APKGATE، سامانه مدیریت یکپارچه تهدیدات بومی

یک ابزار، صدها قابلیت

APKGate بر پایه معماری Plane-Based Architecture طراحی شده است؛ رویکردی که در آن، وظایف اصلی سیستم در لایه‌های مستقل از یکدیگر تفکیک می‌شوند. این ساختار باعث می‌شود پردازش ترافیک، تصمیم‌گیری امنیتی و مدیریت سیستم بدون تداخل با یکدیگر انجام شوند و در نتیجه کارایی، مقیاس‌پذیری و پایداری سیستم افزایش پیدا کند.
APKGate علاوه‌براین، در بستر سیستم‌عاملی مبتنی بر BSD توسعه یافته است. این بستر به دلیل پایداری بالا، امنیت ساختاری و عملکرد قابل اعتماد در تجهیزات شبکه انتخاب شده است و امکان اجرای یکپارچه ماژول‌های شبکه و امنیت را فراهم می‌کند.
در این معماری سه لایه اصلی، وظایف سیستم را بر عهده دارند:

•  Data Plane برای پردازش بلادرنگ ترافیک
•  Control Plane برای تصمیم‌گیری و اعمال سیاست‌های امنیتی
•  Management Plane برای مدیریت، مانیتورینگ و کنترل سیستم

این تفکیک ساختاری باعث می‌شود عملیات مدیریتی یا تحلیل سیاست‌ها تأثیری بر سرعت پردازش بسته‌ها نداشته باشد و سیستم بتواند در شرایط بار بالا هم عملکردی پایدار داشته باشد.
محصولی به پیچیدگی APKGate با ۶ سری ۱۰۰، ۲۰۰، ۳۰۰، ۴۰۰، ۵۰۰ و ۶۰۰، که هر سری در ۲ مدل ارائه می‌شود و با بهره‌گیری از مجموعه‌ای یکپارچه و هوشمند از قابلیت‌ها، تجربه‌ای متمایز در امنیت و مدیریت شبکه فراهم می‌کند.

ویژگی‌های هشت‌لایه‌ APKGate

محصول APKGate‌ با هشت لایه کارکرد طراحی شده است. این کارکردها در واقع سرویس‌های تودرتویی هستند که در ادامه به تفکیک به آن‌ها پرداخته‌ایم:

• مدیریت شبکه
• مدیریت جریان داده‌ها
• تحلیل و تصمیم‌گیری هوشمند
• حفاظت از سرورها
• تشخیص و جلوگیری از نفوذ
• کنترل دسترسی
• ایجاد ارتباطات امن
• گزارش‌گیری جامع

فرماندهی شبکه

زیرساخت مدیریتی سیستم در لایه Management Plane پیاده‌سازی شده است. این لایه امکان مدیریت کامل سامانه را با رابط‌های مدیریتی فراهم می‌کند و شامل ابزارهایی مانند Web GUI، CLI/SSH، REST API، مدیریت دسترسی مبتنی بر نقش (RBAC) و قابلیت پشتیبان‌گیری و بازیابی تنظیمات است. همچنین در همین لایه لاگ‌ها جمع‌آوری و گزارش‌های مدیریتی تولید می‌شوند.

• رابط گرافیکی وب ساده و کاربرپسند
• داشبوردهای گرافیکی قابل تنظیم
• پروفایل‌های از‌پیش‌آماده و قابل سفارشی‌سازی
• ذخیره‌سازی تنظیمات به‌صورت دستی یا زمان‌بندی‌شده
• مدیریت و مانیتورینگ خودکار از طریق SNMP
• اتصال گسترده از طریق API Integration
• پشتیبانی از تاریخ شمسی و میلادی

جریان داده هوشمند

منطق سرویس‌های شبکه در لایه Control Plane مدیریت می‌شود. در این لایه، پردازش سیاست‌های شبکه، مدیریت مسیریابی (از جمله Static Routing، OSPF و BGP) و کنترل تونل‌های ارتباطی انجام می‌شود. تصمیمات این لایه برای اجرا به لایه پردازش ترافیک منتقل می‌شوند.

• پشتیبانی از پروتکل‌های مسیریابی Static و Dynamic
• تخصیص IP به کلاینت‌ها (DHCP)
• کنترل و هدایت درخواست‌های DNS
• مدیریت و نظم دهی ترافیک شبکه با استفاده از Load Balancing
• توزیع ترافیک بر اساس معیارهای مختلف
• مدیریت و کنترل دسترسی از راه دور با ارتباط ایمن و احراز هویت دو عامله
• پشتیبانی از IPv4 و IPv6

فایروال نسل بعد، مغز تحلیل و تصمیم

اجرای سیاست‌های امنیتی فایروال نسل بعد در معماری سیستم، به‌صورت تفکیک‌شده انجام می‌شود؛ منطق تصمیم‌گیری در Control Plane تحلیل می‌شود و اجرای آن‌ها در Data Plane روی ترافیک شبکه اعمال می‌شود. این جداسازی باعث می‌شود تحلیل سیاست‌ها تأثیری بر سرعت پردازش بسته‌های داده نداشته باشد.

• تشخیص و کنترل ترافیک لایه ۷ (بر اساس برنامه و محتوا)
• تحلیل دقیق بسته‌های داده با Stateful Inspection
• پشتیبانی از Zone و Interface Pair Policy
• امکان اجازه، مسدودسازی یا محدودسازی پهنای باند
• تشخیص بیش از ۳۰۰۰ برنامه کاربردی
• تعریف پروفایل‌های متفاوت برای کاربران یا گروه‌ها
• تعریف سیاست‌های دسترسی به وب‌سایت‌ها و برنامه‌ها
• تعریف سیاست دسترسی بر مبنای IP کشورها

نگهبانی از سرورهای وب

پردازش این سرویس‌ها در مسیر عبور ترافیک شبکه و در لایه Data Plane انجام می‌شود. در این لایه ترافیک ورودی و خروجی به‌صورت بلادرنگ تحلیل شده و سرویس‌های امنیتی به‌صورت Inline روی آن اعمال می‌شوند.

• شناسایی و جلوگیری از حملات SQL Injection، XSS، Broken Authentication، File Inclusion، CSRF با استفاده از سرویس WAF
• الگوهای آماده و به‌روزرسانی‌شده برای مقابله با تهدیدات
• به‌روزرسانی مداوم الگوها
• بررسی ترافیک HTTPS
• مدیریت گواهی‌های TLS/SSL
• کنترل تعداد درخواست‌ها
• محافظت در برابر حملات DoS
• توزیع بار بین چندین سرور
• ایجاد پروفایل‌های رفتاری

تشخیص و جلوگیری از نفوذ

این سرویس در مسیر پردازش ترافیک و به‌صورت Inline Security در Data Plane اجرا می‌شود و امکان تحلیل بسته‌های داده و واکنش سریع به تهدیدات را فراهم می‌کند.

• شناسایی حملات بر اساس الگوهای از پیش تعریف‌شده (Signature)
• به‌روزرسانی مداوم الگوها
• دسته‌بندی حملات
• پوشش حملات در لایه‌های مختلف شبکه
• قابلیت کار در دو حالت: تحلیل بدون مداخله و مسدودسازی خودکار حملات
• تعریف پروفایل‌های متفاوت برای رابط‌های کاربری
• تعریف الگوهای سفارشی
• پاسخ خودکار به تهدیدات با اتصال به سامانه APKSIEM

حسابرسی مبتنی بر کاربر

مدیریت هویت کاربران و اشیای شبکه (مانند User، Address و Service) در لایه Control Plane انجام می‌شود و سیاست‌های تعریف‌شده در این لایه برای اجرا به Data Plane منتقل می‌شوند.

• احراز هویت کاربران از طریق Local، LDAP، Active Directory و RADIUS
• دسته‌بندی پروفایل‌ها و اعمال سیاست‌های دسترسی بر اساس هویت کاربر
• پشتیبانی از Authentication bypass
• اختصاص سیاست‌های دسترسی به گروه‌های کاربری در دو پروفایل مجزا
• تعریف سیاست‌های دسترسی بر مبنای زمان، حجم و پهنای باند
• مدیریت اتصال همزمان کاربر
• ثبت فعالیت کاربران
• شخصی‌سازی صفحه Captive Portal

VPN، پل امن ارتباطات

مدیریت تونل‌های VPN هم درلایه‌ی Control Plane انجام می‌شود و پردازش ترافیک رمزنگاری‌شده در Data Plane صورت می‌گیرد.

• ایجاد ارتباطات Site-to-Site و Remote Access
• پشتیبانی از انواع پروتکل‌ها VPN
• اتصال امن با پشتیبانی از الگوریتم‌های رمزنگاری قوی
• احراز هویت کاربران از طرق Local، LDAP/Active Directory/RADIUS، Token (2FA) و گواهی دیجیتال X.509
• تعریف پروفایل‌های دسترسی و سیاست‌گذاری‌های سفارشی برای آن‌ها
• سازگاری با دستگاه‌ها و پروتکل‌های مختلف VPN

دید ۳۶۰ درجه با گزارش‌گیری جامع

این دسته از داده‌ها در لایه Management Plane جمع‌آوری می‌شوند و با ابزارهای گزارش‌گیری و مانیتورینگ در اختیار مدیران شبکه قرار می‌گیرند.

• داشبوردهای Live برای نمایش مصرف پهنای باند، حملات بلوکه شده، کاربران متصل و…
• نقشه گرافیکی از منابع تهدید
• نظارت بر مصرف اینترنت کاربران و برنامه‌ها
• ثبت تهدیدات امنیتی و حملات شناسایی شده
• پایش تغییرات پیکربندی
• پایش سلامت سیستم
• رویدادهای سرویس‌های مختلف
• ادغام با ابزارهای خارجی و ارسال لاگ