Preloader

دیواره آتش (فایروال) بومی پارس گیت

دیواره آتش (فایروال) بومی پارس گیت

دیواره آتش (فایروال) بومی پارس گیت

معرفی فایروال پارس‌گیت نسل بعدی

فایـروال ابـزاری اسـت که امـکان کنترل یکپارچـه و متمرکز ترافیک شـبکه را دارا اسـت و به‌منظور ایمن‌سـازی شـبکه در مقابـل حمـلات بیرونی اسـتفاده می‌شـود. پارس‌گیت به‌عنـوان قدیمی‌ترین محصـول بومـی در ایـن حوزه از سـال ۱۳۸۴، یک فایروال به منظـور ارائه مکانیزم‌های مختلف امنیتی در شـبکه‌های کوچـک تـا خیلی بزرگ اسـت. این محصول به‌صـورت یکپارچه سـرویس‌های امنیتی متعـددی را بـه همراه واسـط‌های مدیریتی کاربرپسـند با دو کانـال WUI و CLI ارائـه می‌نماید. مولفه IPS پـارس‌گیت بـه کمک پایـگاه داده غنـی الگوهای حملات، نسـبت بـه شناسـایی و جلوگیری از حملات شـناخته‌شـده، اقدام می‌نماید

پارس‌گیت نسل بعدی نسل جدیدی از فایروال شرکت امن‌افزار است که از سال ۱۳۸۳ هجری شمسی به بعد، تحت عنوان دروازه امنیتی و UTM پارس‌گیت یکی از پیشتازان بازار فایروال شبکه بومی در ایران بوده و در بیش از ۶۰۰۰ نسخه در صدها شبکه در سراسر کشور زیر بار رفته است. نسل‌های مختلفی از این محصول در طیف متنوعی از شبکه‌ها و با کاربردهای بسیار مختلف زیر بار رفته که شامل سازمان‌ها و شرکت‌های کوچک تا بزرگ، اپراتورهای مخابراتی، Data Centerها، بیمارستان‌ها و مراکز درمانی، دانشگاه‌ها، سازمان‌های نظامی، کارخانجات، شرکت‌های آب و برق و شبکه‌های کنترل صنعتی می‌شوند. برخی از کاربردهای پارس‌گیت نسل بعدی عبارتند از: • امکان تعریف سیاست های امنیتی جهت مدیریت دسترسی به سرویس های شبکه • تشخیص و جلوگیری از حملات به شبکه سازمان • ایجاد بستر امن برای ارتباط بین شعب مختلف سازمان • ایجاد بستر امن برای ارتباط بین کاربران با سازمان • امکان تعیین محدودیت زمانی و حجمی برای کاربران جهت استفاده از اینترنت • کنترل دسترسی کاربران به منابع شبکه از طریق احراز هویت آن‌ها • نظارت بر کلیه صفحات وب بازدید شده توسط کاربران • توزیع بار ترافیک اینترنت بین چند لینک ارتباطی • محدود کردن برنامه‌های کاربردی که از ترافیک شبکه سازمان استفاده می‌کنند با اضافه شدن قابلیت‌های فایروال‌های نسل بعدی (NGFW) به محصول پارس‌گیت از سال 1400 به بعد، نظیر قابلیت‌های کنترل برنامه‌های کاربردی (که از فناوری DPI استفاده می‌کند)، جلوگیری از حملات DDoS، تشخیص و جلوگیری از حملات شبکه‌های کنترل صنعتی و IP Reputation، و با تحول بنیادی در واسط کاربری وب محصول، نام محصول به پارس‌گیت نسل بعدی (ParsGate NG) تغییر یافته تا بهتر نشان‌دهنده قابلیت‌های فعلی و مسیر آینده محصول باشد. .

خلاصه ویژگی‌ها

    • فایروال، NAT، مسيريابي و شکل‌دهی ترافيک
    • امکان استفاده از شتاب‌دهنده سخت‌افزاری
    • امکان استفاده از کارت شبکه‌های ۱۰ گیگ، ۴۰ گیگ، ۱۰۰گیگ و ۲۰۰ گیگ
    • توزیع بار مبتنی بر اتصال (Connection-Based Load Balancing)
    • سامانه یکپارچه تشخيص و جلوگیری از نفوذ (IDPS) به همراه پایگاه امضاهاي مناسب‌سازي شده با توجه به تهديدات سايبري رایج در ايران
    • قابلیت برقراری تانل GRE و GRE Over IPSec
    • قابلیت تشخیص و جلوگیری از حملات به شبکه‌های کنترل صنعتی (ICS)
    • احراز هویت و حسابرسی کاربران همراه با پشتيباني از کاربران محلی، LDAP، Active Directory و همچنین SSO
    • سرويس VPN شبکه به شبکه با پروتکل IPsec و VPN میزبان به شبکه با پروتکل SSL VPN
    • قابلیت دسترسی‌پذیری بالا (HA) به صورت فعال-غیرفعال (Active-Passive)
    • قابلیت دسترسی‌پذیری بالا (HA) به صورت فعال- فعال (Active- Active)
    • کنترل برنامه هاي کاربردی (Application Control)
    • مسیریابی پویا (BGP, RIP)
    • پالایش URLهای وب (URL Filter)
    • قابلیت بازکردن ترافیک رمز شده (SSL Inspection)
    • بلوکه کردن IPهای آلوده و بدنام همراه با به‌روزرسانی آنلاین (IP Reputation)
    • تشخيص و جلوگيري از حملات منع سرويس معمولی و توزیع شده (DoS/DDoS)
    • گزارش‌گیری از مصرف ترافیک کاربران، URLهای بازدید شده، حملات تشخیص داده شده و برنامه‌های کاربردی

تمامي ويژگي‌هاي فوق قابليت پيکربندي از طريق واسط دستوري (CLI) و واسط کاربري وب (WUI) را دارند و به صورت ترکیبی و در شبکه‌های پیچیده با پایداری بالا و uptime طولانی‌مدت (۹۹٫۹٪ و میانگین uptime بالای یک سال) کار می‌کنند. محصول پارس‌گيت نسل بعدی همچنین دارای ويژگي‌هاي امنیتی مختلف مانند رمزگذاری کل هارد دیسک دستگاه، پشتيباني از TLS براي ارتباط با سرورهای Syslog، سياست هاي امنيتي براي کلمات عبور و تعلیق کاربران، و پشتیبانی از احراز هویت و رمزنگاری در SNMPv3 است. محصول جداگانه مدیریت متمرکز نیز برای سازمان‌هایی که بیش از یک فایروال پارس‌گیت نسل بعدی زیر بار دارند قابل ارائه است. پشتیبانی باکیفیت تلفنی و حضوری و همچنین راهنماي کاربري تفصیلی مبتنی بر وب به زبان فارسی نیز در کنار شماست. در حال حاضر امکان استفاده از شتاب دهنده سخت افزاری در فایروال پارس‌گیت وجود دارد. امکان استفاده از کارت شبکه‌های ۴۰ گیگ و ۱۰۰گیگ در فایروال مقدور می‌باشد. لازم بذکر است گذردهی فایروال‌های نسل جدید تا ۲۰۰ گیگ در یک دستگاه خواهد بود. قابلیت Anti-Virus، Anti-Malware و Anti-Ransomware در مؤلفه IDPS پارس‌گیت دسته بزرگی از الگوهای حملات مربوط به بدافزارها و باج‌افزارها هستند (بیش از ۱۰۰۰ الگوی حمله) که به صورت موفقیت‌آمیز در مشتریان مختلف جلوی گسترش بدافزارها و باج‌افزارهایی نظیر WannaCry و سایر باج‌افزارهای مبتنی بر EternalBlue را گرفته‌اند.

  • بخشی از حملات قابل شناسایی توسط مؤلفه IDPS
    • حمله XSS
    • حمله ورود فایل (LFI و RFI‌)
    • حمله پیمایش مسیر (Path Traversal)
    • شناسایی Exploitهای خطرناک
    • حمله سرریز بافر
    • حمله جست و جو فراگیر (Brute Force)
    • حملات مبتنی بر قطعه قطعه سازی
    • حملات تشدید (Amplification)
    • انواع حمله تزریق (SQL Injection, Command Injection‌)
    • انواع حمله Phishing (Vishing, Watering Hole, Spear, ….)
    • شناسایی بدافزارها (ویروس‌ها، کرم‌ها، تروجان‌ها، باج افزارها و ...)
  • فایروال
    • بازرسي حالت‌مند (Stateful Inspection)
    • ترجمه آدرس شبکه (NAT) از نوع مبدأ یا مقصد، ترجمه آدرس پورت (PAT)
    • پشتیبانی از NAT و PAT در حالت پل (Bridge)
    • سیاست امنیتی بر مبنای کاربران احراز هویت شده
    • انتشار IP (IP Publishing)
    • فیلتر کردن آدرس IP/MAC و جلوگیری از جعل آدرس (Spoofing)
    • فایروال مبتنی بر ناحیه (Zone)
    • زمان‌بندی دسترسی
    • انقیاد آدرس IP به MAC
    • پروفایل سیاست امنیتی
    • آدرس‌های مبتنی بر کشور و بلوکه کردن کشورها (بر مبنای GeoIP)
    • شمارش بسته‌ها به ازای سیاست امنیتی
    • معین نشست (Session Helper)
      • امکان فعال و غیرفعال کردن ترافیک VoIP (شامل پروتکل‌های SIP و H.323)
      • امکان فعال و غیرفعال کردن ترافیک FTP، TFTP، PPTP و IRC
  • شکل‌دهی ترافیک
    • به ازای سیاست فایروال
    • امکان شکل‌دهی جداگانه به اتصال‌های مختلف شبکه
    • کمینه پهنای باند
    • پهنای باند تضمین شده
    • اولویت ترافیک
  • شبکه
    • پشتیبانی از چندین لینک WAN
    • آدرس IP ثانویه
    • پشتیبانی از یک لینک PPPoE
    • کلاینت و سرور DHCP
    • رله DHCP (DHCP Relay)
    • چندین اینترفیس پل جهت جداسازی نواحی امنیتی
    • پشتیبانی از VLAN برای واسط‌های شبکه
    • تجمیع (Aggregation) و افزونگی (Redundancy) واسط‌های شبکه
  • تخصیص آدرس IP
    • پشتیبانی از IPv6
    • تخصیص یک IP کلاینت PPPoE
    • سرور داخلی DHCP
    • رله DHCP (DHCP Relay)
    • پشتیبانی از بازه IP (IP Range) و IP Mask برای میزبان‌ها در سیاست‌های امنیتی
    • پشتیبانی از نام میزبان با بررسی خودکار و دوره‌ای DNS
  • مسیریابی (Routing)
    • مسیرهای ایستا
    • مسیریابی پویا (با پروتکل های OSPF,BGP,RIP)
    • مسیریابی مبتنی بر مبدأ
    • مسیریابی مبتنی بر سیاست امنیتی
    • پشتیبانی از IPv6
  • تسهیم بار (Load Balancing)
    • تسهیم بار Active-Active و Active-Passive
    • تسهیم بار مبتنی بر بسته (Packet-Based) و مبتنی بر اتصال (Connection-Based)
    • پشتیبانی از چند لینک
    • چک کردن خودکار سلامت لینک
  • ترجمه آدرس
    • ترجمه آدرس شبکه (NAT)
    • ترجمه آدرس پورت (PAT)
    • NAT و PAT مبتنی بر سیاست امنیتی (هم در حالت Route (لایه ۳) و هم در حالت Bridge (لایه ۲))
    • NAT مبدأ و مقصد مبتنی بر سیاست امنیتی
    • پشتیبانی از NAT و PAT پویا
    • امکان تسهیم بار سرور با استفاده از NAT و PAT
  • احراز هویت و کنترل دسترسی کاربران
    • پشتیبانی از LDAP استاندارد و Active Directory مایکروسافت
    • امکان محدودسازی شبکه‌های مدیریتی
    • پشتیبانی از چندین راهبر سیستم
    • کنترل دسترسی مبتنی بر کاربر و گروه
    • احراز هویت مبتنی بر وب (پشتیبانی کامل از Captive Portal)
    • اپلیکیشن کلاینت اندرویدی برای احراز هویت
    • خروج خودکار پس از زمان مشخص (Fixed Timeout) یا پس از مدت مشخصی از نبود ترافیک از کاربر (Idle Timeout)
    • گواهی سفارشی SSL برای Captive Portal
    • مانیتورینگ آنلاین فعالیت‌های کاربران
    • حسابرسی کاربران مبتنی بر Captive Portal
    • جلوگیری از حمله Brute Force برای لاگین افراد غیرمجاز به جای کاربران
    • سیاست گذرواژه (پیچیدگی، تکراری نبودن و ...)
    • سیاست تعلیق کاربران در صورت ورود اشتباه رمز عبور
    • پشتیبانی از Captive Portal سفارشی
  • ورود یکباره (SSO) برای کاربران ویندوز
    • SSO مبتنی بر کلاینت
    • SSO بدون کلاینت
  • حسابرسی کاربران
    • سیاست مدت استفاده
    • سیاست زمان استفاده
    • سیاست محدودیت پهنای باند
    • سیاست محدودیت حجم
    • مانیتورینگ استفاده کاربران
  • راهبری سیستم
    • پایگاه داده بیرونی راهبران با پشتیبانی از RADIUS و LDAP
    • لاگ کامل رویدادهای مربوط به فعالیت‌های راهبری
    • پشتیبانی از شبکه مخصوص راهبری
    • سطوح راهبران با دسترسی خواندن/نوشتن و فقط-خواندن
    • پشتیبانی از پروتکل NTP جهت همزمان‌سازی ساعت دستگاه
  • تشخیص و جلوگیری از نفوذ (IDPS)
    • پایگاه داده‌های حملات برای بیش از ۸۰۰۰ حمله
    • به‌روزرسانی خودکار امضاها با استفاده از سرور به‌روزرسانی داخلی
    • تشخیص و جلوگیری از حملات روز جهان اعم از باج‌افزارها و حملات APT
    • تشخیص و جلوگیری از حملات به شبکه‌های کنترل صنعتی (ICS)
    • پشتیبانی از امضاهای متناسب با نیازهای ایران
    • امضاها برای پروتکل‌های Stateful
    • توانایی تشخیص حملات پیچیده‌سازی (Obfuscate) شده
    • امضاهای تعریف شده توسط کاربر (سفارشی)
    • امضاهای چندلایه
    • تشخیص پویش پورت (Port Scan)
    • یکپارچگی بین IPS و سیاست‌های فایروال
    • دفاع مرزی (Perimeter) برای زیرساخت سرورها و میزبان‌ها
    • دفاع در برابر حملات کرم‌های اینترنتی (Wormها)
    • امکان سفارشی‌سازی کامل IPS بر اساس مفهوم پروفایل امنیتی
    • امکان فیلتر کردن برخی برنامه‌های کاربردی با استفاده از امضاهای IPS، شامل:
      • شبکه‌های اجتماعی نظیر واتساپ، اینستاگرام و پیام‌رسان سروش
  • Teamviewer، VNC و RDP
  • فیلترشکن‌های FreeGate، Lantern و اکثر پیکربندی‌های Tor
  • امکان تشخیص IPهای استفاده‌کننده از فیلترشکن‌های Psiphon و UltraSurf
  • Gmail، Yahoo! Mail، Outlook.com (Hotmail)، mail.com، چاپار (chmail.ir)، میهن‌میل، iran.ir، post.ir
  • امکان تشخیص و بلوکه کردن ترافیک بدافزارهای مشهور و رایج
  • تشخیص و جلوگیری از حملات منع سرویس (DoS/DDoS)
    • دفاع در برابر پویش پورت‌ها (Port Scan)، ICMP Flood، TCP DoS و UDP DoS
    • توانایی شناسایی و جلوگیری از حملات منع سرویس توزیع شده (DDoS) علیه سرور‌های مشخص
      • شناسایی حملات بر مبنای پهنای باند و تعداد بسته
      • شناسایی حملات به ازای هر پروتکل (ICMP، TCP، UDP و همه‌)
    • پشتیبانی از کنش‌های لاگ‌کردن و قراردادن آدرس IP در لیست سیاه
  • بلوکه‌سازی IPها
    • امکان تعریف چندین لیست IP با به‌روزرسانی جداگانه لیست IPها از URLهای مختلف و فعال‌سازی جداگانه
    • امکان تعریف لیست دلخواه شامل صدها هزار آدرس IP بدون افت کارایی محسوس در فایروال
    • امکان استفاده از لیست آماده از IPهای آلوده (از جمله شامل IP سرورهای C&C و BotNet، فرستندگان Spam، مبدأ حملات SSH Brute Force، Tor Exit Nodeها) همراه با به‌روزرسانی روزانه از سرور شرکت امن‌افزار؛ امکان استفاده از لیست افتا
  • کنترل برنامه‌های کاربردی
    • لاگ کردن و بلوکه کردن استفاده از برنامه‌های کاربردی مختلف
    • بدون نیاز به نصب Agent روی هاست‌های شبکه
    • یکپارچگی با سیاست‌های فایروال
    • پشتیبانی از بیش از ۲۸۰۰ برنامه کاربردی
      • شامل انواع مختلف سرویس‌های ایمیل، شبکه‌های اجتماعی و پیام‌رسان‌ها
      • بسیاری از پروتکل‌های لایه کاربرد (لایه ۷)
    • گزارش گرافیکی از برنامه‌های کاربردی مورد استفاده در شبکه
  • Load Balancer
    • تقسیم ترافیک وب بین چند سرور
    • امکان تعریف چند سرور مجازی برای توزیع بار
    • امکان رمز کردن ترافیک جهت ارسال به سرور
    • امکان رمزگشایی ترافیک وب جهت ارسال به سرور
  • SSL Inspection
    • قابلیت بازکردن ترافیک رمز شده و رمز کردن مجدد ترافیک
    • بررسی ترافیک رمز شده توسط IPS
    • بررسی ترافیک رمزشده توسط URL Filter
  • IPsec VPN (VPN شبکه به شبکه و میزبان به شبکه)
    • امکان استفاده از شتاب‌دهنده سخت افزاری
    • پشتیبانی از DES، 3DES و AES
    • احراز هویت با MD5 و SHA1
    • IKEv2 با EAP و PKI (X.509)
    • پشتیبانی از محرمانگی کامل آینده (Perfect Forward Secrecy) (با پروتکل Diffie-Hellman)
    • جلوگیری از حمله تکرار پیام (Replay Attack)
    • تشخیص همتای مرده (Dead Peer Detection)
    • پیمایش NAT IPsec (NAT Traversal)
    • اتصال خودکار VPN
    • مانیتورینگ تونل VPN
    • توپولوژی‌های مرکز و شعبه (Hub & Spoke)
    • اتصال IPsec با دستگاه‌های فورتیگیت، سیسکو و جونیپر
  • GRE
    • امکان ایجاد تانل GRE
    • امکان ایجاد تانل GRE Over IPSec
  • SSL VPN
    • پشتیبانی از VPN لایه ۳
    • PKI و پشتیبانی از گواهی X.509 جهت احراز هویت
    • پشتیبانی از احراز هویت با نام کاربری و رمز عبور
    • پشتیبانی از IP پویا (Dynamic)
    • پشتیبانی از NAT
    • پشتیبانی از توافق بر سر کلید ایستا
    • مانیتورینگ تونل VPN
    • سازگار با توکن بومی پشتیبانی‌کننده از رمزنگاری نامتقارن
  • پشتیبانی از زیرساخت کلید عمومی
    • پشتیبانی کامل از X.509
    • درخواست گواهی PKI (PKCS #7)
    • گواهی‌های خودامضا (Self-signed)
  • فیلترکردن و نظارت بر URLهای بازدید شده
    • فیلتر کردن URLهای HTTP/HTTPS
    • پشتیبانی از کنش Blacklist یا Whitelist
    • پشتیبانی از Regular Expressionها
    • یکپارچه با سیاست فایروال (مبتنی بر پروفایل)
    • لاگ کردن URLهای HTTP با پشتیبانی محدود از HTTPS
    • گزارش‌گیری از وب‌سایت‌های بازدید شده
  • دروازه ایمیل
    • فیلترینگ SMTP بین سرورهای ایمیل
    • بلوکه کردن اسپم‌ها بر اساس بررسی فیلد SPF و PTR
  • دسترسی‌پذیری بالا (HA)
    • فعال-غیرفعال (Active-Passive)
    • فعال- فعال (Active- Active)
    • HA در هر دو حالت پُل/شفاف (Bridge/Transparent Mode) و مسیریاب (Route Mode)
    • تشخیص ازکارافتادگی دستگاه دیگر
    • تشخیص از کارافتادگی لینک‌های شبکه
    • پایش دسترسی به میزبان‌های راه دور
    • همگام‌سازی (Synchronization) پیکربندی و اتصالات حالتمند بین دو دستگاه
    • سیستم بررسی سلامت با قابلیت سفارشی‌سازی و مبتنی بر پارامتر
  • گزارش دهی
    • گزارش‌های متعدد جدولی و نموداری با امکان نمایش جزئیات بیشتر در صورت کلیک روی اجزای گزارش
      • مصرف ترافیک: جدول لاگ ترافیک، میزان مصرف روزانه، میزان مصرف هر کاربر، لیست کاربران پر مصرف
      • وب‌سایت‌های بازدید شده: لیست صفحات بازدید شده، تعداد سایت‌های بازدید شده، تعداد کاربران بازدید کننده از سایت، لیست کاربران پر بازدید، لیست سایت‌های پر بازدید
      • IPS: جدول آخرین هشدارها، نمودار میله‌ای هشدارهای رایج، نمودار دایره‌ای آدرس‌ها/پورت‌های مشکوک مبدأ/مقصد، نمودار سری زمانی تعداد هشدارها، نمودار میله‌ای کشورهای مبدأ حمله، نمودار دایره‌ای و سری زمانی شدت هشدارها، نمودار دایره‌ای و سری زمانی پروتکل هشدارها
      • فیلترینگ برنامه‌های کاربردی: نمودار دایره‌ای و میله‌ای برترین برنامه‌های کاربردی، جدول کارکرد ترافیک برنامه‌های کاربردی
  • لاگ و مانیتورینگ
    • پشتیبانی از لاگ محلی و سرور Syslog
    • پشتیبانی از چندین سرور Syslog به صورت کاملاً قابل سفارشی‌سازی
    • مانیتورینگ نشست‌های فعال
    • امکان قطع نشست‌های فعال توسط راهبر
    • مانیتورینگ لاگ به ازای سیاست‌های فایروال
    • مدیریت نشست‌های فعال به ازای سیاست‌های فایروال
    • پنل LCD جهت پایش وضعیت دستگاه
    • لاگ برای سیاست فایروال پیش‌فرض
    • مانیتورینگ بلادرنگ (Real-Time) گرافیکی
    • پشتیبانی از ابزارهای عیب‌یابی شامل packet dump، ping و traceroute
    • مانیتورینگ تونل‌های VPN
  • مدیریت سیستم
    • دسکتاپ وب (از طریق HTTP و HTTPS)
    • داشبورد با قابلیت سفارشی‌سازی در دسکتاپ وب
    • واسط خط فرمان (از طریق SSH)
    • پشتیبانی از SNMP نسخه ۱، ۲ و ۳ برای مانیتورینگ (با پشتیبانی از MIB-II)
    • بازیابی Firmware به نسخه کارخانه
    • پشتیبان‌گیری و بازگرداندن پیکربندی دستگاه
    • رمزنگاری فایل پیکربندی برای امنیت بالاتر
    • چک کردن صحت فایل پیش از بازگردانی فایل پیکربندی
    • بارگذاری Firmware از طریق سرور TFTP یا سامانه دسکتاپ وب (واسط وب)
    • اعتبارسنجی ورودی‌های UI
    • امکان ارسال امن لاگ با پروتکل TLS به سرور Syslog
    • چرخش لاگ (Log Rotation) بر اساس سقف حجم فایل لاگ
  • مستندات
    • راهنمای کاربری با قابلیت جست و جو در محتویات (نسخه وب)
    • سند‌های آموزشی برای موارد خاص نصب محصول
  • محصول جداگانه مدیریت متمرکز برای مدیریت یکجای چندین فایروال