در جهان امروز، تهدیدات سایبری نه تنها پیچیدهتر، بلکه هدفمندتر شدهاند و یک لحظه غفلت میتواند هزینههای سنگینی برای سازمانها داشته باشد، حفاظت از شبکههای سازمانی بیش از هر زمان دیگری حیاتی است. فایروال سوفوس ابزاری است که فراتر از محافظت معمول عمل میکند و کنترل کامل بر دسترسیها و سرویسها را در اختیار شما میگذارد. در این مقاله، با بهترین شیوههای بهرهگیری از فایروال سوفوس آشنا خواهید شد تا امنیت شبکه خود را به سطحی قابل اعتماد برسانید و ریسک نفوذ و تهدیدات داخلی و خارجی را به شکل مؤثر کاهش دهید.
شبکههای خود را بهگونهای جداسازی نمایید که سرویس های دارای دسترسی مستقیم به اینترنت، مانند سرورهای وب یا سرورهای دسترسی از راه دور، در بخشها و نواحی جدا از شبکه داخلی (LAN) مستقر شوند. این سرویسها معمولاً در یک ناحیه DMZ قرار می گیرند و قوانین فایروال باید بهطور دقیق پیکربندی شوند تا هرگونه ترافیک از DMZ به شبکه داخلی (LAN) مسدود شود. همچنین سایر نواحی LAN را میتوان به زیرشبکه های کوچک تر تقسیمبندی کرد و قوانین فایروال را برای کنترل ترافیک میان آنها اعمال نمود. در مثال ارائه شده، عدم تقسیم بندی شبکه موجب میشود که آلودگی به سرعت در بین نقاط انتهایی (Endpoints) منتشر شود.
در مثال زیر، فایروال سوفوس با تقسیم بندی شبکه به بخشهای جداگانه، مانع انتشار آلودگی از یک بخش به بخشهای دیگر میشود.
پیادهسازی این معماری شبکه به کمک فایروال سوفوس و اعمال سیاستهای IPSبر قوانین مدیریت ترافیک شبکه، ریسک حرکت جانبی بدافزار یا نفوذگران پس از حمله اولیه را کاهش داده و زمان بیشتری برای مقابله با تهدید فراهم میآورد.
هنگام پیکربندی قوانین فایروال سوفوس برای مدیریت ترافیک کاربران، فعالسازی گزینه Match Known Users الزامی است.
این تنظیم تضمین میکند که تنها کاربران احراز هویت شده قادر به دسترسی به منابع خارجی مثل اینترنت، از شبکه داخلی (LAN) خواهند بود و از هرگونه دسترسی غیرمجاز جلوگیری میشود.اعمال این رویکرد نه تنها امنیت شبکه را به شکل قابل توجهی افزایش میدهد، بلکه امکان اجرای سیاستهای کنترل دسترسی دقیقتر، نظارت جامع بر فعالیت کاربران و کاهش ریسک نفوذ یا سوءاستفاده از منابع شبکه را فراهم میآورد.
به منظور ایجاد امنیت بیشتر، دسترسی به منابع داخلی تنها از طریق اتصال VPN مجاز باشد و از Port Forwarding استفاده نشود.دسترسی VPN باید تنها به منابع مشخص شده برای کاربران و گروههایی که نیاز به این منابع دارند، محدود گردد. هنگام پیکربندی VPN دسترسی از راه دور در فایروال سوفوس، مطمئن شوید که گروه پیشفرض (fallback group) انتخاب نشده است.
اگر کاربری به گروه مشخصی در فایروال تعلق نداشته باشد، فایروال سوفوس گروه Open را به عنوان گروه پیشفرض کاربران، هنگام همگام سازی با Active Directory در نظر میگیرد. ضروری است که اعضای این گروه بهصورت دورهای بازبینی شده و به گروههای مرتبط و صحیح خود منتقل شوند تا سیاستهای دسترسی به منابع داخلی بهطور دقیق و مطمئن اجرا شوند. در صورتی که استفاده از Port Forwarding ضروری است، حتماً سیاست IPS را بر روی قوانین مربوطه اعمال کنید تا تمامی ترافیک مرتبط تحت نظارت و حفاظت کامل فایروال سوفوس قرار گیرد.
• فقط از NAT برای سرویسهایی استفاده کنید که بهطور صریح نیاز دارند. NAT به شما این امکان را میدهد که ترافیک را بهراحتی بین شبکههای متفاوت منتقل کنید. با این حال، تنها قوانین NAT را برای سرویسهایی پیکربندی کنید که واقعاً به آن نیاز دارید. انجام این کار باعث می شود در صورتی که یکی از بخشهای شبکه شما مورد نفوذ قرار گیرد حمله به سایر بخش ها گسترش پیدا نکند.
• دسترسی به فایروال سوفوس را به شبکه های مجاز محدود نمایید.
برای کنترل دقیق دسترسی به فایروال سوفوس، به مسیر Administration > Device Access بروید و قوانین را طوری پیکربندی کنید که فقط شبکه ها یا IP که ارتباط با آنها برای فعالیت سازمان شما ضروری است، به سرویسهای فایروال دسترسی داشته باشند.
سرویسهای مدیریتی فایروال سوفوس:
این سرویسها شامل خدماتی هستند که بهطور سراسری روی دستگاه فایروال اعمال میشوند و عملکردهای حیاتی شبکه را مدیریت میکنند، مانند Dynamic Routing
• در بخش Local Service ACL فایروال سوفوس میتوانید مجوزهای دسترسی به سرویس های مدیریتی فایروال را از نواحی تعیین شده فعال کنید.
سرویسهای خاص (Specific Services) در فایروال سوفوس:
این سرویسها نیازمند امنیت بالاتری هستند، مانند HTTPS که دسترسی به کنسول مدیریت وب فایروال سوفوس را کنترل میکند.
• در بخش Local Service ACL دسترسی از ناحیه WAN را فعال نکنید، زیرا این کار سرویسها را در معرض تهدیدات امنیتی قرار میدهد.
• برای این سرویسها، قوانین استثنایی Local Service ACL تعریف کنید تا دسترسی تنها از میزبانهای IP مجاز و مشخص امکانپذیر باشد. خوشبختانه در فریمور های جدید فایروال سوفوس فعال کردن دسترسی سرویس HTTPs از ناحیه WAN فقط با ایجاد ACL امکان پذیر است.
• پیکربندی امنیت ورود و پیچیدگی رمز عبور در فایروال سوفوس
• به مسیر Authentication > Multi-Factor Authentication (MFA) در فایروال سوفوس مراجعه کنید و در صورت امکان، احراز هویت چندمرحلهای را برای تمامی کاربران شبکه پیکربندی کنید.
توصیه می شود، احراز هویت چند مرحله ای را برای کاربران پر ریسک در فایروال سوفوس پیکربندی کنید.
• در بخش Require MFA for در فایروال سوفوس، اطمینان حاصل کنید که تمامی سرویسهای مورد استفاده، از جمله پرتال VPN و سرویسهای VPN فعال در شبکه، برای احراز هویت چندمرحلهای انتخاب شده باشند.
نکته: بعد از پیکربندی احراز هویت چندمرحلهای (MFA) در فایروال سوفوس، مطمئن شوید کاربران در اولین فرصت کد QR را اسکن کرده و توکن های یکبارمصرف (OTP) خود را ایجاد کنند.میتوانید فهرست کاربرانی که توکن های یکبار مصرف (OTP) خود را ایجاد کردهاند، در بخش Issued Tokens مشاهده کنید.
شرکت برنا رهپو موفق به انجام پروژه های متعددی در حوزه راه اندازی و نگهداری از فایروال ها و UTM ها گریده است. همچنین این شرکت جهت ارائه خدمات در بالاترین سطح اقدام به اخذ نمایندگی رسمی برندهای معتبری نظیر کسپرسکی، ولیکس، سیفتیکا و … نموده است.
