندازی است؛ بنابراین گزینه مناسبی برای کاربران خانگی است. البته نسخه Firewalla RED کاربری سادهتری نسبت به نسخه FIREWALLABLUE دارد، اما عملکرد مکانیزم IPS آن به 100 مگابیت محدود است. علاوه بر این، این دستگاه ممکن است با همه روترها سازگار نباشد. از ویژگیهای شاخص این محصول باید به سامانه منحصر به فرد پیشگیری و تشخیص نفوذ هنگام استفاده از وایفای عمومی، محافظت از تجهیزات در برابر تهدیداتی بدافزاری، هک، فیشینگ و سرقت دادههای ناخواسته اشاره کرد. در مجموع Firewalla یک راهحل مقرون به صرفه برای کسبوکارهای متوسط و خانگی به شمار میرود. لازم به توضیح است که دیوار آتش فوق در دو مدل به بازار عرضه میشود. مدل اول که نسخه مقرون به صرفه است از پهنای باند 100 مگابیت در ثانیه پشتیبانی میکند (مدل قرمز) و نسخه قدرتمندتر که از سرعت 500 مگابیت در ثانیه پشتیبانی میکند به رنگ آبی به بازار عرضه شده است. هر دو مدل به شما امکان میدهند دستگاهها و شبکهها را از طریق یک برنامه تلفن همراه با یک رابط کاربری ساده کنترل کنید. به راحتی هر یک از تنظیمات، از جمله مسدود کردن خودکار و کنترل والدین را تنظیم کنید. دستگاههای Firewalla برای دریافت بهروزرسانیهای تهدید امنیتی از ابر بهطور گسترده استفاده میکنند. ابر فایروالا از الگوریتمهای هوشمند استفاده میکند و دانش همه دستگاههای متصل را جمعآوری میکند و برای کاهش حملات، بهروزرسانیهای امنیتی را میان همه دستگاهها توزیع میکند.
-
Bitdefender Box2
یکی دیگر از دیوارهای آتش قدرتمند Bitdefender BOX 2 است که از تعداد نامحدودی دستگاههای متصل به وایفای و اینترنت با استفاده از Total Security Unlimited محافظت میکند. محصول فوق پشتیبانی رایگان نامحدود و بهروزرسانی خودکار جدیدترین فناوریهای امنیتی است را برای محافظت از سامانهها به کار میگیرد. یکی از ویژگیهای شاخص این محصول دفاع در برابر تهدیدات پیشرفته است. ابزار فوق شامل مجموعهای از راهحلهای امنیتی چند سکویی است و بنابراین قابلیت پشتیبانی از سیستمعاملهای مطرح و پلتفرم اینترنت اشیا را دارد. از ویژگیهای شاخص این محصول باید به محافظت از اطلاعات به شکل بلادرنگ، محافظت در برابر بدافزارهای چندلایه و باجافزار، محافظت از شبکههای اجتماعی، حالتهای بازی / فیلم / کار، محافظت از میکروفون، محافظت از وب کم، ضد ردیاب، مدیریت رمز عبور، محافظت از بانکداری آنلاین و خرید آنلاین، کنترل والدین، بهروزرسانی خودکار و موارد دیگر اشاره کرد. این دیوار آتش مجهز به یک پردازنده دو هستهای 1.2 گیگاهرتزی است. از مزایای این دیوارآتش باید به سازگاری با اتوماسیون خانگی، پشتیبانی از سرعت یک گیگابایت بر ثانیه، مدیریت از راه دور از طریق برنامه تلفن همراه و ویژگیهای پیشرفته والدین و نظارت دقیق بر دستگاههای متصل (تلفن های هوشمند و …) اشاره کرد. با اینحال، برای استفاده از ویژگیهای امنیتی پیشرفته به اشتراک نیاز دارید و با شبکههای بیسیم مش یا گسترشدهندههای وایفای کار نمیکند.
-
Zyxel Next Generation VPN Firewall
از ویژگیهای شاخص این دیوار آتش باید به پورتهای گیگابیتی با کارایی بالا، یک پورت اینترنت (WAN)، چهار پورت شبکه (LAN)، یک پورت SFP گیگابیتی فیبر (SFP WAN) برای اتصال به خدمات اینترنت فیبر، دیوار آتش با ظرفیت بازرسی بستهها در مقیاس 350 مگابیت بر ثانیه سرعت و 20000 جلسه حداکثر TCP همزمان و پشتیبانی از حداکثر 10 کلاینت اشاره کرد. دیوارآتش سختافزاری Zyxel Firewall Next Generation VPN امنیت اینترنت را به شکل محلی و از راه دور ارائه میکند. پس از نصب کاربران میتوانند از طریق ارتباطات امن از راه دور به شبکههای محلی خود دسترسی پیدا کنند. فرایند نصب و راهاندازی آن ساده و گزینه مقرون به صرفهای است. ابزار فوق به کاربران اجازه میدهد اینترنت و روتر موجود را مستقیماً به Firewall Zyxel متصل کنید. دیوارآتشZyxel شامل پشتیبانی از IPv6 و multi-WAN است. این دستگاه به عنوان یک دیوارآتش UTM شناخته میشود. دیوارآتش فوق در سطح لایه کاربرد قادر به بازرسی محتوای وب و کنترل برنامهها است و علاوه بر این به مکانیزم پیشگیری و شناسایی از نفوذ تجهیز شده است. البته برای استفاده از ویژگیهای حرفهای این دیوارآتش به لایسنس اشتراک سالانه نیاز دارید. بدون داشتن اشتراک، این دستگاه به عنوان یک فایروال سختافزاری ساده قابل استفاده است. از مزایای شاخص این محصول باید به پشتیبانی از پروتکل تونلسازی 2 لایه (L2TP) و IPSEC حداکثر 10 اتصال VPN امن، دسترسی به سرویس Zyxel OneSecurity که بهروزرسانیهای منظمی را ارائه میدهد و فرایند نصب ساده اشاره کرد. با اینحال، دیوارآتش فوق تنها از 200 مگابیت بر ثانیه تا 350 مگابیت بر ثانیه از نرخ انتقال پشتیبانی میکند.
منبع:shabakehmag
دوره آموزش سیسکو