امروزه، روند گسترش محیط شبکهی سازمانی تا حدی است که شناسایی کامل آن امکانپذیر نبوده و یا براحتی قابل شناسایی نمی باشد.سازمانهای بزرگ علاوه بر اندازهی شبکه، باید نیازهای کاربران و الزامات پیادهسازی را نیز مدنظر قرار دهند. سطح حملات در تجهیزات سیار و دیتاسنترها، Public Cloud و Private Cloud و همچنین اینترنت اشیا (IoT) به طرز چشمگیری افزایش یافته و تعریف سازمانهای گسترده و برقراری امنیت در آنها را با چالش مواجه نموده است. عوامل تهدید، با هدف کسب درآمد به نقاط ضعف شبکههای سازمانی حمله نموده و با فرآیندهای حمله خودکار از اطلاعات حساس به دستآمده جهت باجخواهی یا فروش در بازار سیاه استفاده میکنند.
کمبود قابلیت دید (Visibility) و قابلیت کنترل در یک محیط نامحدود با برخورداری از امکان توسعه شبکه، برنامههای کاربردی، دادهها و کاربران از دغدغههای متخصصین حوزهی امنیت به شمار میرود. این دغدغه ناشی از آن است که سطح پایین عملکردهای امنیتی در یک فایروال واحد ممکن است منجر به پیکربندی نامناسب و از دست رفتن Event Logها گشته و علاوه بر آن احتمال عدمشناسایی نقضهای امنیتی را نیز افزایش دهد.
کارشناسان امنیت سازمان، علاوه بر افزایش اثربخشی امنیت به دنبال سازگاری و انطباق بیشتر در حین ارائه فاکتورها، تجمیع حوزههای امنیتی، سطح بالای عملکرد قابلاطمینانِ شبکه و سادهسازی روند مدیریت امنیت ترجیحا در یک کنسول واحد میباشند. امنیت فایروال شبکه باید به گونهای تکمیل گردد که قادر به تامین امنیت درسازمانهای بزرگ باشد.
با توجه به اینکه سازمانها، نیازمند یک راهکار امنیت شبکه از نوع End-to-End میباشند، باید تمامی سطوح آسیبپذیری از اینترنت اشیاء (IoT) گرفته تا سرویس Cloud و از کاربران گرفته تا دادهها را محافظت کرد. راهکار IPImen NGFirewall-UTM با استفاده از یک رویکرد مشترک در سراسر زیرساخت شبکه این کار را انجام داده و مدیران امنیتی را قادر به پیادهسازی یک استراتژی گسترده و پویای دفاعی در بلندمدت مینماید.
معرفی محصول امنیتی IPImen NGFirewall-UTM:
محصول فایروال یوتیام نسل بعدی (Next Generation Firewall-UTM) با نام IPImen یک محصول تخصصی در زمینه امن سازی شبکه است که به دست توانای متخصصان داخلی تولید گردیده است و قابلیت های مختلف تعبیه شده در ان متناسب با نیازهای سازمان های ایرانی است که ماحصل کسب نظرات، پیشنهادات، انتقادات و راهکارهای ارائه شده توسط مدیران شبکه در سراسر کشور می باشد. در واقع این محصول از نظر قابلیت، گام های بلندتر و موفق تری را نسبت به بسیاری از تولید کنندگان برداشته است و امروزه در نقش یک محصول Next Generation عرض اندام می نماید.
محصول IPImen NGFirewall-UTM میتواند قابلیت دفاع لحظهای،Responsive و هوشمند را در مقابل بدافزارها و تهدیدات پیش رو فراهم نماید. قابلیت های تعبیه شده در این محصول اساس زیرساخت امنیتی شبکه سازمانی را تشکیل میدهند.
ویژگی انعطافپذیری در فایروالها این امکان را فراهم مینماید تا روند پیادهسازی متناسب با نیازهای خاص امنیتی در قسمت خاصی از سازمان بدون خطا در عملکرد صورت گیرد. تمامی تجهیزات فایروال در IPImen NGFirewall-UTM از طریق کنسوب مدیریتی واحد به یکدیگر مرتبط میشوند. این ارتباط متقابل به ارائه اثربخشترین نوع محافظت پرداخته و علاوه بر تسهیل پیادهسازی، موجب کاهش نقاط تماس متعدد و Policyها در سراسر سازمان میگردد.علاوه بر این، راهکار فوق به منظور فراهم آوردن بهترین نوع محافظت دربرابر حملات هدفمند و پیشرفتهترین تهدیدات امنیتی به ارائهی مواردی همچون امنیت شبکه به صورت End-to-End از طریق یک پلتفرم، یک سیستمعامل امنیت شبکه و مدیریت یکپارچه Policy با یک کنسول واحد میپردازد.
اجزای اصلی راهکار امنیتی IPImen NGFirewall-UTM:
در زیر به بررسی اجزای اصلی راهکار های امنیتی ارائه شده توسط کمپانی تاکیان می پردازیم.
1 - ارائهی موثر امنیتی توسط آزمایشگاه تاکیان:
کسب دانش جامع در مورد چشمانداز تهدیدات به همراه توانایی پاسخگویی سریع به سطوح متعددی از این تهدیدات میتواند مبنایی برای ایجاد امنیت اثربخش در شبکه باشد. بر همین اساس، بروزرسانی های آنلاین به عنوان بخش مهمی از راهکار امنیتی IPImen NGFirewall-UTM بشمار میرود. این بروزرسانی ها توسط متخصصات این شرکت بصورت انلاین ارائه میگردد و به منظور اثربخشی بهتر، تیم تحقیقات امنیت به بررسی بروزرسانی های ارائه شده توسط سایر تولیدکنندگان مطرح در ایران و جهان میپردازد تا با بالاترین سطح از امنیت ارائه شده در دنیا همگام باشد.
2 - کنسول واحد با یک سیستمعامل امنیت شبکه:
صرف نظر از جایگاه پیادهسازی تجهیزات IPImen NGFirewall-UTM یا پلتفرم آن (سختافزاری، مجازیسازیشده،Public Cloud و یا Hybrid Cloud)، قابلیت دید و کنترل با یک سیستم عامل سازگار برای امنیت شبکه تامین میگردد. ImenOS با هدف کاهش پیچیدگیها به تجمیع تمامی سرویسهای امنیت و شبکه میپردازد. ضمن اینکه قابلیت دید ۳۶۰ درجه به ترافیک شبکه را میسر میسازد و کاربران با یک کلیک میتوانند ترافیک را از طریق برنامههای کاربردی، تهدیدات، تجهیزات، کشورها و سایر فاکتورها مشاهده نمایند.
ImenOS به اِعمال Policyهای ارزشمند در سراسر شبکه میپردازد. با وجود امکانات فوق، مدیران حوزهی امنیت میتوانند بر ترافیک شبکه نظارت داشته و Policyهای تجمیعیافتهای را تدوین نمایند که این موضوع شامل کنترلهای امنیتی بصورت جزئیتر میباشد. در عین حال مدیران امنیتی با در اختیار داشتن یک کنسول واحد میتوانند از قابلیت دید و کنترل در سراسر سازمانها بهرهمند شده و به این ترتیب انجام فرآیندهای مدیریت مرکزی، گزارشگیری و Logging به صورت مقیاسپذیر را میسر نمایند.
3 - ارائه راهکار فایروالی در سراسر سازمانهای بزرگ:
مجموعه تجهیزات شبکه IPImen به ارائه طیف بسیار وسیعی از پلتفرمهای فایروال در بازار میپردازد IPImen NGFirewall-UTMبرمبنای یک معماری یکپارچه و هدفمند بیجاد شده که به ایجاد توان عملیاتی بسیار بالا و تاخیر بسیار کم میپردازد و در عین حال باعث ایجاد اثربخشی امنیتی بیشتر میگردد.
مجموعه تجهیزات IPImenشامل یک مجموعه از پلتفرمهای انعطافپذیر میگردد که به عنوان فایروالهای نسل بعدی (NGFW) در Edge، به عنوان فایروالهای دیتاسنتر در Edge مربوط به دیتاسنتر و بخشهای داخلی یا سازمانهای توزیعشده پیادهسازی شوند. تجهیزات IPImen که توسط یک سیستمعامل امنیت شبکه مدیریت میشوند، یک Policy امنیتی یکپارچه را در تمامی موقعیتها عرضه مینمایند.
4 - ارائه یک راهبرد دفاعی گسترده و دینامیک برای بلندمدت:
محصول IPImen NGFirewall-UTMبا پشتیبانی از تمام انواع پیادهسازیها میتواند آزادی عمل بینظیری را در اختیار متخصصان امنیتی در سراسر شبکههای سازمانی بزرگ قرار دهند. مدیران امنیتی از قابلیت دید و کنترل لازم برای مقابله با مهاجمان از طریق یک سیستمعامل امنیت شبکه در سراسر مجموعه تجهیزات FortiGate برخوردارند. مدیران امنیتی با استفاده از یک داشبورد واحد که بصورت GUI یا WUI ارائه میگردد، میتوانند دیدگاههای مدیریتی مختلف را گردآوری نموده و Policyهای امنیتی را به شکلی دقیق اجرا نمایند.
چرا این محصول یک فایروال-یوتیام Next Generation است؟
فایروال های نسل بعدی یا Next Generation Firewalls گونه جدید از فایروال ها و تجهیزات امنیتی هستند که برخلاف فایروال های معمولی که تنها به پورت ها و آدرس های مبدا و مقصد توجه میکنند، میتوانند سطوح بالاتری از شناسه های فرستنده پکت را بررسی نموده وامنیت بالاتری را فراهم نمایند، این نسل از فایروال ها حتی سطوح امنیت را تا حد نرم افزارهای کاربری نصب شده بر روی سیستم کلاینت ها ارتقاء داده اند و تخصص اصلی انها اعمال محدودیت و بررسی App های است، کاری که از توان فایروال معمولی خارج است.
در اینجا به برخی از ویژگیهای معمول فایروال های NGFW اشاره خواهیم کرد:
- امکانات استاندارد یک فایروال : در این نوع فایروال ها، تمامی قابلیت های فایروال های قدیمی تر( نسل اولی ) از قبیل مسدود کردن پورت ها و پروتکل ها و سرویس های شبکه ای ماننند NAT، route و... وجود دارد .
- شناسایی و فیلتر کردن نرم افزارها : این قابلیت در واقع بزرگتری نقظه قوت اینگونه فایروال ها است ، آنها می توانند به جای اینکه صرفا پورت یا پروتکل خاصی را فیلتر کنند ، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر نمایند. این قابلیت موجب میگردد که نرم افزارهای مخرب، فیلترشکن ها و نرم افزارهای غیرمجاز در سطح سازمان، نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند .
- واکاوی SSH و SSL: این نسل از فایروال ها میتوانند ترافیک رمزنگاری شده پروتکل های SSL و SSH را نیز واکاوی کنند . آنها توانایی رمزگشایی ترافیک را داشته و پس از رمز گشایی و اطمینان از سالم بودم و عدم وجود ترافیک غیر مجاز با توجه به خط مشی تعیین شده برای آن، مجددا رمزگذاری کرده یا بصورت ساده ارسال می کنند . این قابلیت از مخفی شدن کد های مخرب در درون ترافیک رمزنگاری شده توسط نرم افزارهای مخرب جلوگیری کرده و از ورود اینگونه ترافیک به درون شبکه جلوگیری کند.
- جلوگیری از نفوذ : با هوشمندی خاصی که برای اینگونه از فایروال ها در نظر گرفته شده است و توانایی واکاوی فوق العاده ای که در آنها دیده شده است ، این NGFW ها توانایی جلوگیری و تشخیص نفوذ را در خود جای داده اند .برخی از NGFW ها قابلیت های تشخیص و جلوگیری از سطحی از نفوذ را دارند که حتی یک دستگاه IPS مجزا هم این ویژگیها را به تنهایی ارائه نخواهد داد.
- هماهنگی با دایرکتوری سرویس ها : از قابلیت های جدید اینگونه NGFW ها هماهنگی کامل با ساختار های دایرکتوری مانند اکتیودایرکتوری است و با این روش دیگر نیازی به تعریف کاربر در فایروال نبوده و از همان گروه ها و کاربرانی که در اکتیودایرکتوری های Trust یا حتی Untrusted وحود دارند می توان در فایروال نیز استفاده کرد .
- فیلتر کردن کدهای مخرب : این نسل از فایروال ها میتوانند بر اساس نوع فعالیت یک نرم افزار و مخرب بودن آن از ادامه کار یا حتی شروع به کار یک کد مخرب جلوگیری کنند ، اینگونه NGFW ها میتوانند بوسیله شناسایی سایت های مخرب و ذخیره آنها در دیتابیس خود از بروز حمله از طریق آنها جلوگیری کنند ، همچنین یعضی از آنها توانایی شناسایی حملات از نوع Phishing را دارند .
چرا لازم است که به سمت این محصول مهاجرت نمایید:
عدم وابستگی به تحریم ها : با توجه به اینکه این محصول بصورت بومی طراحی و پیاده سازی شده است لذا هیچ نگرانی بایت تحریم ها شامل حال این محصول نخواهد شد.
پشتیبانی داخلی: کارشناسان بخش پشتیبانی این شرکت، محصول را بصورت رایگان نصب و راه اندازی کرده و خدمات دایمی پشتیبنی را به همراه مستندات فارسی ارائه مینمایند.
لایسنس با زمان نامحدود : این محصول به همراه کلیه قابلیت های درخواستی (از جمله Firewall ، IDPS و...) از نظر زمانی،لایسنس مادام العمر داشته و در تمام مدت، تمامی قابلیت های محصول تحویلی قابل اجرا و استفاده می باشند. لذا مدیر شبکه سازمان هر سال مجبور به پرداخت هزینه های کلان برای تمدید مجدد لایسنس ندارد.
نصب بر روی سخت افزارهای مشتری : در صورتی که مشتری قبلا از سایر محصولات بومی یا بعضی از محصولات خارجی(از جمله سایبروم، آستارو، سوفوس) استفاده نموده است، میتواند بدون پرداخت هزینه های جانبی بابت سخت افزار، بر روی همین سخت افزارها، محصول IPImen را دریافت نماید.
پشتیبانی از تاریخ شمسی: این محصول علاوه بر پشتیبانی از تاریخ شمسی، امکان ثبت لاگ ها به تاریخ شمسی را نیز فراهم مینماید.
مدیریت گواهینامه ها: این محصول امکان ساخت و ذخیره سازی Certificate های از پیش تعریف شده یا Self-Sign را فراهم مینماید.
بروزرسانی آنلاین و آفلاین : این محصول امکان بروزرسانی انلاین بصورت دستی و خودکار را فراهم مینماید و مدیر شبکه سازمان نیازی به هماهنگی های تلفنی و ارائه ریموت جهت بروزرسانی دستی محصول را ندارد.
ثبت لاگ SSL و TLS: با توجه به اینکه سایت های اینترنتی به سمت HTTPS شدن مهاجرت نموده اند، لذا بسیار مهم است که محصول بتواند لاگ مرتبط با این سایت ها را ثبت نماید درصورتیکه این قابلیت تقریبا در سایر محصولات تعبیه نشده است.
قابلیت فیلترینگ بر روی پروتکلTLS وSSL: این محصول میتواند ترافیک های عبوری تحت SSL و در فرم جدید تر TLS را حداقل توسط TLS Server Name ، فیلتر نماید در صورتی که سایر محصولات یا این قابلیت را نداشته و یا تنها به SSL اکتفا نموده اند.
قابلیت فیلترینگ بر روی پروتکلSMTP: این محصول میتواند ترافیک های عبوری بر روی پروتکل SMTP را به تفکیک From و RCPT فیلتر نماید که در سایر محصولات تعبیه نشده است
قابلیت فیلترینگ بر رویROW Packet Data : این محصول میتواند ترافیک های عبوری را حسب String و HEX Byte پکت ها فیلتر نماید که در سایر محصولات تعبیه نشده است
قابلیت فیلتر نمودن دائمی و کامل کلیه نرمافزارهای فیلترشکن (ازجملهFree gate ،Ultra-surfو...)، پیام رسان های اجتماعی مانندTelegram و...: براي بستن اين نرمافزارها روش هاي رايج (ازجمله بستن پورت، بستن آدرس URL ، بستن Pattern ، بستن DNS و...) كفايت نميكند زيرا هوشمندي فراوان آنها و گستردگي سرورهاي خدمات دهنده موجب فعاليت مجدد آنها خواهد شد. در محصول IPImen به اين راهكار به عنوان يك Total Solution نگاه میشود و با در نظر گرفتن تمامي راه هاي جاري و ساير روش هاي انحصاري (مانند Name، Path، MD5 Hash، Cert Subject و Cert Serial No) تعبيه شده در محصول، ميتوان اين نرمافزارها را فيلتر كرد. بديهي است كه اين فيلترينگ بر روي تمامي نسخه هاي قديمي و جديد اين نرمافزارها اعمال شده و قابل دورزدن نمیباشد.
ثبت لاگ ارتباطی برنامه های کاربر: این محصول امکان ثبت لاگ های ارتباطی برنامه های کاربردی را فراهم می نماید تا مدیر شبکه بتواند گزارشی از سایت ها و آدرس های استفاده شده توسط کاربر با استفاده از فیلترشکن ها و... را داشته باشد.
قابلیت جلوگیری از ورودMalware ها و بروزرسانی دائمی و انلاین آدرس ها
قابلیت جلوگیری از حملاتPhishing و بروزرسانی دائمی و انلاین آدرس ها
قابلیت جلوگیری ازRansomware ها و بروزرسانی دائمی و انلاین آدرس ها
قابلیتDLP سمتGateway: این محصول قابلیت جلوگیری از نشت اطلاعات تحت پروتکل های FTP، HTTP، TFTP و... را فراهم می نماید.
ارائه خدماتWi-Fi Access point: این محصول میتواند در مدل های سخت افزاری دارای Wi-Fi، خدمات ارائه اینترنت بیسیم را فراهم می نماید.
پشتیبانی ازVirtual IP : جهت پایلیش نمودن آدرس های چندگانه سایت های داخلی
قابلیت احراز هویت در پروتکلSSLوTLS: با توجه به فراگیر شدن سایت های HTTPS، این محصول میتواند حتی سایت های HTTPS را نیز احراز هویت نموده و حتی لاگ های مرتبط با مشاهده سایت های HTTPS توسط کاربران را نیز ثبت نماید.
استفاده از كانال امن برای انتقال اطلاعات هویتی: این محصول میتواند ترافيك هاي مرتبط با انتقال اطلاعات هويتي كاربران در شبكه را امن نمايد (SSL ، TLS و...). در یک توضیح ساده تر، صفحه hotspot بصورت HTTPS ارائه میگردد تا امکان شنود رمزعبور کاربران در شبکه وجود نداشته باشد.
قابلیت تغییر عنوان و لوگوی صفحه احراز هویت توسط مدیر سیستم: این محصول امکانی را در کنسول مدیریتی سیستم تعبیه نموده تا مدیر سیستم بصورت دستی و بدون دخالت تولیدکننده بتواند تغییرات لازم در عنوان و لوگوی صفحات احراز هویت را اعمال نماید.
یکپارچگی محصول با قابلیتAccounting: در این محصول نیازی به استفاده از محصولات جانبی جهت اکانتینگ کاربران وجود ندارد و تمامی قابلیت ها در یک محصول بصورت یکپارچه ارائه میگردند.
امکان اتصال به انواعRadius NAS Server ها: قابلیت Accounting تعبیه شده در سیستم میتواند این خدمت را به سایر محصولات (مثال فایروال ها، VPN سرور ها، میکروتیک و...) نیز ارائه نماید بگونه ای که کاربران سایر سیستم ها را نیز اکانتینگ کند.
امکانMulti Database: این محصول جهت نگهداری و مدیریت لیست کاربران و گروه ها، امکان اتصال به دیتابیس داخلی و یا دیتابیس خارجی را فراهم نموده است در صورتی که در سایر محصولات به دیتابیس داخلی بسنده شده است و با زیاد شدن لاگ ها و اطلاعات، دایتابیس کند شده و در عملکرد محصول اختلال ایجاد مینماید.
قابلیتZone بندی اختیاری: این محصول امکانی را فراهم می نماید تا مدیر سیستم هیچ اجباری در استفاده از Zone بندی نداشته باشد اما در صورت نیاز بتواند بر اساس انواع مختلف حداقل شامل LAN، WAN و DMZ اقدام به تعریف و بکارگیری از Zone ها بنماید.
جلوگیری ازBig IP ها: این محصول قابلیت جلوگیری اتوماتیک از دسترسی کلاینت ها به آدرس های مخرب (معرفی شده به عنوان Banned) لیست شده را فراهم می نماید.
قابليت پشتيباني کامل و نامحدود از IPsec VPN
قابلیت پشتیبانی از SSL tunnel اختصاصی : تانل های SSL در سایر محصولات نیز ارائه میشوند اما در این محصول، کاربر میتواند توسط Drag drop کردن، تعیین کند که ترافیک کدام نرم افزارها از طریق تانل ارسال شود.
امکان ارائهToken سخت افزاری:این محصول امکان استفاده از Token را بصورت Optional برای SSL Tunnel ها فراهم می نماید و مدیر سیستم میتواند بدون دخالت تولید کننده اقدام به تولید این توکن ها بنماید.
راهنمای معرفی قابلیت ها (پروپوزال) IPImen NGFW-UTM
پرزنت معرفی محصول IPImen NGFW-UTM
این راهکار در واقع یک فایروال نسل بعدی است که بستری امن و تخصصی جهت ارائه این محصول بصورت مجازی و آنلاین فراهم شده است تا مشتریان بتوانند براحتی و بدون نیاز به صرف هزینه های کلان بابت لایسنس محصولات و سخت افزار آنها، این محصول را بصورت ماهانه از طریق سایت شرکت تاکیان خریداری نموده و هزینه آن را بصورت ماهانه پرداخت نمایند تا علاوه بر برخورداری از امکانات امنیتی که بعدا به انها اشاره خواهد شد بدون نگرانی از مناسب نبودن محصول در آینده و یا بدون نگرانی بایت صرف هزینه جهت سخت افزار و بدون نگرانی بابت نحوه ارتقاء توان خروجی محصول، اقدام به استفاده از محصول بنماید.
English (UK) 
Persian (IR)