با نگاهی به شیوه لایسنس دهی سوفوس در سری قبلی سوفوس(سری SG) متوجه می شویم سری جدید نیز بسیار مشابه آن است و تنها چند تفاوت استراتژبک در زیر را دارد.
- لایسنس جدیدتر و مجهزتر Base Firewall شامل IPsec ، SSL VPN و مدیریت وایرلس
- لایسنس مختص راه اندازی نرم افزاری و مجازی بر اساس Core/RAM سخت افزار
- اضافه نمودن دو لایسنس گروهی و باندل مربوط به Next-gen Firewall شامل Enterprise Guard و Enterprise Protect
- تغییرات عمده روی لایسنس پشتیبانی
با خرید سخت افزاری فایروال سوفوس می توان از لایسنس مادام العمر Base Firewall استفاده نمود و این متن به امکانات این ماژول می پردازد.
این ماژول شامل امکانات پایه ای فایروال است که برای راه اندازی یک فایروال State Full که توانایی شناسایی کاربر سایبروم نیز به آن اضافه شده است را دارد. علاوه بر آن می توان با خرید سخت افزار XG سوفوس از امکانات Hotspot و اکانتینگ و کنترل پهنای باند کاربران و یا ترافیک مشخصی از شبکه را نیز داشته و امکان راه اندازی VPN را به صورت Site To Site و Remote Access را نیز فراهم نماید.
امکانات پایه ای و مدیریتی
ماژول Base Firewall امکان برقراری ارتباط با رابط کابری گرافیکی قدرتمند سوفوس را فراهم نماید که تقریبا تمامی تنظیمات و عیب یابی فایروال در این محیط انجام می شود . در این محیط دسترسی به هر منوی تنظیمات با 3 کلیک امکانپذیر است و در هر منو راهنمای کامل آنلاین تمامی دکمه و عملکرد آن را تشریح می کند و ابزار عیب یابی پیشرفته ای را مثل Packet Capture ارائه می دهد.
سایر امکانات پایه ای و مدیریتی:
-High Availability (HA) support clustering 2 devices in active-active or active-passive mode.
-Full command-line-interface (CLI) accessible from GUI
-Role-based administration
-Automated firmware update notification with easy automated update process and roll-back features
-Reusable system object definitions for networks, services, hosts, time periods, users and groups, clients -and servers
-Self-service user portal
-Configuration change tracking
-Flexible device access control for services by zones
– Email or SNMP trap notification options
– SNMP and Netflow support
-Central managment support from Sophos Firewall Manager or Sophos Cloud Firewall Manager
-Backup and restore configurations: locally, via FTP or email; on-demand, daily, weekly or monthly
-API for 3rd party integration
-Remote access option for Sophos Support
-Cloud-based license management via MySophos
فایروال
اما اصلی ترین وظیفه یک فایروال امکان ایجاد قوانینی برای کنترل دسترسی است که هرچه ایجاد قوانین ساده تر و یکپارچه تر باشد انعطاف پذیری و قدرت کنترل بیشتری را فراهم میکند از این رو در سری جدید با رویکردی جدید و با بهره گیری از امکانات UTM سوفوس و سایبروم است.قوانین به دو نوع User/Network برای کنترل ترافیک کاربران بر مبنای شناسایی نام کاربری و یا ترافیک شبکه و Business Application که شامل قالب های آماده خطی و مشی های امنیتی برای حفاظت و کنترل دسترسی به وب سرور ها و سرویس های مختص کسب و کار نظیر Exchange , Sharepoint , Linc و نظایر آن است تقسیم می شود.
سایر امکانات فایروال :
-User, group, time, or network based policies
-Access time polices per user/group
-Enforce policy across zones, networks, or by service type
-Zone isolation and zone-based policy support.
-Default zones for LAN, WAN, DMZ, LOCAL, VPN and WiFi
-Custom zones on LAN or DMZ
-Customizable NAT policies with IP masquerading
-Flood protection: DoS, DDoS and portscan blocking
-Country blocking by geo-IP
-Routing: static, multicast (PIM-SM) and dynamic (RIP, BGP, OSPF)
– Upstream proxy support
-Protocol independent multicast routing with IGMP snooping
– Bridging with STP support and ARP broadcast forwarding
احراز هویت
احراز هویت کاربران داخل شبکه یک فاکتور اساسی در برقراری امنیت شبکه است تا کاربران شناسایی شده بتوانند به منابع مشخص شده و مورد نیاز خود دسترسی داشته و برحسب نیاز و قواعد تعریف شده از اینترنت استفاده کنند .امکانات ارائه شده در ماژول Base Firewall سوفوس XG به سادگی و باروش های متعددی شامل احراز هویت نامحسوس ( Transparent Authentication) , احراز هویت پروکسی ( NTLM و Kerberos ) و احراز هویت از طریق نرم افزار یا وب امکان احراز هویت کاربران را برای تمامی پلت فرم ها را فراهم نمی نماید . کاربران مهمان و یا موقتی نیز می توانند از طریق تکمیل مشخصات خود روی فرمی وبی که به صورت خودکار برای انها باز می شوند نام کاربری و رمز عبور خود را با پیامک دریافت کرده و احراز هویت شوند.
سایر امکانات احراز هویت:
– Authentication via: Active Directory, eDirectory, RADIUS, LDAP and TACACS+ Server authentication agents for Active Directory SSO, STAS, SATC
– Client authentication agents for Windows, Mac OS X, Linux 32/64
– Authentication certificates for iOS and Android
– Single sign-on: Active directory, eDirectory Ì Authentication services for IPSec, L2TP, PPTP, SSL
– Captive Portal
User Self-Serve Portal
– Download the Sophos Authentication Client
– Download SSL remote access client (Windows) and configuration files (other OS)
– Hotspot access information
– Change user name and password
– View personal internet usage
– Access quarantined messages (requires Email Protection)
امن سازی وایرلس
قابلیت جدیدی که سوفوس در سری XG خود روی ماژول Base Firewall اضافه نموده است Wireless Protection است که از طریق یک کنترلر وایرلس داخلی به صورت مرکزی تمام مدل های اکسس پویت های سوفوس را کنترل و مدیریت مینماید.با این قابلیت راه اندازی یک کنترلر جدید به صورت Plug & Play به سادگی انجام شده و در لیست کنترلر فایروال اضافه می گردد و امکان جداسازی شبکه آنها از LAN , VLAN و یا هر ناحیه مجزایی در فایروال وجود دارد و همچنین قابلیت Hotspot را نیز پشتبانی می نماید.
سایر امکانات حفاظت وایرلس:
-Multiple SSID support per radio including hidden SSIDs
– Support for the latest security and encryption including WPA2 Personal and Enterprise
– Support for IEEE 802.1X (RADIUS authentication)
– Support for 802.11r (fast transition)
-Hotspot support for (custom) vouchers, password of the day, or T&C acceptance
-Wireless guest Internet access with walled garden options
-Time-based wireless network access
– Wireless repeating and bridging meshed network mode with supported APs
– Automatic channel selection background optimization
– Support for HTTPS login
-Rogue AP detection
مدیریت پهنای باند و مصرف اینترنت
از ویژگی های بارز UTM سایبروم علاوه بر مبتنی بودن تمامی خط و مشی های آن بر اساس نام کاربری روش های مدیریت مصرف و پهنای باند اینترنت کاربران بوده است که منجر به فروش بالای این محصول در ایران و یا کشور هایی که سرعت بالای اینترنت وجود ندارد شده است. از این رو سوفوس با در اختیار گرفتن تکنولوژی سایبروم در سری جدید محصولات خود دقیقا همان خط و مشی های کنترلی و مدیریتی سایبروم را برای میزان پهنای باند و مصرف اینترنت استفاده نموده است.
امکانات این بخش:
-Flexible network or user based traffic shaping (QoS) (enhanced Web and App traffic shaping options are included with the Web Protection Subscription)
– Set user-based traffic quotas on upload/download or total traffic and cyclical or non-cyclical
-Real-time VoiP optimization