بهترین مدل فایروال فورتی‌گیت برای یک سازمان چه ویژگی هایی دارد؟

بهترین مدل فایروال فورتی‌گیت برای یک سازمان، مدلی است که توازنی بهینه بین توان عملیاتی (Throughput)، قابلیت‌های امنیتی پیشرفته و قیمت برقرار کند. به طور مثال، مدل‌هایی مثل 100F تا 200F در بازار میان‌رده این نقش را ایفا می‌کنند. این تجهیزات با بهره‌گیری از واحد پردازش امنیتی نسل جدید (SPU) اختصاصی فورتی‌نت، توانایی پردازش ترافیک با سرعت بالا را دارند؛ به طور مثال، توان عملیاتی فایروال 200F تا 27 گیگابیت بر ثانیه و توان عملیاتی VPN-IPSec تا 13.5 گیگابیت بر ثانیه را ارائه می‌دهد.

نکته کلیدی و مهم هنگام انتخاب یک فایروال مناسب این است که عملکرد آن حتی هنگام فعال‌سازی کامل سرویس‌های امنیتی پیشرفته مانند IPS، کنترل برنامه‌ها و بازرسی ترافیک رمزنگاری‌شده SSL/TLS که فشار زیادی به پردازنده وارد می‌آورند افت کمی داشته باشد. این پایداری در عملکرد، برای سازمان‌های متوسط تا بزرگ که نمی‌خواهند سرعت شبکه‌شان فدای امنیت شود، حیاتی است و تضمین می‌کند که تمامی ترافیک ورودی و خروجی با حداکثر سرعت و بدون گلوگاه، تحت بازرسی عمیق قرار گیرد. مدل‌هایی با این مشخصات فنی قوی، بهترین انتخاب برای دیتاسنترهای کوچک، دفاتر مرکزی سازمان‌ها و محیط‌هایی با تعداد کاربران بالای ۵۰۰ نفر محسوب می‌شوند. البته، برای اینکه بتوانیم بهترین مدل فایروال فورتی‌گیت را که مناسب سازمان یا کسب‌وکار باشد انتخاب کنیم، لازم است به جزییات بیشتری در ارتباط با محیط شبکه‌ خود دقت کنیم.

راهنمای انتخاب مدل فایروال فورتی‌گیت مناسب نیاز کاری

برای آن‌که بتوانید محصولی متناسب با نیازهای کاری را تهیه کنید، ابتدا باید به پرسش‌های زیر پاسخ دهید.

ابعاد سازمان چقدر است؟

در ارتباط با انتخاب بهترین مدل فایروال فورتی‌گیت، تعیین “ابعاد سازمان” اولین و مهم‌ترین قدم است. ابعاد سازمان به طور مستقیم، ظرفیت و توان محاسباتی پردازنده مرکزی و حافظه مورد نیاز فایروال را مشخص می‌کند. مهم‌ترین معیار فنی برای تعیین ابعاد سازمان، تعداد کاربرانی است که قرار است به صورت همزمان از طریق فایروال به اینترنت یا منابع شبکه دسترسی پیدا کنند. مدل‌های مختلف فورتی‌گیت برای پشتیبانی از تعداد معینی کاربر و نشست‌های (Sessions) همزمان طراحی شده‌اند. به طور مثال، جدول زیر خلاصه‌ای از این اطلاعات را نشان می‌دهد.

به طور معمول، سازمان‌ها بر مبنای دو مشخصه کلیدی اقدام به انتخاب فایروال می‌کنند. اولین مورد توان عملیاتی (Throughput) است. هر چقدر تعداد کاربران بیشتر باشد، حجم ترافیک (پهنای باند) بیشتری نیز باید پردازش شود. به طور مثال، اگر یک سازمان ۱۰۰ کاربره، نیاز به ۱ گیگابیت بر ثانیه سرعت خالص اینترنت داشته باشد، فایروال باید توانایی پردازش ترافیک 1 گیگابیت بر ثانیه را داشته باشد. مدل‌های کوچک‌تر مانند FG-40F نمی‌توانند این حجم را مدیریت کنند، در حالی که مدل‌هایی مانند FG-100F یا بالاتر به راحتی از پس آن برمی‌آیند. مورد بعدی ظرفیت نشست‌ها (Concurrent Sessions) است. با افزایش تعداد کاربران، تعداد نشست‌های همزمان (تعداد ارتباطات فعالی که در هر لحظه در حال عبور از فایروال هستند) نیز افزایش می‌یابد.

هر مرورگر، نرم‌افزار ایمیل، تماس ویپ و غیره یک یا چند نشست ایجاد می‌کند. اگر تعداد کاربران زیاد باشد، و فایروال ظرفیت کافی برای نگهداری جدول نشست‌ها را نداشته باشد، شبکه قفل می‌کند و کاربران با قطعی مواجه می‌شوند. به بیان دقیق‌تر، یک سازمان بزرگ ممکن است به فایروالی نیاز داشته باشد که بتواند تا چند میلیون نشست همزمان را مدیریت کند، در حالی که یک کسب‌وکار کوچک تنها به ۵۰,۰۰۰ نشست نیاز دارد.

محیط دارای چه نوع ترافیکی است؟

هنگام انتخاب بهترین مدل فورتی‌گیت، نوع ترافیکی که در شبکه‌ جریان دارد، تعیین‌کننده اصلی برای انتخاب پردازنده‌ قدرتمندتر است. نوع ترافیک به فایروال می‌گوید که باید چقدر کار پردازشی پیچیده روی هر بیت داده انجام دهد. جدول زیر اطلاعات دقیق‌تری در ارتباط با ترافیک شبکه از نظر میزان فشار بر روی منابع پردازشی را نشانی می‌دهد.

در مشخصات فنی فورتی‌گیت، مهم‌ترین عددی که نشان می‌دهد فایروال چگونه ترافیک پیچیده شما را مدیریت می‌کند، توان عملیاتی فایروال است. اگر ترافیک سبک است، می‌توانید بر اساس عدد Firewall Throughput یا همان توان عملیاتی پایه تصمیم بگیرید. اگر ترافیک سنگین است که معمولا همین‌طور است باید بر اساس عدد NGFW Throughput یا Threat Protection Throughput تصمیم بگیرید. اگر محیط ترافیک سنگینی مانند کنفرانس‌های ویدئویی زیاد یا دسترسی به سرورهای ابری دارد، بدان معنا است به فعال‌سازی سرویس‌هایی مانند Application Control و IPS نیاز دارید. فعال‌سازی این سرویس‌ها، فایروال را مجبور می‌کند تک‌تک بسته‌های داده را عمیقا بررسی کند و در نتیجه، عملکرد دستگاه به شدت کاهش می‌یابد.

سرعت اینترنت چقدر است؟

پهنای باند کل اینترنت ورودی به سازمان یا دیتاسنتر چند مگابیت بر ثانیه یا گیگابیت بر ثانیه است؟ این مسئله نیز در انتخاب فایروال مناسب نقش کلیدی دارد.

قصد فعال‌سازی چه سرویس‌های امنیتی را دارید؟

فعال کردن سرویس‌های امنیتی به شدت روی عملکرد فایروال تاثیر می‌گذارد. مهم‌ترین عامل در افت عملکرد یک فایروال حتی مدل‌های قدرتمند فورتی‌گیت، فعال‌سازی سرویس‌های امنیتی پیشرفته یا همان قابلیت‌های مدیریت تهدیدات یکپارچه است. تصمیم شما در مورد اینکه کدام سرویس‌ها را فعال می‌کنید، به طور مستقیم تعیین می‌کند که فایروال باید چقدر توان پردازشی داشته باشد. هر سرویس بار پردازشی متفاوتی بر روی پردازنده SPU وارد می‌کند. برای درک بهتر موضوع به جدول زیر دقت کنید.

این سرویس‌ها به دلیل بازرسی عمیق محتوا یا عملیات رمزنگاری، بیشترین فشار را به فایروال وارد می‌کنند و توان عملیاتی را به میزان چشمگیری کاهش می‌دهند. از آنجایی که اکثر ترافیک امروز رمزنگاری شده (HTTPS) است، برای اینکه IPS یا آنتی‌ویروس بتوانند محتوای درون این ترافیک را ببینند، فایروال باید ترافیک را رمزگشایی کند، محتوا را بازرسی کند و دوباره آن را رمزنگاری و ارسال کند. این عملیات نیازمند قدرت محاسباتی بالا برای پردازش کلیدهای رمزنگاری است و معمولا بیشترین کاهش سرعت را در پی دارد. در مدل‌های ضعیف، فعال‌سازی SSL Inspection می‌تواند بیش از ۷۰ درصد عملکرد را کاهش دهد.

فایروال در کجا نصب خواهد شد؟

محل نصب فایروال فورتی‌گیت (دفتر مرکزی، شعبه یا دیتاسنتر) نقش مهمی در تعیین قابلیت‌های سخت‌افزاری، پورت‌های فیزیکی و الزامات افزونگی مورد نیاز دستگاه دارد. دفتر مرکزی جایی است که معمولا بیشترین تعداد کاربر، سنگین‌ترین ترافیک و حساس‌ترین داده‌ها در آن متمرکز شده‌اند. به بیان دقیق‌تر، نیاز به مدل‌های میان‌رده تا سازمانی مانند FG-200F تا FG-400F برای پشتیبانی از تعداد زیاد نشست‌های همزمان و اجرای کامل سرویس‌های بازررسی بسته‌ها، پیشگیری از نفوذ و غیره دارد. همچنین، نیاز حیاتی به پیکربندی High Availability با دو دستگاه یکسان اکتیو-پسیو یا اکتیو-اکتیو برای تضمین دسترسی‌پذیری ۲۴/۷ ضروری است. این در حالی است که نیاز به پورت‌های گیگابیت اترنت و احتمالا پورت‌های ۱۰ گیگابیت یا فیبر نوری (SFP+) برای اتصال به شبکه‌ مرکزی یا سرورهای اصلی ضروری است.

در دیتاسنتر، تمرکز اصلی بر سرعت بسیار بالا، ظرفیت نشست‌های عظیم و پورت‌های فیبر نوری است. در این‌جا، الزامات فنی متمرکز بر عملکرد محض است. نیاز به مدل‌های رده بالا FG-500F به بالا که بتوانند حجم عظیمی از ترافیک اغلب چندین گیگابیت بر ثانیه را با کمترین تاخیر پردازش کنند. تمرکز بر پورت‌های SFP+ (10GE) و حتی 40GE برای اتصال به زیرساخت‌های شبکه‌ دیتاسنتر و نیاز به بیشترین ظرفیت نشست‌های همزمان، زیرا ممکن است ترافیک سرورهای زیادی از آن عبور کند، از الزامات فنی در این زمینه هستند.

شعب معمولا تعداد کاربران کمتری دارند و نیاز اصلی آن‌ها تامین امنیت و ایجاد ارتباط امن VPN با دفتر مرکزی است. در این شعب، نیاز به مدل‌های سطح ابتدایی و مقرون به صرفه مانند FG-60F یا FG-80F مناسب است. این مدل‌ها باید قابلیت‌های SD-WAN قوی داشته باشند تا بتوانند چندین اتصال اینترنت کُندتر را به صورت هوشمند مدیریت کنند. علاوه بر این، ممکن است نیاز به HA نباشد و تنها یک دستگاه برای تامین امنیت کافی باشد. به طور کلی، الزامات نصب را می‌توان همانند جدول زیر خلاصه کرد.