15 معیار انتخاب فایروال برای خرید NGFW

در دنیای فناوری، امنیت یکی از نخستین دغدغه‌هایی است که باید به آن فکر کنیم. در زمانی که هر صنعت و کسب‌وکاری برای خود وب‌سایت، اپلیکیشن و پلتفرم آنلاینی دارد، امن نگه‌داشتن این زیرساخت‌ها اهمیتی بیش‌ازپیش پیدا می‌کند و توجه بیشتری می‌طلبد.در فضای میزبانی وب گزینه‌های مختلفی برای امن نگه‌داشتن زیرساخت وجود دارد. اما چطور بدانیم که این گزینه‌ها چیست و چگونه باید آنها را انتخاب کنیم؟

فایروال یکی از ساده‌ترین و درعین‌حال اثربخش‌ترین گزینه‌ها‌ برای حفظ امنیت شبکه‌ها، سرورها و دیگر زیرساخت‌های آنلاین است که در این مقاله بیشتر به آن خواهیم پرداخت. با ما همراه باشید.

فایروال به زبان ساده چیست؟

فایروال وسیله‌ای است که برای امنیت شبکه و نظارت بر ترافیک ورودی و خروجی آن مورد استفاده قرار می‌گیرد. این وسیله دورِ رایانه یا شبکه خصوصی شما حصاری می‌کشد و در نقطه ورودی مانند یک نگهبان یا دژبان عمل می‌کند. این نگهبان بر اساس مجموعه‌ای از قوانین امنیتی، تعیین می‌کند که آیا داده‌های ورودی و خروجی حق عبور از گذرگاه را دارند یا خیر.

با تعیین قوانین دلخواه و متناسب با شبکه خود این‌ توانایی را دارید که داده‌ها و ترافیک موردنظرتان را به داخل یا خارج شبکه خصوصی خود انتقال دهید. در همین حال از ورود و خروج ترافیکی که با خواسته‌های شما مطابقت ندارد و بر اساس ضوابط تعیین شده شما نیست جلوگیری می‌شود. کار دیگری که فایروال انجام می‌دهد مسدودکردن دسترسی نرم‌افزارها و داده‌های مخربی است که می‌تواند به رایانه و یا سرور مورد استفاده شما آسیب بزند.

هدف و کارکرد فایروال چیست؟

کارکرد فایروال کاهش یا حذف ارتباطات ناخواسته شبکه با فضای آلوده خارجی و افزایش جریان آزاد ترافیک بر اساس ضوابط مشخص‌شده از سوی شماست. استفاده از فایروال بر روی زیرساخت آنلاین امری ضروری است که می‌تواند رایانه یا سرورهای شما را از خطرات موجود در اینترنت جدا کرده و امنیت و محرمانگی داده‌های ارزشمند کسب‌وکار شما را حفظ کند. همان‌طور که اشاره کردیم فایروال نه‌تنها بر ترافیک و ورودی و خروجی سرور شما نظارت می‌کند؛ بلکه در مواردی که نیاز باشد این ترافیک را محدود می‌کند.

برای نمونه درصورتی‌که با حملات محروم‌سازی از سرویس (DOS) مواجه شویم سیل وحشتناکی از ترافیک به‌سوی وب‌سایت شما سرازیر می‌شود که می‌تواند سرور مربوط به وب‌سایت شما را از دسترس خارج کند. در چنین مواردی فایروالی که به‌درستی تنظیم شده باشد می‌تواند از سرور و محیط مجازی کسب‌وکار شما در مقابل چنین حملاتی محافظت کند. با استفاده از دیواره آتش می‌توانید الگوهای ترافیکی مختلف را شناسایی کنید و با پیدا کردن الگوهای مربوط به حملات امنیتی مختلف، آنها را خنثی کنید.

مدل ۷ لایه شبکه در ارتباط با فایروال

پیش از آشنایی با فایروال لازم است با مدل هفت لایه‌ای OSI برای شبکه و ارتباط آن با فایروال آشنا شویم. برای این کار از ورود به مفاهیم پیچیده پرهیز می‌کنیم و تنها با یک مثال به معرفی این لایه‌ها می‌پردازیم. پس از آشنایی با این هفت لایه می‌توان درک بهتری از انواع فایروال‌ها و اینکه هرکدام در کدام لایه‌(ها) فعالیت می‌کنند داشت.

فرض کنید قرار است نامه یا بسته‌ای پستی را برای دوستتان که در شهر دیگری زندگی می‌کند بفرستید. برای اینکه مطمئن شوید نامه به دوستتان می‌رسد فرایند گام‌به‌گامی را همانند مدل OSI در شبکه طی می‌کنید.

• نامه خود (داده) را روی یک برگ کاغذ می‌نویسید. در مدل OSI این همان لایه اپلیکیشن (لایه ۷) است که در آن محتوا را ایجاد می‌کنید.
• نامه را در پاکت می‌گذارید. پاکت‌نامه و اطلاعات نوشته‌شده روی آن راهی برای شناسایی فرستنده و گیرنده نامه ایجاد می‌کند. این مشابه کاری است که لایه ارائه (لایه ۶) انجام می‌دهد و داده را برای ارسال آماده‌سازی می‌کند.
• بعد از بستن درِ پاکت، آدرس دوستتان و آدرس برگشت (یعنی آدرس خودتان) را روی پاکت می‌نویسید. این مشابه لایه سشن (لایه ۵) است که ارتباط میان رایانه شما و دوستتان را حفظ می‌کند.
• حالا پاکت‌نامه را برمی‌دارید و به اداره پست می‌روید، کارمندان اداره پست نامه‌ها را بر اساس مقصد مرتب می‌کنند. این مشابه کار لایه انتقال (لایه ۴) است که از رسیدن نامه شما به آدرس درست اطمینان حاصل می‌کند.
• زمانی که نامه‌ها مرتب شد، نامه شما در کیفی قرار می‌گیرد که نامه‌هایی با مقصد مشابه در آن قرار دارند. این مشابه لایه شبکه (لایه ۳) است که تعیین می‌کند بهترین مسیر برای رسیدن نامه به دوست شما کدام مسیر است.
• کیف نامه به محل توزیع نامه محلی فرستاده می‌شود. در این محل، نامه‌ها بار دیگر بر اساس آدرس‌های محلی مرتب می‌شوند. این مشابه کار لایه دیتالینک (لایه ۲) است که انتقال مطمئن داده میان دستگاه‌های هم‌جوار در شبکه را ممکن می‌کند.
• در نهایت نامه به اداره پست خیابان دوست شما می‌رسد و از آنجا به صندوق پست دوستتان می‌رود. این کار همانند کار لایه فیزیکی (لایه ۱) است که با ارسال فیزیکی داده‌ها از طریق دستگاه‌ها و کابل‌های شبکه یا انتقال بی‌سیم سروکار دارد.

با طی این فرایند نامه با موفقیت به دوست شما می‌رسد. به همین صورت در مدل OSI هم با طی چنین فرایندی داده به صورت دقیق و صحیح بین رایانه‌ها در شبکه منتقل می‌شود.

انواع فایروال

انواع فایروال از نظر شکل و حالت

فایروال‌ ‌می‌تواند نرم‌افزاری یا سخت‌افزاری باشد. اجرای فایروال سخت‌افزاری بر روی دستگاه مستقل فیزیکی است، درحالی‌که فایروال نرم‌افزاری می‌تواند روی یک یا چند سیستم نصب شود. این فایروال بر روی همان سروری نصب می‌شود که سایر سرویس های مرتبط با سرور وجود دارد ، یک نرم افزار که در نقش فایروال عمل می کند .

فایروال سخت‌افزاری چیست؟

فایروال سخت‌افزاری امکان کنترل ۱۰۰ درصدی بر روی ترافیک شبکه را فراهم می‌کند و می‌توانید تصمیم بگیرید چه نوع ترافیکی به سرور شما دسترسی داشته باشد. پیش از اینکه پای ترافیک به سرور شما باز شود وارد فایروال سخت‌افزاری می‌شود و تفسیر و تحلیل می‌شود.

مزیت دیگر فایروال سخت‌افزاری امکان نصب شبکه مجازی اختصاصی () و اتصال مستقیم به محیط کاری شماست. از این‌ طریق هر جایی که اینترنت قابل استفاده‌ای وجود داشته باشد می‌توانید به شکل امن به زیرساخت خود دسترسی پیدا کنید.

فایروال نرم‌افزاری چیست؟

فایروال نرم‌افزاری نوعی دیوار آتش است که بر روی رایانه نصب می‌شود و پیش از اینکه به ترافیک اجازه عبور دهد آن را کنترل می‌کند. این نوع از فایروال نیازمند سخت‌افزار جداگانه‌ای نیست.

فایروال نرم‌افزاری را می‌توانید روی هر دستگاه یا سروری که بخواهید نصب کنید. ترافیک عبوری را می‌توانید بر اساس محتوا تجزیه‌وتحلیل کنید و حتی در مواردی آن را بر مبنای کلمات کلیدی مسدود کنید.

تنظیم هشدارهای امنیتی و مدیریت قوانین و کاربران در این نوع فایروال آسان‌تر و در دسترس‌تر است. بااین‌حال در استفاده از فایروال نرم‌افزاری تطابق سیستم‌عامل سرور با نوع‌ سرویس و نر‌م‌افزار بسیار مهم است و بدون انطباق این دو، بهترین فایروال هم برای شما کارآمد نخواهد بود.

از دیگر نکته‌های مهمی که هنگام استفاده از این نوع فایروال باید در نظر بگیرید، میزان استفاده آن از منابع سخت‌افزاری شماست. اگر از سرورهای اختصاصی و پرقدرت استفاده کنید ممکن است بتوانید این میزان از مصرف منابع را نادیده بگیرید؛ ولی در کسب‌وکارهای کوچک با منابع محدود، باتوجه‌به میزان بالای مصرف پردازش و حافظه‌ این نرم‌افزارها ممکن است زیرساخت شما تحت فشار قرار گیرد و مشکل‌ساز شود.

انواع فایروال از نظر کارکرد

فایروال‌ها از نظر کارکرد به پنج دسته تقسیم می‌شوند. در ادامه به هریک از این دسته‌ها نگاهی کوتاه می‌اندازیم.

این نوع از فایروال‌ها سرعت بالا و قیمت پایینی دارند و با توجه به مصرف پایین منابع پردازشی و حافظه‌ای کمترین اثر منفی را روی عملکرد شبکه و تجربه کاربری می‌گذارند.

در مقابل باید توجه داشت که این نوع بررسی بسته داده در پایین‌ترین سطح انجام می‌شود و تنها جنبه‌های ظاهری بسته داده را بررسی می‌کند؛ بنابراین ممکن است به‌تنهایی نتواند سطح امنیتی خیلی بالایی را تأمین کند.

روش سریع دیگری برای شناسایی محتوای مخرب است. این نوع فایروال در لایه Session از مدل OSI شبکه بررسی می‌کند که آیا این بسته یا پیغام واقعاً از سوی فرستنده ارسال شده است و یا در میانه راه تغییر کرده است.

می‌توان از این فایروال برای اتصال دو زیرشبکه از یک سازمان به هم نیز استفاده کرد. درگاه سطح مدار می‌تواند بسته داده را از درگاه مبدأ رمزگذاری کند و در درگاه مقصد رمزگشایی نماید تا از اصیل بودن بسته ارسالی مطمئن شویم. از این نوع فایروال در ساخت VPNها هم استفاده می‌شود.

باید توجه داشت این نوع درگاه به‌تنهایی نمی‌تواند سطح امنیتی بالایی را تأمین کند و باید به همراه دیگر جنبه‌های فایروال استفاده شود وگرنه امکان نشت داده از دستگاه‌های دیگر وجود دارد.

درگاه سطح مدار، نظارتی در سطح لایه اپلیکیشن و داده‌های درون بسته انجام نمی‌دهد و برای اینکه در سطح خوبی کار کند مرتباً محتاج به‌روزرسانی است.

از سوی دیگر این درگاه در سرورها از دریافت فایل‌های بدافزار و آسیب‌زا (مانند فایل‌های جاوااسکریپت یا فایل‌های اجرایی exe) جلوگیری می‌کند. همچنین می‌تواند حملات SQL Injection که با دست‌کاری فرم‌های وب‌سایت و تغییر در queryهای SQL اقدامات مخربی انجام دهد را خنثی کند.

این فایروال در سطوح مختلفی کار بررسی را انجام می‌دهد و جریان تراکنش‌ها و تعامل‌های شبکه را در لایه‌های مختلف از هفت‌لایه شبکه در مدل OSI تحت‌نظر می‌گیرد.

فایروال نسل آینده (NGFW)

این نوع از فایروال روش‌های بررسی بسته داده را با روش بررسی حالت ترکیب کرده و علاوه‌برآن برخی انواع بررسی عمیق بسته (DPI) را نیز به کار می‌گیرد. علاوه بر این ممکن است سیستم‌های امنیت شبکه دیگری همچون فیلتر ابزارهای مخرب IDS/IPS و آنتی‌ویروس‌ها را هم با خود به همراه داشته باشد.

درحالی‌که بررسی‌ها در فایروال‌های سنتی اغلب در هدر پروتکل بسته انجام می‌شود، DPI خود داده‌های درون بسته را بازبینی می‌کند. فایروال DPI می‌تواند پیشرفت یک جلسه کاری (Session) را در مرورگر وب رهگیری کند و تشخیص دهد که مجموع بسته‌های داده به‌ هم پیوند‌یافته در سرور Http پاسخی مجاز را ایجاد کرده است یا خیر.

این روش کل ترافیک از لایه ۲ (دیتالینک) تا لایه ۷ (اپلیکیشن) را به شکل دقیق تحت‌نظر قرار می‌دهد. این سیستم نیازمند یکپارچه‌سازی با دیگر روش‌های امنیتی است و توانایی به‌روزرسانی خودکار را دارد؛ بنابراین بهترین نوع فایروال محسوب می‌شود.

تفاوت فایروال با آنتی‌ویروس چیست؟

فایروال بر اساس قوانین مشخص شده ترافیک دلخواه را عبور می‌دهد یا مسدود می‌کند؛ اما کار آنتی‌ویروس متفاوت است. آنتی‌ویروس نرم‌افزاری است که امنیت سیستم را در مقابل داده‌های آلوده و مخرب تأمین می‌کند و در سه‌گام این کار را انجام می‌دهد:

• شناسایی ویروس
• تعیین نوع ویروس
• حذف

بنابراین، فایروال از ابتدا اجازه ورود داده‌های مغایر با مقررات را نمی‌دهد، اما آنتی‌ویروس داده‌های وارد شده آلوده و مخرب را شناسایی کرده و از بین می‌برد.

مزایا و معایب استفاده از فایروال

مزایا

فایروال با کنترل ورودی‌ها و خروجی‌ها مزایای زیادی برای ما دارد که برخی از مهم‌ترین موارد را در ادامه بررسی می‌کنیم.

نظارت بر ترافیک

فایروال ترافیک عبوری را بررسی می‌کند و درصورتی‌که بدافزار خطرناکی به بسته‌های داده متصل شده باشد جلوی ورود آن را می‌گیرد.

کنترل دسترسی

سیاست دسترسی یکی از اجزای فایروال است که کنترل میزبان‌ها و سرویس‌های خاصی را بر عهده دارد. یکی از راه‌های عدم نفوذ افراد غیرمجاز و هکرها بستن دسترسی به سرویس‌های خاص بر روی دستگاه یا سرور است.

محرمانگی

در مواردی که محرمانگی موردنظر باشد و بخواهید دسترسی کاملاً به‌صورت امن و بدون دخالت افراد غیرمجاز انجام شود فایروال با استفاده از شبکه اختصاصی مجازی به شما اجازه می‌دهد این اطلاعات را به‌صورت امن منتقل کنید و از دسترسی دیگران دور نگه‌دارید.

معایب فایروال

استفاده از منابع محدود سرور

بااین‌حال استفاده از فایروال سخت‌افزاری این مشکل را به همراه ندارد و از دستگاه و سخت‌افزار جداگانه‌ای استفاده می‌کند.

قیمت بالای برخی فایروال‌های سخت‌افزاری

همان‌طور که توضیح دادیم فایروال‌های نرم‌افزاری اغلب هزینه زیادی را به شما تحمیل نمی‌کنند اما خرید فایروال‌های سخت‌افزاری می‌تواند هزینه بالایی برای شما ایجاد کند. خرید فایروال سخت‌افزاری برای یک کسب‌وکار کوچک هزینه‌ای از ۷۰۰ دلار تا ۱۰ هزار دلار را به همراه خواهد داشت.

بیشتر کسب‌وکارها با ۱۵ تا ۱۰۰ کاربر نیازمند خرید فایروال سخت‌افزاری به قیمت ۱۵۰۰ تا ۴۰۰۰ دلار خواهند بود. باید در نظر داشت که استفاده از فایروال سخت‌افزاری بر روی سرورهای اشتراکی بر اساس قیمت‌گذاری سرویس‌دهنده است و ممکن است به‌صورت یک پکیج بدون هزینه اضافه به خریدار ارائه شود.

محدودیت‌های کاربری

درست است که فایروال جلوی ورود ترافیک غیرمجاز از شبکه به سرور یا سیستم شما را می‌گیرد، اما این مسئله می‌تواند به مشکلی برای سازمان‌های بزرگ‌تر تبدیل شود. وجود سیاست‌های غیرقابل‌انعطاف در فایروال باعث می‌شود کارکنان نتوانند برخی فعالیت‌های خود را انجام دهند که این مسئله ممکن است باعث ایجاد یک درب پشتی رخنه‌مانند از سوی افراد دارای دسترسی در سازمان شود که خود می‌تواند محلی برای ورود بدافزارها شود.

پیچیدگی برخی کارکردها

در سازمان‌های بزرگ ممکن است تنظیم و نگهداری فایروال نیازمند کارکنان مجزایی باشد که بر کارکرد فایروال نظارت کنند و از امنیت آن اطمینان حاصل کنند. در موارد دیگری هم ممکن است لازم باشد با متخصصان خدمات میزبانی خود هماهنگ شویم و خواسته‌های خود را به‌صورت شفاف توضیح دهیم تا متخصصان، تنظیمات لازم را برای ما انجام دهند.

جهت اطلاع بیشتر می‌توانید با شرکت فرابرد رایانه آریانا تماس بگیرید.