سامانه مدیریت یکپارچه تهدیدات آریادژ UTM

در داشبورد شما می توانید آخرین وضعیت سیستم را در چند ستون با قابلیت drag & drop داشته باشید . محیط داشبورد مبتنی بر ابزارک (widget) است به صورتی که کاربر می تواند با توجه به نیازهایش ابزارک های متفاوتی را اضافه نماید، از جمله:

• High Availabity
• ssl vpn
• Dynamic DNS
• Picture
• Interface Statistics
• Rss
• IPsec
• System Log
• Load Balancer
• Thermal Sensors
• Firewall Logs
• Traffic Graph
• Network Time
• Wake On Lan

قسمت گزارش گیری قابلیت و نظارت و بررسی تمام رخدادها در شبکه و دیواره آتش را فراهم می‌کند.

• - گزارش گیری از فعالیت پروتکل‌های مختلف: TCP, UDP, ICMP, IGMP
• -گزارش گیری ترافیک عبوری بر اساس واسط‌های شبکه (interfaces)
• - گزارش گیری بر اساس IPهای مبدا و مقصد به صورت تفکیک شده
• - گزارش گیری کامل و جزیی از خصوصیات و رخدادهای واسط‌های شبکه

پشتیبانی کامل از ابزارهای تشخیص و عیب‌یابی همچون:

• - ARP Table: هنگامی که آدرس اینترنتی (IP) مشخص باشد با استفاده از ARP آدرس فیزیکی را به دست می‌آوریم. جهت مشاهده لیست آدرس‌های اینترنتی (IP) و فیزیکی (MAC) در ارتباط با دیواره آتش می‌توان از ARP Table استفاده نمود.
• - NDP Table: این قابلیت به صورت کامل، مشابه ARP Tableاست با این تفاوت که برای IPV6 به کاربر می‌رود.
• - Packet Capture: به منظور گرفتن و بازرسی بسته‌های عبوری از دیواره آتش می‌توان از این قابلیت استفاده و طیف وسیعی از فیلترها را برای گرفتن بسته‌ها اعمال نمود.
• - Test Port: به منظور بررسی اینکه آیا یک سرویس بر روی سیستم میزبان بالا است و قادر به پذیرش بسته از یک پورت خاص است می‌توان از این ابزار استفاده کرد. این ابزار از پروتکل TCP استفاده می‌کند.
• - Traffic Graph: مشاهده نموداری ترافیک عبوری بر روی واسط ها
• - Filter Reload : جهت اعمال قوانین در دیواره آتش و مشاهده خطاهای احتمالی در تنظیم و اعمال قوانین
• - Afinfo، Aftop and Aftable: نمایش وضعیت بر خط دیواره آتش که شامل مواردی همچون: آمارهای مربوط به ترافیک واسط‌ها استفاده می‌شود.
• - states Dump: دیواره آتش برای هر ارتباط یک وضعیت (state) ایجاد می‌نماید. در این قسمت می‌توان وضعیت تمامی ارتباطات را مشاهده و بررسی نموند.
• - State Reset: به منظور ساخت مجدد وضعیت ارتباطات
• - State Summary: نمایش وضعیت اتصالات جاری شبکه در دیواره آتش
• - Ping Traceroute : بررسی وضعیت اتصال

دیواره آتش یک دیواره آتش حالتمند است که در آن مسیر و حالت اتصالات شبکه مانند جریان‌های TCP و ارتباطات UDP نگهداری می‌شود. دیواره آتش آریادژ دسته‌بندی و مدیریت قوانین را به کاربر می‌دهد. تمامی بسته‌هایی که قصد ورود به و یا خروج از شبکه را دارند، ممکن است بسته‌های سالمی نباشد و برخی از آن‌ها ممکن است دارای یک سری نقایص عمدی ویا غیر عمدی باشند که موجب صدمه به میزبان گردند. فرآیند بازسازی بسته‌ها و دسته‌بندی آن‌ها به وسیله خصوصیتی به نام نرمال‌سازی صورت می‌پذیرد.

فرآیند نرمال‌سازی بسته‌ها به صورتی می‌باشد که مقصد نهایی دچار ابهامات در تفسیر بسته‌ها نمی‌گردد. این قابلیت همچنین در بازسازی بسته ها، دور انداختن بسته‌هایی که پرچم (FLAG) TCP نادرستی دارند و محافظت از سیستم عامل در مقابل برخی از حملات به دیواره آتش کمک می‌کند.

• - امکان دسته‌بندی و رنگ‌بندی قوانین
• - امکان جستجو در قوانین
• - امکان نوشتن قانونبر اساس نام کاربر
• - امکان تعریف زمان‌بندی برای قوانین
• - امکان محدودسازی تعداد اتصالات و نودها
• - SYN PROXY برای مقابله با حملات مبتنی بر SYN

captive portal به شما اجازه می‌دهد که احراز هویت را در شبکه اجباری کنید، یا اینکه برای دسترسی به شبکه کاربر به یک صفحه دیگر که نیاز به کلیک دارد ارجاع داده شود. این ویژگی معمولا در شبکه‌های hotspot مورد استفاده قرار می‌گیرد، به طور گسترده در شبکه‌های یکپارچه برای ایجاد یک لایه‌ی اضافی امنیتی روی شبکه بی‌سیم یا اینترنت استفاده می‌شود. علاوه بر آن آریادژ از voucher نیز پشتیبانی می‌کند. قابلیت voucher رمزهای تصادفی را تولید می‌نماید که کاربران با استفاده از آن‌ها می‌توانند از طریق captive portal به اینترنت دسترسی داشسته باشند و تا زمانی که به voucher اعتبار داده باشیم دسترسی آن‌ها برقرار خواهند ماند. این قابلیت در رستوران و هتل‌ها جهت دسترسی کاربران به اینترنت مورد استفاده قرار می‌گیرد.

• - پشتیبانی از ویژگی single sign on خودکار با استفاده از پروتکل integrated windows authentication (IWA)
• - سازگاری با انواع ویندوز سرورها
• - پشتیبانی و سازگاری با ldap و radius
• - تشخیص و مدیریت کاربران log off شده
• - نمایش وضعیت کاربران متصل شده بر اساس حجم ترافیک مصرف شده، پهنای باند کنونی و سیستم عامل

واسط گرافیکی تحت وب آسان و طبقه‌بندی شده آریادژ این امکان را به مدیر شبکه می‌دهد تا بتواند بدون پیچیدگی، نظارتی کامل بر تمامی بخش‌های این محصول فوق داشته باشد.

یکی از قابلیت‌های منحصربفرد آریادژ وجود یک سرویس نظارت است که می‌تواند به صورت کاملا جزیی ترافیک شبکه را تحلیل و آن را به صورت آنلاین به مدیر ارائه دهد. این سرویس توانایی نمایش وضعیت ترافیک به صورت‌های زیر را دارد:

• - مرتب‌سازی ترافیک شبکه با توجه به معیارهای مختلف شبکه مانند توان عملیاتی، پروتکل‌ها
• - نمایش ترافیک شبکه، IPV4, IPV6
• - تولید گزارش‌های جامع در مورد معیارهای مختلف شبکه مانند توان عملیاتی، پروتکل‌ها
• - ارائه گزارش برای هر جریان ارتباطی شبکه از جمله گزارش تاخیر RTT، آمار TCPو بایت /بسته
• - ذخیره مداوم آمار ترافیک بر روی دیسک با فرمت RRD
• - گزارش‌ها بر اساس موقعیت‌های جغرافیایی میزبان
• - کشف پروتکل‌های کاربردی با کاوش عمیق در ترافیک شبکه
• - کاوش گواهینامه TLS / SSLدر ارتباطات رمز شده
• - نمایش توزیع ترافیک IPدر میان پروتکل‌های مختلف
• - آنالیز ترافیک IP زیرشبکه ماتریس (مشخص کردن دو طرف ارتباط)
• - گزارش استفاده از پرتکل IP مرتب شده بر اساس نوع پروتکل
• - تولید آمار ترافیک شبکه HTML5 / AJAX

راهنمای کاربری از ملزومات هر محصولی است. راهنمای کاربر آریادژدارای تفاوتی اساسی با دیگر محصولات مشابه است. این راهنما کاملا کاربردی بوده و مبتنی بر سناریو است. به صورتی که برای فعال نمودن هر سرویسی یک سناریو آزمایش شده به صورت قدم به قدم ارائه گردیده است.

در آریادژ قابلیت بررسی ترافیک لایه ۷ وجود دارد که به وسیله این ویژگی می‌توانیم پروتکل‌های لایه‌ی کاربرد را شناسایی و نوع ترافیک عبوری مجاز را مشخص کنیم و بدین وسیله اطمینان حاصل کنیم که امکان عبور ترافیک با پروتکل‌های نامطلوب وجود ندارد.

انواع پروتکل‌های قایبل تشخیص:

• - HTTP
• - FTP
• - IMAP
• - SMTP
• - SSL / TLS: برای پروتکل‌هایی مانند HTTPS, IMAPS, SMTPS, FTPS و…که به صورت Implicit از پروتکل TLS استفاده می‌کنند باید گزینه SSL / TLS انتخاب شود.
• - SSH: برای پروتکل FISH، RSH، SCP, SFTP، SSH و هر پروتکلی که از تونل SSH استفاده کند باید گزینه SSH انتخاب شود.

با کمک این ویژگی رخدادهای اساسی دیواره آتش از طریق یک ماژول GSM به شماره تلفن های تعریف شده پیامک می شود.

آریادژ دارای ویژگی تشخیص خرابی سخت‌افزار سامانه است. به صورتی که دو یا چند دیواره آتش می‌توانند به عنوان یک گروه Failover پیکربندی شوند. اگر یک واسط شبکه در دیواره آتش اولیه قطع شود یا دیوراه آتش اولیه به طور کامل خراب شود، دیواره آتش ثانویه فعال می‌شود. به کارگیری این ویژگی قدرتمندآریادژ را به یک دیواره آتش پایدار و بدون خرابی مبدل می‌نماید. در طی انتقال خودکار به نسخحه پشتیبان، ارتباط شبکه با کمترین وقفه برای کاربران فعال باقی خواهد ماند.

به منظور توازن وعدم تحمیل بار اضافی برروی یک سرور از تکنیک Load Balance استفاده می‌شود. با استفاده از این قابلیت در صورت قطع شدن یک سرور، ترافیک عبوری بروی دیگر سرورها پخش خواهد شد. بنابراین استفاده از Load Balance موجب افزایش اطمینان سیستم نیز خواهد شد.

vpn مخفف virtual private network می‌باشد که در لغت به معنی شبکه خصوصی مجازی می‌باشد. vpn جهت ارتباط دو شبکه یا زیرشبکه به صورت امن به کار می‌رود.

IPsec مخفف و کوتاه شده عبارت IP Security است که به مجموعه‌ای از پروتکل‌ها اشاره کرده و تبادل امن بسته‌ها در لایه IP را پشتیبانی می‌کند.

IPsec به طور گسترده در تکنولوژی VPN جهت احراز هویت، محرمانگی، یکپارچگی و مدیریت کلید در شبکه‌های مبتنی بر IPمورد استفاده قرار می‌گیرد.

آریادژ طیف گسترده‌ای از فناوری‌های vpn اعم از SSL VPN امروزی تا تکنولوژی قدیمی‌تر همچون IPsec و L2TP را ارائه می‌دهد. تنظیمات Site-to-Site و Roadwarriar با وجود ویژگی export تنظیمات کاربر در عرض چند دقیقه قابل انجام هستند.

• - قابلیت اعمال و پشتیبانی از الگوریتم‌های رمزنگاری سفارش مشتری

تکنولوژی‌های IDS و IPS ترافیک شبکه را با جزییات بیشتر نسبت به دیواره آتش تحلیل می‌کنند. مشابه سیستم‌های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده‌ای از مشخصات حملات شناخته شده مقایسه می‌کنند. هنگامی که حملات تشخیص داده می‌شوند، این ابزار وارد عمل می‌شود و مسئولین را از وقوع یک حمله مطلع می‌سازند، ابزارهای یک گام جلوتر می‌روند و به صورت خودکار ترافیک آسیب رسان را مسدود می‌کنند. مولفه IPS در آریادژ در دو مرحله به دفاع از شبکه می‌پردازد:

با تشخیص رفتارهای غیرطبیعی در شبکه از رخ دادن حملات پخش وسیع (DDOS) و پویش در گاه‌ها جلوگیری می‌کند

با استفاده از الگوی حملات، با حملاتی چون Backddor‌ها وExploit‌ها مقابله می‌کند.

• - امکان نوشتن قوانین پیچیده توسط کاربران
• - امکان مسدود نمودن سایت‌های HTTP و HTTPS
• - امکان مشاهده لاگ‌ها با فیلترینگ بسیار سریع
• - مدیریت هوشمند لاگ‌ها با فیلترینگ بسیار سریع
• - استفاده از فایل سیستم ZFS برای بالا بردن کارایی در ذخیره و بازیابی لاگ ها

یکی از ویژگی‌های موردنیاز در شبکه ویژگی تسهیم ترافیک است. این ویژگی پهنای باند ترافیک مجاز، جهت عبور از لینک‌ها را کنترل می‌کند. در واقع با استفاده از این قابلیت شما به داده‌ها و ترافیک‌تان سرعت مجاز را می‌دهید و یا می‌تواند محدودیت‌هایی را در ترافیک‌های ارسالی اعمال کنید.

تسهیم ترافیک در آریادژ بسیار انعطاف‌پذیر است و پیرامون شریان‌ها (pipe)، صف‌ها و قوانین مربوطه سازمان دهی شده است. pipe پهنای باند مجازی را تعریف می‌کنند و صف‌ها می‌توانند برای تنظیم اولویت ترافیک داخل هر pipe مورد استفاده قرار گیرند و در نهایت قوانین برای شکل دادن به یک جریان بسته خاص استفاده می‌شود. قوانین تسهیم ترافیک به طور مستقل از قوانین دیواره آتش و دیگر تنظیمات است.

پشتیبانی کامل از ویژگی NAT:

• - Port Fprwarding (Destination Nat): امکان برقراری ارتباط مستقیم برای سرویسی خاص در سمت شبکه امن که بر روی یک میزبان بدون آدرس IP عمومی
• - Outbound Nat (Source NAT): ترافیک خروجی را بر اساس IP مبدا ترجمه می‌کند
• - One-To-One: ترجمه یک آدرس خاص به یک آدرس معین دیگر
• - NPT (IPV6): ترجمه یک آدرس IPV6 به یک آدرس IPV6 دیگر

محصول آریادژ دارای وضعیت‌های مختلف استقرار است از جمله:

• - Bridge: اگر دیواره آتش آریادژ در حالت Bridge راه اندازی شود این قابلیت را دارد که به صورت Transparent Bridge (لایه ۲) عمل کند. دیواره آتش در این حالت نیز امکان وارسی لایه ۳ و بالاتر را دارد. در این حالت آریادژ میان ارتباط شبکه داخلی و مسیریاب قرار می‌گیرد وبدون نیاز به تغییرات در معماری شبکه اقدام به بازرسی ترافیک می‌نماید.
• - NAT/Router: در این حالت دیواره آتش به عنوان یک دروازه و یا مسیریاب میان دو شبکه مستقر می‌شود. در بیشتر مواقع، مابین شبکه امن و اینترنت قرار می‌گیرد و علاوه بر عملکرد ترجمه آدرس، عملیات مسیریابی را نیز انجام خواهد داد.

به منظور جلوگیری از دسترسی‌های غیرمجاز و سواستفاده‌های احتمالی محصول آریادژ از دو سطح احراز هویت پشتیبانی می‌کند. احراز هویت ترافیک شبکه (Data Plane) و احراز هویت واسط کاربری سامانه. احراز هویت ترافیک شبکه امکان تشخیص کاربر ارسال کننده ترافیک را می‌دهد، به صورتی که کاربر در صورتی مجاز به ارسال ترافیک است که پیش‌تر تصدیق هویت شده باشد. احراز هویت واسط کاربری به منظور جلوگیری از دسترسی غیر مجاز به پنل مدیریتی استفاده می‌گردد.

• - پشتیبانی از کابران (Active Directory) RADIUS، LDAP و کاربران تعریف شده در سامانه
• - تشخیص کاربرانی که مجوز ارسال ترافیک را دارند
• - شخصی‌سازی قالب صفحه احراز هویت (Captive Portal)
• - سازگاری با انواع ویندوز سرورها
• - نمایش لیست کاربران و مدیریت آن‌ها
• - مدیریت و تشخیص کاربران غیرفعال و خارج شده از سیستم
• - احراز هویت دو مرحله‌ای (Two Step Authentication) در پنل مدیریت با استفاده از کلمه عبور و SMS
• - قابلیت غیر فعال کردن پورت‌های HTTP، HTTPS و فعال شدن خودکار آن‌ها در صورتی که کاربر ارتباط SSH برقرار نماید. با کمک این ویژگی واسط کاربری تحت وب دیواره آتش در معرض حمله مهاجمان قرار نمی‌گیرد.
• - امکان SSH preauthentication برای جلوگیری از دسترسی به واسط کاربری تا اولین لاگین موفقیت‌آمیز در کنسول SSH

پشتیبانی از نسخه‌های مختلف پروتکل SNMP

• - نظارت بر ارتباطات شبکه به صورت لحظه‌ای
• - سازگاری بر عملکرد کارگزاران: میزان پهنای باند مصرفی، مثل وضعیت بر خط بودن و…
• - اطلاع‌رسانی لحظه‌ای در مورد وضعیت کارایی دیواره آتش، خطاهای محتمل و رخدادهای شبکه و دیواره آتش

به منظور کنترل و نظارت ترافیک‌های http، https، ftp می‌توانید از این سرویس استفاده نمایید. proxy ارایه شده توسط آریادژ دارای امکاناتی همچون web-filtering دسته‌ای و کنترل دسترسی می‌باشد. این سرویس می‌تواند در حالت شفاف اجرا شود. می‌توان با ترکیب پروکسی، دیواره آتش و captive portal نظارت بسیار خوبی بر روی کاربران و اعمال آن‌ها داشت به صورتی که به وسیله captive portal می‌توان دسترسی کاربران را کنترل نمود، با استفاده از پروکسی می‌توان ترافیک http و https را کنترل کرد. به طور مثال می‌توان دسترسی یک کاربر را به یک وب سایت یا آدرس محدود نمود. همچنین امکان یکپارچه شدن این ویژگی با ضد ویروس‌هایی که دارای واسط ICAP هستند وجود دارد.

• - اعمال قوانین محدودسازی دسترسی برای کابران
• - ثبت رخدادهای کاربران
• - ثبت ترافیک وب کاربران

مسیریابی ایستا (static routing): با این ویژگی مدیر شبکه می‌تواند مسیریابی را بر اساس ip مقصد تعریف نماید.

مسیریابی براساس سیاست (policy based routing): در این روش می‌توان مسیریابی را بر اساس سایر مولفه‌های یک بسته ip همچون ip مبدا، پورت مبدا و مقصد تعریف نمود. این قابلیت امکان مسیریابی را با کمک قوانین دیواره آتش فراهم می‌کند. هر قانون دیواره آتش اجازه انتخاب یک درگاه gateway را می‌دهد و اگر درگاهی انتخاب نشود جریان از درگاه پیش فرض و یا با توجه به جدول مسیریابی عبور می‌کند.

مسیریابی پویا (Dynamic routing): در اینجا انواع پروتکل‌های مسیریابی پویا همچون OSPF, BGP, RIP قابل پیکربندی و استفاده می‌باشند.

در این بخش امکان تخصیص تنظیم و کنترل واسط‌های شبکه وجود دارد. انواع واسط‌های شبکه:

• - Bridge: لایه دوم bridge به منظور اتصال دو یا چند واسط به یک دیگر در حالت (breadcast / collision domain)
• - GIF: IPV6 و IPV4 ایجاد تونل منطقی برای ترافیک‌ها
• - GRE: جهت ایجاد یک ارتباط (تونل) نقطه به نقطه میان میزبان‌ها
• - Group: جهت دسته‌بندی گروهی از واسط‌ها و اعمال قوانین بر روی آن‌ها به منظور جلوگیری از نوشتن دوباره قوانین
• - LAGG: امکان تجمیع چندین واسط و تبدیل آن‌ها به عنوان یک واسط مجازی به منظور افزایش سرعت لینک‌ها و بالا بردن تحمل خطا
• - VLAN: ایجاد شبکه محلی مجازی

از آنجایی که ذخیره امن داده‌های حساس همچون کلیدهای رمزنگاری یک چالش جدی است. وجود توکن بومی آریاکی در کنار آریادژ می‌تواند بسیاری از دغدغه‌های امنیت را با حضور سخت افزارهای خارجی برآورده کند. همچنین این توکن علاوه بر ذخیره امن داده امکان رمزنگاری متقارن را دارد.

با این ویژگی احتمال قطع شدن دیواره آتش و سرورها در شبکه به پایین‌ترین حد ممکن می‌رسد.

پشتیبانی کامل از سرویس DHCPدر حالات:

• - DHCP Server: تخصیص خودکار آدرس‌های IP به میزبان‌های شبکه
• - DHCP Relay: جهت ارسال و دریافت درخواست‌های DHCP میان میزبان‌ها و سرورهای که در یک زیرشبکه نیستند (دامنه‌های پخش وسیع یا broadcast domains)
• - DHCPV6 Server and Relay: تخصیص خودکار آدرس‌های IPV6 به میزبان‌های شبکه. قابلیت Relay نیز همانند IPV4 است با این تفاوت که برای IPV6 به کار می‌رود.
• - قابلیت نمایش IP‌های اختصاص داده شده توسط سرور به کارگزاران همراه با اطلاعات کامل کارگزاران
• - قابلیت گزارش کیری از سرویس DHCP
• - پشتیبانی از سرویس DHCP Static Mapping: جهت تخصیص آدرس‌های IP ایستا به میزبان‌های مورد نظر.

در اینجا امکان مسدود سازی این سایت ها از طریق IPS فراهم می گردد. تفاوت این مسدود سازی با استفاده از web proxy در آن است که مسدود سازی با سرعت کیکابیت و بدون رمز گشایی ترافیک HTTPS صورت می گیرد.

• - DNS Forwarder: قابلیتی جهت ارسال درخواست‌های (پرس و جوهای) DNS به سرورهای DNS خارج از شبکه داخلی
• - DNS Resolver: قابلیتی به منظور پاسخ دادن به پرس و جوهای میزبان‌ها و تبدیل نام دامنه به IP
• - DNS Tools: مجموعه‌ای از ابزارها برای کنترل و بهره گیری بهتر از DNS مانند DNS Lookup، Dynamic DNS و DNS Filter
• - DNS Crypt: قابلیتی جهت حفظ محرمانگی ترافیک DNS

در این قسمت می‌توانیم کاربران و گروهای مختلفی را تعریف و مدیریت کنیم.

• - تخصیص کاربران به گروه‌های متفاوت و یکسان
• - مدیریت زمان نشست‌های کاربران
• - تعریف سرورهای مختلف: LDAP، Radius, Voucher و…
• - امکان تعریف شماره همراه جهت ارسال پیامک
• - امکان تعریف حجم ترافیکی مصرفی به صورت روزانه، هفتگی و ماهانه
• -امکان مدیریت دسترسی به بخش‌های مختلف آریادژ

امکان استفاده و اضافه نمودن لیست آدرس‌های IP بر اساس موقعیت جغرافیایی آن ها. این امکان اجازه مسدود و یا عبور ترافیک را بر اساس کشور مبدا یا مقصد ترافیک می‌دهد. این پایگاه داده مداوم در حال به روزرسانی است.

مدیریت قوانین دیواره آتش کار آسانی نیست. با استفاده از نام‌های مستعار شما می‌توانید چندIP، میزبان، شبکه و یا شماره درگاه را در یک گروه برای استفاده در قوانین دیواره آتش فهرست کنید. نام‌های مستعار همان بخش definition در دیواره آتش خارجی است.

در اینجا می‌توان حجم ترافیک و مصرف پهنای باند کاربران را کنترل و نظارت نمود.

• - امکان تعریف حجم مصرفی بر اساس روز، هفته و ماه برای کاربران و یا گروه کاربران
• - امکان مشاهده حجم مصرف شده و باقی مانده حجم کاربران
• - نمایش حجم ترافیک مصرف شده برای هر کاربر

آریادژ می‌تواند همچون یک دروازه و یا پراکسی برای پروتکل H. ۳۲۳ عمل کند. این ویژگی امکان کنترل بیشتر بر روی ترافیک‌های VOIP در شبکه را فراهم نماید. همچنین می‌تواند مسایل و مشکلاتی که H. ۳۲۳ و SIP در فایروال‌های عمومی دارند را برطرف نماید.