دیوارآتش‌ نسل بعد (NGFW) چیست و چه قابلیتی دارد؟

دیوارآتش نسل بعد (NGFW) سرنام next-generation firewall بخشی از نسل سوم فناوری‌ دیوارآتش است که قابل اجرا در نرم‌افزار و سخت‌افزار است. دیوارآتش نسل بعد با پیاده‌سازی خط‌مشی‌های امنیتی در سطح نرم‌افزار، درگاه‌ها و پروتکل‌ها قادر به شناسایی حملات پیچیده و مسدود کردن آن‌ها است. به‌طور معمول، دیوارهای آتش نسل بعد کارکردها و قابلیت‌های پیچیده‌ای دارند که از آن جمله به موارد زیر می‌توان اشاره کرد:

application awareness (آگاه‌سازی برنامه‌های کاربردی)

integrated intrusion prevention systems (IPS) یکپاچگی با ساماه‌های پیشگیری از نفوذ-

identity awareness -- user and group controlآگاهی از هویت- کنترل کاربر و گروه -

bridged and routed modes حالت‌های مسیریابی و پل‌زنی-

the ability to use external intelligence sources توانایی به‌کارگیری منابع اطلاعاتی خارجی -

دیوارهای آتش نسل بعد حداقل سه عملکرد اساسی را در خود جای داده‌اند که از آن جمله می‌توان به قابلیت‌های دیوارآتش درون‌سازمانی، سامانه پیشگیری از نفوذ و کنترل برنامه اشاره کرد. شبیه به بازرسی حالت‌داری که دیوارهای آتش سنتی انجام می‌دهند، دیوارهای آتش نسل بعد با تشخیص درست جزییات ترافیک نرم‌افزاری که از میان آن‌ها عبور پیدا می‌کند، گزینه‌های بهتری در ارتباط با تصمیم‌گیری در اختیار دیوارهای آتش قرار می‌دهند تا ترافیکی که ممکن است از آسیب‌پذیری‌ها سوء استفاده کند را شناسایی کنند.

قابلیت‌های کاربردی دیوارهای آتش نسل بعد

دیوارهای آتش نسل بعد قابلیت‌های کاربردی دیوارهای آتش سنتی همچون فیلترینگ بسته‌ها، ترجمه آدرس شبکه (NAT)، ترجمه آدرس پورت (PAT)، مسدود کردن آدرس‌های اینترنتی و شبکه‌های خصوصی مجازی (VPN) را با قابلیت‌های شبکه‌های امروزی همچون کیفیت سرویس (QoS) که در دیوارهای آتش سنتی پیدا نمی‌شود را با یکدیگر ترکیب می‌کنند تا نسل جدید بتواند به درستی به تهدیدات امروزی پاسخ دهند. از قابلیت‌های جدید ارائه شده توسط دیوارهای آتش NGFW می‌توان به پیشگیری از نفوذ، بازرسی SSL و SSH، بازرسی عمیق بسته‌ها و شناسایی بدافزارهای شناخته شده و همچنین آگاه‌سازی برنامه‌های کاربردی اشاره کرد. این قابلیت‌های خاص کاربردی با هدف پیشگیری از رشد روزافزون حملات کاربردی که در لایه‌های 4 تا 7 پشته شبکه OSI رخ می‌دهد به کار گرفته شده‌اند.

مزایای دیوارهای آتش نسل بعد

ویژگی‌های مختلف دیوارهای آتش نسل بعد با هدف ارائه قابلیت‌های منحصر به فرد به کاربران با یکدیگر ادغام می‌شوند. دیوارهای آتش نسل بعد اغلب می‌توانند بدافزارها را قبل از ورود به شبکه مسدود کنند، قابلیتی که دیوارهای آتش سنتی به آن تجهیز نیستند. با توجه به این‌که دیوارهای آتش نسل جدید می‌توانند با سرویس‌های هوشمند شناسایی تهدیدات (APT) ادغام شوند، عملکردی به مراتب بهتر از نمونه‌های اولیه دارند. دیوارهای آتش نسل بعد همچنین می‌توانند پیش از آن‌که بدافزارها به شبکه وارد شوند آن‌ها را شناسایی کرده و مسدود کنند، کاری که در گذشته انجام آن امکان‌پذیر نبود. دیوارهای آتش نسل بعد به ویژه برای سازمان‌هایی که سعی دارند از رویکردهایی همچون هوشیاری کاربردی، سرویس‌های بازرسی، سامانه‌های محافظتی و ابزارهای آگاه‌کننده با هدف بهبود امنیت دستگاه‌های پایه استفاده کنند و در عین حال به دنبال کاهش هزینه‌ها هستند مناسب هستند.

نسل بعد دیوارهای آتش در برابر دیوارهای آتش سنتی

درست است که هر دو دیوارآتش نسل جدید و سنتی به دنبال بهبود امنیت شبکه‌های سازمانی و محافظت از منابع هستند، اما در نحوه پیاده‌سازی این دیوارهای آتش تفاوت‌هایی وجود دارد. شباهت‌های مهم عمدتا در ارتباط با فیلتر کردن بسته‌های یستا با هدف مسدود کردن بسته‌ها در نقطه رابط ترافیک شبکه است، همچنین هر دو فناوری جدید و سنتی امکان بازرسی بسته‌های دارای حالت، ترجمه پورت آدرس و شبکه را ارائه می‌کنند و قادر به تنظیم ارتباطات شبکه خصوصی محلی هستند. با این‌حال تفاوت‌هایی نیز وجود دارد. مهم‌ترین تفاوت میان دیوارهای آتش سنتی و جدید در این است که دیوارهای آتش نسل جدید یک بازرسی عمیق و پیچیده‌تر را ارائه می‌کنند که فراتر از بازرسی ساده پورت‌ها و پروتکل‌ها است. پورت‌ها و پروتکل‌هایی که مسئولیت انتقال بسته‌ها در شبکه را عهده‌دار هستند. دومین تفاوت مهم در ارتباط با نحوه بازرسی در سطح لایه کاربرد، جلوگیری از نفوذ و توانایی عمل روی داده‌های ارائه شده توسط سرویس‌های شناسایی هوشمند تهدیدات است. دیوارهای آتش نسل جدید از قابلیت‌های NAT، PAT و توسعه شبکه‌های خصوصی مجازی پشتیبانی می‌کنند که باعث می‌شود در حالت مسیریابی شده دیوارآتش عملکردی شبیه به یک روتر داشته باشد و در حالت شفاف نیز دیوارآتش در زمان پویش بسته‌ها یک حالت تاخیر به وجود آورد.

اگرچه دیوارهای آتش معمولاً بین اینترنت عمومی و یک شبکه داخلی درون DMZ مستقر می‌شوند، اما مهاجمان روش‌هایی برای دور زدن این کنترل‌ها پیدا کرده‌اند و صدمات قابل توجهی را قبل از تشخیص به سازمان‌ها وارد می‌کنند. دیوارهای آتش سنتی از نظر دامنه محدود هستند و سایر کنترل‌های امنیتی از جمله سیستم‌های پیشگیری از نفوذ، دیوارهای آتش نرم‌افزاری تحت وب، استانداردهای رمزگذاری ایمن، رمزگذاری قدرتمند در لایه وب، ضدویروس‌ها و ضدبدافزارها هنوز هم برای محافظت از شبکه‌های سازمانی لازم است.

در مقرون به صرفه‌ترین حالت، سازما‌ها باید به فکر استقرار محصولات امنیتی تحت شبکه قدرتمند و نظارت مستمر بر ترافیک شبکه با هدف کاهش بردارهای حمله ناهمگن باشند. علاوه بر این، تعامل میان محصولات امنیتی می‌تواند به بهبود عملکرد محصولات امنیتی، کاهش مصرف منابع و پهنای باند، زمان پاسخ‌گویی سریع‌تر و دفع حملاتی که توسط مکانیزم‌های رایج شناخته نمی‌شوند، اما دیوارهای آتش و ضدویروس‌های جدید قادر به شناسایی آن‌ها هستند کمک فراوانی کند.