سازمان‌هایی که به پیاده‌سازی استراتژی فایروال نسل آینده یا Next-Generation Firewall علاقه‌مند هستند، باید به‌دقت محصولاتی را انتخاب کنند که با نیازهای امنیتی و تجاری آن‌ها همخوانی داشته باشند. آن‌ها باید به این موضوع درست مثل هر فرایند انتخاب تکنولوژی دیگری نگاه کنند و با چندین فراهم‌کننده و مشاور صحبت کنند. در این مقاله چندین توصیه‌ی کاربردی بیان می‌شود که به کسب‌و‌کارها کمک می‌کند بهترین فایروال نسل بعدی یا NGFW را برای محیط خود انتخاب کنند.

فایروال‌های نسل جدید (NGFW) سیستم‌های امنیت شبکه مبتنی بر سخت‌افزار یا نرم‌افزار هستند که می‌توانند تهدیدات پیچیده‌ای را که از دید راهکارهای فایروال قدیمی مخفی می‌ماند، شناسایی و متوقف کنند.

با اینکه فایروال نسل آینده یا Next-Generation Firewall انواعی از ویژگی‌های حفاظتی مثل فایروال‌های قدیمی، سیستم‌های شناسایی نفوذ (IDS)، سیستم‌های پیشگیری از نفوذ (IPS)، سیستم‌های مدیریت بی‌سیم، کیفیت سرویس (QoS) و سیستم‌های کنترل برنامه کاربردی را فراهم می‌کنند که در محصولات مختلف NGFW متداول هستند، معمولاً تفاوت‌های مهمی بین NGFWهای مختلف وجود دارد. مثلاً برخی از تولیدکنندگان بسته‌های مدیریت تهدید یکپارچه‌ای را ارائه می‌دهند که نسبت به فایروال نسل آینده یا Next-Generation Firewall برای شرکت‌های کوچک و متوسط متمایز هستند، درحالی‌که تولید‌کنندگان دیگر عملکردهای UTM را در NGFWهای خود جای می‌دهند.

در این مقاله، شش معیار برای انتخاب فایروال نسل آینده یا Next-Generation Firewall مطرح می‌شود و همچنین سؤالاتی که باید در زمان مقایسه‌ی این محصولات امنیت IT در طول فرایند خرید پرسیده شود تا خوانندگان بتوانند فرایند را شروع کنند و بهترین انتخاب را در مورد خرید NGFW برای محیط خود داشته باشند.

1. قابلیت مدیریت
2. عملکرد
3. نوع پلتفرم
4. قیمت
5. پشتیبانی
6. مجموعه ویژگی‌ها

قابلیت مدیریت

این معیار به نیازهای پیکربندی سیستم و همچنین قابلیت استفاده از کنسول مدیریتی مربوط است. مدیران IT باید ادمین‌هایی را مد نظر قرار دهند که به‌طور مداوم از این سیستم‌ها استفاده خواهند کرد. چه ویژگی‌های مدیریتی روی هر محصول در دسترس است؟ آیا انجام تجزیه‌و‌تحلیل Real-Time ممکن است؟ آیا قابلیت‌های مانیتورینگ و کنترل منحصربه‌فرد برنامه کاربردی NGFW به الزامات کسب‌و‌کاری و فنی پاسخ می‌دهد؟

بروزرسانی‌های پیکربندی سیستم و رابط کاربری کنسول مدیریتی باید این سه ویژگی حیاتی را داشته باشند.

1. باید جامع باشند، بدین معنا که مجموعه ویژگی‌هایی را پوشش دهند که نیاز به پلتفرم‌های جانبی را از بین ببرد.
2. باید توسعه‌پذیر باشند، بدین معنا که بتوانند ویژگی‌هایی را مستثنی کنند که در محیط سازمان الزامی نیستند.
3. باید قابل‌دسترسی باشند، بدین معنا که کنسول مدیریت، داشبوردهای ویژگی‌ها و گزارش‌گیری باید ساده و دقیق باشند.

عملکرد

خواه ‌ناخواه فایروال نسل آینده یا Next-Generation Firewall در شبکه کسب‌و‌کار تبدیل به Bottleneck خواهد شد و مشکلات عملکردی در سیستم‌ها و برنامه‌های کاربردی پخش می‌شود. آیا محصولات مدنظر دارای قابلیت‌های پردازش با عملکرد بالا هستند؟ آیا روی نرم‌افزار یا مدارهای یکپارچه‌سازی‌شده با طراحی به‌خصوص و عملکرد بالا تمرکز می‌کنند. آیا از چندریسمانی (Multithreading) یا موازی‌سازی نامتقارن استفاده می‌کنند؟ آیا ارائه‌دهنده طرفدار استفاده از Clustering برای بهبود عملکرد و قابلیت خودترمیمی است؟

بررسی عمیق Packet در فایروال‌های استاندارد مبتنی بر پراکسی هزینه‌ی زیادی روی عملکرد دارد. به‌علاوه، محدودیت‌های مختلفی از لحاظ پروتکل‌ها، پورت‌ها و سایز فایل وجود دارد که شاید مورد بررسی قرار گیرند. یک فایروال نسل آینده یا Next-Generation Firewall واقعی باید بتواند بررسی عمیق Packet را با سرعت سیم روی تمام پورت‌ها و پروتکل‌ها انجام دهد. به‌علاوه، باید بتواند در مقیاس شبکه‌های ۱۰ GbE امروزی توسعه پیدا کند. برای دستیابی به این مهم داشتن پورت‌های ۱۰ GbE روی فایروال کافی نیست، بلکه همچنین باید از نرخ توان عملیاتی ۱۰ GbE با DPI کامل پشتیبانی شود.

نوع پلتفرم

برای شفافیت بیشتر، خوب است که واژه‌ی «پلتفرم» را تعریف کنیم. تکنوپدیا، پلتفرم مربوط به تکنولوژی را اینگونه تعریف می‌کند:

«گروهی از تکنولوژی‌ها که به‌عنوان یک مبنا مورداستفاده قرار می‌گیرند که برنامه‌های کاربردی، فرایندها یا تکنولوژی‌های دیگر روی آن‌ها ساخته می‌شوند. پلتفرم در رایانش شخصی به سخت‌افزار (رایانه) و نرم‌افزار (سیستم‌عامل) اشاره دارد که به برنامه‌ها امکان عملیات می‌دهند.»

اکثر فایروال‌های نسل جدید مبتنی بر سخت‌افزار (تجهیزها)، مبتنی بر نرم‌افزار (قابل دانلود) یا مبتنی بر Cloud (SaaS) هستند. NGFWهای مبتنی بر سخت‌افزار برای سازمان‌های متوسط و بزرگ مناسب هستند؛ NGFWهای مبتنی بر نرم‌افزار برای کسب‌و‌کارهای کوچک با زیرساخت شبکه‌ی ساده مناسب هستند و NGFWهای مبتنی بر Cloud برای سایت‌های غیرمتمرکز و دارای چند محل، مناسب هستند که مجموعه مهارت‌های لازم برای مدیریت آن‌ها موجود نیست یا باید به فرد دیگری اختصاص داده شود.

امروزه می‌توان فایروال نسل آینده یا Next-Generation Firewall را در شرایط زیر پیدا و پیاده‌سازی کرد:

• به‌صورت On-Premises در Edgeهای شرکت‌ها و دفاتر شعبه‌ای
• به‌صورت On-Premises در مرزهای بخش داخلی
• در Cloudهای عمومی مثل Amazon Web Services یا AWS، Microsoft Azure و Google Cloud Platform
• در Cloudهای خصوصی مثل VMware و Cisco ACI

قیمت

قیمت‌گذاری تجهیزهای فایروال نسل آینده یا Next-Generation Firewall، نرم‌افزارها و خدمات Cloud بسته به تولیدکننده و مدل می‌توانند تنوع زیادی داشته باشند و قیمت‌ها از ۳۰۰ دلار تا ۳۵۰۰۰۰ دلار به ازای هر واحد متفاوت هستند. برخی از شرکت‌ها برای قراردادهای خدماتی نیز هزینه‌ی اضافه دریافت می‌کنند.

هزینه‌ی یک فایروال سخت‌افزاری نسبت به فاکتورهای مختلفی تعیین می‌شود، از جمله:

• ساخت، مدل و ویژگی‌ها مثل عملکرد، ظرفیت و افزونگی
• هر هزینه‌ی تکرارشونده‌ی اشتراکی برای امنیت، خدمات یا پشتیبانی
• پیکربندی، مانیتورینگ، یکپارچه‌سازی و نگهداری مداوم از فایروال

انتخاب فایروال‌های نسل جدید، فارغ از اینکه کم‌هزینه باشند یا هزینه‌ی استاندارد داشته باشند، باید شامل ارزیابی کامل الزامات باشد؛ این الزامات از سایز شرکت شروع می‌شوند.

اندازه‌گیری فایروال شامل ارزیابی نحوه‌ی استفاده‌ی افراد (کاربران) از آن، توسعه (یا کوچک شدن) احتمالی شرکت در ۲۴ ماه آینده و تعادل بین کارمندان On-Premises و Remote است.

این سؤالات کلیدی باید پرسیده شوند:

• در توپولوژی شبکه من، فایروال کجا قرار خواهد گرفت؟
• چگونه و توسط چه کسی مدیریت خواهد شد؟
• باید به چه مقدار ترافیک رسیدگی کند؟
• برای جداسازی ترافیک به چه تعدادی را رابط‌های کاربری نیاز است؟
• باید چه نوع بررسی ترافیکی را انجام دهم؟
• بهترین راه برای پاسخ به تقاضای کاربران راه دور من چیست؟

در زمان محاسبه‌ی هزینه‌ی یک فایروال سخت‌افزاری، هزینه‌ی عملیات و نگهداری باید مدنظر قرار گیرد. هزینه کلی مالکیت (TCO) برای فایروال نسل آینده یا Next-Generation Firewall، چه فیزیکی باشد، چه مجازی و چه مبتنی بر Cloud، شامل فاکتورهای زیر است:

• قیمت‌های خرید
• هزینه پیاده‌سازی
• هزینه مدیریت
• فروشنده یا یک شریک مجاز به‌صورت سالانه پشتیبانی یا خدمات را فراهم می‌کند.
• نصب، یکپارچه‌سازی و حفظ و نگهداری مداوم

 پشتیبانی

ممکن است قدرت و دانش پشتیبانی از مشتریِ فروشنده به‌طور دقیق به معیارهای انتخاب فایروال پاسخ دهد. یک ارائه‌دهنده‌ی حرفه‌ای تلاش می‌کند تا بهترین روش را به مشتری معرفی کند، از تنظیم و پیچیدگی مناسب فایروال گرفته تا توصیه در مورد Policyهای BYOD.

حتی آگاه‌ترین و ماهر‌ترین متخصصان IT داخلی نیز می‌توانند از کمک فنی OEMهای فایروال استفاده کنند.

قبل از تصمیم گرفتن در مورد بهترین فایروال نسل آینده یا Next-Generation Firewall، باید در مورد وضعیت پشتیبانی مداوم از سوی تولیدکننده مطلع شویم و به‌طور خاص بپرسیم که:

• آیا پشتیبانی آن‌ها فراتر از تنظیم اولیه و یکپارچه‌سازی شبکه است؟
• تنظیم‌ها و ارتقاهای فایروال مداوم چطور؟ به‌خصوص برای فایروال‌های نرم‌افزاری که در بسیاری از مواقع باید جداگانه کنترل شوند؟
• آیا یک متخصص پشتیبانی خواهید داشت که بتوانید برای سؤالات کلی و نگرانی‌های به‌خصوص با وی تماس بگیرید؟

معیارهای پشتیبانی برای فایروال نسل آینده یا Next-Generation Firewall شامل پاسخگویی نسبت به نوع درخواست سرویس، کیفیت و دقت پاسخ، بسامد بروزرسانی‌های محصول و آموزش به مشتری و درک رویدادهای کنونی است.

 مجموعه ویژگی‌ها

انتخاب بهترین فایروال برای حفاظت از دستگاه‌های شبکه شامل ارزیابی ویژگی‌های ارائه‌شده توسط فایروال است. این ارزیابی به‌طور خاص درحین پیاده‌سازی فایروال‌های نسل جدید اهمیت دارد. ازآنجایی‌که مهم‌ترین مفهوم بهبود امنیت است، باید اطمینان حاصل شود که تمام ویژگی‌های عالی دریافت می‌گردد.

تمام ارائه‌دهندگان فایروال نسل آینده یا Next-Generation Firewall عملکرد یکسانی را ارائه نمی‌دهند. برای حفاظت از شبکه در مقابل پیچیده‌ترین حملات و نفوذها، ویژگی‌های فایروال نسل آینده یا Next-Generation Firewall معمولاً شامل فایروال‌ها با بررسی عمیق Packet به‌صورت Inline، بررسی و کنترل برنامه‌های کاربردی IDS/IPS، بررسی SSL/SSH، فیلترینگ URL و مدیریت QoS/پهنای باند است.

حیاتی است که توجه شود تمام ارائه‌دهندگان NGFW همه‌ی این عملکردها را ارائه نمی‌دهند و برخی از آن‌ها نام‌های مختلفی دارند. برخی از شرکت‌ها برای برخی از عملکردها به Licenseهای اضافی نیاز دارند و گاهی اوقات، عملکردها از طریق یک سرویس Cloud ارائه می‌شوند، نه فایروال.

NGFWها می‌توانند علاوه بر کنترل دسترسی، تهدیدات موجود، مثل بدافزارهای پیچیده و حملات در لایه برنامه کاربردی را خنثی کنند. بنا به گفته‌ی Gartner، یک فایروال نسل آینده یا Next-Generation Firewall باید دارای ویژگی‌های زیر باشد:

• مثلاً بررسی Stateful یک قابلیت استاندارد در فایروال است
• شناسایی و پیشگیری از نفوذ به‌صورت یکپارچه‌سازی‌شده
• آگاهی از برنامه کاربردی و کنترل آن برای تشخیص و متوقف کردن برنامه‌های احتمالاً خطرناک
• منابعی از هوش تهدید
• مسیرها باید ارتقا پیدا کنند تا جریان‌های اطلاعاتی آینده را در بر بگیرند
• تکنیک‌ها برای رسیدگی به تهدیدات امنیتی نوظهور

نکته‌ی کلیدی این است که سازمان‌ها درک کند چه چیزی را خریداری می‌کنند و آیا حفاظت لازم برای هر حوزه از امنیت موردنظر را ارائه می‌دهد یا خیر.

تست کردن فایروال نسل آینده یا Next-Generation Firewall قبل از خرید

اگر چیزی بدون تست کردن خریداری شود، خریدار فقط می‌تواند خودش را سرزنش کند. هرگز نباید به بروشورهای تبلیغاتی اعتماد کرد. نباید به داده‌هایی که عملکرد عالی را نشان می‌دهند اتکا کرد. بنابراین پیشنهاد می‌شود که قبل از خرید حداقل چند تست انجام گردد. حیاتی‌ترین تست، عملکرد فایروال نسل آینده یا Next-Generation Firewall در دنیای واقعی روی ترافیک واقعی است.

آیا سازمان‌ها به یک فایروال فایروال نسل آینده یا Next-Generation Firewall نیاز دارند؟

چرا که نه. شرکت می‌تواند با استفاده از فایروال نسل آینده یا Next-Generation Firewall و قابلیت‌های بهبودیافته‌ی آن، از مزایای بیشتری بهره‌مند شود. NGFWها ویژگی‌های مختلفی را ارائه می‌دهند که فایروال‌های استاندارد از آن بی‌بهره هستند، مثلاً جلوگیری از اینکه بدافزارها به شبکه دسترسی پیدا کنند و آمادگی برای رسیدگی به تهدیدات پیشرفته و مستمر یا APTها. ازآنجایی‌که NGFW قابلیت‌های آنتی‌ویروس، فایروال و نرم‌افزار‌های امنیتی دیگر را در یک راهکار واحد با هم ترکیب می‌کند، راهکار جایگزینی برای کسب‌و‌کارهایی محسوب می‌شود که سعی دارند امنیت خود را افزایش دهند.

سخن پایانی

برنامه‌ریزی و آزمایش محتاطانه قبل از استقرار محصول امنیتی به منظور اطمینان از نحوه عملکرد محصول در شبکه، بسیار حیاتی است. با انتخاب فایروال نسل بعدی APK Gate امکان نصب و راه­‌اندازی رایگان محصول در شبکه کارفرما به صورت پایلوت در مدت زمان ۴۵ روزفراهم بوده تا  قابلیت‌­ها و عملکرد بهینه محصول برای مشتری محرز گردد.

به کارگیری کارشناسان متخصص و ایجاد مجموعه مهارت­‌های مورد نیاز برای توسعه محصول باکیفیت و پشتیبانی قدرتمند آن بسیار حائز اهمیت می­‌باشد. نصب و پیکربندی محصول APK Gate، حس خوب اعتماد را برای مشتریان به دنبال خواهد داشت تا لذت کار با محصول بومی و دریافت خدمات توسعه، اجرا و پشتیبانی ‌سریع کارشناسان مجرب و متخصص را تجربه نمایند.‌

در صورت تمایل به کسب اطلاعات بیشتر، درخواست دمو یا مشاوره، نسبت به تکمیل فرم مورد نظر اقدام فرمایید.

درخواست دمو و مشاوره

دموی محصولات

مایلید در جلسه دمو ما، از نزدیک با محصولات مورد نیاز خود آشنا شوید؟

درخواست دمو

مشاوره

مایلید در جلسه مشاوره ما، بهینه‌ترین راهکار مورد نیاز خود را انتخاب نمایید؟ 

درخواست مشاوره

لیست قیمت

مایلید آخرین و به‌روزترین قیمت محصولات یا خدمات مورد نیاز خود را داشته باشید؟

درخواست قیمت