فایروال نسل بعدی

معیارهای خرید فایروال نسل بعدی برای نیازهای رمزگشایی شما

همه فایروال نسل بعدی برابر نیستند و متأسفانه تمایز بین فایروال ها با ادعاهای مشابه دشوار است. مهم است که قبل از خرید دستورالعمل های روشنی برای ارزیابی NGFW داشته باشید. در اینجا معیارهایی برای مقایسه قابلیت رمزگشایی SSL NGFW ها وجود دارد:

  1. دقیقاً آنچه را که باید رمزگشایی شود انتخاب کنید

نگرانی ها و مقررات مربوط به حریم خصوصی ایجاب می کند که فایروال نسل بعدی یا NGFW شما بتواند بر اساس معیارهای انعطاف پذیر کافی برای پاسخگویی به نیازهای شما ترافیک را رمزگشایی کند. فایروال همچنین باید به شما این امکان را بدهد که برنامه ها را در حال اجرا در پورت های پیش فرض خود از رمزگشایی حذف کنید اما هنگام شناسایی در پورت های غیراستاندارد به رمزگشایی همان برنامه ها ادامه دهید.

برای مطالعه درباره فایروال سیسکو کلیک کنید

  1. از برنامه هایی که ممکن است در هنگام رمزگشایی خراب شوند استفاده نکنید

فروشندگان برنامه ها برای مقاومت در برابر جعل هویت توسط مهاجمان با استفاده از گواهینامه های نادرست صادر شده یا جعلی از پینینگ کلید عمومی HTTP که به عنوان سنجاق گواهی نیز شناخته می شود استفاده می کنند. هنگامی که از این روش استفاده می شود دستگاه های امنیتی شبکه ممکن است هنگام رمزگشایی برخی از برنامه ها را خراب کنند. NGFW شما باید به شما اجازه دهد تا با استفاده از نام میزبان وب سایت یا برنامه در قانون چنین ترافیکی را به راحتی حذف کنید. اگر فایروال نسل بعدی (NGFW) شما را مجبور به تعریف موارد استثنا بر اساس نام های متمایز و مشترک گواهینامه ها کند بسیار پیچیده است. برای ساده تر کردن آن ، NGFW باید با استفاده از استثنائات از پیش تعریف شده برای برنامه های شناخته شده ای که پس از رمزگشایی شکست می خورند ارسال شود.

  1. اجرای وضعیت گواهینامه

ممکن است بخواهید ترافیکی را که گواهی SSL آن منقضی شده است یا صادر کننده گواهی سرور غیرقابل اعتماد است یا گواهی لغو کرده است رها کنید. در این صورت NGFW شما باید اجازه دهد ترافیکی را که با هر ترکیبی از این معیارها مطابقت دارد بپذیرید یا انکار کنید.

  1. اجرای مجموعه های رمزنگاری

مجموعه های رمزنگاری شامل الگوریتم های تبادل کلید مانند RSA ، DHE و ECDHE هستند. الگوریتم های رمزگذاری مانند ۳DES ، RC4 و انواع AES و الگوریتم های احراز هویت مانند انواع MD5 و SHA. NGFW باید از چندین مجموعه رمزنگاری پشتیبانی کند و به شما امکان می دهد مواردی را که مطابق با شرایط امنیتی شما هستند اعمال کنید. باید بتوانید ترافیکی را که با مجموعه های رمزنگاری مشخص شما مطابقت ندارد مجاز یا مسدود کنید.

  1. اجرای نسخه پروتکل

ممکن است لازم باشد استفاده از نسخه های خاص SSL / TLS مانند TLS 1.2 را اعمال کنید. NGFW باید انعطاف پذیری را در اجرای نسخه های مشخص شده پروتکل و مسدود کردن ترافیکی که از هر نسخه ضعیف تری استفاده می کند ارائه دهد.

  1. ادغام با ابزارهای امنیتی سخت افزاری

HSM دستگاهی فیزیکی است که کلیدهای دیجیتالی از جمله ذخیره سازی امن و تولید را مدیریت می کند. این امر هم از نظر منطقی و هم از نظر فیزیکی از این مواد در برابر استفاده غیر مجاز و دشمنان احتمالی محافظت می کند. NGFW شما برای ذخیره کلیدهای خصوصی و کلیدهای اصلی باید با HSM ادغام شود. حتی اگر سازمان شما فعلاً نیازی به ذخیره کلید در HSM نداشته باشد ممکن است در آینده به این قابلیت نیاز داشته باشید.

  1. به کاربران اجازه دهید از رمزگشایی SSL خودداری کنند

در برخی موارد ممکن است لازم باشد به کاربران هشدار دهید که NGFW برخی از ترافیک وب را رمزگشایی می کند و به آن ها اجازه می دهد جلساتی را که نمی خواهند بازرسی شوند خاتمه دهند. فایروال نسل بعدی شما باید امکان انصراف از SSL را فراهم کند تا به کاربران اطلاع داده شود که جلسه آنها در شرف رمزگشایی است و می توانند جلسه را ادامه یا خاتمه دهند.

  1. رمزگشایی از ترافیک ورودی و خروجی

فایروال نسل بعدی باید بتواند ترافیک را در هر دو جهت رمزگشایی کند بنابراین شما می توانید به ترتیب انعطاف پذیری لازم را در مقابل کاربران یا سرورهای وب خود برای رمزگشایی ترافیک ورودی یا ورودی داشته باشید.

  1. رمزگشایی از SSH

بیشترین ترافیک در اینترنت از طریق SSL / TLS رمزگذاری می شود. با این حال Secure Shell یا SSH می تواند برای رمزگذاری و تونل سازی ترافیک درون شبکه شما نیز استفاده شود. به عنوان مثال برخی از برنامه های داخلی مرکز داده ممکن است از SSH استفاده کنند که این قانون مجاز است. برای جلوگیری از استفاده کاربران از SSH برای جلوگیری از استفاده قابل قبول یا سیاست های پیشگیری از تهدید، NGFW شما باید از رمزگشایی ترافیک SSH متناسب با معیارهای شما پشتیبانی کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *