فایروال Virtual

بررسی لایسنس سیسکو فایروال Virtual 

Cisco Secure Firewall Virtual که قبلاً با نام‌های NGFWv و FTDv شناخته می‌شد، قابلیت‌های قدرتمند فایروال‌های فیزیکی سیسکو را به محیط‌های ابری خصوصی، ابری عمومی و دیتاسنترهای Virtual منتقل می‌کند. در عمل، فعال‌سازی لایسنس فایروال سیسکو  Virtual مرحله‌ای کلیدی است که یک ماشین Virtual معمولی را به یک تجهیز امنیتی حرفه‌ای و سازمانی تبدیل می‌کند. با فعال شدن لایسنس، قابلیت‌های مهمی مانند شناسایی و کنترل برنامه‌ها (AVC)، سیستم جلوگیری از نفوذ نسل جدید (NGIPS) و حفاظت پیشرفته در برابر بدافزارها فعال می‌شوند.

از نظر پیاده‌سازی، انعطاف‌پذیری اهمیت زیادی دارد. در شبکه‌هایی که به اینترنت متصل هستند، مدیریت لایسنس‌ها از طریق Cisco Smart Software Manager (CSSM) انجام می‌شود. اما برای شبکه‌های با امنیت بالا و ایزوله (Air-Gapped) مانند سازمان‌های دولتی یا نظامی، امکان استفاده از روش‌های SLR و PLR از طریق سرور Satellite وجود دارد. این روش‌ها اجازه می‌دهند لایسنس بدون نیاز به اتصال مستقیم به اینترنت فعال شود و الزامات امنیتی به‌طور کامل رعایت گردد. همچنین مدل اشتراکی لایسنس با دوره‌های ۱، ۳ یا ۵ ساله، به سازمان‌ها کمک می‌کند هزینه‌ها را متناسب با طول پروژه‌ها مدیریت کنند و وابسته به استهلاک سخت‌افزار نباشند.

فایروال مجازی Cisco Firepower Threat Defense (FTDv) نیز امنیت پیشرفته سیسکو را برای محیط‌های مجازی و ابری مانند VMware، KVM، AWS و Azure فراهم می‌کند. این راهکار، فایروال Stateful، سیستم جلوگیری از نفوذ نسل جدید و قابلیت‌های VPN را در یک نرم‌افزار واحد و مقیاس‌پذیر ترکیب می‌کند و دید و کنترل دقیقی روی ترافیک شبکه می‌دهد. FTDv با تکیه بر اطلاعات تهدیدات Cisco Talos، تهدیدات جدید را به‌صورت پیشگیرانه مسدود کرده و حتی ترافیک رمزگذاری‌شده را نیز ایمن می‌کند، بدون نیاز به سخت‌افزار اختصاصی. در نتیجه، سازمان‌ها می‌توانند سیاست‌های امنیتی یکپارچه‌ای را در محیط‌های ترکیبی (Hybrid Cloud) اجرا کنند و مطمئن باشند که بارهای کاری حیاتی، چه در دیتاسنتر داخلی و چه در فضای ابری، با همان سطح امنیت محافظت می‌شوند.

ویژگی‌های فنی و مزایای عملیاتی فایروال Virtual

این پلتفرم به‌گونه‌ای طراحی شده که به‌راحتی با زیرساخت‌های مدرن و ترکیبی (Hybrid) یکپارچه شود و به‌صورت بومی روی VMware (ESXi و NSX)، KVM، Hyper-V، AWS، Azure و OpenStack اجرا گردد. پس از اعمال لایسنس سیسکو  فایروال Virtual، سیستم از فیلتر کردن ساده بر اساس پورت عبور کرده و به بازرسی عمیق بسته‌ها (Deep Packet Inspection) می‌رسد. در این حالت، با استفاده از اطلاعات به‌روز Cisco Talos، تهدیدات رمزگذاری‌شده، حملات روز صفر (Zero-Day) و ارتباطات مخرب فرمان و کنترل (C2) به‌صورت لحظه‌ای شناسایی و مسدود می‌شوند.

قابلیت دسترس‌پذیری بالا (High Availability) به‌صورت ذاتی در معماری این راهکار وجود دارد. نرم‌افزار از هر دو حالت Active/Standby و Active/Active پشتیبانی می‌کند و حتی در زمان خرابی سخت‌افزار یا جابه‌جایی ماشین‌های مجازی بین هاست‌ها، ارتباط کاربران قطع نمی‌شود. این موضوع برای حفظ SLA در محیط‌های ابری ناپایدار بسیار حیاتی است. همچنین، امکان ریزبخش‌بندی (Micro-Segmentation) دقیق فراهم شده است؛ به این معنا که با اعمال سیاست‌های مبتنی بر هویت کاربران (از طریق اتصال به ISE) و کنترل سخت‌گیرانه ترافیک بین VLANها یا VRFها، از حرکت جانبی تهدیدات در ترافیک داخلی شبکه جلوگیری می‌شود.

مقیاس‌پذیری و مدیریت

کارایی عملیاتی این راهکار به لطف مدیریت متمرکز افزایش پیدا می‌کند؛ چه با استفاده از Firepower Management Center (FMC) در محیط داخلی و چه با Cisco Defense Orchestrator (CDO) در فضای ابری. این ابزارها یک داشبورد یکپارچه در اختیار مدیران قرار می‌دهند تا بتوانند سیاست‌ها را اعمال کنند، تأخیر شبکه را بررسی کنند و میزان ترافیک عبوری از فایروال‌های مختلف را به‌صورت متمرکز مشاهده نمایند.

یکی از مزایای مهم نسخه نرم‌افزاری، مقیاس‌پذیری عمودی آن است. با افزایش حجم ترافیک، مدیر شبکه می‌تواند به‌سادگی منابع ماشین مجازی (CPU، RAM) را افزایش داده و سطح توان عبوری لایسنس فایروال Virtual سیسکو را ارتقا دهد؛ بدون اینکه نیاز به تعویض کامل تجهیزات فیزیکی باشد. این انعطاف‌پذیری باعث می‌شود پاسخ‌گویی به بارهای کاری ناگهانی سریع‌تر انجام شود و سناریوهای بازیابی بحران (DR) ساده‌تر شوند، زیرا فایروال‌ها را می‌توان به‌راحتی ایجاد، کپی یا بازیابی کرد.

قیمت‌گذاری و نحوه خرید لایسنس سیسکو Virtual

ساختار قیمت‌گذاری به‌صورت پلکانی و بر اساس میزان توان عبوری (Throughput) و مجموعه قابلیت‌ها طراحی شده است تا دقیقاً با نیاز بار کاری هر سازمان هماهنگ شود. پلن‌های پایه معمولاً شامل فایروال Stateful و قابلیت‌های دید اولیه روی ترافیک هستند، در حالی که پلن‌های پیشرفته امکاناتی مانند اطلاعات تهدیدات (Threat Intelligence)، فیلتر URL و محافظت در برابر بدافزار را نیز اضافه می‌کنند.

هنگام بررسی هزینه لایسنس فایروال سیسکو Virtual، بهتر است فقط به قیمت اولیه توجه نشود و هزینه کل مالکیت (TCO) هم در نظر گرفته شود. با استفاده از فایروال مجازی، هزینه‌های مربوط به خرید و نگهداری سخت‌افزار، مصرف برق و خنک‌سازی به‌طور قابل‌توجهی کاهش پیدا می‌کند. به همین دلیل، بسیاری از سازمان‌ها خرید خود را هم‌راستا با استراتژی ابری انجام می‌دهند و به سراغ لایسنس‌های قابل‌انتقال می‌روند؛ لایسنس‌هایی که در صورت نیاز می‌توانند بین دیتاسنتر داخلی و محیط‌های ابری جابه‌جا شوند. جهت کسب اطلاعات بیشتر در مورد قیمت با پرکردن فرم استعلام قیمت یا تماس با کارشناسان فروش ما اطلاع حاصل فرمایید.

خرید لایسنس Cisco FTDv

خرید راهکار Cisco Secure Firewall Threat Defense Virtual (FTDv) بیشتر از اینکه صرفاً دریافت یک کلید لایسنس باشد، به معنی انتخاب درست ظرفیت، مجموعه قابلیت‌ها و استراتژی پیاده‌سازی متناسب با یک محیط هیبریدی و پویاست. FTDv همان قابلیت‌های فایروال یکپارچه، سیستم جلوگیری از نفوذ (IPS) و کنترل برنامه‌ها را که در مدل‌های فیزیکی وجود دارد ارائه می‌دهد، با این تفاوت که برای محیط‌های مجازی و ابری مانند VMware، KVM، AWS، Azure و GCP بهینه شده است. 

تصمیم اصلی: انتخاب ظرفیت و Tier مناسب

فرآیند خرید از تعیین دقیق سطح کارایی موردنیاز شروع می‌شود. لایسنس‌های FTDv بر اساس کارایی (Performance Tier) تعریف شده‌اند؛ یعنی توان عبوری و محدودیت منابع مستقیماً به نوع لایسنس خریداری‌شده وابسته است.

• Tierهای کارایی: لایسنس‌ها بر اساس میزان Throughput مشخص می‌شوند (مثل FTDv10، FTDv20، FTDv50) و هرکدام محدودیت نرخ ترافیک و حداکثر تعداد نشست‌های Secure Client (VPN دسترسی راه دور) را دارند. باید مطمئن شوید تنظیمات vCPU و RAM ماشین مجازی شما حداقل‌های لازم برای Tier انتخابی را دارد، در غیر این صورت با گلوگاه عملکردی مواجه می‌شوید.
• مقیاس‌پذیری: یکی از مزیت‌های مهم FTDv این است که می‌توانید به‌صورت عمودی مقیاس را افزایش دهید؛ یعنی با خرید یک لایسنس Tier بالاتر و افزایش منابع VM، بدون تعویض یا ارتقای سخت‌افزار فیزیکی.

مدل لایسنسینگ: Smart Account الزامی است

Cisco FTDv فقط از Smart Licensing استفاده می‌کند. در این مدل، سیستم قدیمی PAK حذف شده و تمام لایسنس‌ها در قالب Smart Account و Virtual Account داخل Cisco Smart Software Manager (CSSM) مدیریت می‌شوند.

• مدیریت لایسنس ها: شما در واقع «حق استفاده از نرم‌افزار» (Entitlement) را خریداری می‌کنید. این لایسنس داخل Smart Account ذخیره می‌شود و وقتی یک FTDv جدید راه‌اندازی می‌کنید، دستگاه به CSSM (یا سرور Satellite در محیط‌های ایزوله) متصل شده و لایسنس را از آنجا دریافت می‌کند.
• فعال‌سازی آفلاین: برای شبکه‌های بسیار امن و بدون اتصال به اینترنت، FTDv از روش SLR پشتیبانی می‌کند. در این حالت، با یک فرآیند رزرو یک‌باره، می‌توان بدون اتصال دائم به اینترنت همچنان از نظر لایسنس کاملاً compliant بود.

اشتراک قابلیت‌ها (Subscription Bundles): انتخاب امکانات موردنیاز
علاوه بر Tier کارایی پایه، باید بسته‌های قابلیت (Feature Subscriptions) مناسب را انتخاب کنید. این بسته‌ها به‌صورت اشتراکی و زمان‌دار ارائه می‌شوند (معمولاً ۱، ۳ یا ۵ ساله) و تعیین می‌کنند چه امکانات امنیتی پیشرفته‌ای روی FTDv فعال باشد.

برای سرمایه‌گذاری‌های راهبردی، معمولاً بسته Total Security (TMC) پیشنهاد می‌شود، چون حفاظت کاملی در برابر تهدیدهای جدید فراهم می‌کند؛ از جمله امکان بررسی ترافیک رمزنگاری‌شده و دیدپذیری TLS 1.3.

گزینه‌های استقرار در فضای ابری

برای استفاده از فایروال Virtual سیسکو در ابرهای عمومی مثل AWS و Azure، دو روش اصلی خرید وجود دارد که هر دو بر پایه لایسنس فایروال Virtual سیسکو هستند:

• BYOL (Bring Your Own License): در این روش، لایسنس مدت‌دار را از شریک سیسکو خریداری می‌کنید و سپس ایمیج یا AMI را از مارکت‌پلیس ابر مستقر می‌کنید.
  این گزینه برای استفاده‌های بلندمدت و مدیریت متمرکز از طریق Smart Account مناسب است.

• PAYG (Pay-As-You-Go): این مدل مستقیماً از طریق AWS یا Azure ارائه می‌شود و هزینه بر اساس میزان استفاده (ساعتی) محاسبه می‌گردد. برای پروژه‌های کوتاه‌مدت، استفاده موقت، یا محیط‌های کوچک انتخاب مناسبی است.

برای ساده‌تر شدن استقرار و مدیریت چندین فایروال، استفاده از پلتفرم‌های مدیریتی متمرکز مانند Cisco FMC یا Cisco Defense Orchestrator (CDO) باید در طراحی کلی راهکار در نظر گرفته شود.