طی سی سال گذشته، فایروالها به عنوان پایه و اساسی در استراتژیهای امنیت شبکه در سازمانهای مختلف مطرح بوده است. مبنای فایروالها بر این اساس است که ترافیک و کاربران داخلی ذاتاً قابل اعتماد هستند و ترافیکی که از بیرون وارد میشود، اینگونه نیست. بنابراین، باید یک مرز یا محیط پیرامونی قابل اطمینان بین شبکههای مختلف ایجاد کرد. در اینجا این سؤال مطرح میشود که «کدام OEM (تولیدکننده تجهیزات اصلی) بهترین مرز را ارائه داده تا بتوان آن را پیکربندی کرد و اعتماد بیشتری به دست آورد؟» امروزه باید محصولات رهبران این صنعت، یعنی فورتینت (Fortinet) و سیسکو (Cisco) را با هم مقایسه کنیم. در این مقاله، توضیح میدهیم که هر یک از این محصولات چه تأثیری بر روی اکوسیستم امنیت سازمان شما دارند.
چندین دهه است که فایروالهای سنتی در اختیار سازمانها قرار دارند و بسیاری از سازمانها نیز از آنها به عنوان محصولات امنیتی معمول خود استفاده میکنند. اما با توجه به اینکه تهدیدات گستردهتر و متنوعتر شدهاند، فناوریهای فایروال نیز توسعه یافتهاند. با این احوال، فایروالهای نسل بعدی (next-generation firewall (NGFW)) فراتر از پورت یا پروتکلهای فایروالهای سنتی عمل میکنند. روشهای جدیدتری هم برای مسدودسازی ارائه شدهاند تا بازرسی در سطح اپلیکیشنها، پیشگیری از نفوذ و هوش تهدیدات واردشده از سوی منابع خارج از فایروال را کامل کنند.
در این مقاله، فایروالهای فورتیگیت از شرکت فورتینت و فایرپاور شرکت سیسکو را بررسی میکنیم. خواهید دید که چرا این دو فایروال در رأس کلاس خود قرار دارند و میتوان آنها را فایروالهای نسل بعدی نامید.
سبد فایروال نسل بعدی (NGFW) سیسکو با توجه به تهدیدات موجود امروزی بهینهسازی شده است. این فایروال حاوی کنترلهای امنیتی در کلاس جهانی بوده و خطمشیهای امنیتی پایدار و قابلیت دید بسیار خوبی در آن تعبیه شده است. سبد NGFW سیسکو یک روش بسیار انعطافپذیر ارائه مینماید. سازمانها میتوانند با استفاده از این فایروال، به شکل مستمر بر روی مراکز داده، شعب و دفاتر، محیطهای ابری و هر چیزی بین آنها به خوبی نظارت و کنترل داشته باشند.
دادههای این مخزن را سیسکو تالوس (Cisco Talos) پر میکند. این سازمان، یک سازمان رهبر در زمینه تحقیقات و تحلیل هوش تهدید در دنیا است. تالوس حوزههای مختلف و جدید در زمینه بدافزارها، URLهای مخرب و آسیبپذیریهای ناشناخته یا افشانشده را پیدا کرده و قواعدی را برای کاهش آنها تدوین میکند تا بدین ترتیب، از مشتریان سیسکو محافظت کند.
علاوه بر این، اگر از راهکارهای دیگر سیسکو هم استفاده کنید، یک سبد جامع از محصولات امنیتی در اختیار دارید که همه آنها به صورت دستی کار میکنند تا رویدادهای قطعی را زودتر از موعد متوجه شوید، اغتشاشها را از بین ببرید و تهدیدات را سریعتر متوقف سازید.
ویژگیهای اصلی فایروال سیسکو فایرپاور به شرح زیر است که در مجموع، امنیت را برای سازمان شما فراهم میآورد:
جلوگیری از ورود تهدیدات بیشتر (Stop More Threats): قابلیت محافظت پیشرفته سیسکو در برابر بدافزارها (Cisco Advanced Malware Protection (AMP)) و سندباکس که بدافزارهای شناختهشده و شناختهنشده را در بر دارد.
اولویتبندی تهدیدات (Prioritize Threats): سیستم پیشگیری از نفوذ نسل بعدی (NGIPS) فایروال سیسکو، امکان دید بهتر بر روی محیط را در اختیار شما قرار میدهد. رتبهبندی خودکار ریسکها و پرچمهای تأثیر (impact flags) اولویتها را برای تیم شما مشخص میسازند.
شناسایی زودهنگام، اقدام سریعتر (Detect Earlier, Act Faster): سیسکو تالوس یک سازمان راهبر در حوزهی تحقیقات و تحلیل هوش تهدید است که سبد NGFW سیسکو را تأمین میکند. تالوس حوزههای مختلف و جدید در زمینه بدافزارها، URLهای مخرب و آسیبپذیریهای ناشناخته یا افشانشده را پیدا کرده و قواعدی را برای کاهش آنها تدوین میکند تا بدین ترتیب، از مشتریان سیسکو محافظت کند. همین قواعد در SNORT که در NGFW سیسکو تعبیه شده است، قرار گرفته و امنیت بیشتری را حتی در برابر تهدیدات پیشرفتهتر نیز فراهم میآورد. بدین ترتیب، سازمانها میتوانند انطباق بیشتری با قوانین و مقررات پیدا کنند. در نتیجه، میتوانید نظارت و دید دقیقتر و ریزتری بر روی زیرساختهای خود داشته و آسیبپذیریها را به سرعت پیدا کرده و در برابر آنها اقدام کنید.
نگهداری خطمشیهای پایدار (Maintain Consistent Policies): با استفاده از NGFW سیسکو وضعیت امنیتی شما قویتر شده، برای آینده آماده و تجهیز میشوید و مدیریت و سرپرستی انعطافپذیرتری خواهید داشت. همچنین، سیسکو گزینههای مدیریتی مختلفی را در اختیار شما قرار میدهد که میتوانید بسته به نیازمندیهای محیط و کسب و کار خود از آنها استفاده کنید. از جمله این گزینهها میتوان از مدیر دستگاه فایرپاور (FDM) (Firepower Device Manager)، مرکز مدیریت فایرپاور (FMC) سیسکو (Cisco Firepower Management Center) و هماهنگکننده دفاع سیسکو (CDO) (Cisco Defense Orchestrator) نام برد.
کمکردن پیچیدگیها (Reduce Complexity): میتوانید با استفاده از کارکردهای امنیتی بسیار یکپارچه، تهدیدات را به شکل خودکار پایش کنید. از جمله این امکانات میتوان به فایروال اپلیکیشنها، حفاظت پیشرفته در برابر بدافزارها (AMP) (advanced malware protection) و سیستمهای پیشگیری از نفوذ نسل بعدی (NFIPS) (next-gen intrusion prevention systems) اشاره نمود.
در اینجا فهرستی از مدلهای مختلف فایرپاور سیسکو قرار دادهایم تا بتوانید آنها را با هم مقایسه کنید. این فهرست از محصولات سری 1000 تا سری 9300 را در بر دارد.
![]() | ![]() | ![]() | ![]() | |
Cisco Firepower 9300 series | Cisco Firepower 4100 series | Cisco Firepower 2100 series | Cisco Firepower 1000 series | Features |
FPR-9300 SM-40 | FPR-4115 | FPR-2110 | FPR-1010 | Hardware Model |
80Gbps | 80Gbps | 3Gbps | 650Mbps | Firewall |
48Gbps | 26Gbps | 2.3Gbps | 650Mbps | NGFW |
54Gbps | 27Gbps | 2.3Gbps | 650Mbps | NGIPS |
10Gbps | 6.5Gbps | 365Mbps | 150Mbps | Transport Layer Security (TLS) |
8x SFP* | 8x SFP* | 12x RJ45, 4x SFP | 8x RJ45 | Interfaces |
2x Network Modules (NM): 1/10/40/100G, FTW | 2x Network Modules (NM): 1/10/40G, FTW | 10G SFP*, 1/10G FTW |
| Optional Interfaces |
Service Providers Data Centers Campuses High-Performance Computing | Data Centers Internet Edge | Mid/Large Enterprises Internet Edge Data Centers | Small/Medium Businesses (SMB) Branch Offices Internet Edge | Use Cases |
مقایسه فایروالهایی مانند دستگاههای فایرپاور و فورتیگیت بسیار مهم است. ما میدانیم که این اهمیت صرفاً مربوط به خود دستگاهها نیست. باید بدانیم که امروزه چه چیزهایی وجود دارد، گزینههای مالی را در نظر بگیریم و سایر موارد دیگر را هم مد نظر قرار دهیم. ما کار شما را ساده کردهایم تا سختافزار مناسب خود را پیدا کنید و شبکه خود را بسته به نیازمندیهای خود بر اساس آن ایجاد کنید.
شرکت فورتینت، سری فایروالهای نسل بعدی سازمانی به نام فورتیگیت ارائه مینماید. از این فایروالها میتوان برای مراکز داده و شعبههای یک سازمان استفاده کرده و الزامات امروز را برآورده ساخت. سری فورتیگیت، چندین گزینه مختلف برای عملکرد مقیاسپذیر در اختیار شما قرار میدهد تا بتوانید موارد کاربرد خود را با استفاده از (سیستم عامل) FortiOS حل و فصل کنید. این سری فایروالها هوش مصنوعی بسیاری پیشرفتهای دارند که با استفاده از آن، وضعیت امنیتی شما ارتقا یافته و میتوانید جدیدترین تهدیدات و روندها را با آن مدیریت کنید.
فورتیگیت بر اساس پرتقاضاترین سطوح عملکردی طراحی شده است. این فایروال دارای پردازشگرهای خاص برای امنیت است که عملکرد فوقالعادهای را در اختیار شما قرار میدهد و بدون آنکه محرمانگی و امنیت دادههای شما را به خطر بیندازد، نیازمندیهای مراکز داده جدید شما را برآورده میسازد. فورتیگیت با دارابودن رابطی با نرخ 100 Gbps و توانی بیش از 1 Tbps یک معماری کاملاً افزونه در اختیار شما قرار میدهد تا تمامی نقاط آسیبپذیر مرکزی از بین برود.
فایروال فورتیگیت میتواند بدون آنکه بر عملکرد اپلیکیشنهای شما تأثیری داشته باشد، ترافیک حجیم شرقی-غربی عبوری بین سیستمهای شما را بازرسی کند. علاوه بر اینها، این پردازشگرهای امنیتی توان لازم برای تبادل کلید SSL، تطبیق امضای IPS و رمزنگاری Suite B، بدون هیچگونه جریمه عملکردی را نیز فراهم مینمایند.
فایروال نسل بعدی فورتیگیت، یک وسیله امنیت شبکه با عملکرد بالا است که در آن، قابلیتهای بررسی SSL، پیشگیری از نفوذ، نظارت بر اپلیکیشنها و کاربران و تشخیص تهدیدات ناشناخته در فایروالهای سنتی تعبیه شده است. برخی از ویژگیهای کلیدی فورتیگیت عبارتند از:
کنترل اپلیکیشن (Application Control): فورتیگیت دارای یکی از برجستهترین دیتابیسها در حوزه اپلیکیشن است که میتواند از کسب و کار شما در برابر اپلیکیشنهای خطرناک حفاظت کند. این فایروال، امکان دید و کنترل اپلیکیشنهایی که بر روی شبکه اجرا میکنید را برای شما فراهم میآورد.
پیشگیری از نفوذ (Intrusion Prevention): این فایروال از تلاشهای ناخواسته برای دسترسی به شبکه که آسیبپذیریها و مشکلات پیکربندی سیستم شما را هدف میگیرند، جلوگیری میکند و میتواند بیش از 10 میلیون تلاش برای نفوذ در یک دقیقه را مسدود سازد.
تهدیدات پیشرفته (Advanced Threats): با استفاده از قابلیتهای پیشرفته فورتیگیت همچون جوگیری از بدافزارها، آنتیویروس و سندباکس، فایلها و بارهای مخربی که در شبکه شما جاری میشوند، متوقف شده و نمیتوانند به کار خود ادامه دهند. بیش از 35،000 فایل مخرب در دقیقه متوقف میشوند.
عملکرد بالا (High Performance): عملکرد بالا یکی از اساسیترین ویژگیهای امنیت شبکه است که به ویژه در محیطهای بسیار بزرگ و محیطهایی که دستگاههای بسیار زیادی به هم متصل میشوند، اهمیت بیشتری هم دارد. سیستمهای سنتی برای امنیت شبکه نمیتوانند در این محیطها عمل کنند، اتصال امن را برقرار ساخته و نیازمندیهای تجربه کاربری لازم را فراهم سازند. عملکرد امنیت، استاندارد لازم برای سازمانهایی است که در لبه نوآوریهای دیجیتال کار میکنند؛ در یک چنین مقیاسی، حتی یک میلیثانیه قطعی میتواند نتایج بسیار وخیمی را به بار آورد.
هوش تهدید (Threat Intelligent): تهدیدات پیچیده و هدفمند، چالشهای عمدهای را برای امنیت شبکه به وجود آوردهاند. بهترین راهکارهای امنیت شبکه دارای یک هوش تهدید بهروز هستند تا در برابر سوء استفادهها، آسیبپذیریها، Zero-dayها و حملات شناختهشده و حملاتی که قبلاً شناختهشده نبودهاند، محافظت به عمل آورند.
قابلیت دید (Visibility): قابلیت دید، یکی از مهمترین چالشها در امنیت شبکه به حساب میآید؛ شما نمیتوانید چیزی را که نمیبینید، کنترل کنید. با توجه به اینکه زیرساختهای دیجیتال بیشتر توزیعشده هستند و شرکتها از مجموعهای از زیرساختهای داخلی خود (on-promise) و زیرساختهای ابری استفاده میکنند، نقاط امنیتی کور بیشتری در شبکهها وجود دارد. با استفاده از فایروال فورتینت میتوانید ترافیک خود را به شکلی پیشرفتهتر و کاملتر ببینید و بر آن نظارت داشته باشید.
سادگی (Simplicity): نه تنها مدیریت بر روی پیچیدگیهای شبکه دشوار است، بلکه این پیچیدگیها ریسکهای امنیتی در پی دارند. در شبکههای پیچیده، چندین راه ورود وجود دارد و احتمال متأثرشدن نیز بیشتر است. علاوه بر اینها، سطح کلّی حملات به زیرساختهای توزیعشده و روندهای ماکرو میرسد. از آن جمله میتوان به مواردی همچون آوردن وسایل خود (BYOD) (bringing your own device) و اینترنت اشیا (IoT) اشاره نمود که در آنها میلیونها لینک به شبکههای شرکت در هر سال اضافه میشوند. فورتیگیت دارای یک کنسول مدیریتی به نام single-pane-of-glass (دیدن همه دادهها در یک قاب واحد) است که امکان مدیریت متمرکز شبکه را برای شما فراهم میکند. با استفاده از این کنسول میتوانید محیطهای بسیار توزیعشدهای که ابزارهای مختلف زیادی در آنها وجود دارند را کنترل کنید.
سیسکو دارای چندین گزینه مدیریتی و سرپرستی است. FDM سیسکو یکی از راهکارهای مدیریت آنباکس است که با استفاده از آن میتوانید استقرار در مقیاس کوچک را به شکل محلّی مدیریت کنید. FMC سیسکو نیز یکی از راهکارهای مستقر بر روی سرورهای داخلی (on-promise) است که با استفاده از آن میتوان استقرار در مقیاس بزرگ را انجام داد. این راهکار امکان مدیریت رویدادها و خطمشیهای امنیتی را در اختیار شما قرار داده و امکان گزارشگیری و لاگهای محلّی را نیز فراهم میآورد. در نهایت، CDO سیسکو، یک مدیر امنیت ابری است که خطمشیهای امنیتی و مدیریت دستگاهها در شبکهی گسترده را در اختیار شما قرار میدهد.
برای مدیریت فورتیگیت در موارد استقرار کوچک میتوانید از گزینه مدیریت آنباکس آن استفاده کنید. FortiManager نیز گزینه مدیریت مرکزی فورتیگیت است که با استفاده از آن میتوانید هزاران فورتیگیت، خطمشی و شیء را به شکل متمرکز مدیریت کنید. در FortiManager هم گزینههای فیزیکی و هم گزینههای مجازی در اختیار شما قرار داده شده است.
در فایرپاور شرکت سیسکو از پیشرفتهترین هوش تهدید به منظور حفاظت از سازمانها در برابر تهدیدات و بدافزارهای شناختهشده یا ناشناخته استفاده میشود. دفاع در برابر تهدیدات فایرپاور (FTD) سیسکو یک تصور جامع و یکپارچه است که قابلیتهای NG-IPS، AMP، CTR، رمزگشایی SSL/TLS در آن تعبیه شده تا یک ابزار قدرتمند امنیتی ارائه شود. در فورتیگیت نیز امکاناتی همچون بررسی SSL، IPS، VPN و ATP در نظر گرفته شده تا امنیت برای تمامی سازمانها فراهم شود. اما سیسکو تالوس، قابلیت دید بیشتری نسبت به LAB فورتیگیت دارد.