Rootnet utm | یو تی ام  روت نت

فایروال Firewall در ساده ترین حالت ممکن وسیله ای است که می تواند تعیین کند که ترافیک از یک پورت یا IP به سایر پورت ها و یا IP ها یا ترکیبی از ایندو که سوکت Socket نامیده می شود باز باشد یا بسته باشد . بعضی از اینگونه فایروال ها می توانند با دارا بودن قابلیت Statefull Inspection کمی ترافیک مربوط به پروتکل TCP را مانیتور کنند ولی معمولا هیچ فایروالی توانایی واکاوی و جستجو در داخل بسته ها را ندارد . صرفا همان عملیات بلاک کردن را انجام می دهد . اما UTM که مخفف کلمه Unified Threat Management یا سیستم یکپارچه مدیریت تهدیدات هست با نگاهی عمیقتر به مسئله مانیتور کردن داخل بسته ها یا همان Packet ها نگاه کرده است و توانایی ویژه ای در مانیتور کردن Packet ها بویژه در لایه های 5 و 6 و 7 از مدل OSI دارد ، اعلاوه بر این قابلیت ها این محصولات در حقیقت و همونطور که از اسمشون مشخصه یک پکیج کامل از محصولات امنیتی هستند.

ویژگی های منحصر بفرد Rootnet utm

قابلیت ارائه بصورت سخت افزاری ، نرم افزاری و مجازی ( Hyper-v , VMWARE ESX , CITRIX ) واسط مدیریت تحت وب کاملا فارسی دارای 30 زیر سیستم کاربردی تحت مدیریت متمرکز طراحی سیستم با معماری 64 بیتی طراحی ماژولار سیستم جهت کاربری های متفاوت سیستم WAF با قابلیت تشخیص OWASP پشتیبانی و خدمات پس از فروش توسط کارشناسان شرکت و نمایندگان سراسر کشور امکان مدیریت احراز هویت تحت 3 روش مستقل : – سیستم احراز هویت میتا – VPN –پروکسی داری ابزار های مدیریت سرویس های شبکه تحت واسط کاربری نظیر ( SNMP/DNSLOOKUP/ TRACE ROUTE/ … ) امکان ارائه سرویس Load balancing برای دوحالت دروازه ها ( gateway ) و سرویس ها و سرورهای داخلی انواع گزارشگیری : -گزارش سیستمی – گزارش دسترسی کاربران – گزارش مصرفی کاربران –گزارشات ترافیکی – گزارش از State ها ی فایروال و …

برای کسب اطلاعات بیشتر در مورد این محصول برخی از امکانات Rootnet utm را در بخش زیر مطالعه بفرمایید .

ماژول فایروال


• قابلیت تعریف سطوح مختلف امنیتی جهت هر واسط نظیر (Internal/External/DMZ/…)
• سازگاری با مکانیزم NAT تحت 3 متد (Port Forwarding, Static NAT,Outbound NAT )
• قابلیت تعریف قواعد جهت مکانیزم‌های فوق بر اساس پارامترهایی هم چون (آدرس‌های IP مبدا و مقصد، آدرس پورتهای مبدا و مقصد، پروتکل، واسط)
• قابلیت ایجاد سیاست‌های امنیتی به تفکیک هر واسط بر اساس:
o آدرس‌هایIP مبدا و مقصد
o پروتکل
o شماره پورت مبدا و مقصد (شماره پورتهای رزرو شده به تفکیک پروتکل‌ها، محدوده پورت)
o سیستم عامل مبدا
• قابلیت اختصاص دروازه (Gateway) به ازا هر قاعده (Rule)
• قابلیت شناسایی شماره کدهای TOS به ازا هر قاعده
• قابلیت محدود کردن تعداد حالات (State) برای هر قاعده
• قابلیت اعمال زمانبندی برای هر قاعده
• قابلیت گروه‌بندی و نام‌گذاری سفارشی آدرس‌ها، میزبانها، پورت‌ها و … جهت مدیریت ساده‌تر (Aliases)
• قابلیت اعمال Flagهای TCP به ازا هر قاعده
• قابلیت اعمال سایر پارامترهای مدیریت کیفیت سرویس (QOS) نظیر محدودکننده‌های پهنای باند، انواع صف‌ها و … برای هر قاعده
• قابلیت تعریف همگام‌سازی (Sync) یا عدم همگام‌سازی یک قاعده در ساختار “شرایط بروز خطا” در سیستم پشتیبان (Fail Over)
• امکان ثبت وقایع و ارائه گزارش ترافیک تطبیق یافته با هر قاعده
• امکان مشاهده اتصالات برقرار شده بصورت آنلاین
• قابلیت اعمال یک قاعده بر روی چند واسط بصورت همزمان
• قابلیت تعریف انواع آدرس‌های مجازی (آدرس Fail Over ،Proxy ARP ،IP Alias)
• قابلیت اختصاص آدرس‌های مجازی به واسط خاص
• قابلیت اختصاص آدرسها بصورت آدرس تکی و یا آدرس شبکه
• قابلیت استفاده از این آدرس‌ها در انواع مکانیزم‌هایNAT
• قابلیت استفاده به عنوان IP و یا IPهای جانبی یک واسط، جهت استفاده در پروسه مسیریابی

ماژول QOS

• قابلیت فعال کردن مکانیزم های صف شامل: ( HFSC, CBQ, FAIRQ, PRIQ ) به ازاء هر واسط
• قابلیت اختصاص عرض باند
• قابلیت اضافه کردن‌های صف‌های متعدد بر اساس مکانیزم‌های صف‌های فوق به ازاء هر واسط
• قابلیت تعریف انواع محدودکننده‌ها ( Limiter ) بر اساس عرض باند، آدرس مبدا، آدرس مقصد، تاخیر، نرخ Packet Loss ، سایزصف، سایز Bucket و پروتکل‌های لایه 7
• قابلیت استفاده از پارامترهای تعریف شده در قواعد فایروال
• قابلیت گزارشگیری از وضعیت صف‌ها در قسمت گزارشگیری سیستم
• قابلیت گارانتی کردن عرض باند خاص به ازاء سرویس‌های تعریف شده


ماژول WAF

• امکان تعریف پورت های متعدد برای سرویس دهی
• امکان تعریف میزبانهای مجازی متعدد
• امکان تعریف پروتکل های http,https
• پشتیبانی از حالت Reverse Proxy
• دارای قواعد پرمیوم OWASP
• پشتیبانی از بیش از 40،000 قاعده
• قابلیت تبدیل سرویس های HTTP به HTTPS
• قابلیت تعریف بالانسر برای سرویس های مختلف
• قابلیت اضافه شدن یک لایه احرازهویت کاربری

ماژول VPN

• پشتیبانی از پروتکل‌های IPsec,PPTP,L2TP,SSL VPN,IKEv2,L2TP/IPsec
• قابلیت مشاهده اتصالات و کاربران آنلاین با قابلیت Kill کردن کاربران
• امکان بر قراری ارتباطات بین مراکزی امن (IPsec.SSL VPN)
• سازگاری با زیر سیستم مدیریت پهنای باند جهت اختصاص پهنای باندبه اتصالات VPN
• سازگاری با زیر سیستم فایروال جهت ایجاد قواعد امنیتی مختص اتصالات VPN
• سازگاری با زیر سیستم وب فیلترینگ جهت ایجاد قواعد فیلترینگ مختص اتصالات VPN
• امکان تعریف سرویس برای کاربران موبایل

ماژول Fail over / load balancing


• قابلیت مدیریت بروز خطا و تقسیم بار بر اساس دروازه‌ها و سرویس دهنده‌های داخل شبکه
• قابلیت گروه‌بندی دروازه‌ها
• قابلیت اولویت‌بندی دروازه‌های یک گروه
• قابلیت استفاده همزمان از چند دروازه ( Load Sharing )
• قابلیت همگام‌سازی ( Sync ) بین چند دستگاه جهت پیاده‌سازی مدیریت بروز خطا (Failover)
• استفاده از پارامترهای ارزیابی شامل: Down بودن دروازه، درصد Packet Loss، حداکثر میزان تاخیر و یا ترکیب چند پارامتر
• قابلیت تقسیم بار بین سرورهای داخلی جهت ترافیک ورودی به منطقه Zone)Inter) و یا DMZ
• قابلیت اختصاص گروه دروازه‌ها در قواعد فایروال
• قابلیت اختصاص گروه دروازه‌ها برای هر واسط
• قابلیت تعریف دروازه‌ها به عنوان جایگزین دروازه اصلی
• قابلیت ویرایش هر کدام از پارامترهای کنترلی فوق
• قابلیت مشخص کردن پارامترها جهت همگامسازی
• پارامتر ارزیابی توسط: ICMP,TCP,HTTP,HTTPS,SMTP
• قابلیت تعریف واسط مورد استفاده بین دو دستگاه جهت همگامسازی


ماژول IDS / IPS


• حملات مشخص نظیر : Dos, DDos, Session Attack, Sniffing, Scanning, Phishing, SQL, Oracle, MySQL, Web, …
• کدهای مخرب، ویروسها، تروجان‌ها، SpyWare, MalWare, Spam,Worm و . . .
• انواع Exploit ها
• انواع حملات متنی بر سرویس نظیر : DNS, ICMP, Netbios, Rpc, Telnet, FTP, SNMP, SMTP, POP3, IMAP, SSH , . . . و بیش از یکصد شاخه اصلی و چندین هزار زیر شاخه تعریف گردیده
• قابلیت فعال یا غیر فعال نمودن قواعد هر شاخه
• قابلیت تعریف سرویس‌های موجود در شبکه جهت فعال نمودن IPS به آن سرویس
• قابلیت به روز رسانی بانک اطلاعاتی IPS بصورت خودکار از سرورهای داخل کشور
• قابلیت ارائه گزارش و اخطار سفارشی از کارکرد IPS به صورت آنلاین
• قابلیت مشاهده و مدیریت میزبان‌های بلوک شده توسط سیستم IPS
• قابلیت تعریف لیست سفید حاوی ( آدرسIP، دامنه، سرورهای مجازی، اتصالات VPN ) قابل اعتماد جهت عدم بررسی توسط IPS
• قابلیت تعریف فیلتر بر اساس واژه کلیدی خاص جهت عدم بررسی توسط IPS
• اضافه شدن IPS سوریکاتا
• پشتیبانی از Multi-Threading در سوریکاتا
• اضافه شدن قواعد پرمیوم لابراتوار سورس فایر (سیسکو)
• اضافه شدن قواعد پرمیوم لابراتوار Emerging Threats Pro
• اضافه شدن 10 تا 30 قاعده بصورت روزانه برای جلوگیری از ویروس ها ، تروجان ها و کدهای مخرب
• امکان انتخاب یکی از دو ماژول IDS/IPS (اسنورت ، سوریکاتا)

ماژول ابزار های شبکه

• امکان ارائه ابزارها و سرویس‌های مدیریت شبکه در پانل اصلی جهت سهولت در مدیریت شبکه نظیر: DNS Lookup Ping, Tracert, Packet Capture, ARP Table, SNMP Service
• قـابلیت تعریف مـقادیر جـایگزین سفارشی ( Aliases ) جـهت پارامـترهای کـاربری نظیر: واسط ها‌، میزبان‌ها، آدرسهایIP، پورتها و . . . جهت سهولت در مدیریت سیستم

ماژول سرویس های شبکه

• قابـلیت ایجاد پارامترهای مسیریابی (Routing) تـحت مکانیزم ایستا (Static) و پویا (Dynamic)
• پشتیبانی از پروتکل‌های BGP, OSPF, RIP V1,2
• قابلیت تعریف دروازه پیش فرض (Default Gateway) و دروازه‌های سیستم
• قابلیت تعریف آدرس مانیتور به ازاء هر دروازه جهت کنترل Down بودن، میزان Ping Time, Packet Loss
• قابلیت تعریف واسط‌ها و امکان اعمال پارامترهای Q-i-Q, GIF, GRE PPP-X پل (Bridge, Link Aggregation) به ازاء هر واسط
• قابلیت ایجاد VLANها بر اساس هر واسط
• قابلیت گروه‌بندی واسط‌ها
• قابلیت تعریف هر واسط بر اساس انواع اتصالات شامل (Static, DHCP, PPP, PPPoE, PPTP)
• قابلیت ایجاد سرور DHCP و امکان تخصیص سرویس به ازاء هر واسط
• پشتیبانی از پروتکل DHCP Relay
• قابلیت ایجاد سرور DNS و سرویس RFC2136
• قابلیت تعریف انتقال دهنده DNS و (DNS Forwarder)
• قابلیت تعریف سرور PPPoE
• قابلیت تعریف سرور NTP

ماژول مدیریت پهنای باند

• مدیریت کیفیت سرویس (QOS)
• فایروال
• سیستم جامع اکانتینگ به ازاء کاربر یا هر گروه
• درگاه احراز هویت
• پراکسی
• VPN

ماژول اکانتینگ

• قابلیت تعریف پارامترهای مختلف اکانتینگ (کاربر، گروه، ایستگاه)
• سازگاری با زیر سیستم‌های درگاه احراز هویت ، VPN و پراکسی
• قابلیت پشتیبانی از گروه کاربریLAN ،Dialup و xDSL
• پشتیبانی از LDAP جهت Import کردن گروههای کاربری از Windows Active Directory / Linux LDAP Server
• قابلیت تعریف پروفایل کاربری شامل: نام، نام خانوادگی، ایمیل، تلفن، آدرس و مشاهده آن در بخش کاربران آنلاین
• قابلیت تعریف محدودیت‌های حجم ترافیکی و زمانی، بصورت دائمی، روزانه، هفتگی، ماهانه به ازاء گروه یا کاربر
• قابلیت تعریف محدودیت عرض باند ارسال و دریافت برحسب کیلو بیت برثانیه به ازاء گروه یا کاربر
• قابلیت زمان اتصال در ایام هفته بصورت 24 ساعته به ازاء گروه یا کاربر
• قابلیت تعریف تعداد اتصال همزمان به ازاء یک نام کاربری
• قابلیت اختصاص آدرس (IP، پورت، پروتکل، نوع سرویس و . . . ) به نام کاربری
• قابلیت تعریف متد احراز هویت (PAP ,CHAP , . . . ) به ازاء گروه یا کاربر
• قابلیت تعریف آدرس صفحه وب جهت مشاهده هنگام ورود و خروج کاربر یا گروه
• قابلیت تعریف سایر پارامترهای اکانتینگ به صورت سفارشی
• قابلیت تعریف ایستگاههای خارجی مانندRouter, Access Server, RRAS, Linux, VPN جهت استفاده از امکانات اکانتینگ
• قابلیت تعریف کاربران بصورت دسته‌ای در قالب فایل متنی و اکسل

ماژول مسیریابی

• قابلیت ایجاد چندین دروازه
• قابلیت ایجاد مسیر های استاتیک
• قابلیت گروه بندی دروازه ها (LoadBalancing/FaiOver/LoadSharing)
• قابلیت ایجاد دروازه های IPv6
• پشتیبانی از RIP نسخه 1 و 2
• پشتیبانی از پروتکل OSPF
• پشتیبانی از پروتکل BGP

ماژول اکتیو دایرکتوری

• سازگاری کامل با اکتیو دایرکتوری ویندوز جهت احرازهویت و اکانتینگ
• پشتیبانی از اکتیو دایرکتوری نسخه 2003،2008،2012
• قابلیت احراز هویت از چندین سرور اکتیو دایرکتوری بصورت بلادرنگ
• قابلیت اختصاص سطوح دسترسی به گروه ها و کاربران اکتیودایرکتوری در سرویس احرازهویت
• امکان اختصاص خاصیت های اکانتینگ به کاربران اکتیودایرکتوری شامل : اختصاص پهنای باند،حجم زمانی ، حجم ترافیکی ، زمان اتصال ، … (برای اولین بار)
• پشتیبانی از قابلیت SSO برای کاربران اکتیو دایرکتوری
• امکان استفاده از کاربران اکتیو دایرکتوری جهت احراز هویت در تمامی سرویس ها

ماژول انتقال دهنده DNS

• قابلیت استقرار در شبکه به عنوان سرور DNS اصلی
• قابلیت تعریف انواع رکوردهای DNS
• قابلیت رونویسی میزبان ها
• قابلیت رونویسی دامنه ها
• پشتیبانی از DNSSEC
• قابلیت تعریف سطوح دسترسی جهت استفاده از سرور

ماژول Web filtering

• قابلیت استفاده از پایگاه داده پیش فرض جهت اعمال فیلترینگ
• قابلیت تعریف قواعد دسترس بر اساس :
o لیست دامنه
o کلمه واژه
o آدرس‌های اینترنتی
• قابلیت اعمال فیلترینگ بر اساس آدرس مبدا به صورت آدرس IP، نام دامنه، نام کاربری
• قابلیت زمانبندی اعمال فیلترینگ برای روزهای هفته و 24 ساعت هر روز
• قابلیت تعریف زمانبندی
• قابلیت تعریف قواعد انتقال یا تعویض برای هر قاعده فیلترینگ
• قابلیت ثبت سوابق log
• قابلیت بروز رسانی پایگاه داده پیش فرض توسط سرور داخل ایران

ماژول گزارشگیری

• گزارشات دسترسی : قابلیت ایجاد گزارش‌های دسترسی بر اساس نام
• کاربری، آدرس IP، آدرس اینترنتی، تاریخ و بازه زمانی
• گزارشات حجمی و زمانی : قابلیت ایجاد گزارش‌های حجمی و زمانی ترافیک براساس نام کاربری، آدرس IP، تاریخ و بازه زمانی
• قابلیت استخراج کلیه گزارشات با فرمت اکسل
• قابلیت حذف گزارشات ایجاد شده


نمودارهای گرافیکی

• قابلیت ارائه نمودارهای گرافیکی وضعیت سیستم براساس : پردازنده، حافظه اصلی، جدول حالات، ترافیک عبوری سیستم و تجمیع همه حالات
• قابلیت ارائه نمودارهای گرافیکی وضعیت ترافیک براساس: واسط‌ها، ترافیک ورودی و خروجی
• قابلیت ارائه نمودارهای گرافیکی وضعیت بسته‌های ترافیکی
• قابلیت ارائه نمودارهای گرافیکی وضعیت کیفیت سرویس بر اساس : دروازه‌ها، ترافیک ورودی و خروجی
• قابلیت ارائه نمودارهای گرافیکی سفارشی براساس موارد فوق در بازه زمانی دلخواه

گزارشات سیستمی

• قابلیت ارائه گزارش‌های آنلاین و ثبت شده از زیرسیستم‌های :
• فایروال، VPN ،QOSو سرویس‌های شبکه براساس پارامترهای هر سیستم.
• قابلیت سفارشی نمودن گزارشات براساس نوع رخداد و امکان ارسال به سرور syslog خارجی

گزارشات واسط ها

• قابلیت ارائه گزارش‌های آماری، اطلاعاتی هرواسط براساس وضعیت واسط (UP,Down)، آدرس سخت‌افزاری، مشخصات TCP/IP، میزان بسته‌های ورودی و خروجی مجاز یا غیرمجاز، میزان خطاهای ورودی و خروجی.

سوابق

• ثبت سوابق دسترسی کاربران در بازدید از سایت ها و فایل های دریافتی
• ثبت کلیه سوابق حجمی و زمانی کاربران
• ثبت کلیه سوابق سیستمی و سرویس های سیستم
• ثبت سوابق فایروال ، وف ، IDS/IPS
• امکان ارسال کلیه سوابق سیستم به سرور سیسلاگ خارجی

مشکلات سازمان ها

اتلاف منابع مالی سازمان طی آسیب رسیدن به اطلاعات سازمانی و سخت‌افزارها از طریق نفوذهای مخرب و نرم‌افزارهای جاسوسی و ویروس و . . .
کاهش بهره‌وری سازمان طی گردش‌های بدون هدف کاربران در وب
عدم امکان مدیریت و کنترل منابع قابل دسترس کاربران
عدم امکان مدیریت و کنترل فایل‌های دریافتی (دانلود شده) توسط کاربران
عدم امکان گزارش‌گیری میزان کارکرد استفاده از منابع، نظیر پهنای باند
عدم امکان پیگیری و ردگیری رخدادهای کاربری و سیستمی
عدم امکان تخصیص منابع (پهنای باند) مطابق با نیاز کاربران
عدم امکان برقراری ارتباط امن و کاملا خصوصی بین مراکز مختلف سازمان
اتلاف منابع نظیر پهنای باند جهت