معرفی فایروال های نسل بعدی یا NGFW

مقدمه

فایروال های نسل بعدی (next-generation firewall یا NGFW) همگرایی فایروال سنتی با سایر عملکردهای فیلترینگ و پالایش شبکه، از جمله کنترل اپلیکیشن (application control)، سامانه یکپارچه پیشگیری از نفوذ (IPS)، قابلیت‌ پیشگیری از تهدید و محافظت آنتی ویروس (antivirus protection) است، که موجب بهبود امنیت شبکه سازمانی می‌شود.

فایروال نسل بعدی (NGFW) یک دهه پیش توسط گارتنر (Gartner) به این صورت معرفی شد: ” فایروال بازرسی ژرف بسته‌ها که علاوه بر بازرسی پورت/پروتکل‌ها و مسدودسازی، بازرسی لایه‌های اپلیکیشن، جلوگیری از نفوذ و اطلاعات خارج از فایروال را نیز شامل می‌شود.”

تفاوت فایروال نسل بعدی (NGFW) با فایروال سنتی

فایروال‌های سنتی فقط بر روی لایه‌های 3 (لايه شبكه) و 4 (لايه انتقال) مدل OSI (Open Systems Interconnection)، و با هدف اطلاع‌رسانی اقدامات، مدیریت ترافیک شبکه بین میزبان‌ها (hosts) و سیستم‌های نهایی، برای اطمینان از انتقال کامل داده‌ها، کار می‌کند. آنها ترافیک را بر اساس پورت و پروتکل مجاز یا مسدود می‌کنند، از بازرسی حالت اهرمی استفاده می‌کنند و بر اساس سیاست های امنیتی تعریف شده تصمیم می‌گیرند؛ به زبان ساده شامل معیارهایی برای مجاز یا رد کردن بسته‌ها با تشخیص آدرس IP مبدا بسته‌های ورودی، آدرس‌های IP مقصد، نوع پروتکل‌های اینترنتی بسته‌ها (مثلا بسته‌های IP معمولی حامل داده و همچنین پروتکل‌های Local-Link Network Discovery) و ویژگی‌های مسیریابی هستند.

با ظهور تهدیدات پیشرفته مانند باج‌افزارها، فایروال‌های حالتمند سنتی (stateful firewalls) به مرور عملکرد خود را از دست دادند، به همین دلیل تقاضا برای یک راه‌حل امنیتی پیشرفته و هوشمندتر بسیار بالا رفت. همین مسئله به پیدایش فایروال‌ های نسل بعدی (NGFW)، که به عنوان “تکامل بعدی در امنیت شبکه” شناخته می‌‌شدند، منجر شد. آنها تمام ویژگی‌های یک فایروال سنتی را دارا بوده و علاوه بر آن قابلیت‌های بیشتر و دقیق‌تری که امکان اعمال سیاست‌های سخت‌گیرانه‌تری را برای شناسایی هویت و کاربر، مکان و اپلیکیشن، فراهم می‌کردند.

در ادامه تفاوت بین فایروال‌ های نسل بعدی و فایروال‌های سنتی را در جدول زیر آورده‌ایم:

ویژگی‌های فایروال‌ های نسل بعدی (NGFW)

امروزه فایروال‌ های نسل بعدی بیش از پیش مورد استفاده قرار گرفته و بسیار محبوب شده‌اند. این فایروال‌ها نسبت به مدل‌های پیشین برای تامین امنیت شبکه، مزایای زیادی دارند.

• کنترل برنامه (Application control): فایروال‌ های نسل بعدی (NGFW) به طور فعال نظارت می‌کنند که ترافیک از کدام برنامه‌ها (و کاربران) به شبکه وارد می‌شود. آنها دارای توانایی ذاتی برای تجزیه و تحلیل ترافیک شبکه برای شناسایی ترافیک برنامه، بدون توجه به پورت یا پروتکل هستند و دید جامعی نسبت به شبکه ارائه می‌دهند.
• سامانه جلوگیری نفوذ (IPS): در هسته NGFW ، یک IPS برای نظارت مستمر شبکه، جستجوی رویدادهای مخرب و سپس انجام اقدامات دقیق برای جلوگیری از آنها طراحی شده است. IPS می‌تواند زنگ هشدار را برای مدیر ارسال کند، بسته‌ها را حذف (drop) کند، ترافیک را مسدود کند یا اتصال را به طور کلی ریست کند.
• هوش تهدید (Threat intelligence): هوش تهدید یا هوش تهدید سایبری اطلاعاتی است که از جمع‌آوری، پردازش و تحلیل داده‌ها به دست می‌آید و می‌توان از آن برای مقابله با تهدیدهای سایبری استفاده کرد. این موضوع به تیم‌ها کمک می‌کند تا تهدیداتی را که یک سازمان را هدف قرار می‌دهند یا قبلاً هدف قرار داده‌اند درک کنند. ارزش هوش تهدید غیرقابل انکار و یک ضرورت برای تامین امنیت شبکه است.
• آنتی ویروس (Antivirus): همانطور که از نام آن پیداست، نرم افزار آنتی ویروس، ویروس‌ها را شناسایی کرده و به آنها پاسخ می‌دهد، همچنین عملکرد شناسایی را برای مقابله با چشم انداز تهدید در حال تغییر به‌روز می‌کند.

NGFW چه کاری انجام می دهد؟

وقتی صحبت از ایمن‌سازی شبکه‌های شرکتی می‌شود، فایروال‌ های نسل بعدی (NGFW) در مقایسه با فایروال‌های سنتی قابلیت‌های بیشتری دارند. آنها عمیق‌تر ترافیک شبکه را بررسی می‌کنند تا منبع آن مشخص شود. در نتیجه، آن‌ها می‌توانند اطلاعات بیشتری در مورد ترافیک مخرب و تهدیدات احتمالی آن جمع‌آوری کنند، تهدیداتی که دائماً در تلاش برای نفوذ به محیط شبکه، دسترسی به داده‌های شرکت و اختلال در کار یک سازمان هستند.

در جایی که یک فایروال سنتی فقط در لایه‌های 3 و 4 کار می‌کند، فایروال‌ های نسل بعدی  می‌توانند تا لایه 7، یعنی لایه برنامه کاربردی کار کنند. این بدان معنی است که تهدیدات در سطح برنامه، که از خطرناک ترین و نافذترین آنها هستند، قبل از هر فعالیتی متوقف می‌شوند و در زمان و هزینه (برای اصلاح) صرفه‌جویی می‌شود.

مزیت‌ استفاده از فایروال های نسل بعدی (NGFW)

چشم‌انداز تهدیدات سایبری امروزی مستلزم محافظت قوی از تهدید است و فایروال‌های سنتی برای این منظور کافی نیستند.

فایروال‌ های نسل بعدی (NGFW) می‌توانند بدافزارها را مسدود کنند و برای خنثی کردن تهدیدات پیشرفته و مستمر (APT) مانند حمله هکرهای “Cozy Bear” که مسئول نفوذ زنجیره تأمین (Supply Chain Attack) در سال 2020 بودند و حمله هکرهای Deep Panda که عامل Log4Shell بودند، مجهزتر هستند.

علاوه بر این، با اطلاعات یکپارچه تهدید و گزینه‌هایی برای شبکه و اتوماسیون امنیتی، NGFW ها به سازمان‌ها این فرصت را می‌دهند که نه تنها عملیات امنیتی را ساده کنند، بلکه اولین گام را به سمت یک مرکز عملیات امنیتی کاملاً تحقق یافته (SOC) بردارند. با این حال، همه این قابلیت‌ها همچنان نیاز به بهبود داشته و با مجموعه ای از اشکالات همراه است.

چالش‌های فایروال‌ های نسل بعدی (NGFW)

با وجود اینکه فایروال‌ های نسل بعدی مزایای زیادی ارائه می‌دهند، اما آنها فاقد عملکرد مورد نیاز برای خدمت به نیروی کار پراکنده امروزی هستند.

به عنوان مثال، بک‌هال (backhaul) ترافیک به یک NGFW زمانی معنا پیدا می‌کرد که برنامه‌ها در مرکز داده و زمانی که بیشترین داده‌ها (و در نتیجه نقاط پایانی (endpoint)) در دفاتر شرکتی یا منطقه‌ای بودند. اما برنامه‌های امروزی برای پشتیبانی از کار از هر کجا، به فضای ابری منتقل شده‌اند، روندی که باعث می‌شود شبکه‌های سنتی و ابزارهای امنیتی از جمله NGFW و VPNها به دلیل عدم مقیاس‌پذیری، کافی نباشند.

(اصطلاح Backhaul اغلب در ارتباطات از راه دور استفاده می شود و به انتقال سیگنال از یک سایت یا شبکه راه دور به سایت دیگر، معمولاً مرکزی، اشاره دارد. بک‌هال معمولاً به یک خط با ظرفیت بالا اشاره دارد، به این معنی که خطوط پرسرعت قادر به انتقال پهنای باند بالا و بسیار سریع هستند.)

رایج‌ترین برنامه‌های کاربردی ابری مانند مایکروسافت 365 (Microsoft 365) برای دسترسی مستقیم از طریق اینترنت طراحی شده‌اند. برای ایجاد چنین ارتباطاتی، شرکت‌ها باید ترافیک اینترنت را به صورتی هدایت کنند تا تجربه کاربری سریعی را ارائه دهند.

درصورتی که بخواهید اینترنت محلی را با فایروال نسل بعدی، ایمن کرد، باید پشته‌های امنیتی (security stack) شرکت را در هر مکان تکرار کنید. یعنی، نیاز به استقرار NGFW یا پشته‌های لوازم امنیتی در هر شعبه دارید، که به دلیل هزینه و پیچیدگی استقرار و مدیریت بسیاری از فایروال‌ها، عملا غیرقابل اجرا است.

علاوه بر این، فایروال‌ های نسل بعدی برای پشتیبانی از برنامه‌های کاربردی ابری طراحی نشده‌اند. آنها به راحتی تحت تأثیر برنامه‌های ابری قرار می‌گیرند زیرا نمی‌توانند از حجم بالای اتصالات طولانی مدت، که برنامه‌ها ایجاد می‌کنند، را پشتیبانی کنند، که به طور پیش فرض امکان آگاهی در مورد برنامه‌های ابری را رد می‌کنند.

همچنین، آنها نمی‌توانند به صورت طبیعی، ترافیک رمزگذاری شده با SSL را مدیریت کنند، و با توجه به اینکه تقریباً تمام ترافیک وب امروزی رمزگذاری شده است، این نکته اهمیت فزاینده‌ای پیدا کرده است. برای اجرای بازرسی SSL، NGFWها باید قابلیت‎های پراکسی را که بازرسی SSL را اجرا می‌کنند، به جای در سطح تراشه (chip level)، در نرم‌افزار بچسبانند. این نه تنها بر عملکرد تأثیر می‌گذارد و تجربه کاربر را با مشکل مواجه می‌کند، بلکه به تهدیدهای امنیتی جدید مانند بدافزارهای پیشرفته نیز اجازه فعالیت می‌دهد.

بیشتر بخوانید: فایروال فورتی گیت

جمع‌بندی

در نهایت باید گفت حملات به شبکه ها همچنان یک پدیده سریع در حال تحول است که ادامه راه را برای هر راه‌حل امنیتی سخت می‌کند. در حال حاضر، فایروال‌ های نسل بعدی (NGFW) یکی از بهترین راه حل‌های موجود برای ایمن‌سازی شبکه است.

سؤالات متداول

فایروال‌ های نسل بعدی چه تفاوتی با فایروال‌های نسل قبلی دارند؟

ویژگی‌ها و امکاناتی که این فایروال‌ها ارائه می‌دهند متنوع‌تر و گسترده تر است.