زمان مطالعه : ۸ دقیقه

اولین خط دفاعی برای ایجاد امنیت شبکه، استفاده از فایروال ( Firewall) یا دیواره آتش است. این سیستم ترافیک را بررسی می‌کند تا از میزان الزامات امنیتی تعیین‌شده توسط سازمان، اطمینان حاصل نماید. علاوه بر آن برای دسترسی غیرمجاز مسدود شده نیز، تلاش لازم را انجام می‌دهد. در سال‌های اخیر شیوه حفاظت این سیستم‌ها پیشرفت بسیار زیادی داشته است.
علاوه بر آن، این محصولات امروزه از قابلیت‌های ویژه دیگری نیز برخوردار هستند. همچون نظارت بر ترافیک اینترنت. از سوی دیگر Navneet Singh، مدیر بازاریابی محصول در Palo Alto بیان نموده است که:” فایروال‌های نسل جدید، قادر هستند از سرقت اطلاعات توسط هکرها جلوگیری کنند”.

آنچه در این مطلب خواهید آموخت پنهان کردن
1 منظور از فایروال چیست؟
2 معرفی انواع Firewall در بازار
2.1 فایروال‌های Stateful:
2.2 دیواره‌های آتش مبتنی بر Packet:
2.3 فایروال برنامه‌های تحت وب (WAF):
2.4 Firewall های نسل جدید (NGFW):
3 قابلیت دیواره‌های آتش نسل جدید
4 فایروال‌های فیزیکی بهتر هستند یا مجازی؟
5 راه‌حل Firewall های نسل جدید
6 شرکت‌های پیشرو در تکنولوژی امنیتی Firewall
6.1 Palo Alto Networks
6.2 شرکت فایروال FortiGate
6.3 شرکت سیسکو Cisco
6.4 فایروال‌های Check Point
6.5 شرکت Juniper
6.6 شرکت فایروال Forcepoint
6.7 شرکت فایروال‌هایBarracuda Networks NextGen Firewalls
7 محدودیت‌های فایروال‌ها

منظور از فایروال چیست؟

دیواره‌های آتش می‌توانند با مسدود کردن ترافیک، فقط به ترافیک‌های مجاز اجازه عبور دهند. برای این‌که از پالیسی های نوشته‌شده بر روی این محصولات استفاده می‌کنند. همچون دیگر تکنولوژی‌های حوزه فناوری، Firewall ها نیز باگذشت زمان پیشرفت نمودند. امروزه شاهد سیستم‌هایی با کارایی بیشتر و انعطاف‌پذیری پیشرفته‌تر هستیم.
مثلاً فایروال‌های نسل جدید که وارد بازار می‌شوند، انتخاب مناسبی برای محیط‌های مجازی بهینه‌شده هستند. Mihir Maniar از شرکا جونیپر اظهار می‌دارد که:” سیستم‌های فایروال توانایی مقابله در برابر حملات روز (Zero-day)، بک دورها (Backdoor)، تهدیدات پیشرفته و بات نت‌ها (Botnet) را به‌صورت هوشمند دارند”.

فایروال
فایروال

معرفی انواع Firewall در بازار

اساس ارتباطات IP به عوامل مختلفی مبتنی است. ازجمله پروتکل، آدرس IP مبدأ و مقصد و پورت. ازاین‌رو در هسته دفاع فایروال، فیلترینگ بسته‌ها باقی می‌ماند. این مسئله می‌تواند خط دفاعی اول برای هر سازمان به شمار رود. تمامی دیواره‌های آتش برای کسب اطلاع از این‌که آیا بسته‌ها قادر هستند بسته به مقصد، منبع، پروتکل‌ها و پورت‌ها وارد شبکه شوند یا خیر، اقدام به تجزیه‌وتحلیل ترافیک می‌نمایند.
قبلاً برای این کار از فیلترینگ استاتیک استفاده می‌کردند که تنها هدرهای بسته را بازرسی می‌کرد. اما هکرها متوجه این مسئله شدند. ازاین‌رو اقدام به تغییر دادن اطلاعات مربوط به هدر بسته‌ها نمودند، تا ترافیک غیرقانونی آنها بتواند از شبکه عبور کند. این مسئله منجر شد تا دیواره‌های آتش Stateful با تکنولوژی جدید Packet Inspection ایجاد شوند. به این صورت که تنها پکت های ورودی در پاسخ به پکت های خروجی، مجاز به عبور باشند.

انواع فایروال اصلی عبارت‌اند از:

فایروال‌های Stateful:

این نوع فایروال‌ها، تنها به بسته‌هایی اجازه عبور می‌دهند، که مربوط به یک جلسه Session باشند.

دیواره‌های آتش مبتنی بر Packet:

این نوع محصولات از نوع اولیه به شمار می‌روند و به‌ویژگی‌هایی همچون آدرس IP منبع و مقصد، پروتکل و پورت مبتنی است. تنها بسته به این اطلاعات اجازه عبور می‌دهد و یا می‌تواند از عبور بسته‌ها جلوگیری کند.

فایروال برنامه‌های تحت وب (WAF):

این محصولات قادر هستند اطلاعات لایه برنامه و اطلاعات مربوط به سطح بسته‌ها همچون درخواست‌های HTTP، HTTPS و URL را بررسی کنند.

Firewall های نسل جدید (NGFW):

درنهایت باید به جدیدترین نوع از فناوری فایروال اشاره‌کنیم. این محصولات دارای قابلیت‌های بسیاری هستند که در ادامه به‌تفصیل در مورد آن توضیح ارائه خواهیم داد.

فایروال‌های نسل جدید
فایروال‌های نسل جدید

قابلیت دیواره‌های آتش نسل جدید

گارتنر(Gartner) فایروال‌های نسل جدید را ابزاری برای بازرسی عمیق بسته Deep Packet Inspection معرفی می‌کند. این محصولات تجهیزات امنیتی هستند که فراتر از یک بازرسی ساده پروتکل و پورت عمل می‌کنند. درواقع Firewall ها نسل جدید قادر هستند پکت ها را در هر حالتی بازرسی کنند؛ حتی زمانی که در حالت رمزگذاری شده قرار دارند.
علاوه بر آن این محصولات می‌توانند بسته به کاربر یا Application، سیاست‌های امنیتی را اعمال نمایند. همچنین قادر هستند دسترسی و کنترل پهنای باند را نیز مدیریت کنند. نسل جدید فایروال قادر است از ورود بدافزارها به شبکه نیز به‌سادگی جلوگیری کند. درنهایت نیز باید بگوییم دیواره‌های آتش جدید دارای سیستم جلوگیری از نفوذ و تشخیص نیز دارند. در کل این فناوری دارای همه‌چیز است و قابلیت‌های بسیاری دارد.
باید خاطرنشان کنیم، که قابلیت‌های Firewall های نسل جدید بیشتر از فیلترینگ بر اساس هدر IP است. آنها پکت ها را در لایه‌های اپلیکیشن بازرسی می‌کنند و قادر به کنترل ترافیک رمزنگاری‌شده با استفاده از SSL هستند. همچنین می‌توانند به‌عنوان یک فایروال اصلی در شبکه مورداستفاده قرار گیرند؛ یا آنکه در داخل‌هاست ها به‌عنوان فایروال‌های مجازی برای کنترل شبکه‌های مجازی استفاده شوند.
بااین‌حال باید بگوییم هرچه Firewall ها پیشرفته باشند، بازهم نمی‌توانند همه‌چیز را متوقف کنند. مثلاً دیواره‌های آتش نمی‌توانند اقدام به شناسایی و متوقف کردن تهدیدات داخل شبکه، دستگاه‌های شخصی (BYOD) یا ایمیل، تهدیدات مهندسی اجتماعی و … که وارد شبکه می‌شوند، کنند. لازم است بر روی شبکه‌ها، برای مراقبت از این نوع تهدیدات، از ابزارهای امنیتی دیگری استفاده شود.
البته فروشندگان بسیاری هستند که به دنبال ادغام این ویژگی‌ها در محصولات فایروال خود هستند. اما باید بگوییم ادغام فناوری‌های سنتی این محصولات و تکنیک‌های امنیتی جدید، می‌تواند مانع بزرگی برای مجرمان سایبری به شمار رود.

فایروال‌های مجازی
فایروال‌های مجازی

فایروال‌های فیزیکی بهتر هستند یا مجازی؟

Firewall ها در ابتدا سخت‌افزاری بودند. اما امروزه دیواره‌های آتش مجازی و نرم‌افزاری نیز وارد بازار شده‌اند. برخی از شرکت‌های تولیدکننده فایروال بر این عقیده‌اند، که این محصولات نرم‌افزاری ازنظر کارکرد شبیه به فایروال‌های فیزیکی هستند. Klaus Gheri مدیرکل امنیت شبکه در باراکودا (Barracuda Networks)، دیدگاه خود را چنین بیان می‌کند.
او بر این عقیده است که سازمان‌ها، امروزه به برنامه‌های دیگری مبتنی بر سرویس‌های ابری نیاز دارند. برنامه‌هایی همچون Salesforce و Microsoft Office 365 و زیرساخت‌هایی همچون خدمات مایکروسافت آژور (Microsoft Azure) و وب آمازون (Amazon Web Services (AWS)). ازاین‌رو این محصولات باید قادر باشند با این سرویس‌های ابری ارتباط برقرار کنند. همچنین باید برای استقرار در محیط‌های ابری عمومی، انعطاف‌پذیری لازم را نیز داشته باشند.
Klaus Gheri همچنین اظهار دارد که، دیواره‌های آتش نسل بعدی باید بتوانند ویژگی‌های امنیتی کامل را باقابلیت‌های دیگر ترکیب کنند. قابلیت‌هایی همچون بهینه‌سازی ترافیک traffic optimization، تقسیم بار load balancing و بهینه‌سازی دسترسی ابری از دفاتر شعب. او بیان نموده است که:” امروزه تمامی مشاغل نیاز دارند تا از فایروال نسل بعدی در دفتر یا سایت خود از راه دور استفاده کنند. آنها می‌توانند از طریق رابط مرکزی اقدام به مدیریت شبکه خودنمایند.
دارایی‌های تجاری و شبکه‌ها از پراکندگی بسیاری برخوردار هستند. به همین دلیل Firewall هایی که می‌توانند از آنها محافظت کنند، باید از طریق قابلیت‌های اتصال ایمن، شرایط مطلوب را برای آنها فراهم کنند”.
تمامی این نظرات در یک خصوص وجه اشتراک دارند. آن‌هم این است که فایروال‌های نسل جدید از یک دهه قبل متفاوت‌تر هستند. هرچند این تفاوت به فناوری شرکت‌های تولیدکننده تکنولوژی نیز مربوط است. زیرساخت‌های سخت‌افزاری و نرم‌افزاری مختلف، منجر شده است تا از تجهیزاتی همچون دستگاه‌های مجازی و Firewall های مجازی استفاده شود. ازاین‌رو مجازی‌سازی تفاوتی که بین فایروال‌های مجازی و فیزیکی بوده است را، کم‌رنگ نموده است.

فایروال‌های فیزیکی یا سخت‌افزاری
فایروال‌های فیزیکی یا سخت‌افزاری

راه‌حل Firewall های نسل جدید

آدام هیلز به‌عنوان تحلیلگر گارتنر بر این عقیده است که:” فروشندگان نسل جدید فایروال، بسته به‌ویژگی‌های کاربردی که محصولات آنها دارد، می‌توانند از هم متمایز شوند”. همچنین بیان نموده است که:” خریداران باید بسته به هزینه‌ها و عملکرد این سیستم‌ها، اقدام به انتخاب بهترین فناوری نمایند”.
ازآنجایی‌که استفاده از دیواره‌های آتش برای امنیت شبکه توسط افراد بسیاری سرعت گرفته است، فروشندگان بسیاری به دنبال آن هستند که از این مسئله نهایت بهره‌مندی را ببرند. در این میان شرکت‌هایی هستند که توسط گارتنر، به‌عنوان شرکت‌های پیشرو در فایروال موردبررسی قرارگرفته‌اند.

شرکت‌های پیشرو در تکنولوژی امنیتی Firewall

کاربرد دیوار آتش فایروال‌ها
کاربرد دیوار آتش

Palo Alto Networks

آن‌گونه که ادعا می‌شود، برخی از کمپانی‌ها Firewall های خود را با استفاده از ماژول‌های بازرسی که بر روی فایروال‌های سنتی قرار داده‌اند، به‌عنوان فایروال نسل جدید به بازار عرضه کرده‌اند. این کمپانی، Firewall خود را به‌عنوان NGFW واقعی معرفی می‌کند. به این صورت که تمام ترافیک آن بر اساس کاربران، برنامه‌ها و محتوا طبقه‌بندی‌شده‌اند. باید بگوییم تجهیزات امنیتی Palo Alto را نمی‌توان در ایران به‌راحتی یافت.

شرکت فایروال FortiGate

از این کمپانی برای ارائه‌دهندگان خدمات، SMB ها و شرکت‌ها، دیواره‌های آتش نسل جدید ارائه می‌دهد. در این محصولات سخت‌افزاری که استفاده‌شده است، قادر است بسته‌ها را با سرعت بالایی پردازش کند. همچنین از پایداری بالایی نیز برخوردار است. Firewall های این کمپانی ازجمله پرفروش‌ترین و معروف‌ترین فایروال‌ها در ایران به شمار می‌روند. بیشتر مدیران شبکه و تیم‌های امنیت در ایران، از این فایروال‌ها استفاده می‌کنند.

شرکت سیسکو Cisco

از غول‌های بزرگ دنیای شبکه که همیشه در حال ارتقای پیشرفت‌های امنیتی خود است، باید به شرکت سیسکو اشاره‌کنیم. Firewall های سیسکو خدمات متنوعی همچون محافظت از بدافزار، FirePOWER، کنترل برنامه و ourcefire IPS، را ارائه می‌دهند.

فایروال‌های Check Point

درنهایت باید به Firewall این کمپانی اشاره‌کنیم، که می‌توان با تهیه لایسنس سالانه آنها را به شبکه افزود. با این کار شبکه را از خطرات اطلاعاتی تهدیدآمیز و بدافزارهای پیشرفته می‌توان محافظت کرد. دیوار آتش این کمپانی می‌تواند از ابرهای عمومی خدمات مختلف همچون وب آمازون و مایکروسافت آژور (Microsoft Azure) پشتیبانی نماید. علاوه بر آن Cisco Application Centric Infrastructure (ACI) با VMware NSX یکپارچه‌شده است. اما نمی‌توان این نوع فایروال را در ایران تهیه کرد.
تمامی این موارد برخی از محصولات Firewall در بازار هستند، که معرفی شدند. در دوره هکر اخلاقی CEH v 11 و دوره لینوکس اسنشیالز با محصولات دیگری نیز آشنا خواهید شد. همچون سایبروم و ….

شرکت Juniper

این شرکت فایروال‌های شبکه‌ای را ارائه می‌دهد، که شرکت‌های بزرگ، متوسط، محیط‌های ترکیبی و ارائه‌دهندگان خدمات در یک ابر عمومی و خصوصی، می‌توانند از آن استفاده کنند. Juniper’s Software-Defined Secure Network (SDSN) در اصل یک راهکار مدیریتی برای تجهیزات امنیتی جونیپر است.

شرکت فایروال Forcepoint

محصولات این کمپانی، اقدام به یکپارچه کردن عناصر مختلفی همچون Websense و Raytheon Cyber Products را با McAfee’s Stonesoft NGFW می‌نماید؛ تا بتواند داده‌های اطلاعاتی هوشمندی ارائه کند. دیواره‌های آتش این کمپانی تا ۱۲۰ گیگابایت در ثانیه می‌توانند توان داشته باشند. همچنین دارای نسخه مجازی نیز هستند که در ایران یافت نمی‌شود.

شرکت فایروال‌هایBarracuda Networks NextGen Firewalls

این کمپانی به کاربران خود اجازه می‌دهد تا استفاده از برنامه‌ها را تنظیم کنند. همچنین کاربران این امکان را دارند که ترافیک شبکه را با ویژگی‌هایی همچون بهینه‌سازی WAN و link balancing در اولویت خود قرار دهند. آنها قادر هستند در سناریوهای مجازی، ابری و در محل به‌صورت فیزیکی وارد شبکه شوند. همچنین می‌توانند در برابر اقدامات کنترل دسترسی غیرمجاز، تلاش‌ها و الگوهای ترافیک مخرب شبکه، کرم‌ها، نرم‌افزارهای مخرب مانند ویروس‌ها و تروجانها از شبکه محافظت کنند.

Gartner Enterprise Network Firewall MQ Image
۲۰۲۱ Gartner® Magic Quadrant™ for Network Firewalls

محدودیت‌های فایروال‌ها

نسل جدید این محصولات دارای ویژگی‌های امنیتی بسیاری هستند. بسته به کمپانی تولیدکننده، این محصولات ممکن است خدمات متنوعی به کاربران ارائه دهند. ازجمله: شناسایی بدافزار، محافظت در برابر نشت داده‌ها (DLP)، دفاع در مقابل حملات DDoS، تهدیدات هوشمند و موارد دیگر. آن‌گونه که بیان می‌شود، هیچ کمپانی نمی‌تواند فایروالی را وارد بازار کند که برای تمامی تهدیدات فناوری امنیتی کافی باشد.
ازاین‌رو باید آنها را به شبکه افزود. سپس از قابلیت‌های پیشرفته آنها استفاده کرد. اما نباید موارد امنیتی را نادیده بگیرید. Dave Ginsburg اظهار می‌دارد که:” فایروال‌های شبکه مجازی در بستر ابری، از اهمیت بالایی برای تأمین امنیت محیط شبکه برخوردار هستند”. اما آنها تنها بخشی از وضعیت کلی امنیت را می‌توانند حفظ کنند. همچون شبکه، محیط، برنامه، نقطه پایانی، امنیت داده‌ها و مدیریت عملیات و سیاست‌ها. اما پس از ورود بدافزارها، دیگر زیرساخت‌های امنیتی درگیر خواهند شد.
در این زمان دیگر تنها داشتن کانفیگ و فایروال کافی نخواهد بود. این بخش معمولاً توسط امنیت فناوری اطلاعات نادیده گرفته می‌شود. درحالی‌که بسیار حائز اهمیت بوده و باید به آن با دقت توجه شود.

در پایان توصیه می‌کنیم برای آشنایی دقیق‌تر با فایروال، چگونگی کار آن و نکاتی در مورد خرید آن حتماً ویدیوی تولیدشده توسط مهندس کرمی را در کانال یوتیوب متخصص شو ما تماشا کنید.