برای انتخاب تجهیزات امنیت شبکه برای مدیریت کاربران سازمان و کنترل ترافیک ورودی و خروجی به داخل شبکه شرکت، مقایسه ای فنی از انواع یو تی ام فایروال UTM Firewall Comparison های معروف مثل پی اف سنس Pfsense، کریو Kerio، سیسکو Cisco ASA و فورتی گیت FortiGate را ارائه کرده ایم تا پس از مطالعه امکانات و قابلیتهای هر کدام از این دستگاه ها بتوانید مناسب ترین انتخاب با کمترین هزینه را برای تامین امنیت ارتباطات در زیرساخت شبکه خود داشته باشید.

نقش یو تی ام فایروال UTM Firewall در تامین امنیت شبکه

اینترنت یکی از کلیدی ترین سرویس های مورد استفاده توسط سازمان ها و شرکت های بزرگ و کوچک محسوب می شود که به دلایل مختلف نیازمند کنترل و نظارت به شکل حرفه ای و دقیق است که معمولا به دلیل حضور نداشتن کادر حرفه ای و مجرب و خبره در زمینه IT و پشتیبانی شبکه این امر انجام نمی شود و به دنباله آن هزینه های این شرکت ها و سازمان ها را در بحث اینترنت به شکل سرسام آوری افزایش می دهد.
ادمین ها و مدیران شبکه حرفه ای همیشه به دنبال نظارت دقیق بر روی شبکه خود و حتی کنترل آن و در عین حال سعی بر کاهش هزینه ها دارند، و اینجاست که انتخاب یو تی ام فایروال (UTM Firewall) و نرم افزار مانیتورینگ شبکه (Network Monitoring) مناسب به شما کمک می کند تا علاوه بر تامین امنیت شبکه خود و تحت کنترل قرار دادن همه چیز درون شبکه تان خیال خود را راحت کنید. اصلی ترین وظیفه یک یو تی ام فایروال مستقر در محیط، نظارت بر ترافیک ورودی و خروجی شبکه بر مبنای سیاست امنیتی سازمان است.

در گذشته درباره نرم افزار مانیتورینگ شبکه به طور تخصصی بحث کرده ایم، حال میخواهیم درباره یک UTM فایروال مناسب برای تامین امنیت ارتباطات در داخل شبکه کامپیوتری تان به گفتگو بپردازیم. یکی از مهمترین فیلتر های موجود برای مدیران شبکه بحث هزینه است و مسلما انتخاب کم قیمت ترین و در عین حال مناسب ترین و پر کاربرد ترین گزینه برای آنها بدون داشتن دانش کافی و تجربه در این زمینه به شدت دشوار خواهد بود. ما به شما کمک می کنیم تا بتوانید راحت تر به انتخاب بپردازید.

درباره کامل ترین فایروال دنیا Pfsense

فایروال قدرتمند پی اف سنس Pfsense اپن سورس Open Source می باشد و از این رو دارای لایسنس رایگان Free License می باشد و نیاز به تمدید سالیانه مجوزها و یا ارتقاء سایر بخش ها ندارد. این یو تی ام کامل و همه چی تمام دنیا قابلیت اتصال به سرور Domain Controller دامین مایکروسافت را دارد و از پروتکل Ldap اکتیودایرکتوری پشتیبانی می کند و به کاربران اینترنت حجمی می دهد و اکانتینگ هوشمند به همراه گزارشات جامه از میزان مصرف اینترنت و سایتهای بازدید شده یوزرهای شبکه داخل سازمان را ارائه می دهد.

فایروال بسیار امن Pfsense قادر است برای نظارت بر ترافیک اینترنت قواعد قابل درک و ساده ای را مبتنی بر رویه های امنیتی شبکه پیشنهاد دهد، سیستم ضد نفوذ (IPS) می تواند بطور غیر محسوس تمامی ترافیک ورودی و خروجی شبکه را تحت نظارت قرار دهد و در کنار دیواره آتش یا همان Firewall،  سرویس دهنده های داخل شبکه را از هرگونه نفوذ و ارتباط غیر مجاز در امان دارد. داشتن ضدویروس در محیط شبکه، خطر انتشار سریع ویروس را کاهش می‌دهد. این فایروال به طور اختیاری یک پویشگر قوی و مختص ویروس را برای ترافیک ورودی و خروجی HTTP, FTP, SMTP, POP3 فراهم نموده است.

برقراری ارتباط تلفنی از طریق شبکه ای که تحت محافظت دیواره آتش قرار داشته باشد، کار مشکلی است زیرا اساساً پرتکلهای VoIP مانند H.323 جهت گذر آسان از میان دیواره آتش طراحی نشده اند. یو تی ام فایروال Pfsense، اجازه می‌دهد VoIP در کنار آن به اجرا در آید تا از رها ساختن عمومی زیر ساختهای VoIP در اینترنت بدون امنیت لازم بی نیاز شوید.

احتمالا متوجه شده اید که فایروال به دو صورت اپلاینس مجازی Virtual UTM و سخت افزاری برای استفاده موجود است و شما می توانید با توجه به میزان بودجه ای که می توانید اختصاص دهید، هر کدام از این دو روش را انتخاب کنید.

تمامی فایروال ها چه Hardware Base UTM Firewall و چه softBase Firewall ها دارای یک سیستم عامل امنیتی می باشند و هرآنچه که یک فایروال در حوزه امنیت انجام می دهد در داخل سیستم عامل آنها خلاصه می شود اما نحوه ارائه این راهکارها در بازار متفاوت بوده و مصرف کنندگان می توانند یک سیستم عامل فایروالی را به صورت سخت افزاری و یا Virtualized تهیه و استفاده نمایند. در واقع در یو تی ام فایروال های سخت افزاری، از نظر قیمتی گرانتر از یو تی ام های نرم افزاری می باشند و مشتری می بایست برای این سخت افزار گران قیمت، هزینه جداگانه ای بپردازد و در آخر نیز محدود به مقدار فضای حافظه و پردازش CPU تعبیه شده در این تجهیز خواهد شد. با توجه به مهاجرت تقریبا همه زیرساخت شبکه های IT در همه نقاط دنیا به سمت تکنولوژی های مجازی سازی مثل Vmware و Citrix و ... امروزه اکثر مدیران آی تی و کارشناسان شبکه از Appliance های سازگار با تکنولوژی مجازی سازی مختص زیرساخت سرورهای مجازی در قالب یک VM استفاده می نمایند.

فایروال قدرتمند و اپن سورس PfSense ویژگی های UTM بزرگ و گران قیمت دنیا به صورت رایگان لایسنس مجانی و آپدیت روزانه همه فیچرها و امکاناتش از جمله ویژگی های یو تی ام Firewall حرفه ای مدیران آی تی و کارشناسان امنیت شبکه، آپگرید Firmware و تمدید سالیانه License دستگاه سخت افزاری فایروال زیرساخت شبکه،  عدم وابستی به منابع پردازشی اعم از RAM & CPU & Bandwith و افزایش منابع سخت افزاری با توجه به گسترش تعداد کاربران شبکه و سرویسها و سرورها و مدیریت آسان تر و ... از جمله دیگر مزیت های Applience UTM Firewall ها در قالب VM در مقایسه با دستگاه های سخت افزاری فایروال ها می باشند.

فایروال Kerio Control کریو کنترل

این فایروال یکی از قدرتمند ترین و شناخته شده ترین فایروال های موجود روی این کره خاکی به حساب می آید، دارای بهترین طراحی شبکه است و سازمان، شرکت و یا اداره شما را از هجوم تهدیدات فلج کننده حفاظت می‌کند. این یو تی ام فایروال، امنیتی قوی در شبکه و هوشی پایدار را فراهم می کند. Kerio UTM Firewall به صورت تماما خودکار لایه های امنیتی را شناسایی می کند و از رخ دادن تهدیدات جلوگیری می کند تا زمانی که مدیر شبکه انعطاف پذیری های مورد نظرش را با استفاده از Policy Tools نسبت به کاربران اعمال کند؛ کنترل مدیرت پهنای باند، مونیتورینگ دقیق شبکه و اتصالات IPSec V.P.N برای دسکتاپ ها، دستگاه های موبایل و سایت های مختلف.

از نسخه 8 به بعد یو تی ام فایروال کریو دیگر نیازی به سیستم عامل ندارد و Software Appliance است. Kerio Control Software Appliance در حقیقت یک نسخه شخصی سازی شده از لینوکس (Linux) است که این Virtual UTM روی آن نصب شده است. فایروال کریو یه ابزار کامل برای تامین امنیت، مدیریت دسترسی و نظارت روی شبکه شما می باشد و برای هر گونه شبکه ای با هر اندازه ای مناسب می باشد. وظیفه اصلی این یو تی ام، محافظ از سازمان ها در مقابل حملات ویروسی و باج افزاری خارج از شبکه می باشد که دفاعی بسیار قوی در برار این گونه حملات دارد و می‌تواند دسترسی به محتوای مطالب سایتهای اینترنتی را محدود و یا مانع شود و همچنین برقراری ارتباط V.P.N را با هر نقطه فراهم می‌کند. نظارت و مدیریت اینترنت سازمانها و ادارات باعث بالا رفتن راندمان کاری کاربران و نیز ایجاد امنیت در شبکه مورد استفاده در آن اداره و یا سازمان می شود.

قابلیت های کلیدی در یو تی ام فایروال کریو Kerio به شرح زیر است:

مدیریت کاربر، قابلیت یکپارچه شدن با Active Directory، اعتبار سنجی کاربران برای دسترسی به شبکه، قابلیت اختصاص IP به طور خودکار (DHCP)، امکان تعریف قواعد دسترسی به شبکه و اینترنت برای هر کاربر، نظارت بر فعالیت کاربران در وب، دارای دیواره آتش جهت کنترل دسترسی، جلو گیری از نفوذ و خرابکاری در شبکه، دارای سیستم شناسایی و ممانعت از نفوذ (IPS)، توانایی جلوگیری از ورود آگهی های تبلیغاتی اینترنتی، مدیریت پهنای باند، قابلیت سهمیه بندی پهنای باند برای برنامه های مختلف و پشتیبانی از VoIP، پروتکل ارسال صوت از طریق اینترنت از جمله قابلیت های کلیدی فایروال کریو می باشد. Kerio Control هنگامیکه لازم است بین دو شبکه و یا سرویس دهنده و ایستگاه های کاری، شبکه خصوصی مجازی برقرار گردد اجازه می‌دهد با استفاده از پرتکلهای IPsec NAT و PPTP V.P.N این ارتباط ایمن به سادگی برقرار شود.

Kerio Control به طور خودکار دارای ویژگی اعمال محدودیت بر روی محتوای صفحات وب است که بر مبنای کلید واژه، دسترسی به یک سایت را می‌تواند مسدود کند و بطور افزودنی Kerio Control با نرم افزار پالایشی Cobion Orange Filter تجهیز شده است. در این نرم افزار محتوای صفحات وب، به ۵۸ مقوله مختلف نظیر اخبار، بازی، خرید، ورزش، مسافرت و غیره تقسیم شده است و می‌تواند دسترسی کاربران مختلف، به مقوله های گوناگون را کنترل و یا مسدود کند.

فایروال Cisco ASA سیسکو ای اس ای

سیسکو یکی از بزرگترین تولید‌کنندگان محصولات امنیتی و زیرساختی شبکه بوده است. Cisco Firepower‌ انتخاب ایده‌آلی برای بیزنس‌های متوسط بوده و از سویی دیگر Meraki MX گزینه‌ای مناسب برای شرکت‌های پرشعبه است. خصوصا آنهایی که در ۱۰ الی۱۰۰ شعبه‌ پراکنده شده باشند.

نقاط قوت فایروال سیسکو به شرح ذیل می باشد:

عملکرد بازاریابی:

سیسکو در دنیای شبکه و امنیت سایبری، یک برند همه‌ فن حریف و فراگیر است. این کمپانی‌ یکی از دانه‌درشت‌ترین تولید‌کنندگان UTM در دنیا بوده و در برخی موارد به عنوان برترین راهکار موجود به شمار می‌آید. محبوبیت Meraki MX‌ باوجودیکه کماکان به آمریکا و بریتانیا محدود بوده‌، در سایر نقاط جهان و خصوصا در صنعت خرده‌فروشی بهبود قابل توجهی داشته است.

مدیریت متمرکز:

برای مشتریان توزیع‌یافته‌ی سیسکو، راهکارهای نظارتی و مدیریتی یکپارچه که در وایرلس، سوییچ‌ها، فایروال، VPN‌ نقطه به نقطه (Site-to-Site) و مدیریت دستگاه‌های موبایل قابل استفاده باشد، اهمیت فوق‌العاده‌ای دارد.

بهبودها:

سیسکو برای یکپارچگی هرچه بیشتر بین راهکارهای مختلف خود، تا کنون امکانات متعددی را به بازار معرفی کرده است که برای SMB‌ها امری کاملا مطلوب به حساب می‌آید. از دیگر مواردی که سیسکو تمرکز خاصی به آن نشان داده، می‌توان به سرمایه‌گذاری روی بهبود کنسول‌های مدیریتی Firepower‌ در دو نوع روی دستگاه و ابری اشاره داشت.

تجربه‌ مشتریان:

مشتریان فعلی و مشتریان بالقوه، معمولا Cisco‌ را به عنوان یک برند و شریک قابل اعتماد به حساب می‌آورند. تعداد بسیاری از مشتریان سیسکو در ایالات متحده، به این شرکت امتیاز بالایی از حیث پشتیبانی و خدمات پس از فروش داده‌اند. کاربران Meraki هم، از نظر سهولت استقرار و پیاده‌سازی، رضایت بالایی از خود نشان می‌دهند.

موارد قابل توجه در فایروال سیسکو به شرح ذیل است:

قابلیت‌ها:

هیچ یک از فایروال‌های Meraki MX و دستگاه‌های کوچکتر سیسکو یعنی Firepowerها از قابلیت رمزگشایی امنیتی لایه‌ی انتقال یا به اختصار TLS برخوردار نبوده و امکان بررسی وب‌گردی کاربران در ترافیک HTTPS‌ وجود ندارد. Meraki برای امنیت ایمیل هنوز جای پیشرفت زیادی داشته و نمی‌تواند فایل‌های http را برای یافتن ویروس بررسی کند. در مقابل این امکان را دارد که هش‌ها را به زیرساخت ابری هدایت کند و برای محفاظت پیشرفته در برابر بدافزارها، آنها را به سامانه‌ی AMP‌ بسپارد.

کنسول مدیریتی:

یکی از گلایه‌های همیشگی کاربران Cisco ASA کیفیت پایین کنسول مدیریتی آن در قیاس با محصولات رقبا بوده است. سیسکو در اواخر سال ۲۰۱۶ با معرفی Firepower Device Management‌ به عنوان یک اینترفیس تعبیه‌شده‌ی تحت وب سعی کرد به این مشکل پاسخی داده باشد. اما هنوز این اینترفیس از کلیه‌ی امکانات برخوردار نبوده و گزینه‌ی Zero-Touch Deployment‌ را ندارد. در برخی از حوزه‌ها (بخش دولتی و بخش مالی)، و برخی از کشورهای اروپایی و آمریکای لاتین، کنسول ابری Meraki گزینه‌ی چندان ایده‌آلی به شمار نمی‌رود.

تجربه‌ مشتریان:

مشتریان به این نکته اشاره دارند که کیفیت بروزرسانی‌های میان‌افزار Firepower‌ جای بهتر شدن دارد. چرا که امکانات جدیدی که در نسخه‌های آخر اضافه می‌شود، از نظر سازگاری مشکلاتی برای آنها ایجاد می‌کند. آن دسته از مشتریان توزیع‌یافته‌ی Meraki MX‌ که دارای شعبات و دفاتر متعددی هستند، بر این باورند که با بالا رفتن تعداد دفاتر و بزرگ شدن مقیاس کاری، سهولت کاربری دچار افت می‌شود و همچنین دسترسی محدود به ابزارهای عیب‌یابی برایشان مشکل‌ساز است.

عملکرد فروش:

تعداد زیادی از مشتریان سیسکو از افزایش قیمت‌ها و پیچیدگی لیست هزینه‌ها ابراز نارضایتی کرده‌اند. آنها مورد نامطلوب دیگر را کاهش عمر مفید محصولات در سال‌های اخیر عنوان کرده‌اند. خارج از مرزهای آمریکای شمالی، دانش و تخصص کافی برای راهکارهای Meraki MX کمیاب بوده و همین امر چاره‌ای جز جایگزینی آن با Firepower در برخی از کاربردهای بخصوص باقی نگذاشته است.

یو تی ام فایروال فورتی گیت FortiGate

سبد محصولات شرکت Fortinet فورتی نت در حوزه‌ شبکه و امنیت اندپوینت، دربرگیرنده‌ی فایروال‌های مخصوص شرکت‌های بزرگ (FortiGate)، پلتفرم محافظت از اندپوینت (FortiClient) و فایروال فورتی گیت اپلیکیشن‌های وب (FortiWeb) می‌باشد. اخبار اخیر حاکی از پیدایش سری جدیدی از مدل‌های سخت‌افزاری و یکپارچگی و هماهنگی بیشتر بین کلیه‌ی محصولات فورتینت بوده است (FortiNet Security Fabric).

نکات مثبت فایروال های فورتی نت به شرح ذیل است: 

سرویس‌های امنیتی Fortinet‌ توسط تیمی بزرگ و متخصص در حوزه‌ی پژوهش تهدیدات هدایت شده و ایجاد پروفایل‌های اختصاصی برای اپلیکیشن‌ها به منظور کنترل و افزایش تیررس دید SaaS‌ مزایای قابل توجهی برای مشتریان به حساب می‌آید.

بسیاری از محصولات Fortinet‌ از سازگاری کاملی با یکدیگر برخوردارند که از جمله‌ی آنها می‌توان به محصولات فایروال‌ و اندپوینت، اکسس پوینت‌های وایرلس و سوییچ‌ها اشاره کرد. فورتینت نام این کانسپت را Fortinet Security Fabric یا به عبارتی کالبد امنیتی گذاشته و این یکی از نقاط قوت بسیار حائز اهمیت برای مشتریان است. چون به این ترتیب می‌توانند با خیالی آسوده روی محصولات مختلف فورتینت سرمایه‌گذاری کنند و دیدی واحد از تمام زیرساختشان داشته باشند. علاوه بر این می‌توانند اکسس‌پوینت‌ها و سوییچ‌های خود را بطور مستقیم از طریق کنسول فورتینت مدیریت کنند. مورد دیگر اینکه راهکارهای اندپوینت این شرکت (FortiClient) با این کالبد امنیتی سازگار بوده و امکان بررسی سلامت اندپوینت‌ها را پیش از شروع ارتباط میسر می‌سازد.

موارد قابل توجه در فایروال فورتی نت به شرح ذیل است:

در برخی از حوزه ها مثل آموزش و خرده‌فروشی که توجه خاصی به استفاده از پلتفرم ابری دارند، Fortinet‌ نسبت به برخی از رقبای اصلی‌اش، در حوزه‌ مدیریت ابری ضعیف‌تر عمل می‌کند. معرفی FortiCloud اولین قدم فورتینت برای فراهم آوردن مدیریت متمرکز ابری به حساب می‌آید و با وجودی که از سازگاری کاملی با FortiView‌ برخوردار است، در زمینه‌ی مدیریت پیکربندی، هنوز نتوانسته تمامی امکانات و قابلیت‌ها را عرضه کند.

جامعه‌ی کوچکی از مشتریان Fortinet‌ از قابلیت سندباکسینگ ابری این شرکت استفاده می‌کنند. نظرسنجی انجام گرفته از نمایندگان فروش نشان می‌دهد که سندباکسینگ فورتینت کمترین نرخ پیاده‌سازی را داشته و از بابت کیفیت رمزگشایی HTTPS امتیاز رضایت‌مندی پایینی دریافت کرده است.

نظر سنجی از نمایندگان فروش و مشتریان بیانگر نگرانی‌های آنان نسبت به کنسول مدیریتی نه چندان آسان فورتینت بوده است. طبق اظهارات مشتریان فورتینت،‌ دریافت خدمات پس از فروش از اکوسیستم این شرکت از نظر سرعت و سهولت با مشکلاتی همراه بوده است.

مقایسه فایروال سایبروم Cyberoam، فورتی گیت FortiGate و Pfsense