آموزش ایمن سازی فایروال سوفوس

با اینکه فایروال سوفوس، خود یک محصول امنیتی است، اما خودش نیز نیاز به ایمن سازی دارد. در این مقاله، بهترین روش‌ها را برای بهینه‌سازی امنیت فایروال و در نتیجه امنیت شبکه دنبال کنید.

فایروال (Firewall) قلب شبکه شما است و موجب ایمن‌سازی شبکه در برابر انواع خطرات و تهدیدات می‌شود. و با وجود این که خود یک محصول مهم امنیتی است، اما خودش نیز نیاز به ایمن سازی دارد. در ادامه بهترین روش‌ها برای مقاوم‌سازی فایروال سوفوس (Sophos Firewall) را شرح می‌دهیم.

1) بروزرسانی ثابت افزار با عرضه هر نسخه 

توصیه می‌شود با عرضه هر نسخه از ثابت‌افزار (Firmware) فایروال سوفوس، آن را به‌روزرسانی کنید. این توصیه نه تنها فایروال، بلکه تمامی محصولات زیرساخت‌ شبکه شما را شامل می‌شود. اکثر به‌روزرسانی‌های سیستم‌عامل فایروال Sophos شامل اصلاحات امنیتی مهمی می‌باشند. بهترین راه برای مقاوم‌سازی فایروال شما این است که از اجرای آخرین سیستم‌عامل فایروال اطمینان حاصل نمائید. نسخه 19.5 سیستم‌عامل Sophos Firewall   که اخیرا منتشر شد که شامل قابلیت‌های جدید و اصلاحات متعدد و افزایش قابل توجه در کارایی میباشد.

همواره می‌توانید جهت بررسی آخرین نسخه سیستم‌عامل فایروال خود، به سادگی به صفحه Backup & Firmware > Firmware در تنظیمات فایروال رفته و برای دانلود آخرین نسخه، دکمه Check for new firmware را بزنید.

2) فعال کردن گزینه اصلاحیه فوری

گاهی اوقات، در میان به‌روزرسانی‌های معمولی ثابت‌افزار ، وصله‌هایی برای رفع آسیب‌پذیری‌ها و ضعف‌های امنیتی منتشر می‌شوند. این وصله‌ها با اعمال اصلاحیه فوری (hotfix) به طور خودکار بر روی فایروال شما نصب می‌شوند؛ بنابراین بسیار مهم است که این قابلیت در فایروال شما فعال باشد. در صورتی که تنظیمات “Allow automatic installation of hotfixes” در فایروال فعال باشد (بطور پیش فرض فعال است)، نیاز به هیچ اقدامی نیست و اصلاحیه های نوع hotfix بطور خودکار دریافت و نصب می‌شوند.

برخی از مشتریان ممکن است این قابلیت اصلاحیه فوری را غیرفعال کرده‌ باشند؛ در این صورت به شدت توصیه می‌شود که آن را مجدد فعال نمائید. به صفحه Backup and Firmware > Firmware رفته و بررسی کنید که «Allow automatic install of hotfixes» فعال باشد (همانطور که در تصویر مشخص شده است).

3) محدود کردن دسترسی به فایروال

فایروال سوفوس راه های مختلفی را برای محدود کردن دسترسی به سرویس‌ها، به منظور کاهش در معرض تهدید بودن از ناحیه WAN ، ارائه میدهد. برای این منظور باید به طور دوره‌ای تنظیمات دسترسی به دستگاه را بررسی نموده و مطمئن شوید که تمامی سرویس‌های غیرضروری در شبکه WAN غیرفعال هستند (همانطور که در تصویر مشاهده می‌شود، علامت‌گذاری نشده‌اند).

به طور خاص، اکیداً توصیه می‌شود که مدیریت از راه دور از طریق HTTPS و SSH و همچنین  Captive Portal و User Portal را از ناحیه WAN غیرفعال کنید. از Sophos Central، VPN یا ZTNA جهت مدیریت از راه دور فایروال خود استفاده نمائید. جهت دریافت جزئیات بیشتر در مورد مدیریت دسترسی های دستگاه، به نشانی زیر مراجعه کنید:

https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Administration/DeviceAccess/index.html#public-key-authentication-for-admin

4) استفاده از احراز هویت چندعاملی و مدیریت مبتنی بر نقش

احراز هویت چندعاملی (Multi Factor Authentication – به اختصار MFA) یا گذرواژه‌های یک‌بار مصرف (One Time Password – به اختصار OTP) را فعال کنید و رمزهای عبور قوی انتخاب کنید تا از فایروال خود در برابر دسترسی غیرمجاز، سرقت اطلاعات اصالت‌سنجی یا حملات
Brute Force محافظت کنید. فایروال Sophos مجموعه‌ متنوعی از گزینه‌های احراز هویت MFA، مانند احراز هویت یکپارچه (Single Sign On – به اختصار SSO) باAzure AD  را جهت دسترسی به Web Admin ارائه می‌دهد که بکارگیری آن بسیار راحت و بی‌دردسر است.

همچنین بخوانید: آموزش اتصال سوفوس به اکتیو دایرکتوری

همچنین باید در نظر داشته باشید که از پروفایل‌های مدیریتی مبتنی بر نقش در فایروال سوفوس (Role-based Administration) برای محدود کردن دسترسی مدیران فایروال استفاده نمائید. دسترسی Read-only را برای مدیرانی که به کنترل قابلیت‌های مختلف فایروال نیازی ندارند، فعال  کنید.

5) ایمن‌سازی شبکه در برابر باج‌افزار

توصیه می‌شود جهت ایمن‌سازی بیشتر شبکه خود در برابر جدیدترین باج‌افزارها و سایر تهدیدات پیشرفته به راهنمای زیر مراجعه نمائید: