در دنیای امروز که تهدیدات سایبری هر روز پیچیدهتر و هدفمندتر میشوند، نقش فایروالها بهعنوان خط مقدم دفاع شبکه بیش از هر زمان دیگری اهمیت پیدا کرده است. مهاجمان بهطور خاص زیرساختهایی را هدف قرار میدهند که مستقیماً در معرض اینترنت قرار دارند و کوچکترین ضعف در طراحی یا پیکربندی آنها میتواند به یک نقطه نفوذ جدی تبدیل شود. به همین دلیل، بهروزرسانی مداوم سیستمعامل فایروال و بهرهگیری از معماریهای امن و مدرن، دیگر یک انتخاب نیست، بلکه یک ضرورت است.
Sophos Firewall OS v22 پاسخی مستقیم به همین نیاز حیاتی است؛ نسخهای که با تمرکز ویژه بر “طراحی ایمن”، افزایش تابآوری، بهبود دید امنیتی و سادهسازی مدیریت توسعه یافته است. این نسخه با معرفی قابلیتهای نوآورانهای مانند بررسی سلامت فایروال، معماری نسل بعدی Xstream و هسته مقاومسازیشده سیستمعامل، سطح جدیدی از امنیت، مقیاسپذیری و کنترل را در اختیار سازمانها قرار میدهد. در ادامه، امکانات و بهبودهای کلیدی Sophos Firewall معرفی شده است.
طراحی ایمن
بررسی سلامت فایروال
زیرساختهای شبکهای که در معرض اینترنت قرار دارند، مانند فایروالها، به طور فزایندهای توسط مهاجمان به عنوان یک نقطه ورود بالقوه برای راهاندازی حملات بیشتر هدف قرار میگیرند. این امر تمرکز جدیدی را بر مقاومسازی و ایمنسازی این زیرساختهای شبکه ایجاد کرده است.
شرکت سوفوس (Sophos) از اصول طراحی ایمن که توسط مرکز CISA مشخص شده است و امنیت مشتریان را به عنوان یک نیاز اصلی در اولویت قرار میدهد، پشتیبانی و استقبال میشود. در طول چندین نسخه اخیر، سوفوس به سرمایهگذاری در پیادهسازی اصول طراحی ایمن در تمام محصولات خود، از جمله فایروال Sophos، ادامه داده است. فایروال Sophos در چند سال گذشته بهروزرسانیهای متعددی داشته است تا محصول را به شدت مقاومسازی کند، وصله کردن آسیبپذیریها را آسانتر کند و زمانی را که مشتری مورد حمله قرار میگیرد، شناسایی کند.
فایروال Sophos در ارائه بهروزرسانیهای امنیتی و رفع اشکال تحت عنوان Hotfix که میتوانند برای وصله کردن آسیبپذیریهای جدید بدون نیاز به ریبوت دستگاه، استفاده شوند، منحصر به فرد است. این شرکت همچنین تنها فروشندهای است که به طور فعال فایروال های نصب شده را رصد میکند تا به شناسایی زودهنگام علائم حملات کمک کند. با این حال، مهم است که راهبران، به عنوان شرکا و مشتریان سوفوس، سهم خود را در ایمن نگه داشتن زیرساخت امنیتی شبکه خود تا حد امکان انجام دهند. این به معنای بهروزرسانی سیستمعامل و اطمینان از پیکربندی بهینه فایروال شما است – پیروی از بهترین شیوههای امنیت شبکه برای به حداکثر رساندن وضعیت امنیتی شما و از بین بردن هرگونه نقطه ضعف غیرعمدی که ممکن است توسط مهاجمان مورد سوء استفاده قرار گیرد.
فایروال Sophos نسخه ۲۲ با ویژگی جدید بررسی سلامت (Health Check)، کار شما را در ایمنسازی بهینه فایروال بسیار آسانتر میکند. این ویژگی جدید، دهها تنظیمات پیکربندی مختلف را در فایروال شما ارزیابی کرده و آنها را با معیار CIS و سایر شیوههای برتر مقایسه میکند و بینش فوری در مورد مناطقی که ممکن است در معرض خطر باشند، ارائه میدهد. این ویژگی تمام تنظیمات پرخطر را شناسایی کرده و با بررسی آسان مناطق مورد نظر، توصیههایی را ارائه میدهد تا بتوانید به راحتی آنها را برطرف کنید.
این قابلیت جدید شامل یک ویجت و نمای مختصر در مرکز کنترل و همچنین یک نمای کامل و دقیق است که از طریق کلیک روی ویجت و یا در منوی اصلی تحت عنوان “Firewall Health Check” در دسترس است.
معماری نسل بعدی Xstream
فایروال سوفوس، معماری Xstream را به عنوان یک جزء کلیدی در نسخه ۱۸ معرفی کرد و به دستگاههای سری XGS این امکان را داد تا از قدرت پردازش و قابلیتهای افزوده شده آن به طور کامل بهرهمند شوند. از آن زمان، معماری Xstream فایروال سوفوس دائماً در حال بهینهسازی و تطبیق بوده تا عملکرد بیشتری را برای شبکههای مشتری به ارمغان بیاورد. همه اینها به لطف ماهیت قابل برنامهریزی معماری Xstream فایروال سوفوس است که به ASICهای سیلیکونی سفارشی وابسته نیست و در واقع به طور یکسان روی CPUهای عمومی، CPUهای مجازی و مدلهای سری XGS سوفوس که پردازندههای Xstream flow اختصاصی دارند، کار میکند.
فایروال سوفوس نسخه ۲۲، معماری Xstream نسل بعدی را معرفی میکند که دارای یک روش کنترل کاملاً جدید است که برای حداکثر امنیت و مقیاسپذیری دوباره معماری شده است تا ما را به آینده ببرد. روش کنترل جدید، ماژولارسازی، جداسازی و قالبدهی سرویسهایی مانند IPS را امکانپذیر میکند تا مانند “برنامهها” روی پلتفرم فایروال اجرا شوند. همچنین امکان جداسازی کامل دسترسیها را برای امنیت بیشتر فراهم میکند. علاوه بر این، استقرارهای با قابلیت دسترسی بالا (High-Availability) اکنون از قابلیت خود-ترمیمی بهرهمند هستند که به طور مداوم وضعیت سیستم را رصد میکند و انحرافات بین دستگاهها را به طور خودکار برطرف میکند. نتیجه نهایی، یک معماری فوقالعاده امن، مقیاسپذیر و ساده است که برای آینده ساخته شده است. این معماری نسل جدید Xstream زیربنایی قدرتمند برای ارائه سرویسهایی بسیار امن، مقیاسپذیر و ماژولار فراهم میکند. این معماری از خوشهبندی n-گرهای پشتیبانی کرده و با ارائه APIهای کامل RESTful، امکان مدیریت از راه دور و اتوماسیون با کارایی بالا را فراهم میسازد.
هسته (kernel) مقاومسازیشده سیستم عامل
معماری نسل بعدی Xstream در سیستم عامل فایروال Sophos بر اساس یک هسته مقاومسازیشده جدید (نسخه ۶.۶+) ساخته شده است که امنیت، عملکرد و مقیاسپذیری بهبودیافتهای را برای استفاده حداکثری سختافزار فعلی و آینده فراهم میکند. هسته جدید، جداسازی فرآیند دقیقتر و کاهش بهتر حملات کانال جانبی و همچنین کاهش آسیبپذیریهای پردازنده (Spectre، Meltdown، L1TF، MDS، Retbleed، ZenBleed، Downfall) را ارائه میدهد. همچنین امکانات مقاومسازیشده usercopy ، stack canaries و Kernel Address Space Layout Randomization (KASLR) را ارائه میدهد.
نظارت از راه دور بر یکپارچگی
سیستم عامل فایروال Sophos نسخه ۲۲ اکنون حسگر لینوکس Sophos XDR ادغام میکند و امکان نظارت بر تمامیت سیستم، از جمله پیکربندی غیرمجاز، استخراج قوانین، تلاشهای اجرای برنامههای مخرب، دستکاری فایلها و موارد دیگر را در لحظه فراهم میکند. این به تیمهای امنیتی سوفوس که به طور فعال بر روی فایروال های نصب شده Sophos نظارت دارند، کمک میکند تا هر حملهای را بهتر شناسایی و بررسی کنند و سریعتر پاسخ دهند. این یک قابلیت امنیتی اضافه شده است که هیچ فروشنده فایروال دیگری ارائه نمیدهد.
موتور جدید ضدبدافزار
سیستم عامل فایروال Sophos نسخه ۲۲، جدیدترین موتور ضد بدافزار Sophos را با قابلیت تشخیص بلادرنگ و بهبود یافته تهدیدات روز صفر (Zero-day) ادغام میکند. این سیستم از جستجوی اعتبار جهانی SophosLabs به همراه پایگاه داده ابری عظیم سوفوس از فایلهای مخرب شناخته شده که هر ۵ دقیقه یا کمتر بهروزرسانی میشود، استفاده میکند. همچنین تشخیص بر مبنای مدلهای هوش مصنوعی و یادگیری ماشین را معرفی میکند و تلهمتری پیشرفتهای را برای SophosLabs ارائه میدهد تا تجزیه و تحلیل تشخیص تهدیدات روز صفر آنها را تسریع بخشد.
سایر پیشرفتهای امنیتی و مقیاسپذیری
Firmware Updates via SSL and Certificate Pinning: بهروزرسانیهای میانافزار از طریق SSL و پینگذاری گواهی – صحت سرورهای بهروزرسانی را برای جلوگیری از نفوذهای احتمالی از این جهت تضمین میکند.
Active Threat Response Logging Improvements: کنترلهای ثبت وقایع جزئی را برای ترافیک ورودی و خروجی اضافه میکند تا نویز ناشی از حملات جستجوی فراگیر و رویدادهای تکراری مشابه را کاهش دهد. پشتیبانی از شناسایی و تطبیق ترافیک ارسالی ورودی (WAF، DNAT و غیره) با فیدهای تهدید شخص ثالث، NDR Essentials و MDR را اضافه میکند و تشخیص تهدیدهای آغاز شده خارجی را بهبود میبخشد. همچنین پشتیبانی از تطبیق IP منبع برای NDR-Essentials و فیدهای تهدید شخص ثالث برای ترافیک خروجی را برای شناسایی و مسدود کردن آدرسهای IP دستگاههای مدیریت نشدهی در معرض خطر اضافه میکند.
NDR Essentials Threat Score in Logs: امتیاز تهدید اختصاص داده شده اکنون در لاگهای پاسخ فعال به تهدید برای افزایش دید، گزارشدهی و تجزیه و تحلیل گنجانده شده است.
NDR Essentials Data Center: اکنون میتوانید منطقه مرکز داده را برای تجزیه و تحلیل جریان NDR Essentials برای الزامات منطقهای یا اقامت داده انتخاب کنید. به طور پیشفرض، سیستم کمترین منطقه تأخیر را انتخاب میکند.
Instant Web Category Alerts: سازمانها اکنون میتوانند هشدار فوری را برای دستهبندیهای وب محدود شده، تنظیم کنند. که به ویژه برای مؤسسات آموزشی UKI که به این نیاز دارند مفید است. ایمیلها به طور مرتب
هر ۵ دقیقه یکبار با هشدارهای جدید با گزارش کامل که تاریخ، زمان، کاربر، دستهبندی، دامنه و موارد دیگر را نشان میدهد، ارسال میشوند. این ویژگی جدید را میتوانید در بخش وب > دستهبندیها پیدا کنید.
XML API Access Control Enhancements: پیکربندی API اکنون به زیر منوی اصلی «مدیریت» منتقل شده است. اکنون میتوان دسترسی API را بر اساس آدرسهای IP، محدودههای IP و اشیاء شبکه با پشتیبانی تا ۶۴ شیء تعریف کرد (افزایش نسبت به ۱۰ IP قبلی).
HTTP2/TLS1.3 Support for Device Access: کنسول مدیریت وب، پورتال VPN و پورتال کاربر اکنون از TLS 1.3 پشتیبانی میکنند و رمزگذاری قویتری را ارائه میدهند.
مدیریت ساده و بهبود کیفیت
مانند هر نسخه از فایروال Sophos، این نسخه شامل چندین بهبود کیفیت است که مدیریت روزانه را آسانتر میکند.
Enhanced Navigation Performance: اکنون میتوان بدون انتظار برای اتمام بارگذاری صفحه فعلی، به هر آیتم یا تب منو رفت که پیمایش رابط کاربری را سریعتر میکند.
Hardware monitoring via SNMP: یک ویژگی درخواستی برتر از سوی بسیاری از شرکا و مشتریان را با یک فایل MIB قابل دانلود از رابط کاربری SFOS اضافه میکند. معیارهای پشتیبانی شده شامل دمای CPU، دمای NPU، سرعت فن، وضعیت منبع تغذیه (در XGS 2100 و بالاتر) و اندازهگیریهای PoE برای همه مدلهای XGS با پشتیبانی PoE به جز XGS 116(w) است.
sFlow Monitoring: دادههای بلادرنگ را بر اساس نرخ نمونهبرداری تنظیم شده شما (400 به طور پیشفرض با حداقل نرخ نمونهبرداری 10) ارائه میدهد. روی هر رابط فیزیکی، از جمله رابطهای فرعی (نام مستعار، VLAN و غیره) با حداکثر 5 جمعکننده کار میکند. توجه داشته باشید که FastPath برای رابط مانیتورینگ غیرفعال خواهد شد.
NTP Server Settings: تنظیمات سرور NTP اکنون به صورت پیشفرض روی “استفاده از سرور NTP از پیش تعریف شده” تنظیم شده است.
UI Enhancements for XFRM Interfaces: پشتیبانی از صفحهبندی برای رابطهای XFRM و گزینهای برای جستجو و فیلتر کردن را اضافه میکند تا به راحتی تعداد زیادی از رابطهای XFRM را مدیریت کنید.
ویژگیهایی از SG UTM
با نزدیک شدن به پایان عمر خط تولید SG UTM (30 ژوئیه 2026)، برخی از مشتریانی که به Sophos Firewall مهاجرت میکنند، این ویژگیهای جدید را به عنوان افزودنیهای خوشایند خواهند یافت:
SHA 256 and 512 Support for OTP Tokens: یکی از درخواستهای پرتکرار کاربران SG UTM در نسخه ۲۲ فایروال Sophos محقق شده است. در این نسخه، امکان استفاده از الگوریتمهای رمزنگاری SHA-256 و SHA-512 برای توکنهای یکبارمصرف (OTP) فراهم شده و این قابلیت هم برای برنامههای Google Authenticator و Sophos Authenticator و هم برای کاربران مدیریتی (Admin Users) قابل استفاده است.
MFA Support for WAF: احراز هویت چند عاملی را به فایروال یکپارچه برنامههای وب (احراز هویت مبتنی بر فرم) در Sophos Firewall میآورد تا امنیت و برابری ویژگی بیشتری را در این زمینه فراهم کند.
Audit trail logs: گزارشهای حسابرسی جامع را با ردیابی قبل و بعد برای مطابقت با آخرین استانداردهای NIST فعال میکند. در فاز 1، گزارشهای حسابرسی دقیق برای قوانین فایروال، اشیاء و رابطها پشتیبانی میشوند. گزارشهای حسابرسی دقیق را میتوان از Diagnostics > Logs دانلود کرد. XML برای برجسته کردن تغییرات قبل و بعد استفاده میشود. مراحل بعدی، تغییر دلتا را در نمایشگر لاگ نشان خواهند داد.
Stronger WAF Security: اکنون جلسات به جای کوکیهای سمت کلاینت توسط SFOS مدیریت میشوند، که ربودن آنها را دشوارتر کرده و محافظت کلی را افزایش میدهد. هنگامی که نیازی به ارسال احراز هویت نباشد، احراز هویت میتواند به طور کامل به SFOS منتقل شود و در نتیجه، میزان در معرض خطر قرار گرفتن سرور داخلی WAF کاهش یابد.
نحوه دریافت نسخه ۲۲
مانند هر نسخه فایروال، Sophos Firewall نسخه ۲۲ یک ارتقاء رایگان برای مشتریان Sophos Firewall با پشتیبانی Enhanced یا Enhanced Plus است. Sophos Firewall نسخه ۲۲ یک ارتقاء کاملاً پشتیبانی شده از هر نسخه قبلی سیستم عامل Sophos Firewall است.
SFOS 22.0 و نسخههای بعدی برای تطبیق با ویژگیهای جدید آینده و قابلیتهای پیشرفته به فضای دیسک اضافی نیاز دارند. اکثر دستگاهها از قبل این الزامات را برآورده میکنند. با این حال، زیرمجموعهای از استقرارهای دسکتاپ، مجازی و نرمافزاری ممکن است قبل از ارتقاء نیاز به مداخله دستی داشته باشند. دستگاههایی که فضای دیسک کافی دارند اما نیاز به تغییر اندازه دارند، زمان ارتقاء کمی طولانیتر، از دو تا ده دقیقه، طول میکشد، زیرا پارتیشن root در طول ارتقاء تغییر اندازه میدهد. اگر هشدار مرکز کنترل یا اعلان صفحه سیستم عامل در مورد نیازهای فضای دیسک را مشاهده کردید، الزامات و راهحل را برای ارتقاء به نسخه ۲۲ و بالاتر مطالعه کنید.
این نسخه سیستم عامل از فرآیند استاندارد انتشار مرحلهای سوفوس پیروی خواهد کرد. فریمور جدید نسخه ۲۲ به تدریج و طی هفتههای آینده برای تمام دستگاههای متصل منتشر خواهد شد. هنگامی که بهروزرسانی در دسترس باشد، اعلانی روی دستگاه محلی شما یا کنسول مدیریت Sophos Central ظاهر میشود و به شما امکان میدهد بهروزرسانی را در زمان دلخواه خود برنامهریزی کنید.
