NGFW برای نیازهای رمزگشایی شما

همه فایروال نسل بعدی برابر نیستند و متأسفانه تمایز بین فایروال‌ها با ادعاهای مشابه دشوار است. مهم است که قبل از خرید دستورالعمل‌های روشنی برای ارزیابی NGFW داشته باشید. در اینجا معیارهایی برای مقایسه قابلیت رمزگشایی SSL NGFW ها وجود دارد:

1. دقیقاً آنچه را که باید رمزگشایی شود انتخاب کنید

نگرانی‌ها و مقررات مربوط به حریم خصوصی ایجاب می‌کند که فایروال نسل بعدی یا NGFW شما بتواند بر اساس معیارهای انعطاف پذیر کافی برای پاسخگویی به نیازهای شما ترافیک را رمزگشایی کند. فایروال همچنین باید به شما این امکان را بدهد که برنامه‌ها را در حال اجرا در پورت‌های پیش فرض خود از رمزگشایی حذف کنید. اما هنگام شناسایی در پورت‌های غیراستاندارد به رمزگشایی همان برنامه‌ها ادامه دهید.

معیارهای خرید فایروال نسل بعدی

2. از برنامه هایی که ممکن است در هنگام رمزگشایی خراب شوند استفاده نکنید

فروشندگان برنامه‌ها برای مقاومت در برابر جعل هویت توسط مهاجمان با استفاده از گواهینامه‌های نادرست صادر شده یا جعلی از پینینگ کلید عمومی HTTP که به عنوان سنجاق گواهی نیز شناخته می‌شود استفاده می‌کنند. هنگامی که از این روش استفاده می‌شود دستگاه‌های امنیتی شبکه ممکن است هنگام رمزگشایی برخی از برنامه‌ها را خراب کنند. NGFW شما باید به شما اجازه دهد تا با استفاده از نام میزبان وب سایت یا برنامه در قانون چنین ترافیکی را به راحتی حذف کنید. اگر فایروال نسل بعدی (NGFW) شما را مجبور به تعریف موارد استثنا بر اساس نام‌های متمایز و مشترک گواهینامه‌ها کند بسیار پیچیده است. برای ساده تر کردن آن، NGFW باید با استفاده از استثنائات از پیش تعریف شده برای برنامه‌های شناخته شده‌ای که پس از رمزگشایی شکست می خورند ارسال شود.

3. اجرای وضعیت گواهینامه توسط فایروال نسل بعدی NGFW

ممکن است بخواهید ترافیکی را که گواهی SSL آن منقضی شده است یا صادر کننده گواهی سرور غیرقابل اعتماد است یا گواهی لغو کرده است رها کنید. در این صورت NGFW شما باید اجازه دهد ترافیکی را که با هر ترکیبی از این معیارها مطابقت دارد بپذیرید یا انکار کنید.

4. اجرای مجموعه های رمزنگاری

مجموعه های رمزنگاری شامل الگوریتم های تبادل کلید مانند RSA ، DHE و ECDHE هستند. الگوریتم‌های رمزگذاری مانند 3DES ، RC4 و انواع AES و الگوریتم‌های احراز هویت مانند انواع MD5 و SHA. NGFW باید از چندین مجموعه رمزنگاری پشتیبانی کند و به شما امکان می‌دهد مواردی را که مطابق با شرایط امنیتی شما هستند اعمال کنید. باید بتوانید ترافیکی را که با مجموعه های رمزنگاری مشخص شما مطابقت ندارد مجاز یا مسدود کنید.

5. اجرای نسخه پروتکل توسط فایروال نسل بعدی NGFW

ممکن است لازم باشد استفاده از نسخه‌های خاص SSL / TLS مانند TLS 1.2 را اعمال کنید. NGFW باید انعطاف پذیری را در اجرای نسخه‌های مشخص شده پروتکل و مسدود کردن ترافیکی که از هر نسخه ضعیف تری استفاده می‌کند ارائه دهد.

6. ادغام با ابزارهای امنیتی سخت افزاری

HSM دستگاهی فیزیکی است که کلیدهای دیجیتالی از جمله ذخیره سازی امن و تولید را مدیریت می‌کند. این امر هم از نظر منطقی و هم از نظر فیزیکی از این مواد در برابر استفاده غیر مجاز و دشمنان احتمالی محافظت می‌کند. NGFW شما برای ذخیره کلیدهای خصوصی و کلیدهای اصلی باید با HSM ادغام شود. حتی اگر سازمان شما فعلاً نیازی به ذخیره کلید در HSM نداشته باشد ممکن است در آینده به این قابلیت نیاز داشته باشید.

7. به کاربران اجازه دهید از رمزگشایی SSL خودداری کنند

در برخی موارد ممکن است لازم باشد به کاربران هشدار دهید که NGFW برخی از ترافیک وب را رمزگشایی می‌کند و به آن ها اجازه می‌دهد جلساتی را که نمی خواهند بازرسی شوند خاتمه دهند. فایروال نسل بعدی شما باید امکان انصراف از SSL را فراهم کند تا به کاربران اطلاع داده شود که جلسه آنها در شرف رمزگشایی است و می‌توانند جلسه را ادامه یا خاتمه دهند.

8. رمزگشایی از ترافیک ورودی و خروجی توسط NGFW

فایروال نسل بعدی باید بتواند ترافیک را در هر دو جهت رمزگشایی کند بنابراین شما می‌توانید به ترتیب انعطاف پذیری لازم را در مقابل کاربران یا سرورهای وب خود برای رمزگشایی ترافیک ورودی یا ورودی داشته باشید.

9. رمزگشایی از SSH

بیشترین ترافیک در اینترنت از طریق SSL / TLS رمزگذاری می شود. با این حال Secure Shell یا SSH می‌تواند برای رمزگذاری و تونل سازی ترافیک درون شبکه شما نیز استفاده شود. به عنوان مثال برخی از برنامه‌های داخلی مرکز داده ممکن است از SSH استفاده کنند که این قانون مجاز است. برای جلوگیری از استفاده کاربران از SSH برای جلوگیری از استفاده قابل قبول یا سیاست‌های پیشگیری از تهدید، NGFW شما باید از رمزگشایی ترافیک SSH متناسب با معیارهای شما پشتیبانی کند.