قابلیت های ویژه فایروال های سخت افزاری پاوان

استفاده از پروتکل وب برای دسترسی به فایروال، به علت استفاده از وب سرور و سرویس های مورد نیاز ارتباطی به نوبه خود تهدید محسوب می شود. ارتباط  بین فایروال و مدیر شبکه با استفاده از نرم افزار Pavan Config و پروتکل اختصاصی رمز نگاری شده صورت می گیرد. که این نرم افزار قابلیت کنترل یکپارچه فایروال ها را از یک پنل مدیریتی متمرکز می تواند فراهم کند.

قابلیت IP V6 به تمامی قسمت های فایروال از Load Balancing  تا IDPS  تعمیم داده شده است.

فایروال قادر است ترافیک را در Firewall Rules بر اساس سیاست های مشخص شده ادمین از Gateway مورد نظر مدیر Route  کند. بااین قابلیت کانکشن ها بر اساس Rule ها قابل Mark  و اعمال سیاست می باشند.

تمامی امکانات، DNS Filtering، Web Filtering، Web Antivirus، IDPS و هسته فایروال از 3 طریق اینترنت، اینترانت و آفلاین قایبل بروزرسانی می باشد. ضمنا در صورت استفاده از چند فایروال می توان یک فایروال به صورت مرکزی بروزرسانی شده و فایروال های دیگر در صورت عدم دسترسی به اینترنت از طریق فایروال بروزرسانی شده Update شود.

قابلیت IP Spoofing Protection  از تغییر هدر های شبکه در لایه 2 و 3 جلوگیری کرده و مانع خرابکاری و سوء استفاده در شبکه سازمانی می شود. این قابلیت در صورت عدم وجود سیستم با آی پی مشخص استفاده از آن آی پی را بلوکه می کند.

فایروال پاوان این امکان را به مدیر شبکه می دهد که ترافیک ورودی را بروی چند سرور Load Balance کند و همچنین ترافیک خروجی بروی چند Gateway یا Router  به صورت همزمان Load Balance شود. ایت ترافیک می تواند شامل IP Ver4  و IP Ver6 باشد.

با استفاده از این پروتکل بومی فایروال های پاوان از طریق پروتکل اختصاصی می توانند عملیات Tunneling  و Mesh  بین شعب یک سازمان از طریق اینترنت یا شبکه اینترانت، انجام دهد.

فایروال پاوان این امکان را به مدیر شبکه می دهد که ترافیک ورودی را بروی چند سرور Load Balance کند و همچنین ترافیک خروجی بروی چند Gateway یا Router  به صورت همزمان Load Balance شود. ایت ترافیک می تواند شامل IP Ver4  و IP Ver6 باشد.

قابلیت اعمال سیاست دسته ای و گروه بندی کاربران برای سهولت کار مدیر شبکه به فایروال افزوده شده است. مدیر شبکه می تواند Rule های فایروال را نیز بر اساس گروه اعمال کند.

فایروال پاوان سیستم اکانتیگ کاملی ارایه می دهد که این قابلیت از میزان استفاده از اینترنت (حجمی یا زمانی) تا پروتکل های Authentication  مانند LDAP، Radius و SQl  را شامل می شود. تمامی استفاده کاربران از اینترنت قابل لاگ و Cache می باشد. که به صورت آماری و جدول بندی شده قابل دسترس می باشد.

در پروکسی سرور پاوان علاوه بر پروتکل های موجود NTLM نیز اضافه شده است که در شبکه های ویندوزی استفاده فراوانی دارد.

موتور ویروس یاب Kaspersky برای چک کردن فایل های ویروس و باج افزارهای دانلود شده از وب علاوه بر موتور قبلی قابل استفاده می باشد.

سیستم تشخیص و جلوگیری از نفوذ در فایروال پاوان علاوه بر Signuture های عمومی استفاده شده در سایر محصولات، نسخه غیر رایگان Signuture ها ( به غیر از Snort) و Signuture های طراحی شده برای جلوگیری از حملات شناخته شده به نرم افزارها و سامانه های ساخت ایران را شامل می شود.

این قابلیت این امکان را به مدیر می دهد که  Source Nat و Destination  Nat  را همزمان برای یک کانکشن در دو مرحله از کانکشن Stateful اعمال کند. این قابلیت در سناریو های پیچیده شبکه مورد استفاده مدیران قرار می گیرد.

با استفاده از این قابلیت فایروال با اتصال به Domain Controller و پروتکل WMI اطلاعات Login  و Logout را اخذ کرده و بدون نیاز به Authentication برای کاربر و یا نصب  بروی کلاینت Agent، کابران را در Gateway،  Login و یا Logout  کند و لاگ های سرور بر اساس کاربر قابل برداشت است.

با استفاده از این قابلیت با توجه به اضافه شدن لایه USER به لایه شبکه شناخته شده در فایروال، مدیر شبکه قادر به اعمال Firewall Rule، Nat و … با Source  یا Destination کاربر یا گروه کاربران می باشد. به عنوان مثال user1  واقع در  Zone1 می تواند به DMZ  و Server Farm دسترسی داشته باشد و User2  واقع در Zone1 می تواند  به اینترنت و Server Farm دسترسی داشته باشد. ترکیب این قابلیت با SSO این امکان را به کاربر می دهد با وارد شدن در سیستم Domain Based بدون توجه به سیستم یا IP ،دسترسی های مشخص بروی آن IP یا سیستم  اعمال شود و یا حتی برای User های مشخص لاگ ( دسترسی وب و همچنین سایر پروتکل ها مانند TCP، UDP و …) به صورت Transparent لاگ شود.

با استفاده از این قابلیت فایروال قادر به تشخیص نرم افزارها در Firewall Rules می باشد. اکثر نرم افزارهای شبکه و اینترنت شامل این قابلیت می باشد و ترکیب آن با قابلیت User Added To Network Layer  به مدیر شبکه این امکان را می دهد که علاوه بر Log  و یا Block  برای Zone  یا IP های خاص، این سیاست ها مستقیم بر کاربر اعمال شود. به عنوان مثال برای کاربران واقع در Internet Access Zone دسترسی به Instagram  و Whatsapp و همچنین Anydesk بلوکه شده و در Rule دیگر دسترسی به RDP برای این کاربران Log  می شود. قابل ذکر است این تشخیص بر اساس Layer7 صورت می گیرد و به پورت دسترسی مربوط نمی شود و به عنوان نمونه اگر پروتکل RDP بروی Port  غیر از 3389   تنظیم شده باشد Rule  استفاده شده برای Log  این نوع کانکشن ها قادر به تشخیص آن می باشد. از سایر کاربرد های این قابلیت بلوکه کردن نرم افزارهای HackTool  در Wan  می باشد و اگر مهاجم  با ابزاری مانند Nessus  یا Acunetix شروع به اسکن شبکه پشت فایروال بنماید حتی اگر این عملیات حمله به حساب نیاید با تشخیص نرم افزار مورد استفاده نفوذگر، آدرس آن بلوکه می شود.. مثال دیگر می تواند محدود کردن و یا انتخاب Route مناسب برای نرم افزار خاص می شود  مثال مشخص اعمال محدودیت تعداد کانکشن و یا پهنای باند برای Windows Update سیستم های پشت فایروال می باشد.

با فعال سازی این قابلیت، فایروال در Wan یک  صفحه برای احراز هویت برای کاربران اینترنت ارایه می دهد( تمامی پروتکل های LDAP، Radius، SQL و سیستم داخلی اکانتینگ موجود در فایروال و SMS BASED OTP)  که به مدیر این قابلیت را می دهد تا دسترسی کاربران را از شبکه خارجی بدون نیاز به VPN به شبکه داخلی امکان پذیر شود. برای مثال برای  پیمانکار سامانه WebApp1 پس از احراز هویت، Port Forward  های مشخص به صورت خودکار برای آدرس پیمانکار برای 8 ساعت فعال می شود. در این روش نیاز به Static ip برای پیمانکار ضروری نیست.

سیستم های رمز عبور یکبار مصرف کاربردهای امنیتی فراوانی پیدا کرده است. فایروال پاوان این قابلیت را به مدیران شبکه می دهد تا کاربران از طریق رمز یکباز مصرف ارسال شده به شماره موبایل آنها که در فایروال ثبت شده است کاربران را احراز هویت کند. این قابلیت در APN Gateway و Wan کاربرد فروانی دارد. به عنوان مثال پیمانکار یا ادمین WebApp1 پس از مراجعه به صفحه احراز هویت نام کاربری را وارد کرده سپس فایروال رمز یکبار مصرف با اعتبار 60 ثانیه را برای شماره ثبت شده ارسال می کند. و پیمانکار یا ادمین با وارد کردن کد ارسال شده دسترسی لازم به سرور یا سرورهای مورد نظر را کسب می کند.

پروتکل های پیشرفته Routing به انواع Routing فایروال اضافه شده است. این پروتکل ها شامل OSPF، OSPFV6، BGP می باشد.

در فایروال پاوال می توان اینترفیس مشخصی را برای دسترسی عمومی به اینترنت مشخص نمود. در این روش کاربر با اتصال به وای فای متصل به فایروال با صفحه ای مواجه می شود که شماره موبایل و کد ملی (اختیاری) خود را وارد می کند. در مرحله بعد فایروال یک کاربر با نام کاربری شماره موبایل و رمز عبور تصادفی در فایروال می سازد و( طبق سیاست بندی های مشخص شده در فایروال (Grouping)) رمز عبور را برای کاربر پیامک می کند. اتصال کاربر به اینترنت کاملا لاگ شده و در صورت شکایت از آدرس آی پی Public سازمان، کاربر خرابکار قابل پیگیری می باشد. لازم به ذکر است صفحه ظاهر شده کاملا قابل شخصی سازی می باشد.  این اتصال می تواند در لایه 2 و یا لایه 3 پیاده سازی شود. بانک اطلاعاتی شماره های موبایل و کد های ملی قابل Export و استفاده تبلیغاتی می باشد. مثال استفاده از این قابلیت در نمایشگاه ها می باشد.

Scada IDPS

فایروال پاوان قابلیت کنترل و مانیتور کردن پروتکل های صنعتی از قبیل Fieldbus, profibus, HART, Modbus, را دارد. این قابلیت به Firewall Rules نیز اضافه شده است. IDPS مربوط به شبکه صنعتی نیز به فایروال اضافه شده است.