سامانه بومی فایروال نسل بعدی آیپی ایمن  (IPImen NGFW-UTM)

takian.ir afta utm فایروال نسل بعدی (IPImen Next Generation Firewall) تولید شده توسط شرکت تاکیان، به‌صورت From the ground up بر بستر سیستم‌عامل سفارشی‌سازی شده توسط این شرکت بانام ImenOS (مبتنی بر Unix توزیع FreeBSD) ارائه می‌گردد.باتوجه‌به طراحی  در سطح Kernel، این محصول قادر است با پایداری بالا و سرعت بسیار بالاتری اقدام به فایروالینگ نماید  و طی سال های متمادی و پی در پی موفق به کسب تاییده افتا شده است.

این محصول بصورت سخت افزاری و مجازی قابل ارائه میباشد و در زیر به توضیحات و مشخصات مرتبط با این محصول پرداخته شده است.

 


 

  • معرفی
  • مشخصات عمومی و تخصصی
  • بررسی اولیه قابلیت ها
  • تفاوت NGFW با UTMوFW
  • دلایل مهاجرت به این محصول
  • مدل بندی
  • دانلود فایل ها
  • دمو آنلاین

امروزه، روند گسترش محیط شبکه‌‌ی سازمانی تا حدی است که شناسایی کامل آن امکان‌پذیر نبوده و یا به‌راحتی قابل شناسایی نمی‌باشد.سازمان‌های بزرگ‌ علاوه بر اندازه‌ی شبکه، باید نیازهای کاربران و الزامات پیاده‌سازی‌ را نیز مدنظر قرار دهند. سطح حملات در تجهیزات سیار و دیتاسنترها، Public Cloud و Private Cloud و همچنین اینترنت اشیا (IoT) به طرز چشمگیری افزایش یافته و تعریف سازمان‌های گسترده و برقراری امنیت در آن‌ها را با چالش مواجه نموده است. عوامل تهدید، با هدف کسب درآمد به نقاط ضعف شبکه‌های سازمانی حمله نموده و با فرآیندهای حمله خودکار از اطلاعات حساس به دست‌آمده جهت باج‌خواهی یا فروش در بازار سیاه استفاده می‌کنند.IPImen NGFirewall UTM

کمبود قابلیت‌ دید (Visibility) و قابلیت کنترل در یک محیط نامحدود با برخورداری از امکان توسعه شبکه، برنامه‌های کاربردی، داده‌ها و کاربران از دغدغه‌ها‌ی متخصصین حوزه‌ی امنیت به شمار می‌رود. این دغدغه ناشی از آن است که سطح پایین عملکردهای امنیتی در یک فایروال واحد ممکن است منجر به پیکربندی نامناسب و از دست رفتن Event Logها گشته و علاوه بر آن احتمال عدم‌ شناسایی نقض‌های امنیتی را نیز افزایش دهد.
کارشناسان امنیت سازمان، علاوه بر افزایش اثربخشی امنیت به دنبال سازگاری و انطباق بیشتر در حین ارائه فاکتورها، تجمیع حوزه‌های امنیتی، سطح بالای عملکرد قابل‌اطمینانِ شبکه‌‌ و ساده‌‌سازی روند مدیریت امنیت ترجیحاً در یک کنسول واحد می‌باشند. امنیت فایروال شبکه باید به گونه‌ای تکمیل گردد که قادر به تأمین امنیت درسازمان‌های بزرگ باشد.
با توجه به اینکه سازمان‌ها، نیازمند یک راهکار امنیت شبکه از نوع End-to-End می‌باشند، باید تمامی سطوح آسیب‌پذیری از اینترنت اشیاء (IoT) گرفته تا سرویس Cloud و از کاربران گرفته تا داده‌ها را محافظت کرد. راهکار IPImen NGFirewall-UTM با استفاده از یک رویکرد مشترک در سراسر زیرساخت شبکه این کار را انجام داده و مدیران امنیتی را قادر به پیاده‌سازی یک استراتژی گسترده و پویای دفاعی در بلندمدت می‌نماید.

معرفی محصول امنیتی IPImen NGFirewall-UTM:

محصول فایروال یوتی‌ام نسل بعدی (Next Generation Firewall-UTM) با نام IPImen یک محصول تخصصی در زمینه امن سازی شبکه است که به دست توانای متخصصان داخلی تولید گردیده است و قابلیت های مختلف تعبیه شده در آن متناسب با نیازهای سازمان های ایرانی است که ماحصل کسب نظرات، پیشنهادات، انتقادات و راهکارهای ارائه شده توسط مدیران شبکه در سراسر کشور می باشد. در واقع این محصول از نظر قابلیت، گام های بلندتر و موفق تری را نسبت به بسیاری از تولید کنندگان برداشته است و امروزه در نقش یک محصول Next Generation عرض اندام می نماید. 

محصول IPImen NGFirewall-UTM می‌تواند قابلیت دفاع لحظه‌ای،Responsive و هوشمند را در مقابل بدافزارها و تهدیدات پیش رو فراهم نماید. قابلیت های تعبیه شده در این محصول اساس زیرساخت امنیتی شبکه سازمانی را تشکیل می‌دهند.
ویژگی انعطاف‌پذیری در فایروال‌ها این امکان را فراهم می‌نماید تا روند پیاده‌سازی‌ متناسب با نیازهای خاص امنیتی در قسمت خاصی از سازمان بدون خطا در عملکرد صورت گیرد. تمامی تجهیزات فایروال در IPImen NGFirewall-UTM از طریق کنسول مدیریتی واحد به یکدیگر مرتبط می‌شوند. این ارتباط متقابل به ارائه اثربخش‌ترین نوع محافظت پرداخته و علاوه بر تسهیل پیاده‌سازی، موجب کاهش نقاط تماس متعدد و Policy‌ها در سراسر سازمان می‌گردد.علاوه بر این، راهکار فوق به منظور فراهم آوردن بهترین نوع محافظت دربرابر حملات هدفمند و پیشرفته‌ترین تهدیدات امنیتی به ارائه‌ی مواردی همچون امنیت شبکه‌ به صورت End-to-End از طریق یک پلتفرم، یک سیستم‌عامل امنیت شبکه و مدیریت یکپارچه Policy با یک کنسول واحد می‌پردازد.

اجزای اصلی راهکار امنیتی IPImen NGFirewall-UTM:

در زیر به بررسی اجزای اصلی راهکارهای امنیتی ارائه شده توسط شرکت تاکیان می پردازیم.

1 - ارائه‌ی مؤثر امنیتی توسط آزمایشگاه تاکیان:

کسب دانش جامع در مورد چشم‌انداز تهدیدات به همراه توانایی پاسخگویی سریع به سطوح متعددی از این تهدیدات می‌تواند مبنایی برای ایجاد امنیت اثربخش در شبکه باشد. بر همین اساس، بروزرسانی های آنلاین به عنوان بخش مهمی از راهکار امنیتی IPImen NGFirewall-UTM بشمار می‌رود. این بروزرسانی ها توسط متخصصان این شرکت بصورت انلاین ارائه میگردد و به منظور اثربخشی بهتر، تیم تحقیقات امنیت به بررسی بروزرسانی های ارائه شده توسط سایر تولیدکنندگان مطرح در ایران و جهان می‌پردازد تا با بالاترین سطح از امنیت ارائه شده در دنیا همگام باشد.


2 - کنسول واحد با یک سیستم‌عامل امنیت شبکه:

صرف نظر از جایگاه پیاده‌سازی تجهیزات IPImen NGFirewall-UTM یا پلتفرم آن (سخت‌افزاری، مجازی‌سازی‌شده،Public Cloud و یا Hybrid Cloud)، قابلیت دید و کنترل با یک سیستم‌ عامل سازگار برای امنیت شبکه تأمین می‌گردد. ImenOS با هدف کاهش پیچیدگی‌ها‌ به تجمیع تمامی سرویس‌های امنیت و شبکه می‌پردازد. ضمن اینکه قابلیت دید ۳۶۰ درجه به ترافیک شبکه را میسر می‌سازد و کاربران با یک کلیک می‌توانند ترافیک را از طریق برنامه‌های کاربردی، تهدیدات، تجهیزات، کشورها و سایر فاکتورها مشاهده نمایند.
ImenOS به اِعمال Policyهای ارزشمند در سراسر شبکه می‌پردازد. با وجود امکانات فوق، مدیران حوزه‌ی امنیت می‌توانند بر ترافیک شبکه نظارت داشته و Policy‌های تجمیع‌ یافته‌ای را تدوین نمایند که این موضوع شامل کنترل‌های امنیتی بصورت جزئی‌تر می‌باشد. در عین حال مدیران امنیتی با در اختیار داشتن یک کنسول واحد می‌توانند از قابلیت دید و کنترل در سراسر سازمان‌ها بهره‌مند شده و به این ترتیب انجام فرآیندهای مدیریت مرکزی، گزارش‌گیری و Logging به صورت مقیاس‌پذیر را میسر نمایند.

3 - ارائه راهکار فایروالی در سراسر سازمان‌های بزرگ:

مجموعه تجهیزات شبکه IPImen به ارائه طیف بسیار وسیعی از پلتفرم‌های فایروال در بازار می‌پردازد IPImen NGFirewall-UTMبرمبنای یک معماری یکپارچه و هدفمند ایجاد شده که به ایجاد توان عملیاتی بسیار بالا و تأخیر بسیار کم می‌پردازد و در عین حال باعث ایجاد اثربخشی امنیتی بیشتر می‌گردد.
مجموعه تجهیزات IPImenشامل یک مجموعه از پلتفرم‌های انعطاف‌پذیر می‌گردد که به عنوان فایروال‌های نسل بعدی (NGFW) در Edge، به عنوان فایروال‌های دیتاسنتر در Edge مربوط به دیتاسنتر و بخش‌های داخلی یا سازمان‌های توزیع‌شده پیاده‌سازی شوند. تجهیزات IPImen که توسط یک سیستم‌عامل امنیت شبکه مدیریت می‌شوند، یک Policy‌‌ امنیتی یکپارچه را در تمامی موقعیت‌ها عرضه می‌نمایند.

4 - ارائه یک راهبرد دفاعی گسترده و دینامیک برای بلند‌مدت:

محصول IPImen NGFirewall-UTMبا پشتیبانی از تمام انواع پیاده‌سازی‌ها می‌تواند آزادی عمل بی‌نظیری را در اختیار متخصصان امنیتی در سراسر شبکه‌های سازمانی بزرگ قرار ‌دهند. مدیران امنیتی از قابلیت دید و کنترل لازم برای مقابله با مهاجمان از طریق یک سیستم‌عامل امنیت شبکه در سراسر مجموعه تجهیزات FortiGate برخوردارند. مدیران امنیتی با استفاده از یک داشبورد واحد که بصورت GUI یا WUI ارائه میگردد، می‌توانند دیدگاه‌های مدیریتی مختلف را گردآوری نموده و Policy‌های امنیتی را به شکلی دقیق اجرا نمایند.

 

مشخصات عمومی محصول:

این محصول دارای قابلیت های مختلفی است که در زیر به بعضی از قابلیت عمومی آن اشاره شده است و جهت آشنایی با سایر قابلیت ها می‌توانید به فایل معرفی محصول مراجعه نمایید:

  • طراحی و توسعه یکپارچه محصول توسط متخصصان ایرانی بدون وابستگی به‌محصولات جانبی درقالب From Scratch
  • راه‌حل مجـازی و ارائه محصول به‌صورت ماشین مجــازی قابل ‌استفاده در ESX، VMware، Oracle ، Hyper-Vو ...
  • راه‌حل سخت‌افزاری یکپارچه و ارائه بر روی Appliance های ایرانی و خارجی (نکسکام، لنر، ادونتک، پورتول)
  • سیستم مدیریت یکپارچه از طریق واسط کاربری ساده (Web، GUI و CLI جهت دسترسی SSH و مستقیم)
  • دارای واسـط مدیریتی مرکـزی جهت کنترل، مانیتورینگ و نظارت سایر فایروال نصب شده در سطح کشور
  • قابلیت تعریف، ویرایش یکپارچه و مجتمع پالیسی‌های نامحدود و شناسه محور و نمایش شماره پالیسی‌ها
  • امکان جستجوی دقیق و کامل دیتابیس‌ها از جمله IP، Port، Domain، Alias، User، Group و ...
  • امکان به‌روزرسانی دائمی آنلاین و آفلاین ماژول‌های امنیتی از جمله IDPS، Geo-IP، Phishing و ...
  • امکان ارتباط، احرازهویت و استفاده از توکن های سخت افزاری علی الخصوص در سناریوهای دورکاری
  • موازنه بار لینک اینترنتی برای کاربر و شناسه به‌صورت اختصاصی و ترکیبی با الگوریتم‌های متنوع
  • ماژول کامل گــزارش گیری سریع و حرفه ای حتی در شبکه های بزرگ با حجم گزارشـات بالا
  • امکان Join شدن کامل، دقیق و سریع با سایر محصولات گزارشگیر، آنالیزور و مانیتورینگ
  • امکان فیلترسازی و جستجوی کامل شناسه‌ها و تمامی موجودیت‌ها در پالیسی‌های انبوه
  • امکان مدیریت حجم کلانی از آدرس‌های IP و Port با قابلیت Import/Export
  • کشف و رصد پکت جهت Match شدن با پالیسی‌ها برحسب تمامی شناسه‌ها
  • Takian NGFW intelligenceامکان Bind کردن یا بسط دادن IP به MAC جهت افزایش سریع امنیت
  • امکان تخصیص فضای ابری اختصاصی جهت ذخیره اطلاعات پیکربندی
  • عدم نیاز به هیچ‌گونه تنظیم و نصب نرم‌افزار جانبی سمت Clientها
  • امکان زمان‌بندی پالیسی‌ها در قالب زمان‌بندی محدود یا تکراری
  • مدیریت و دسترسی سلسله‌مراتبی در نقاط مختلف شبکه کلان
  • توانایی تعریف Zone Segment های نامحدود اختیاری
  • رعایت کامل حقوق معنوی و حق تکثیر Copyright
  • پشتیبانی از حــالات مختلف قرارگیــری در شبکه
  • ارائه سـرویس Wireless و Wi-Fi تخصصـی
  • قابل‌استفاده در سطوح صنعتی MODBUS
  • قابلیت سفارشـی‌سازی بر مبنای نیاز مشتری
  • یکپارچگی (Consistency) بین سیستم‌ها
  • پشتیبانی از قابلیت SMS Registration
  • قابلیت انحصاری Layer7 SSL Tunnel
  • مجهز به ابزار سفارشی شده جهت اتصال
  • قابلیت رمزنگاری اطلاعات در لایة 7
  • دارای امکانات، راهنما و تقویم فارسی
  • پشتیبانی کامل از پروتکل IPv6
  • پشتیبانی کامل برای مشتریان
  • تعدد و تنوع زیر سیستم‌ها
  • مانیتورینگ بسیار قوی
  • سایر موارد ...

قابلیت های تخصصی محصول:

ipimen ngfw utm features

 

بررسی اولیه بعضی از قابلیت های محصول:

باتوجه‌به اینکه این محصول یک فایروال نسل بعدی (Next Generation) است لذا تأکید بسیار زیادی بر ارائه خدمات در لایه کاربرد دارد. قابلیت‌هایی همچون Layer7 SSL tunnel ، Layer7 Authentication ، Layer7 Filtering و ... همگی توانایی‌های ویژه‌ای هستند که یا به‌صورت انحصاری ارائه‌شده و یا در فایروال‌های غیر NG قابل‌مشاهده نمی‌باشد.

+ یکی از بخش‌های مهم و امنیتی این محصول، قابلیت Smart Security است که به‌صورت شناسه محور، قابل اعمال بر روی تمامی موجودیت‌های شبکه بوده و موجب کسب سطح بالایی از امنیت در این محصول شده است. هدف اصلی این قابلیت، تشخیص و جلوگیری از حملات و رخدادهایی است که توسط فایروال‌های معمولی، قابل‌تشخیص نبوده و موجب ایجاد ناپایداری در سیستم می‌گردند.

+ قابلیت Application & Identity Awareness ، مهم‌ترین قابلیت یک فایروال نسل بعدی و یکی از بزرگ‌ترین دغدغه‌های مدیران شبکه، امکان کنترل کامل نرم‌افزارهای کاربردی است، به‌گونه‌ای که بتوان بدون وابستگی به نسخه نرم‌افزار یا پورت مورداستفاده (حتی SSL) آن نرم‌افزار دسترسی‌ها را به منابع شبکه مدیریت نموده و پهنای باند خاصی را به هر یک از آن‌ها تخصیص داد که در این محصول به این توانایی توجه ویژه‌ای شده است. شما می‌توانید عملکرد تمامی فیلترشکن‌ها، دانلودرها، پیام‌رسان‌های اجتماعی و Malware ها را کنترل نموده و یا قطع نمایید. حتی می‌توانید بازدیدهای انجام‌شده توسط فیلترشکن‌ها را Log کرده و امکان هرگونه دورزدن پالیسی‌های سازمان را از کاربران سلب نمایید.

+ قابلیت Port Enforcement یکی از قابلیت‌های مهم در فایروال‌های نسل بعدی است که هدف آن تشخیص ماهیت پورت‌های لایه اپلیکیشن و امکان نظارت و کنترل بر آن‌هاست به طور مثال می‌توان سیستم را به‌گونه‌ای تنظیم نمود که تنها ترافیک‌های نوع HTTP بر روی پورت 80 ردوبدل شوند و ترافیک‌های دیگر مانند RDP مجاز نباشند.

+ عملکرد Evasion Detection یا تشخیص گریز در این محصول سعی دارد که با به‌کارگیری مجموعه‌ای از راهکارها در قالب IP Packet Fragmentation، TCP Stream Segmentation، RPC Fragmentation، FTP Evasion URL Obfuscation ، HTML Obfuscation ، Layered Evasion ، Payload Encoding و ... از اهداف خرابکارانه در راستای دورزدن امنیت، عبور از فایروال، کارآمدسازی در مقابل حملات هدفمند بعدی و ... جلوگیری نماید.

+ در عملکرد این محصول به قابلیت‌های مرتبط با مدیریت ترافیک و مدیریت پهنای باند تأکید زیادی شده است و به‌صورت multi Identity می‌توان انواع محدودیت‌ها را به کامل‌ترین روش ممکن اعمال نمود

+ یکی دیگر از مشکلاتی که این روزها در سازمان‌های ایرانی دردسرساز شده است، فراگیر شدن روش‌های ماینینگ (Coin Mining) جهت استخراج ارز دیجیتال است. این محصول توسط قابلیت Anti-Mining می‌توان هم سایت‌ها و آدرس‌های حاوی اسکریپت‌های ماینینگ را تشخیص داده و هم پروتکل‌های مرتبط را بلاک نماید.

+ یکی از بخش‌های مهم امنیتی این محصول، قابلیت IDPS است که به دلیل درگیری مستقیم با پکت ها و عدم استفاده از Capture آن‌ها، توانایی تحمل پهنای باندهای بالا را داشته و تلاش شده است که دارای حداقل False Negative/Positive باشد.

+ قابلیت IP/Domain Reputation در کنار جلوگیری از حملات Phishing  مخصوصاً در سایت‌های ایرانی که از چشم آنتی فیشینگ‌های خارجی پنهان مانده است و مبارزه با آدرس‌های حاوی بدافزارها و باج‌افزارها نیز یکی دیگر از قابلیت‌های مهم این محصول است که با قطع دسترسی کاربران و سایر شناسه‌ها به این‌گونه سایت‌ها و آدرس‌ها می‌تواند عامل مهمی در جلوگیری از نشت و سرقت اطلاعات باشد.

+ در فایروال IPImen مدیر سیستم می‌تواند به تعداد نامحدود Segment Zone های متنوع را تعریف نماید. در بسیاری از فایروال‌ها وجود محدودیت در تعریف Security Zone ها در شبکه‌های متوسط به بالا موجب نداشتن Flexibility در تنظیمات پالیسی‌های فایروال می‌گردد.

+ مدیریت ارتباطات Wi-Fi  و ارائه خدمات بی‌سیم در بعضی از مدل‌های سخت‌افزاری این محصول نیز، موجب بی‌نیازی مدیران شبکه از نصب دستگاه‌های Access point خواهد شد و مدیریت یکپارچه را به شما ارائه خواهد داد.

+ در این فایروال قابلیت Balancing در دو حالت Link و Application Delivery ارائه‌شده است. تا امکان موازنه بار لینک‌های اینترنتی (بدون محدودیت در نوع و تعداد) و موازنه بار ترافیک بر روی سرویس‌های داخلی (بدون محدودیت در تعداد) فراهم گردد. الگوریتم‌های تعبیه‌شده در این سیستم، الگوبرداری شده از محصولات برتر دنیا ازجمله Forti balancer ، F5 و ... است و مجموعه‌ای از بهترین الگوریتم‌های رایج را در خود جای‌داده است.

+ یکی دیگر از بخش‌های مهم سیستم که رویکرد مدیریت کاربران را در نظر گرفته است، ارائه پروسه کامل AAA در قالب قابلیت‌هایی همچون اکانتینگ و احراز هویت است. باتوجه‌به ایرانی بودن این محصول، تلاش ما بر این بوده است که تمامی جزئیات را در قابلیت اکانتینگ این محصول تعبیه نماییم تا نیازهای اساسی مدیران سازمان‌های ایرانی را (باتوجه‌به گران بودن پهنای باند اینترنت، بهره‌وری پایین کارمندان، استفاده غیراصولی از اینترنت و ...) با یک مدیریت شناور به همراه همگام‌سازی کامل با Active Directory، امکان مدیریت جامع کاربران، گروه‌ها و Reseller ها را فراهم کرده باشیم. در قابلیت احراز هویت این محصول نیز تمامی الزامات در راستای کنترل کاربران در Device های مختلف ازجمله PC، Laptop، Mobile، Tablet و ... را با رویکرد بی‌نیازی از نصب Agent در دستگاه کاربران در نظر گرفته است تا برخلاف محصولاتی که شمارا ملزم به نصب Agent، Token یا پیاده‌سازی پراکسی می‌نمایند، بتواند با حداقل پیچیدگی و در تمامی حالات NAT، Route و Transparent ، کاربران را با متدهای مختلف حتی به‌صورت SSL، احراز هویت نماید.

+ یکی دیگر از مهم‌ترین توانایی‌های این محصول، امکان ارائه گزارش‌هایی بسیار دقیق از وضعیت موجود شبکه و سیستم است که مدیران شبکه را از استفاده از سایر محصولات آنالیز و مانیتورینگ بی‌نیاز می‌نماید.

+ این سیستم می‌تواند هم‌زمان در تمامی مدل‌های Gateway، Transparent Bridge، VLAN Routing و Proxy در چیدمان شبکه قرار گرفته و خدمات خود را ارائه دهد و استفاده از یکی از حالات ذکرشده موجب نمی‌گردد تا کل سیستم در همان مدل قرار گیرد و درواقع به‌صورت Combine Mode می‌تواند تمامی مدل‌ها را پشتیبانی نماید.

+ همچنین در این کنار محصول از قابلیت CCM یا همان کنسول نظارت و مدیریت مرکزی استفاده شده است تا مدیر سازمان بتواند نظارت کاملی بر کلیه تجهیزات نصب شده در سطح سازمان داشته باشد. تمامی محصول شرکت تاکیان با برند IPImen قابلیت اتصال به سامانه نظارت و مدیریت مرکزی و یکپارچه با نام CCM را دارند. توسط این قابلیت مدیران سازمانی در سطوح مختلف می‌توانند اقدام به رصد وضعیت تجهیزات IPImen  نصب خود در سطح کشور نموده و تنظیمات و مقررات خود را اعمال نمایند. این سامانه به‌صورت نرم‌افزاری به همراه تمامی محصولات این شرکت به‌رایگان ارائه شده است و قابل‌اجرا بر روی سیستم‌عامل‌های ویندوز و لینوکس می‌باشد. سامانه CCM در واقع یک سامانه پیشرفته و کامل برای مدیریت از راه دور فایروال‌ها یا سایر تجهیزات IPImen است تمامی توانایی‌های موجود در خود جای‌داده است و برخلاف روال ارائه شده در سایر محصولات، شما در این سامانه می‌توانید از تمامی قابلیت‌ها و توانایی‌هایی که یک مدیر در داخل سازمان خود دارد برخوردار باشید، بگونه ای که احساس می‌کنید به طور مستقیم و حضوری به دستگاه متصل بوده و در حال بازبینی، نظارت، کانفیگ و مدیریت آن هستید.

+ در بعضی از سناریوها، مدیران سیستم قصد دارند امنیت بیشتری را برای دسترسی‌های جاری تعبیه نموده و حالاتی مشابه Two Factor Authentication یا همان احراز هویت دوعاملی را پیاده‌سازی نمایند لذا می‌توانند با تهیة Token های سخت افزاری و نرم افزاری این محصول، به‌راحتی این روال را پیاده‌سازی نمایند. مهم‌ترین مورداستفاده این توکن‌ها، هنگام پیاده‌سازی قابلیت L3 Secure Tunnel و L7 SSL Tunnel است که برای ذخیره SSL Certificate می‌توان توکن‌ها را فعال نموده و به کارمندان و پیمانکاران مستقر در خارج از سازمان واگذار کرد تا ارتباط امنی را طی پروسه دورکاری با داخل سازمان داشته باشند.

ipimen token - توکن های سخت افزاری

 

 

چرا این محصول یک   Next Generation Firewall است؟

طبق تعاریف بین‌المللی، هر دو محصول NGFW و UTM دارای همپوشانی بالایی هستند و بیشتر به زمان ارائه آن‌ها برمی‌گردد زیرا درگذشته برای رفع نیازهای امنیتی سازمانی، پکیجی باقابلیت‌های متنوع به نام UTM ارائه‌شده بود و هیچ‌گاه تصور نمی‌شد که در آینده‌ای نزدیک، پهنای باند سازمان‌ها تا این حد افزایش‌یافته و نیازها تخصصی‌تر شود لذا محصولات NGFW قابل‌درک نبودند و دستگاه‌هایی که به‌عنوان UTM ها به فروش می‌رسند معمولاً دارای رتبه بازده پایین هستند و برای کسب‌وکارهای کوچک و متوسط ​​به بازار عرضه می‌شوند، درحالی‌که دستگاه‌هایی که دارای رتبه بازدهی بالاتری هستند معمولاً به‌عنوان NGFW ها به فروش می‌رسند(مرجع). اما امروزه با افزایش پهنای باند سازمان‌ها، گسترش پروتکل‌های امنی مانند SSL و SSH ، پیچیده‌تر شدن ساختار شبکه‌ها و نیاز به ارتباطات چندگانه با سایر شعب سازمانی، توانایی و عملکرد NGFW ها کاملاً قابل‌درک بوده و استفاده از آن‌ها ضروری می‌نماید.

امروز، بااین‌حال، ما شاهد ترکیب قابل‌توجه مفهوم این دو سبک از محصول هستیم. شکاف عملکرد ناپدیدشده است و راه‌حل‌هایی به بازار عرضه می‌شود که دستگاه‌های NGFW و UTM با خدمات امنیتی مشابه تولیدشده و به بازار عرضه می‌شوند زیرا بسیاری از UTM های مطرح سعی دارند توانایی‌های یک NGFW را نیز تا حد امکان پشتیبانی کنند. هرچند که در سطحی کلان‌تر دستگاه‌های UTM پالیسی‌های محدودتر، مدیریت، گزارش‌های غیرخطی و توانایی‌های امنیتی ثابتی را ارائه می‌کنند و باهدف سهولت در نصب و استقرار و مدیریت مداوم طراحی‌شده‌اند و بیشتر مناسب سازمانی است که مدیر امنیت فناوری اطلاعات نداشته و کارشناس شبکه قصد دارد در کمترین زمان تنظیمات ثابتی را اعمال نماید، درحالی‌که دستگاه‌های NGFW برای سازمان‌هایی که مایل به سفارشی کردن سیاست‌های امنیتی خود هستند و نیازهای امنیتی پویا دارند، ترجیح داده می‌شوند و تأکید عملکردی بیشتری بر روی تکنیک‌های مدیریتی و گزارش‌های فنی قوی‌تر دارند(مرجع).

ازنظر فنی نیز، محصولات NGFW، در سطح کلان سعی دارند که تأکید زیادی بر قابلیت‌هایی فانتزی ازجمله آنتی‌ویروس و وب پراکسی نداشته باشند، زیرا علاوه بر قدیمی شدن این تکنولوژی‌ها، سربار زیادی را به ترافیک شبکه تحمیل نموده و کارایی را تا سطح غیرقابل قبولی پایین میاورند درحالی‌که ترجیح NGFW ها بر این است که با بازرسی دقیق پکت ها، حتی در پروتکل‌های امن، مشکلات امنیتی را از پایه پیگیری و رفع نمایند(مرجع).

بعضی از محصولات مانند فورتی‌گیت نیز، سعی دارند که هم‌زمان قابلیت‌های UTM و NGFW را ارائه کنند و مشتری متناسب با نیاز سازمانی خود، سیستم را دریکی از این مدهای عملیاتی مستقر نماید یعنی UTM را فقط برای Small Business ها یا  و NGFW را برای  Enterprise & Midsize Business و حتی Small business ها در نظر بگیرد (مرجع)  و محصول IPImen نیز با همین رویکرد به بازار ارائه‌شده است.

همچنین لازم به ذکر است که محصولات NGFW علاوه بر ارائه خدمات محصولات دیگر این حوزه، توانایی‌های خاص‌تری را نسبت به سایرین عرضه می‌کنند که این توانایی‌ها بخشی از نیازهای ضروری یک سازمان است و در زیر به بعضی از آن‌ها به‌صورت کاربردی اشاره‌شده است(مرجع):

  • این رده از محصولات توانایی بررسی و واکاوی پروتکل‌های امنی مانند SSLو SSH را دارند که مزایای زیادی را به همراه دارد ازجمله، امکان ثبت لاگ سایت‌های HTTPS، احراز هویت بر روی سایت‌های HTTPS، فیلتر نمودن تفکیکی این آدرس‌ها، تشخیص و کنترل نرم‌افزارهایی که خدمات خود را بروی این پروتکل ارائه می‌دهند و ...
  • شناسایی و فیلتر کردن نرم افزارها و امکان تشخیص پروتکل‌ها در لایه کاربرد مهم‌ترین توانایی یک NGFW است، زیرا می‌توان فارغ از نوع پورت یا پروتکل، ترافیک آن را رصد و پایش نمود. یعنی  به جای اینکه صرفاً پورت یا پروتکل خاصی را فیلتر کنند ، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر نمایند. این قابلیت موجب میگردد که نرم افزارهای مخرب، فیلترشکن ها و نرم افزارهای غیرمجاز در سطح سازمان، نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند . مثلاً اگر ترافیک RDP بر روی پروتکل SSH ردوبدل شود، به‌راحتی تشخیص داده شد و می‌توان تصمیم لازم را اتخاذ نمود و قطعاً در جریان هستید که اکثر حملات باج افزاری و تخریبی منطبق بر RDP ، طی ماه‌های گذشته به سرویس‌های ایرانی، بایت نبود این قابلیت در زیرساخت‌های سازمانی بوده است.
  • این رده از محصولات توانایی خوبی درزمینه تعامل با دامین های متنوع سازمانی دارند و مخصوصاً در شبکه‌های بزرگ می‌توانند با تمامی دامین های Trusted و Untrusted به‌طور هم‌زمان تعامل داشته باشند.
  • بطور اختصاصی در محصول IPImen، امکان تشخیص کامل نرم‌افزارها یکی دیگر از نکات مهم است که موجب می‌گردد به‌راحتی بتوان بدون وابستگی به Port، IP، DNS و Pattern نرم‌افزارها را شناسایی کرده و علاوه بر اعمال پهنای باند بر روی آن‌ها، لاگ ارتباطی و سایت مشاهده‌شده توسط آن‌ها را نیز ثبت نمود. به‌طور مثال مدیر سیستم می‌تواند دسترسی به نرم‌افزار فیلترشکن Psiphon را قطع نموده اما FreeGate را باز بگذارد و در لاگ ها مشاهده کند که کاربر توسط فیلترشکن فری گیت چه سایت‌هایی را مشاهده کرده و چه ارتباطاتی را برقرار نموده است. بدیهی است که این گزارش‌ها نه باهدف رصد غیرمنطقی، بلکه امروزه یکی از نیازهای اصلی پلیس فتا در مواجه با شکایات و مشکلات است.
  • این رده از محصولات همچنین توانایی زیادی در رصد سایت‌های مخرب دارند و با تشخیص آدرس‌های حاوی انواع بدافزارها، باج افزارها، بات ها، صفحات فیشینگ و ... امنیتی بالایی را فراهم نمایند.
  • بطور اختصاصی در محصول IPImen، امکان رمزنگاری داده‌ها در سطح شبکه LAN، بدون وابستگی به تانل و بدون سربارهای اضافی نیز قابلیتی جالب در این محصول است که امنیت داده‌ها در سطح شبکه سازمان را تأمین می‌نماید.
  • قابلیت ویژه دیگر در محصول IPImen، امکان تفکیک ترافیک شبکه داخلی از اینترنت (قطع دسترسی به شبکه داخلی در هنگام اتصال به اینترنت) است، که درگذشته نه‌چندان دور تنها سناریوهایی مانند VPN یا Parallels و 2X در کنار محصولات برند سایبروم و سوفوس یا Thin client های جانبی امکان ارائه آن را داشتند اما در این محصول بدون وابستگی به هیچ محصول و هزینه جانبی می‌توان به این مهم دست‌یافت.

چرا لازم است که به سمت این محصول مهاجرت نمایید:

IPImen NGFW UTM Migration

محصول IPImen NGFW دارای قابلیت های بسیار متنوعی است که همواره سعی بر این بوده است تا همگام با محصولات روز دنیا، قابلیت هایی جدید و مفیدی به محصول اضافه شود، اما بعضی از این قابلیت ها خاص تر بوده (علی الخصوص قابلیت های منطبق بر نیازهای بازار ایران) و در سایر محصولات یا پیاده سازی نشده اند و یا شرایط پیاده سازی برای انها فراهم نشده‌است. در زیر به بعضی از این قابلیت های خاص اشاره میشود:

  • به‌روزرسانی آنلاین و آفلاین دائمی : این محصول امکان به‌روزرسانی آنلاین و آفلاین به‌صورت دستی و خودکار را فراهم مینماید و مدیر شبکه سازمان نیازی به هماهنگی های تلفنی و ارائه ریموت جهت به‌روزرسانی دستی محصول را ندارد.
  • عدم وابستگی به تحریم‌ها: باتوجه‌به اینکه این محصول به‌صورت بومی طراحی و پیاده‌سازی شده است لذا هیچ نگرانی بایت تحریم‌ها شامل حال این محصول نخواهد شد
  • پشتیبانی داخلی: کارشناسان بخش پشتیبانی این شرکت، محصول را به‌صورت رایگان نصب و راه‌اندازی کرده و خدمات دائمی پشتیبانی را به همراه مستندات فارسی ارائه می‌نمایند.
  • لایسنس با زمان نامحدود: این محصول به همراه کلیه قابلیت‌های درخواستی (از جمله Firewall ، IDPS و ...) از نظر زمانی، به‌دلخواه مشتری می‌تواند لایسنس نامحدود داشته باشد و در تمام مدت، تمامی قابلیت‌های محصول تحویلی قابل‌اجرا و استفاده می‌باشند؛ لذا مدیر شبکه سازمان هرسال مجبور به پرداخت هزینه‌های کلان برای تمدید مجدد لایسنس ندارد.
  • کاهش هزینه‌های جانبی: این محصول علاوه بر اینکه بصورت سخت افزاری و با لایسنس های سالانه ارائه میشود، امکان خرید به‌صورت مدت‌دار ماهانه و مجازی را نیز دارا میباشد و درنتیجه نیازی به خرید سخت‌افزارها و پرداخت هزینه‌ بابت لایسنس‌های بلندمدت وجود ندارد.
  • دارای واسط کاربری متنوع: این محصول دارای 3 نوع واسط کاربری و مدیرتی GUI/Web/CLI است.
  • دارای واسط مدیریت و کنترل مرکزی: در این محصول قابلیت CCM (Central Management Console) تعبیه شده است تا مدیران شبکه بصورت یکپارچه بتوانند محصولات نصب شده در سطح سازمان و سطح کشور را مانیتورینگ و مدیریت نمایند.
  • پشتیبانی از تاریخ شمسی: این محصول علاوه بر پشتیبانی از تاریخ شمسی در مدیریت سیستم، امکان ثبت لاگ‌ها به تاریخ شمسی را نیز فراهم می‌نماید.
  • مدیریت گواهینامه‌ها: این محصول امکان ساخت و ذخیره‌سازی Certificate های از پیش تعریف شده یا Self-Sign را فراهم می‌نماید.
  • قابلیت Port Enforcement/Application Awareness: با شناسایی و کنترل نرم‌افزارها (به همراه دسته بندی بزرگی از نرم افزارهای مطرح دنیا، از جمله فیلترشکن ها، دانلودرها، شبکه های اجتماعی و ...) و امکان تشخیص پروتکل‌ها در لایه کاربرد یا همان Deep Packet Inspection، می‌توان فارغ از نوع پورت یا پروتکل، ترافیک آن را رصد و پایش نمود. یعنی به‌جای اینکه صرفاً پورت یا پروتکل خاصی را فیلتر کند، نوع ترافیک یک نرم‌افزار را تشخیص داده و بر اساس نوع نرم‌افزار آن را فیلتر می نماند.
  • قابلیت ISDB : این محصول امکان تشخیص آدرس های IP شرکت های مشهور دنیا را در دسته بندی های مختلف فراهم نموده است. این قابلیت درحال حاضر تنها در محصول فورتی گیت ارائه شده است.
  • قابلیت فیلترینگ بر روی پروتکل TLS و SSL: این محصول می‌تواند ترافیک‌های عبوری تحت SSL و در فرم جدیدتر TLS را حداقل توسط TLS Server Name ، فیلتر نماید در صورتی که سایر محصولات یا این قابلیت را نداشته و یا تنها به SSL اکتفا نموده‌اند.
  • قابلیت فیلترینگ بر روی پروتکل SMTP: این محصول می‌تواند ترافیک‌های عبوری بر روی پروتکل SMTP را به تفکیک From و RCPT فیلتر نماید که در سایر محصولات تعبیه نشده است
  • قابلیت فیلترینگ بر روی ROW Packet Data : این محصول می‌تواند ترافیک‌های عبوری را حسب String و HEX Byte پکت ها فیلتر نماید که در سایر محصولات تعبیه نشده است
  • قابلیت فیلتر نمودن دائمی و کامل کلیه نرم‌افزارهای فیلترشکن (ازجمله Free gate ،Ultra-surf و ...)، پیام‌رسان‌های اجتماعی مانند Telegram و ... : برای بستن این نرم‌افزارها روش‌های رایج (ازجمله بستن پورت، بستن آدرس URL، بستن DNS و ...) کفایت نمی‌کند زیرا هوشمندی فراوان آن‌ها و گستردگی سرورهای خدمات‌دهنده موجب فعالیت مجدد آن‌ها خواهد شد. در محصول IPImen به این راهکار به‌عنوان یک Total Solution نگاه می‌شود و با درنظرگرفتن تمامی راه‌های جاری و سایر روش‌های انحصاری (مانند Name، Path، MD5 Hash، Cert Subject و Cert Serial No) تعبیه شده در محصول، می‌توان این نرم‌افزارها را فیلتر کرد. بدیهی است که این فیلترینگ بر روی تمامی نسخه‌های قدیمی و جدید این نرم‌افزارها اعمال شده و قابل دورزدن نمی‌باشد.
  • ثبت لاگ ارتباطی برنامه‌های کاربر: این محصول در کنار قابلیت App Control امکان ثبت لاگ‌های ارتباطی برنامه‌های کاربردی را فراهم می‌نماید تا مدیر شبکه بتواند گزارشی از سایت‌ها و آدرس‌های استفاده شده توسط کاربر با استفاده از فیلترشکن‌ها و ... را داشته باشد.(بطور مثال در صورتی که کاربر VPN بزند یا مثلا از فیلترشکن Ultra-Surf استفاده کند، باز هم شما سایت های مشاهده شده توسط کاربر را مشاهده خواهید نمود)
  • جلوگیری از IP/Domain Reputation ها: این محصول قابلیت جلوگیری اتوماتیک از دسترسی کلاینت‌ها به آدرس‌های مخرب (معرفی شده به‌عنوان Banned) لیست شده را فراهم می‌نماید. این لیست بطور دائمی از طریق رفرنس های بین المللی و همچنین لیست های ارائه شده بصورت روزانه در سایت افتا و بروزرسانی های دائمی سایت فورتی گارد بروزرسانی میگردد.
  • جلوگیری از ورود و خروج بسته های ارتباطی به آدرس های حاوی Malware ها و به‌روزرسانی دائمی و آنلاین
  • جلوگیری از ورود و خروج بسته های ارتباطی به سایت های  Phishing و به‌روزرسانی دائمی و آنلاین
  • جلوگیری از ورود و خروج بسته های ارتباطی به آدرس های حاوی  Ransom-ware ها و به‌روزرسانی دائمی و آنلاین
  • جلوگیری از ورود و خروج بسته های ارتباطی به آدرس های مرتبط با ارز دیجیتال Coin-Miner ها و به‌روزرسانی دائمی و آنلاین
  • قابلیت DLP سمت Gateway: این محصول قابلیت جلوگیری از نشت اطلاعات تحت پروتکل‌های FTP، HTTP، TFTP و ... را در خروجی ترافیک اینترنت سازمان فراهم می‌نماید.
  • قابلیت تفکیک اینترنت از شبکه داخلی Traffic Separation: بصورت منطقی نرم افزاری و امکان پالیسی نویسی
  • ارائه خدمات Wi-Fi Access point: این محصول می‌تواند در مدل‌های سخت‌افزاری دارای Wi-Fi، خدمات ارائه اینترنت بیسیم را فراهم می‌نماید.
  • پشتیبانی از Virtual IP : جهت انتشار آدرس‌های چندگانه سایت‌های داخلی
  • قابلیت احراز هویت در پروتکل SSL و TLS: باتوجه‌به فراگیر شدن سایت‌های HTTPS، این محصول می‌تواند حتی سایت‌های HTTPS را نیز احراز هویت نموده و حتی لاگ‌های مرتبط با مشاهده سایت‌های HTTPS توسط کاربران را نیز ثبت نماید.
  • استفاده از کانال امن برای انتقال اطلاعات هویتی: این محصول می‌تواند ترافیک‌های مرتبط با انتقال اطلاعات هویتی کاربران در شبکه را امن نماید (SSL ، TLS و ...). در یک توضیح ساده‌تر، صفحه hotspot به‌صورت HTTPS ارائه می‌گردد تا امکان شنود رمز عبور کاربران در شبکه وجود نداشته باشد.
  • قابلیت تغییر عنوان و لوگوی صفحه احراز هویت توسط مدیر سیستم: این محصول امکانی را در کنسول مدیریتی سیستم تعبیه نموده تا مدیر سیستم به‌صورت دستی و بدون دخالت تولیدکننده بتواند تغییرات لازم در عنوان و لوگوی صفحات احراز هویت را اعمال نماید.
  • یکپارچگی محصول با قابلیت Accounting: در این محصول نیازی به استفاده از محصولات جانبی جهت اکانتینگ کاربران وجود ندارد و تمامی قابلیت‌ها در یک محصول به‌صورت یکپارچه ارائه می‌گردند.
  • امکان اتصال به انواع Radius NAS Server ها: قابلیت Accounting تعبیه شده در سیستم می‌تواند این خدمت را به سایر محصولات (مثل فایروال‌ها، VPN سرورها، میکروتیک و ...) نیز ارائه نماید بگونه ای که کاربران سایر سیستم‌ها را نیز اکانتینگ نماید.
  • امکان Multi Database: این محصول جهت نگهداری و مدیریت لیست کاربران و گروه‌ها، امکان اتصال به دیتابیس داخلی و یا دیتابیس خارجی را فراهم نموده است در صورتی که در سایر محصولات به دیتابیس داخلی بسنده شده است و با زیادشدن لاگ‌ها و اطلاعات، دیتابیس کند شده و در عملکرد محصول اختلال ایجاد می‌نماید.
  • قابلیت Zone بندی اختیاری: این محصول امکانی را فراهم می‌نماید تا مدیر سیستم هیچ اجباری در استفاده از Zone بندی نداشته باشد اما در صورت نیاز بتواند بر اساس انواع مختلف حداقل شامل LAN، WAN و DMZ اقدام به تعریف و به‌کارگیری از Zone ها بنماید.
  • قابلیت پشتیبانی کامل و نامحدود از IPsec VPN
  • قابلیت پشتیبانی از SSL tunnel اختصاصی: تانل‌های SSL در سایر محصولات نیز ارائه می‌شوند اما در این محصول، کاربر می‌تواند توسط Drag drop کردن، تعیین کند که ترافیک کدام نرم‌افزارها از طریق تانل SSL ارسال شود.
  • قابلیت پشتیبانی از L3 tunnel اختصاصی: تانل‌های اختصاصی لایه 3 در این محصول تعبیه شده است تا با سرعتی بسیار بالا و با کمترین سربار امکان ارائه خدمات نامحدود دورکاری امن را فراهم مینماید.
  • امکان ارائه Token سخت‌افزاری: این محصول امکان استفاده از Token را به‌صورت Optional برای VPN Tunnel ها و مدیران سیستم فراهم می‌نماید و مدیر سیستم می‌تواند بدون دخالت تولیدکننده اقدام به تولید این توکن‌ها بنماید.
  • ثبت لاگ SSL و TLS: باتوجه‌به اینکه سایت‌های اینترنتی به سمت HTTPS شدن مهاجرت نموده‌اند، لذا بسیار مهم است که محصول بتواند لاگ مرتبط با این سایت‌ها را ثبت نماید درصورتی‌که این قابلیت تقریباً در سایر محصولات تعبیه نشده است.
  • قابلیت Session Hijack : جهت URL Redirection در حالات خاص
  • ارتباطی راحت با سامانه‌های SIEM: این محصول به‌راحتی امکان تعامل و ارتباط با سامانه‌های SIEM را دارد و امکان دریافت دستورات و محدودیت دسترسی به آدرس‌ها نیز در آن تعبیه شده است.
  • ذخیره Backup در ابر اختصاصی: سیستم می‌تواند به‌صورت اتوماتیک آخرین نسخه‌های رمز شده از Backup های سیستم را بر روی ابر اختصاصی انتقال دهد تا در بروز حوادث و یا آلوده شدن سازمان به باج‌افزارها، این اطلاعات قابل بازیابی باشند.
  • ...

 

مدل بندی محصول:

این محصول دارای 7 مدل اولیه است که در 4 کلاس دسته بندی شده است و در جدول زیر به انواع مدل های محصول و تفاوت های آنها با یکدیگر اشاره شده است. لازم به ذکر است که مقادیر ذکر شده مرتبط با سناریو های واقعی بوده و بدیهی است که اعداد و ارقام آزمایشگاهی تقریباً 8 تا 10 برابر اعداد ذکر شده است.

 

Takian IPImen NGFW UTM Model throughput

 

مستندات و فایل های ارائه شده:

 

جهت آشنایی بیشتر با این محصول و کسب اطلاعات کامل تر در زمینه نصب و راه اندازی میتوانید فایل های زیر را دانلود نمایید:
(برای دسترسی به فایل های زیر باید سطح دسترسی کافی داشته باشید، در غیراینصورت با بخش فروش یا پشتیبانی تماس حاصل نمایید)

 

راهنمای معرفی قابلیت ها (پروپوزال) IPImen NGFW-UTMراهنمای معرفی قابلیت ها (پروپوزال) IPImen NGFW-UTM

راهنمای کاربری محصول IPImen NGFW-UTMراهنمای کاربری محصول IPImen NGFW-UTM

راهنمای نصب و راه اندازی محصول IPImen NGFW-UTMراهنمای نصب و راه اندازی محصول IPImen NGFW-UTM

راهنمای آشنایی با کلمات رایج IPImen NGFW-UTMراهنمای آشنایی با کلمات رایج IPImen NGFW-UTM

پرزنت IPImen NGFW-UTMپرزنت معرفی محصول IPImen NGFW-UTM

 

دموی محصول:

جهت مشاهده دموی محصول با بخش فروش تماس حاصل فرمایید.

چاپ