استفاده از پروتکل وب برای دسترسی به فایروال، به علت استفاده از وب سرور و سرویس های مورد نیاز ارتباطی به نوبه خود تهدید محسوب می شود. ارتباط بین فایروال و مدیر شبکه با استفاده از نرم افزار Pavan Config و پروتکل اختصاصی رمز نگاری شده صورت می گیرد. که این نرم افزار قابلیت کنترل یکپارچه فایروال ها را از یک پنل مدیریتی متمرکز می تواند فراهم کند.
IP Version 6 Full Support
قابلیت IP V6 به تمامی قسمت های فایروال از Load Balancing تا IDPS تعمیم داده شده است.
Policy Based
فایروال قادر است ترافیک را در Firewall Rules بر اساس سیاست های مشخص شده ادمین از Gateway مورد نظر مدیر Route کند. بااین قابلیت کانکشن ها بر اساس Rule ها قابل Mark و اعمال سیاست می باشند.
Pavan Update Service
تمامی امکانات، DNS Filtering، Web Filtering، Web Antivirus، IDPS و هسته فایروال از 3 طریق اینترنت، اینترانت و آفلاین قایبل بروزرسانی می باشد. ضمنا در صورت استفاده از چند فایروال می توان یک فایروال به صورت مرکزی بروزرسانی شده و فایروال های دیگر در صورت عدم دسترسی به اینترنت از طریق فایروال بروزرسانی شده Update شود.
DNS Security
IP Spoofing Protection
قابلیت IP Spoofing Protection از تغییر هدر های شبکه در لایه 2 و 3 جلوگیری کرده و مانع خرابکاری و سوء استفاده در شبکه سازمانی می شود. این قابلیت در صورت عدم وجود سیستم با آی پی مشخص استفاده از آن آی پی را بلوکه می کند.
DHCP,DNS,NTP
Firewall Log
Transparent Bridge Firewalling
Vlan
SNMP
GRE Tunnel
IPsec VPN
VPN L2TP
Outbound Load Balance
فایروال پاوان این امکان را به مدیر شبکه می دهد که ترافیک ورودی را بروی چند سرور Load Balance کند و همچنین ترافیک خروجی بروی چند Gateway یا Router به صورت همزمان Load Balance شود. ایت ترافیک می تواند شامل IP Ver4 و IP Ver6 باشد.
Pavan Mesh/Tunnel
با استفاده از این پروتکل بومی فایروال های پاوان از طریق پروتکل اختصاصی می توانند عملیات Tunneling و Mesh بین شعب یک سازمان از طریق اینترنت یا شبکه اینترانت، انجام دهد.
Incoming Load Balance
فایروال پاوان این امکان را به مدیر شبکه می دهد که ترافیک ورودی را بروی چند سرور Load Balance کند و همچنین ترافیک خروجی بروی چند Gateway یا Router به صورت همزمان Load Balance شود. ایت ترافیک می تواند شامل IP Ver4 و IP Ver6 باشد.
Traffic Shaping and QOS
Web Access Log
IPv6 to IPv4 NAT
IPsec Tunnel
Web Security
User Groups
قابلیت اعمال سیاست دسته ای و گروه بندی کاربران برای سهولت کار مدیر شبکه به فایروال افزوده شده است. مدیر شبکه می تواند Rule های فایروال را نیز بر اساس گروه اعمال کند.
Accounting
فایروال پاوان سیستم اکانتیگ کاملی ارایه می دهد که این قابلیت از میزان استفاده از اینترنت (حجمی یا زمانی) تا پروتکل های Authentication مانند LDAP، Radius و SQl را شامل می شود. تمامی استفاده کاربران از اینترنت قابل لاگ و Cache می باشد. که به صورت آماری و جدول بندی شده قابل دسترس می باشد.
NTLM Authentication in Web Proxy
در پروکسی سرور پاوان علاوه بر پروتکل های موجود NTLM نیز اضافه شده است که در شبکه های ویندوزی استفاده فراوانی دارد.
Hotspot
Country Blocker
AntiVirus
موتور ویروس یاب Kaspersky برای چک کردن فایل های ویروس و باج افزارهای دانلود شده از وب علاوه بر موتور قبلی قابل استفاده می باشد.
Web Server Protection (Reverse Proxy)
VPN OpenVPN
IDPS
سیستم تشخیص و جلوگیری از نفوذ در فایروال پاوان علاوه بر Signuture های عمومی استفاده شده در سایر محصولات، نسخه غیر رایگان Signuture ها ( به غیر از Snort) و Signuture های طراحی شده برای جلوگیری از حملات شناخته شده به نرم افزارها و سامانه های ساخت ایران را شامل می شود.
High Availability
Web Cache
Web Protection
Pentest Tools
Bidirectional NAT 2way NAT
این قابلیت این امکان را به مدیر می دهد که Source Nat و Destination Nat را همزمان برای یک کانکشن در دو مرحله از کانکشن Stateful اعمال کند. این قابلیت در سناریو های پیچیده شبکه مورد استفاده مدیران قرار می گیرد.
AntiSpam
Single Sign On
با استفاده از این قابلیت فایروال با اتصال به Domain Controller و پروتکل WMI اطلاعات Login و Logout را اخذ کرده و بدون نیاز به Authentication برای کاربر و یا نصب بروی کلاینت Agent، کابران را در Gateway، Login و یا Logout کند و لاگ های سرور بر اساس کاربر قابل برداشت است.
User Layer In Firewalling
با استفاده از این قابلیت با توجه به اضافه شدن لایه USER به لایه شبکه شناخته شده در فایروال، مدیر شبکه قادر به اعمال Firewall Rule، Nat و … با Source یا Destination کاربر یا گروه کاربران می باشد. به عنوان مثال user1 واقع در Zone1 می تواند به DMZ و Server Farm دسترسی داشته باشد و User2 واقع در Zone1 می تواند به اینترنت و Server Farm دسترسی داشته باشد. ترکیب این قابلیت با SSO این امکان را به کاربر می دهد با وارد شدن در سیستم Domain Based بدون توجه به سیستم یا IP ،دسترسی های مشخص بروی آن IP یا سیستم اعمال شود و یا حتی برای User های مشخص لاگ ( دسترسی وب و همچنین سایر پروتکل ها مانند TCP، UDP و …) به صورت Transparent لاگ شود.
Application Layer In Firewalling
با استفاده از این قابلیت فایروال قادر به تشخیص نرم افزارها در Firewall Rules می باشد. اکثر نرم افزارهای شبکه و اینترنت شامل این قابلیت می باشد و ترکیب آن با قابلیت User Added To Network Layer به مدیر شبکه این امکان را می دهد که علاوه بر Log و یا Block برای Zone یا IP های خاص، این سیاست ها مستقیم بر کاربر اعمال شود. به عنوان مثال برای کاربران واقع در Internet Access Zone دسترسی به Instagram و Whatsapp و همچنین Anydesk بلوکه شده و در Rule دیگر دسترسی به RDP برای این کاربران Log می شود. قابل ذکر است این تشخیص بر اساس Layer7 صورت می گیرد و به پورت دسترسی مربوط نمی شود و به عنوان نمونه اگر پروتکل RDP بروی Port غیر از 3389 تنظیم شده باشد Rule استفاده شده برای Log این نوع کانکشن ها قادر به تشخیص آن می باشد. از سایر کاربرد های این قابلیت بلوکه کردن نرم افزارهای HackTool در Wan می باشد و اگر مهاجم با ابزاری مانند Nessus یا Acunetix شروع به اسکن شبکه پشت فایروال بنماید حتی اگر این عملیات حمله به حساب نیاید با تشخیص نرم افزار مورد استفاده نفوذگر، آدرس آن بلوکه می شود.. مثال دیگر می تواند محدود کردن و یا انتخاب Route مناسب برای نرم افزار خاص می شود مثال مشخص اعمال محدودیت تعداد کانکشن و یا پهنای باند برای Windows Update سیستم های پشت فایروال می باشد.
Authentication On WAN for Firewall Rules
با فعال سازی این قابلیت، فایروال در Wan یک صفحه برای احراز هویت برای کاربران اینترنت ارایه می دهد( تمامی پروتکل های LDAP، Radius، SQL و سیستم داخلی اکانتینگ موجود در فایروال و SMS BASED OTP) که به مدیر این قابلیت را می دهد تا دسترسی کاربران را از شبکه خارجی بدون نیاز به VPN به شبکه داخلی امکان پذیر شود. برای مثال برای پیمانکار سامانه WebApp1 پس از احراز هویت، Port Forward های مشخص به صورت خودکار برای آدرس پیمانکار برای 8 ساعت فعال می شود. در این روش نیاز به Static ip برای پیمانکار ضروری نیست.
SMS OTP Authentication on WAN/LAN
سیستم های رمز عبور یکبار مصرف کاربردهای امنیتی فراوانی پیدا کرده است. فایروال پاوان این قابلیت را به مدیران شبکه می دهد تا کاربران از طریق رمز یکباز مصرف ارسال شده به شماره موبایل آنها که در فایروال ثبت شده است کاربران را احراز هویت کند. این قابلیت در APN Gateway و Wan کاربرد فروانی دارد. به عنوان مثال پیمانکار یا ادمین WebApp1 پس از مراجعه به صفحه احراز هویت نام کاربری را وارد کرده سپس فایروال رمز یکبار مصرف با اعتبار 60 ثانیه را برای شماره ثبت شده ارسال می کند. و پیمانکار یا ادمین با وارد کردن کد ارسال شده دسترسی لازم به سرور یا سرورهای مورد نظر را کسب می کند.
Advanced Routing Protocols BGP،OSPFV6، OSPF
پروتکل های پیشرفته Routing به انواع Routing فایروال اضافه شده است. این پروتکل ها شامل OSPF، OSPFV6، BGP می باشد.
Hotspot Public Interface
در فایروال پاوال می توان اینترفیس مشخصی را برای دسترسی عمومی به اینترنت مشخص نمود. در این روش کاربر با اتصال به وای فای متصل به فایروال با صفحه ای مواجه می شود که شماره موبایل و کد ملی (اختیاری) خود را وارد می کند. در مرحله بعد فایروال یک کاربر با نام کاربری شماره موبایل و رمز عبور تصادفی در فایروال می سازد و( طبق سیاست بندی های مشخص شده در فایروال (Grouping)) رمز عبور را برای کاربر پیامک می کند. اتصال کاربر به اینترنت کاملا لاگ شده و در صورت شکایت از آدرس آی پی Public سازمان، کاربر خرابکار قابل پیگیری می باشد. لازم به ذکر است صفحه ظاهر شده کاملا قابل شخصی سازی می باشد. این اتصال می تواند در لایه 2 و یا لایه 3 پیاده سازی شود. بانک اطلاعاتی شماره های موبایل و کد های ملی قابل Export و استفاده تبلیغاتی می باشد. مثال استفاده از این قابلیت در نمایشگاه ها می باشد.
Scada Logs
Scada IDPS
فایروال پاوان قابلیت کنترل و مانیتور کردن پروتکل های صنعتی از قبیل Fieldbus, profibus, HART, Modbus, را دارد. این قابلیت به Firewall Rules نیز اضافه شده است. IDPS مربوط به شبکه صنعتی نیز به فایروال اضافه شده است.