برای انتخاب تجهیزات امنیت شبکه برای مدیریت کاربران سازمان و کنترل ترافیک ورودی و خروجی به داخل شبکه شرکت، مقایسه ای فنی از انواع یو تی ام فایروال UTM Firewall Comparison های معروف مثل پی اف سنس Pfsense، کریو Kerio، سیسکو Cisco ASA و فورتی گیت FortiGate را ارائه کرده ایم تا پس از مطالعه امکانات و قابلیتهای هر کدام از این دستگاه ها بتوانید مناسب ترین انتخاب با کمترین هزینه را برای تامین امنیت ارتباطات در زیرساخت شبکه خود داشته باشید.
نقش یو تی ام فایروال UTM Firewall در تامین امنیت شبکه
اینترنت یکی از کلیدی ترین سرویس های مورد استفاده توسط سازمان ها و شرکت های بزرگ و کوچک محسوب می شود که به دلایل مختلف نیازمند کنترل و نظارت به شکل حرفه ای و دقیق است که معمولا به دلیل حضور نداشتن کادر حرفه ای و مجرب و خبره در زمینه IT و پشتیبانی شبکه این امر انجام نمی شود و به دنباله آن هزینه های این شرکت ها و سازمان ها را در بحث اینترنت به شکل سرسام آوری افزایش می دهد.
ادمین ها و مدیران شبکه حرفه ای همیشه به دنبال نظارت دقیق بر روی شبکه خود و حتی کنترل آن و در عین حال سعی بر کاهش هزینه ها دارند، و اینجاست که انتخاب یو تی ام فایروال (UTM Firewall) و نرم افزار مانیتورینگ شبکه (Network Monitoring) مناسب به شما کمک می کند تا علاوه بر تامین امنیت شبکه خود و تحت کنترل قرار دادن همه چیز درون شبکه تان خیال خود را راحت کنید. اصلی ترین وظیفه یک یو تی ام فایروال مستقر در محیط، نظارت بر ترافیک ورودی و خروجی شبکه بر مبنای سیاست امنیتی سازمان است.
در گذشته درباره نرم افزار مانیتورینگ شبکه به طور تخصصی بحث کرده ایم، حال میخواهیم درباره یک UTM فایروال مناسب برای تامین امنیت ارتباطات در داخل شبکه کامپیوتری تان به گفتگو بپردازیم. یکی از مهمترین فیلتر های موجود برای مدیران شبکه بحث هزینه است و مسلما انتخاب کم قیمت ترین و در عین حال مناسب ترین و پر کاربرد ترین گزینه برای آنها بدون داشتن دانش کافی و تجربه در این زمینه به شدت دشوار خواهد بود. ما به شما کمک می کنیم تا بتوانید راحت تر به انتخاب بپردازید.
درباره کامل ترین فایروال دنیا Pfsense
فایروال قدرتمند پی اف سنس Pfsense اپن سورس Open Source می باشد و از این رو دارای لایسنس رایگان Free License می باشد و نیاز به تمدید سالیانه مجوزها و یا ارتقاء سایر بخش ها ندارد. این یو تی ام کامل و همه چی تمام دنیا قابلیت اتصال به سرور Domain Controller دامین مایکروسافت را دارد و از پروتکل Ldap اکتیودایرکتوری پشتیبانی می کند و به کاربران اینترنت حجمی می دهد و اکانتینگ هوشمند به همراه گزارشات جامه از میزان مصرف اینترنت و سایتهای بازدید شده یوزرهای شبکه داخل سازمان را ارائه می دهد.
فایروال بسیار امن Pfsense قادر است برای نظارت بر ترافیک اینترنت قواعد قابل درک و ساده ای را مبتنی بر رویه های امنیتی شبکه پیشنهاد دهد، سیستم ضد نفوذ (IPS) می تواند بطور غیر محسوس تمامی ترافیک ورودی و خروجی شبکه را تحت نظارت قرار دهد و در کنار دیواره آتش یا همان Firewall، سرویس دهنده های داخل شبکه را از هرگونه نفوذ و ارتباط غیر مجاز در امان دارد. داشتن ضدویروس در محیط شبکه، خطر انتشار سریع ویروس را کاهش میدهد. این فایروال به طور اختیاری یک پویشگر قوی و مختص ویروس را برای ترافیک ورودی و خروجی HTTP, FTP, SMTP, POP3 فراهم نموده است.
برقراری ارتباط تلفنی از طریق شبکه ای که تحت محافظت دیواره آتش قرار داشته باشد، کار مشکلی است زیرا اساساً پرتکلهای VoIP مانند H.323 جهت گذر آسان از میان دیواره آتش طراحی نشده اند. یو تی ام فایروال Pfsense، اجازه میدهد VoIP در کنار آن به اجرا در آید تا از رها ساختن عمومی زیر ساختهای VoIP در اینترنت بدون امنیت لازم بی نیاز شوید.
احتمالا متوجه شده اید که فایروال به دو صورت اپلاینس مجازی Virtual UTM و سخت افزاری برای استفاده موجود است و شما می توانید با توجه به میزان بودجه ای که می توانید اختصاص دهید، هر کدام از این دو روش را انتخاب کنید.
تمامی فایروال ها چه Hardware Base UTM Firewall و چه softBase Firewall ها دارای یک سیستم عامل امنیتی می باشند و هرآنچه که یک فایروال در حوزه امنیت انجام می دهد در داخل سیستم عامل آنها خلاصه می شود اما نحوه ارائه این راهکارها در بازار متفاوت بوده و مصرف کنندگان می توانند یک سیستم عامل فایروالی را به صورت سخت افزاری و یا Virtualized تهیه و استفاده نمایند. در واقع در یو تی ام فایروال های سخت افزاری، از نظر قیمتی گرانتر از یو تی ام های نرم افزاری می باشند و مشتری می بایست برای این سخت افزار گران قیمت، هزینه جداگانه ای بپردازد و در آخر نیز محدود به مقدار فضای حافظه و پردازش CPU تعبیه شده در این تجهیز خواهد شد. با توجه به مهاجرت تقریبا همه زیرساخت شبکه های IT در همه نقاط دنیا به سمت تکنولوژی های مجازی سازی مثل Vmware و Citrix و ... امروزه اکثر مدیران آی تی و کارشناسان شبکه از Appliance های سازگار با تکنولوژی مجازی سازی مختص زیرساخت سرورهای مجازی در قالب یک VM استفاده می نمایند.
فایروال قدرتمند و اپن سورس PfSense ویژگی های UTM بزرگ و گران قیمت دنیا به صورت رایگان لایسنس مجانی و آپدیت روزانه همه فیچرها و امکاناتش از جمله ویژگی های یو تی ام Firewall حرفه ای مدیران آی تی و کارشناسان امنیت شبکه، آپگرید Firmware و تمدید سالیانه License دستگاه سخت افزاری فایروال زیرساخت شبکه، عدم وابستی به منابع پردازشی اعم از RAM & CPU & Bandwith و افزایش منابع سخت افزاری با توجه به گسترش تعداد کاربران شبکه و سرویسها و سرورها و مدیریت آسان تر و ... از جمله دیگر مزیت های Applience UTM Firewall ها در قالب VM در مقایسه با دستگاه های سخت افزاری فایروال ها می باشند.
فایروال Kerio Control کریو کنترل
این فایروال یکی از قدرتمند ترین و شناخته شده ترین فایروال های موجود روی این کره خاکی به حساب می آید، دارای بهترین طراحی شبکه است و سازمان، شرکت و یا اداره شما را از هجوم تهدیدات فلج کننده حفاظت میکند. این یو تی ام فایروال، امنیتی قوی در شبکه و هوشی پایدار را فراهم می کند. Kerio UTM Firewall به صورت تماما خودکار لایه های امنیتی را شناسایی می کند و از رخ دادن تهدیدات جلوگیری می کند تا زمانی که مدیر شبکه انعطاف پذیری های مورد نظرش را با استفاده از Policy Tools نسبت به کاربران اعمال کند؛ کنترل مدیرت پهنای باند، مونیتورینگ دقیق شبکه و اتصالات IPSec V.P.N برای دسکتاپ ها، دستگاه های موبایل و سایت های مختلف.
از نسخه 8 به بعد یو تی ام فایروال کریو دیگر نیازی به سیستم عامل ندارد و Software Appliance است. Kerio Control Software Appliance در حقیقت یک نسخه شخصی سازی شده از لینوکس (Linux) است که این Virtual UTM روی آن نصب شده است. فایروال کریو یه ابزار کامل برای تامین امنیت، مدیریت دسترسی و نظارت روی شبکه شما می باشد و برای هر گونه شبکه ای با هر اندازه ای مناسب می باشد. وظیفه اصلی این یو تی ام، محافظ از سازمان ها در مقابل حملات ویروسی و باج افزاری خارج از شبکه می باشد که دفاعی بسیار قوی در برار این گونه حملات دارد و میتواند دسترسی به محتوای مطالب سایتهای اینترنتی را محدود و یا مانع شود و همچنین برقراری ارتباط V.P.N را با هر نقطه فراهم میکند. نظارت و مدیریت اینترنت سازمانها و ادارات باعث بالا رفتن راندمان کاری کاربران و نیز ایجاد امنیت در شبکه مورد استفاده در آن اداره و یا سازمان می شود.
قابلیت های کلیدی در یو تی ام فایروال کریو Kerio به شرح زیر است:
مدیریت کاربر، قابلیت یکپارچه شدن با Active Directory، اعتبار سنجی کاربران برای دسترسی به شبکه، قابلیت اختصاص IP به طور خودکار (DHCP)، امکان تعریف قواعد دسترسی به شبکه و اینترنت برای هر کاربر، نظارت بر فعالیت کاربران در وب، دارای دیواره آتش جهت کنترل دسترسی، جلو گیری از نفوذ و خرابکاری در شبکه، دارای سیستم شناسایی و ممانعت از نفوذ (IPS)، توانایی جلوگیری از ورود آگهی های تبلیغاتی اینترنتی، مدیریت پهنای باند، قابلیت سهمیه بندی پهنای باند برای برنامه های مختلف و پشتیبانی از VoIP، پروتکل ارسال صوت از طریق اینترنت از جمله قابلیت های کلیدی فایروال کریو می باشد. Kerio Control هنگامیکه لازم است بین دو شبکه و یا سرویس دهنده و ایستگاه های کاری، شبکه خصوصی مجازی برقرار گردد اجازه میدهد با استفاده از پرتکلهای IPsec NAT و PPTP V.P.N این ارتباط ایمن به سادگی برقرار شود.
Kerio Control به طور خودکار دارای ویژگی اعمال محدودیت بر روی محتوای صفحات وب است که بر مبنای کلید واژه، دسترسی به یک سایت را میتواند مسدود کند و بطور افزودنی Kerio Control با نرم افزار پالایشی Cobion Orange Filter تجهیز شده است. در این نرم افزار محتوای صفحات وب، به ۵۸ مقوله مختلف نظیر اخبار، بازی، خرید، ورزش، مسافرت و غیره تقسیم شده است و میتواند دسترسی کاربران مختلف، به مقوله های گوناگون را کنترل و یا مسدود کند.
فایروال Cisco ASA سیسکو ای اس ای
سیسکو یکی از بزرگترین تولیدکنندگان محصولات امنیتی و زیرساختی شبکه بوده است. Cisco Firepower انتخاب ایدهآلی برای بیزنسهای متوسط بوده و از سویی دیگر Meraki MX گزینهای مناسب برای شرکتهای پرشعبه است. خصوصا آنهایی که در ۱۰ الی۱۰۰ شعبه پراکنده شده باشند.
نقاط قوت فایروال سیسکو به شرح ذیل می باشد:
عملکرد بازاریابی:
سیسکو در دنیای شبکه و امنیت سایبری، یک برند همه فن حریف و فراگیر است. این کمپانی یکی از دانهدرشتترین تولیدکنندگان UTM در دنیا بوده و در برخی موارد به عنوان برترین راهکار موجود به شمار میآید. محبوبیت Meraki MX باوجودیکه کماکان به آمریکا و بریتانیا محدود بوده، در سایر نقاط جهان و خصوصا در صنعت خردهفروشی بهبود قابل توجهی داشته است.
مدیریت متمرکز:
برای مشتریان توزیعیافتهی سیسکو، راهکارهای نظارتی و مدیریتی یکپارچه که در وایرلس، سوییچها، فایروال، VPN نقطه به نقطه (Site-to-Site) و مدیریت دستگاههای موبایل قابل استفاده باشد، اهمیت فوقالعادهای دارد.
بهبودها:
سیسکو برای یکپارچگی هرچه بیشتر بین راهکارهای مختلف خود، تا کنون امکانات متعددی را به بازار معرفی کرده است که برای SMBها امری کاملا مطلوب به حساب میآید. از دیگر مواردی که سیسکو تمرکز خاصی به آن نشان داده، میتوان به سرمایهگذاری روی بهبود کنسولهای مدیریتی Firepower در دو نوع روی دستگاه و ابری اشاره داشت.
تجربه مشتریان:
مشتریان فعلی و مشتریان بالقوه، معمولا Cisco را به عنوان یک برند و شریک قابل اعتماد به حساب میآورند. تعداد بسیاری از مشتریان سیسکو در ایالات متحده، به این شرکت امتیاز بالایی از حیث پشتیبانی و خدمات پس از فروش دادهاند. کاربران Meraki هم، از نظر سهولت استقرار و پیادهسازی، رضایت بالایی از خود نشان میدهند.
موارد قابل توجه در فایروال سیسکو به شرح ذیل است:
قابلیتها:
هیچ یک از فایروالهای Meraki MX و دستگاههای کوچکتر سیسکو یعنی Firepowerها از قابلیت رمزگشایی امنیتی لایهی انتقال یا به اختصار TLS برخوردار نبوده و امکان بررسی وبگردی کاربران در ترافیک HTTPS وجود ندارد. Meraki برای امنیت ایمیل هنوز جای پیشرفت زیادی داشته و نمیتواند فایلهای http را برای یافتن ویروس بررسی کند. در مقابل این امکان را دارد که هشها را به زیرساخت ابری هدایت کند و برای محفاظت پیشرفته در برابر بدافزارها، آنها را به سامانهی AMP بسپارد.
کنسول مدیریتی:
یکی از گلایههای همیشگی کاربران Cisco ASA کیفیت پایین کنسول مدیریتی آن در قیاس با محصولات رقبا بوده است. سیسکو در اواخر سال ۲۰۱۶ با معرفی Firepower Device Management به عنوان یک اینترفیس تعبیهشدهی تحت وب سعی کرد به این مشکل پاسخی داده باشد. اما هنوز این اینترفیس از کلیهی امکانات برخوردار نبوده و گزینهی Zero-Touch Deployment را ندارد. در برخی از حوزهها (بخش دولتی و بخش مالی)، و برخی از کشورهای اروپایی و آمریکای لاتین، کنسول ابری Meraki گزینهی چندان ایدهآلی به شمار نمیرود.
تجربه مشتریان:
مشتریان به این نکته اشاره دارند که کیفیت بروزرسانیهای میانافزار Firepower جای بهتر شدن دارد. چرا که امکانات جدیدی که در نسخههای آخر اضافه میشود، از نظر سازگاری مشکلاتی برای آنها ایجاد میکند. آن دسته از مشتریان توزیعیافتهی Meraki MX که دارای شعبات و دفاتر متعددی هستند، بر این باورند که با بالا رفتن تعداد دفاتر و بزرگ شدن مقیاس کاری، سهولت کاربری دچار افت میشود و همچنین دسترسی محدود به ابزارهای عیبیابی برایشان مشکلساز است.
عملکرد فروش:
تعداد زیادی از مشتریان سیسکو از افزایش قیمتها و پیچیدگی لیست هزینهها ابراز نارضایتی کردهاند. آنها مورد نامطلوب دیگر را کاهش عمر مفید محصولات در سالهای اخیر عنوان کردهاند. خارج از مرزهای آمریکای شمالی، دانش و تخصص کافی برای راهکارهای Meraki MX کمیاب بوده و همین امر چارهای جز جایگزینی آن با Firepower در برخی از کاربردهای بخصوص باقی نگذاشته است.
یو تی ام فایروال فورتی گیت FortiGate
سبد محصولات شرکت Fortinet فورتی نت در حوزه شبکه و امنیت اندپوینت، دربرگیرندهی فایروالهای مخصوص شرکتهای بزرگ (FortiGate)، پلتفرم محافظت از اندپوینت (FortiClient) و فایروال فورتی گیت اپلیکیشنهای وب (FortiWeb) میباشد. اخبار اخیر حاکی از پیدایش سری جدیدی از مدلهای سختافزاری و یکپارچگی و هماهنگی بیشتر بین کلیهی محصولات فورتینت بوده است (FortiNet Security Fabric).
نکات مثبت فایروال های فورتی نت به شرح ذیل است:
سرویسهای امنیتی Fortinet توسط تیمی بزرگ و متخصص در حوزهی پژوهش تهدیدات هدایت شده و ایجاد پروفایلهای اختصاصی برای اپلیکیشنها به منظور کنترل و افزایش تیررس دید SaaS مزایای قابل توجهی برای مشتریان به حساب میآید.
بسیاری از محصولات Fortinet از سازگاری کاملی با یکدیگر برخوردارند که از جملهی آنها میتوان به محصولات فایروال و اندپوینت، اکسس پوینتهای وایرلس و سوییچها اشاره کرد. فورتینت نام این کانسپت را Fortinet Security Fabric یا به عبارتی کالبد امنیتی گذاشته و این یکی از نقاط قوت بسیار حائز اهمیت برای مشتریان است. چون به این ترتیب میتوانند با خیالی آسوده روی محصولات مختلف فورتینت سرمایهگذاری کنند و دیدی واحد از تمام زیرساختشان داشته باشند. علاوه بر این میتوانند اکسسپوینتها و سوییچهای خود را بطور مستقیم از طریق کنسول فورتینت مدیریت کنند. مورد دیگر اینکه راهکارهای اندپوینت این شرکت (FortiClient) با این کالبد امنیتی سازگار بوده و امکان بررسی سلامت اندپوینتها را پیش از شروع ارتباط میسر میسازد.
موارد قابل توجه در فایروال فورتی نت به شرح ذیل است:
در برخی از حوزه ها مثل آموزش و خردهفروشی که توجه خاصی به استفاده از پلتفرم ابری دارند، Fortinet نسبت به برخی از رقبای اصلیاش، در حوزه مدیریت ابری ضعیفتر عمل میکند. معرفی FortiCloud اولین قدم فورتینت برای فراهم آوردن مدیریت متمرکز ابری به حساب میآید و با وجودی که از سازگاری کاملی با FortiView برخوردار است، در زمینهی مدیریت پیکربندی، هنوز نتوانسته تمامی امکانات و قابلیتها را عرضه کند.
جامعهی کوچکی از مشتریان Fortinet از قابلیت سندباکسینگ ابری این شرکت استفاده میکنند. نظرسنجی انجام گرفته از نمایندگان فروش نشان میدهد که سندباکسینگ فورتینت کمترین نرخ پیادهسازی را داشته و از بابت کیفیت رمزگشایی HTTPS امتیاز رضایتمندی پایینی دریافت کرده است.
نظر سنجی از نمایندگان فروش و مشتریان بیانگر نگرانیهای آنان نسبت به کنسول مدیریتی نه چندان آسان فورتینت بوده است. طبق اظهارات مشتریان فورتینت، دریافت خدمات پس از فروش از اکوسیستم این شرکت از نظر سرعت و سهولت با مشکلاتی همراه بوده است.
مقایسه فایروال سایبروم Cyberoam، فورتی گیت FortiGate و Pfsense