مقدمه
فایروال های نسل بعدی (next-generation firewall یا NGFW) همگرایی فایروال سنتی با سایر عملکردهای فیلترینگ و پالایش شبکه، از جمله کنترل اپلیکیشن (application control)، سامانه یکپارچه پیشگیری از نفوذ (IPS)، قابلیت پیشگیری از تهدید و محافظت آنتی ویروس (antivirus protection) است، که موجب بهبود امنیت شبکه سازمانی میشود.
فایروال نسل بعدی (NGFW) یک دهه پیش توسط گارتنر (Gartner) به این صورت معرفی شد: ” فایروال بازرسی ژرف بستهها که علاوه بر بازرسی پورت/پروتکلها و مسدودسازی، بازرسی لایههای اپلیکیشن، جلوگیری از نفوذ و اطلاعات خارج از فایروال را نیز شامل میشود.”
تفاوت فایروال نسل بعدی (NGFW) با فایروال سنتی
فایروالهای سنتی فقط بر روی لایههای 3 (لايه شبكه) و 4 (لايه انتقال) مدل OSI (Open Systems Interconnection)، و با هدف اطلاعرسانی اقدامات، مدیریت ترافیک شبکه بین میزبانها (hosts) و سیستمهای نهایی، برای اطمینان از انتقال کامل دادهها، کار میکند. آنها ترافیک را بر اساس پورت و پروتکل مجاز یا مسدود میکنند، از بازرسی حالت اهرمی استفاده میکنند و بر اساس سیاست های امنیتی تعریف شده تصمیم میگیرند؛ به زبان ساده شامل معیارهایی برای مجاز یا رد کردن بستهها با تشخیص آدرس IP مبدا بستههای ورودی، آدرسهای IP مقصد، نوع پروتکلهای اینترنتی بستهها (مثلا بستههای IP معمولی حامل داده و همچنین پروتکلهای Local-Link Network Discovery) و ویژگیهای مسیریابی هستند.
با ظهور تهدیدات پیشرفته مانند باجافزارها، فایروالهای حالتمند سنتی (stateful firewalls) به مرور عملکرد خود را از دست دادند، به همین دلیل تقاضا برای یک راهحل امنیتی پیشرفته و هوشمندتر بسیار بالا رفت. همین مسئله به پیدایش فایروال های نسل بعدی (NGFW)، که به عنوان “تکامل بعدی در امنیت شبکه” شناخته میشدند، منجر شد. آنها تمام ویژگیهای یک فایروال سنتی را دارا بوده و علاوه بر آن قابلیتهای بیشتر و دقیقتری که امکان اعمال سیاستهای سختگیرانهتری را برای شناسایی هویت و کاربر، مکان و اپلیکیشن، فراهم میکردند.
در ادامه تفاوت بین فایروال های نسل بعدی و فایروالهای سنتی را در جدول زیر آوردهایم:
فایروال نسل بعدی |
فایروال سنتی |
فایروال نسل بعدی بازرسی stateful ترافیک شبکه ورودی و خروجی را همراه با ویژگیهای بیشتری فراهم میکند. |
فایروال سنتی بازرسی stateful ترافیک ورودی و خروجی شبکه را فراهم میکند |
فایروال نسل بعدی کنترل و دید جامع برنامه را فراهم میکند. |
فایروال سنتی فقط کنترل و دید اپلیکیشن را به صورت جزئی فراهم میکند. |
فایروال نسل بعدی در لایه 2 تا لایه 7 کار میکند. |
فایروال سنتی فقط در لایه 2 تا 4 کار میکند. |
در فایروال نسل بعدی، کاربران به راحتی میتوانند ابزارهای امنیتی را نصب، پیکربندی یا ادغام کنند. بنابراین هزینهها کاهش پیدا میکند. |
در فایروالهای سنتی هزینه مدیریت ابزارهای امنیتی به صورت جداگانه بسیار بالا است. |
ترافیک SSL را میتوان توسط فایروال نسل بعدی رمزگشایی و بازرسی کرد. |
فایروال سنتی نمیتواند ترافیک SSL را رمزگشایی و بازرسی کنند. |
سیستم یکپارچه حفاظت از نفوذ (IPS) و سیستم تشخیص نفوذ (IDS)در فایروال نسل بعدی یکپارچه شده است. |
سیستم یکپارچه حفاظت از نفوذ (IPS) و سیستم تشخیص نفوذ (IDS) در فایروالهای سنتی به صورت جداگانه قرار گرفتهاند. |
ویژگیهای فایروال های نسل بعدی (NGFW)
امروزه فایروال های نسل بعدی بیش از پیش مورد استفاده قرار گرفته و بسیار محبوب شدهاند. این فایروالها نسبت به مدلهای پیشین برای تامین امنیت شبکه، مزایای زیادی دارند.
- کنترل برنامه (Application control): فایروال های نسل بعدی (NGFW) به طور فعال نظارت میکنند که ترافیک از کدام برنامهها (و کاربران) به شبکه وارد میشود. آنها دارای توانایی ذاتی برای تجزیه و تحلیل ترافیک شبکه برای شناسایی ترافیک برنامه، بدون توجه به پورت یا پروتکل هستند و دید جامعی نسبت به شبکه ارائه میدهند.
- سامانه جلوگیری نفوذ (IPS): در هسته NGFW ، یک IPS برای نظارت مستمر شبکه، جستجوی رویدادهای مخرب و سپس انجام اقدامات دقیق برای جلوگیری از آنها طراحی شده است. IPS میتواند زنگ هشدار را برای مدیر ارسال کند، بستهها را حذف (drop) کند، ترافیک را مسدود کند یا اتصال را به طور کلی ریست کند.
- هوش تهدید (Threat intelligence): هوش تهدید یا هوش تهدید سایبری اطلاعاتی است که از جمعآوری، پردازش و تحلیل دادهها به دست میآید و میتوان از آن برای مقابله با تهدیدهای سایبری استفاده کرد. این موضوع به تیمها کمک میکند تا تهدیداتی را که یک سازمان را هدف قرار میدهند یا قبلاً هدف قرار دادهاند درک کنند. ارزش هوش تهدید غیرقابل انکار و یک ضرورت برای تامین امنیت شبکه است.
- آنتی ویروس (Antivirus): همانطور که از نام آن پیداست، نرم افزار آنتی ویروس، ویروسها را شناسایی کرده و به آنها پاسخ میدهد، همچنین عملکرد شناسایی را برای مقابله با چشم انداز تهدید در حال تغییر بهروز میکند.
NGFW چه کاری انجام می دهد؟
وقتی صحبت از ایمنسازی شبکههای شرکتی میشود، فایروال های نسل بعدی (NGFW) در مقایسه با فایروالهای سنتی قابلیتهای بیشتری دارند. آنها عمیقتر ترافیک شبکه را بررسی میکنند تا منبع آن مشخص شود. در نتیجه، آنها میتوانند اطلاعات بیشتری در مورد ترافیک مخرب و تهدیدات احتمالی آن جمعآوری کنند، تهدیداتی که دائماً در تلاش برای نفوذ به محیط شبکه، دسترسی به دادههای شرکت و اختلال در کار یک سازمان هستند.
در جایی که یک فایروال سنتی فقط در لایههای 3 و 4 کار میکند، فایروال های نسل بعدی میتوانند تا لایه 7، یعنی لایه برنامه کاربردی کار کنند. این بدان معنی است که تهدیدات در سطح برنامه، که از خطرناک ترین و نافذترین آنها هستند، قبل از هر فعالیتی متوقف میشوند و در زمان و هزینه (برای اصلاح) صرفهجویی میشود.
مزیت استفاده از فایروال های نسل بعدی (NGFW)
چشمانداز تهدیدات سایبری امروزی مستلزم محافظت قوی از تهدید است و فایروالهای سنتی برای این منظور کافی نیستند.
فایروال های نسل بعدی (NGFW) میتوانند بدافزارها را مسدود کنند و برای خنثی کردن تهدیدات پیشرفته و مستمر (APT) مانند حمله هکرهای “Cozy Bear” که مسئول نفوذ زنجیره تأمین (Supply Chain Attack) در سال 2020 بودند و حمله هکرهای Deep Panda که عامل Log4Shell بودند، مجهزتر هستند.
علاوه بر این، با اطلاعات یکپارچه تهدید و گزینههایی برای شبکه و اتوماسیون امنیتی، NGFW ها به سازمانها این فرصت را میدهند که نه تنها عملیات امنیتی را ساده کنند، بلکه اولین گام را به سمت یک مرکز عملیات امنیتی کاملاً تحقق یافته (SOC) بردارند. با این حال، همه این قابلیتها همچنان نیاز به بهبود داشته و با مجموعه ای از اشکالات همراه است.
چالشهای فایروال های نسل بعدی (NGFW)
با وجود اینکه فایروال های نسل بعدی مزایای زیادی ارائه میدهند، اما آنها فاقد عملکرد مورد نیاز برای خدمت به نیروی کار پراکنده امروزی هستند.
به عنوان مثال، بکهال (backhaul) ترافیک به یک NGFW زمانی معنا پیدا میکرد که برنامهها در مرکز داده و زمانی که بیشترین دادهها (و در نتیجه نقاط پایانی (endpoint)) در دفاتر شرکتی یا منطقهای بودند. اما برنامههای امروزی برای پشتیبانی از کار از هر کجا، به فضای ابری منتقل شدهاند، روندی که باعث میشود شبکههای سنتی و ابزارهای امنیتی از جمله NGFW و VPNها به دلیل عدم مقیاسپذیری، کافی نباشند.
(اصطلاح Backhaul اغلب در ارتباطات از راه دور استفاده می شود و به انتقال سیگنال از یک سایت یا شبکه راه دور به سایت دیگر، معمولاً مرکزی، اشاره دارد. بکهال معمولاً به یک خط با ظرفیت بالا اشاره دارد، به این معنی که خطوط پرسرعت قادر به انتقال پهنای باند بالا و بسیار سریع هستند.)
رایجترین برنامههای کاربردی ابری مانند مایکروسافت 365 (Microsoft 365) برای دسترسی مستقیم از طریق اینترنت طراحی شدهاند. برای ایجاد چنین ارتباطاتی، شرکتها باید ترافیک اینترنت را به صورتی هدایت کنند تا تجربه کاربری سریعی را ارائه دهند.
درصورتی که بخواهید اینترنت محلی را با فایروال نسل بعدی، ایمن کرد، باید پشتههای امنیتی (security stack) شرکت را در هر مکان تکرار کنید. یعنی، نیاز به استقرار NGFW یا پشتههای لوازم امنیتی در هر شعبه دارید، که به دلیل هزینه و پیچیدگی استقرار و مدیریت بسیاری از فایروالها، عملا غیرقابل اجرا است.
علاوه بر این، فایروال های نسل بعدی برای پشتیبانی از برنامههای کاربردی ابری طراحی نشدهاند. آنها به راحتی تحت تأثیر برنامههای ابری قرار میگیرند زیرا نمیتوانند از حجم بالای اتصالات طولانی مدت، که برنامهها ایجاد میکنند، را پشتیبانی کنند، که به طور پیش فرض امکان آگاهی در مورد برنامههای ابری را رد میکنند.
همچنین، آنها نمیتوانند به صورت طبیعی، ترافیک رمزگذاری شده با SSL را مدیریت کنند، و با توجه به اینکه تقریباً تمام ترافیک وب امروزی رمزگذاری شده است، این نکته اهمیت فزایندهای پیدا کرده است. برای اجرای بازرسی SSL، NGFWها باید قابلیتهای پراکسی را که بازرسی SSL را اجرا میکنند، به جای در سطح تراشه (chip level)، در نرمافزار بچسبانند. این نه تنها بر عملکرد تأثیر میگذارد و تجربه کاربر را با مشکل مواجه میکند، بلکه به تهدیدهای امنیتی جدید مانند بدافزارهای پیشرفته نیز اجازه فعالیت میدهد.
بیشتر بخوانید: فایروال فورتی گیت
جمعبندی
در نهایت باید گفت حملات به شبکه ها همچنان یک پدیده سریع در حال تحول است که ادامه راه را برای هر راهحل امنیتی سخت میکند. در حال حاضر، فایروال های نسل بعدی (NGFW) یکی از بهترین راه حلهای موجود برای ایمنسازی شبکه است.
سؤالات متداول
فایروال های نسل بعدی چه تفاوتی با فایروالهای نسل قبلی دارند؟
ویژگیها و امکاناتی که این فایروالها ارائه میدهند متنوعتر و گسترده تر است.