طی سی سال گذشته، فایروال‌ها به عنوان پایه و اساسی در استراتژی‌های امنیت شبکه در سازمان‌های مختلف مطرح بوده است. مبنای فایروال‌ها بر این اساس است که ترافیک و کاربران داخلی ذاتاً قابل اعتماد هستند و ترافیکی که از بیرون وارد می‌شود، این‌گونه نیست. بنابراین، باید یک مرز یا محیط پیرامونی قابل اطمینان بین شبکه‌های مختلف ایجاد کرد. در این‌جا این سؤال مطرح می‌شود که «کدام OEM (تولیدکننده تجهیزات اصلی) بهترین مرز را ارائه داده تا بتوان آن را پیکربندی کرد و اعتماد بیشتری به دست آورد؟» امروزه باید محصولات رهبران این صنعت، یعنی فورتینت (Fortinet) و سیسکو (Cisco) را با هم مقایسه کنیم. در این مقاله، توضیح می‌دهیم که هر یک از این محصولات چه تأثیری بر روی اکوسیستم امنیت سازمان شما دارند. 

چندین دهه است که فایروال‌های سنتی در اختیار سازمان‌ها قرار دارند و بسیاری از سازمان‌ها نیز از آن‌ها به عنوان محصولات امنیتی معمول خود استفاده می‌کنند. اما با توجه به این‌که تهدیدات گسترده‌تر و متنوع‌تر شده‌اند، فناوری‌های فایروال نیز توسعه یافته‌اند. با این احوال، فایروال‌های نسل بعدی (next-generation firewall (NGFW)) فراتر از پورت یا پروتکل‌های فایروال‌های سنتی عمل می‌کنند. روش‌های جدیدتری هم برای مسدودسازی ارائه شده‌اند تا بازرسی در سطح اپلیکیشن‌ها، پیشگیری از نفوذ و هوش تهدیدات واردشده از سوی منابع خارج از فایروال را کامل کنند. 

در این مقاله، فایروال‌های فورتیگیت از شرکت فورتینت و فایرپاور شرکت سیسکو را بررسی می‌کنیم. خواهید دید که چرا این دو فایروال در رأس کلاس خود قرار دارند و می‌توان آن‌ها را فایروال‌های نسل بعدی نامید. 

یک راهکار بسیار یکپارچه

سبد فایروال نسل بعدی (NGFW) سیسکو با توجه به تهدیدات موجود امروزی بهینه‌سازی شده است. این فایروال حاوی کنترل‌های امنیتی در کلاس جهانی بوده و خط‌مشی‌های امنیتی پایدار و قابلیت دید بسیار خوبی در آن تعبیه شده است. سبد NGFW سیسکو یک روش بسیار انعطاف‌پذیر ارائه می‌نماید. سازمان‌ها می‌توانند با استفاده از این فایروال، به شکل مستمر بر روی مراکز داده، شعب و دفاتر، محیط‌های ابری و هر چیزی بین آن‌ها به خوبی نظارت و کنترل داشته باشند. 

داده‌های این مخزن را سیسکو تالوس (Cisco Talos) پر می‌کند. این سازمان، یک سازمان رهبر در زمینه تحقیقات و تحلیل هوش تهدید در دنیا است. تالوس حوزه‌های مختلف و جدید در زمینه بدافزارها، URLهای مخرب و آسیب‌پذیری‌های ناشناخته یا افشانشده را پیدا کرده و قواعدی را برای کاهش آن‌ها تدوین می‌کند تا بدین ترتیب، از مشتریان سیسکو محافظت کند. 

علاوه بر این، اگر از راهکارهای دیگر سیسکو هم استفاده کنید، یک سبد جامع از محصولات امنیتی در اختیار دارید که همه آن‌ها به صورت دستی کار می‌کنند تا رویدادهای قطعی را زودتر از موعد متوجه شوید، اغتشاش‌ها را از بین ببرید و تهدیدات را سریع‌تر متوقف سازید. 

مزیت‌های اصلی فایروال سیسکو فایرپاور 

ویژگی‌های اصلی فایروال سیسکو فایرپاور به شرح زیر است که در مجموع، امنیت را برای سازمان شما فراهم می‌آورد:

• جلوگیری از ورود تهدیدات بیشتر (Stop More Threats): قابلیت محافظت پیشرفته سیسکو در برابر بدافزارها (Cisco Advanced Malware Protection (AMP)) و سندباکس که بدافزارهای شناخته‌شده و شناخته‌نشده را در بر دارد.

• اولویت‌بندی تهدیدات (Prioritize Threats): سیستم پیشگیری از نفوذ نسل بعدی (NGIPS) فایروال سیسکو، امکان دید بهتر بر روی محیط را در اختیار شما قرار می‌دهد. رتبه‌بندی خودکار ریسک‌ها و پرچم‌های تأثیر (impact flags) اولویت‌ها را برای تیم شما مشخص می‌سازند.

• شناسایی زودهنگام، اقدام سریع‌تر (Detect Earlier, Act Faster): سیسکو تالوس یک سازمان راهبر در حوزه‌ی تحقیقات و تحلیل هوش تهدید است که سبد NGFW سیسکو را تأمین می‌کند. تالوس حوزه‌های مختلف و جدید در زمینه بدافزارها، URLهای مخرب و آسیب‌پذیری‌های ناشناخته یا افشانشده را پیدا کرده و قواعدی را برای کاهش آن‌ها تدوین می‌کند تا بدین ترتیب، از مشتریان سیسکو محافظت کند. همین قواعد در SNORT که در NGFW سیسکو تعبیه شده‌ است، قرار گرفته و امنیت بیشتری را حتی در برابر تهدیدات پیشرفته‌تر نیز فراهم می‌آورد. بدین ترتیب، سازمان‌ها می‌توانند انطباق بیشتری با قوانین و مقررات پیدا کنند. در نتیجه، می‌توانید نظارت و دید دقیق‌تر و ریزتری بر روی زیرساخت‌های خود داشته و آسیب‌پذیری‌ها را به سرعت پیدا کرده و در برابر آن‌ها اقدام کنید.

• نگهداری خط‌مشی‌های پایدار (Maintain Consistent Policies): با استفاده از NGFW سیسکو وضعیت امنیتی شما قوی‌تر شده، برای آینده آماده و تجهیز می‌شوید و مدیریت و سرپرستی انعطاف‌پذیرتری خواهید داشت. همچنین، سیسکو گزینه‌های مدیریتی مختلفی را در اختیار شما قرار می‌دهد که می‌توانید بسته به نیازمندی‌های محیط و کسب و کار خود از آن‌ها استفاده کنید. از جمله این گزینه‌ها می‌توان از مدیر دستگاه فایرپاور (FDM) (Firepower Device Manager)، مرکز مدیریت فایرپاور (FMC) سیسکو (Cisco Firepower Management Center) و هماهنگ‌کننده دفاع سیسکو (CDO) (Cisco Defense Orchestrator) نام برد.

• کم‌کردن پیچیدگی‌ها (Reduce Complexity): می‌توانید با استفاده از کارکردهای امنیتی بسیار یکپارچه، تهدیدات را به شکل خودکار پایش کنید. از جمله این امکانات می‌توان به فایروال اپلیکیشن‌ها، حفاظت پیشرفته در برابر بدافزارها (AMP) (advanced malware protection) و سیستم‌های پیشگیری از نفوذ نسل بعدی (NFIPS) (next-gen intrusion prevention systems) اشاره نمود.

در این‌جا فهرستی از مدل‌های مختلف فایرپاور سیسکو قرار داده‌ایم تا بتوانید آن‌ها را با هم مقایسه کنید. این فهرست از محصولات سری 1000 تا سری 9300 را در بر دارد.

Cisco Firepower 9300 series	Cisco Firepower 4100 series	Cisco Firepower 2100 series	Cisco Firepower 1000 series	Features
FPR-9300 SM-40 FPR-9300 SM-48 FPR-9300 SM-56	FPR-4115 FPR-4125 FPR-4145	FPR-2110 FPR-2120 FPR-2130 FPR-2140	FPR-1010 FPR-1120 FPR-1140	Hardware  Model
80Gbps	80Gbps	3Gbps  6Gbps  10Gbps  20Gbps	650Mbps 1.5Gbps 2.2Gbps	Firewall
48Gbps 55Gbps 64Gbps	26Gbps 35Gbps 45Gbps	2.3Gbps 3Gbps 5Gbps 9Gbps	650Mbps 1.5Gbps 2.2Gbps	NGFW
54Gbps 64Gbps 70Gbps	27Gbps 40Gbps 53Gbps	2.3Gbps 3Gbps 5Gbps 9Gbps	650Mbps 1.5Gbps 2.2Gbps	NGIPS
10Gbps 11Gbps 12Gbps	6.5Gbps 15Gbps 10Gbps	365Mbps 475Mbps 735Mbps 1.4Gbps	150Mbps 700Gbps 1Gbps	Transport Layer Security (TLS)
8x SFP*	8x SFP*	12x RJ45, 4x SFP	8x RJ45	Interfaces
2x Network Modules (NM): 1/10/40/100G, FTW	2x Network Modules (NM): 1/10/40G, FTW	10G SFP*, 1/10G FTW		Optional Interfaces
Service Providers   Data Centers   Campuses   High-Performance Computing	Data Centers   Internet Edge	Mid/Large Enterprises   Internet Edge   Data Centers	Small/Medium Businesses (SMB)   Branch Offices Internet Edge	Use Cases

برای آشنایی بیشتر با فایروال های سیسکو می توانید از لینک های زیر استفاده کنید:

1. فایروال سیسکو سری Cisco Firepower 4100  

2. فایروال سیسکو سری Cisco Firepower 2100

3. فایروال سیسکو سری Cisco Firepower 9300

4. فایروال سیسکو سری Cisco Firepower 1000

گزینه‌های سخت‌افزاری برای شما

مقایسه فایروال‌هایی مانند دستگاه‌های فایرپاور و فورتیگیت بسیار مهم است. ما می‌دانیم که این اهمیت صرفاً مربوط به خود دستگاه‌ها نیست. باید بدانیم که امروزه چه چیزهایی وجود دارد، گزینه‌های مالی را در نظر بگیریم و سایر موارد دیگر را هم مد نظر قرار دهیم. ما کار شما را ساده کرده‌ایم تا سخت‌افزار مناسب خود را پیدا کنید و شبکه خود را بسته به نیازمندی‌های خود بر اساس آن ایجاد کنید. 

یک راهکار عملکردی مقیاس‌پذیر

شرکت فورتینت، سری فایروال‌های نسل بعدی سازمانی به نام فورتیگیت ارائه می‌نماید. از این فایروال‌ها می‌توان برای مراکز داده و شعبه‌های یک سازمان استفاده کرده و الزامات امروز را برآورده ساخت. سری فورتیگیت، چندین گزینه مختلف برای عملکرد مقیاس‌پذیر در اختیار شما قرار می‌دهد تا بتوانید موارد کاربرد خود را با استفاده از (سیستم عامل) FortiOS حل و فصل کنید. این سری فایروال‌ها هوش مصنوعی بسیاری پیشرفته‌ای دارند که با استفاده از آن، وضعیت امنیتی شما ارتقا یافته و می‌توانید جدیدترین تهدیدات و روندها را با آن مدیریت کنید. 

فورتیگیت بر اساس پرتقاضاترین سطوح عملکردی طراحی شده است. این فایروال دارای پردازشگرهای خاص برای امنیت است که عملکرد فوق‌العاده‌ای را در اختیار شما قرار می‌دهد و بدون آن‌که محرمانگی و امنیت داده‌های شما را به خطر بیندازد، نیازمندی‌های مراکز داده جدید شما را برآورده می‌سازد. فورتیگیت با دارابودن رابطی با نرخ 100 Gbps و توانی بیش از 1 Tbps یک معماری کاملاً  افزونه در اختیار شما قرار می‌دهد تا تمامی نقاط آسیب‌پذیر مرکزی از بین برود.

فایروال فورتیگیت می‌تواند بدون آن‌که بر عملکرد اپلیکیشن‌های شما تأثیری داشته باشد، ترافیک حجیم شرقی-غربی عبوری بین سیستم‌های شما را بازرسی کند. علاوه بر این‌ها، این پردازشگرهای امنیتی توان لازم برای تبادل کلید SSL، تطبیق امضای IPS و رمزنگاری Suite B، بدون هیچ‌گونه جریمه عملکردی را نیز فراهم می‌نمایند. 

مزیت‌های کلیدی فایروال فورتیگیت شرکت فورتینت

فایروال نسل بعدی فورتیگیت، یک وسیله امنیت شبکه با عملکرد بالا است که در آن، قابلیت‌های بررسی SSL، پیشگیری از نفوذ، نظارت بر اپلیکیشن‌ها و کاربران و تشخیص تهدیدات ناشناخته در فایروال‌های سنتی تعبیه شده است. برخی از ویژگی‌های کلیدی فورتیگیت عبارتند از:

• کنترل اپلیکیشن (Application Control): فورتیگیت دارای یکی از برجسته‌ترین دیتابیس‌ها در حوزه اپلیکیشن است که می‌تواند از کسب و کار شما در برابر اپلیکیشن‌های خطرناک حفاظت کند. این فایروال، امکان دید و کنترل اپلیکیشن‌هایی که بر روی شبکه اجرا می‌کنید را برای شما فراهم می‌آورد.

• پیشگیری از نفوذ (Intrusion Prevention): این فایروال از تلاش‌های ناخواسته برای دسترسی به شبکه که آسیب‌پذیری‌ها و مشکلات پیکربندی سیستم شما را هدف می‌گیرند، جلوگیری می‌کند و می‌تواند بیش از 10 میلیون تلاش برای نفوذ در یک دقیقه را مسدود سازد.

• تهدیدات پیشرفته (Advanced Threats): با استفاده از قابلیت‌های پیشرفته فورتیگیت همچون جوگیری از بدافزارها، آنتی‌ویروس و سندباکس، فایل‌ها و بارهای مخربی که در شبکه شما جاری می‌شوند، متوقف شده و نمی‌‌توانند به کار خود ادامه دهند. بیش از 35،000 فایل مخرب در دقیقه متوقف می‌شوند.

• عملکرد بالا (High Performance): عملکرد بالا یکی از اساسی‌ترین ویژگی‌های امنیت شبکه است که به ویژه در محیط‌های بسیار بزرگ و محیط‌هایی که دستگاه‌های بسیار زیادی به هم متصل می‌شوند، اهمیت بیشتری هم دارد. سیستم‌های سنتی برای امنیت شبکه نمی‌توانند در این محیط‌ها عمل کنند، اتصال امن را برقرار ساخته و نیازمندی‌های تجربه کاربری لازم را فراهم سازند. عملکرد امنیت، استاندارد لازم برای سازمان‌هایی است که در لبه نوآوری‌های دیجیتال کار می‌کنند؛ در یک چنین مقیاسی، حتی یک میلی‌ثانیه قطعی می‌تواند نتایج بسیار وخیمی را به بار آورد.

• هوش تهدید (Threat Intelligent): تهدیدات پیچیده و هدفمند، چالش‌های عمده‌ای را برای امنیت شبکه به وجود آورده‌اند. بهترین راهکارهای امنیت شبکه دارای یک هوش تهدید به‌روز هستند تا در برابر سوء استفاده‌ها، آسیب‌پذیری‌ها، Zero-dayها و حملات شناخته‌شده و حملاتی که قبلاً شناخته‌شده نبوده‌اند، محافظت به عمل آورند.

   

• قابلیت دید (Visibility): قابلیت دید، یکی از مهم‌ترین چالش‌ها در امنیت شبکه به حساب می‌آید؛ شما نمی‌توانید چیزی را که نمی‌بینید، کنترل کنید. با توجه به این‌که زیرساخت‌های دیجیتال بیشتر توزیع‌شده هستند و شرکت‌ها از مجموعه‌ای از زیرساخت‌های داخلی خود (on-promise) و زیرساخت‌های ابری استفاده می‌کنند، نقاط امنیتی کور بیشتری در شبکه‌ها وجود دارد. با استفاده از فایروال فورتینت می‌توانید ترافیک خود را به شکلی پیشرفته‌تر و کامل‌تر ببینید و بر آن نظارت داشته باشید.

• سادگی (Simplicity): نه تنها مدیریت بر روی پیچیدگی‌های شبکه دشوار است، بلکه این پیچیدگی‌ها ریسک‌های امنیتی در پی دارند. در شبکه‌های پیچیده، چندین راه ورود وجود دارد و احتمال متأثرشدن نیز بیشتر است. علاوه بر این‌ها، سطح کلّی حملات به زیرساخت‌های توزیع‌شده و روندهای ماکرو می‌رسد. از آن جمله می‌توان به مواردی همچون آوردن وسایل خود (BYOD) (bringing your own device) و اینترنت اشیا (IoT) اشاره نمود که در آن‌ها میلیون‌ها لینک به شبکه‌های شرکت در هر سال اضافه می‌شوند. فورتیگیت دارای یک کنسول مدیریتی به نام single-pane-of-glass (دیدن همه داده‌ها در یک قاب واحد) است که امکان مدیریت متمرکز شبکه را برای شما فراهم می‌کند. با استفاده از این کنسول می‌توانید محیط‌های بسیار توزیع‌شده‌ای که ابزارهای مختلف زیادی در آن‌ها وجود دارند را کنترل کنید.

گزینه‌های مدیریت فایروال 

سیسکو دارای چندین گزینه مدیریتی و سرپرستی است. FDM سیسکو یکی از راهکارهای مدیریت آنباکس است که با استفاده از آن می‌توانید استقرار در مقیاس کوچک را به شکل محلّی مدیریت کنید. FMC سیسکو نیز یکی از راهکارهای مستقر بر روی سرورهای داخلی (on-promise) است که با استفاده از آن می‌توان استقرار در مقیاس بزرگ را انجام داد. این راهکار امکان مدیریت رویدادها و خط‌مشی‌های امنیتی را در اختیار شما قرار داده و امکان گزارش‌گیری و لاگ‌های محلّی را نیز فراهم می‌آورد. در نهایت، CDO سیسکو، یک مدیر امنیت ابری است که خط‌مشی‌های امنیتی و مدیریت دستگاه‌ها در شبکه‌ی گسترده‌ را در اختیار شما قرار می‌دهد. 

برای مدیریت فورتیگیت در موارد استقرار کوچک می‌توانید از گزینه مدیریت آنباکس آن استفاده کنید. FortiManager نیز گزینه مدیریت مرکزی فورتیگیت است که با استفاده از آن می‌توانید هزاران فورتیگیت، خط‌مشی و شیء را به شکل متمرکز مدیریت کنید. در FortiManager هم گزینه‌های فیزیکی و هم گزینه‌های مجازی در اختیار شما قرار داده شده است. 

از شبکه خود حفاظت کنید، سوئیچ کنید

در فایرپاور شرکت سیسکو از پیشرفته‌ترین هوش تهدید به منظور حفاظت از سازمان‌ها در برابر تهدیدات و بدافزارهای شناخته‌شده یا ناشناخته استفاده می‌شود. دفاع در برابر تهدیدات فایرپاور (FTD) سیسکو یک تصور جامع و یکپارچه است که قابلیت‌های NG-IPS، AMP، CTR، رمزگشایی SSL/TLS در آن تعبیه شده تا یک ابزار قدرتمند امنیتی ارائه شود. در فورتیگیت نیز امکاناتی همچون بررسی SSL، IPS، VPN و ATP در نظر گرفته شده تا امنیت برای تمامی سازمان‌ها فراهم شود. اما سیسکو تالوس، قابلیت دید بیشتری نسبت به LAB فورتیگیت دارد.