ممیزی امنیتی فایروال معمولاً زمانی سخت و پرهزینه می‌شود که تیم شبکه تازه در روزهای آخر متوجه می‌شود Ruleها نامرتب‌اند، دسترسی مدیریتی بیش از حد باز است، لاگ کافی وجود ندارد یا هیچ سندی نشان نمی‌دهد چرا یک دسترسی خاص هنوز فعال مانده است. هاردنینگ فایروال قبل از ممیزی یعنی همین موارد را قبل از ورود ممیز، مشتری، ناظر یا تیم امنیت داخلی به یک وضعیت قابل دفاع برسانیم.

این چک‌لیست برای سازمان‌هایی نوشته شده که فایروال در مرز اینترنت، بین شعب، کنار دیتاسنتر، جلوی سرویس‌های حساس یا در مسیر VPN دارند و می‌خواهند قبل از ممیزی امنیتی، وضعیت را فنی و مستند بررسی کنند. هدف این نیست که همه چیز یک‌شبه عوض شود؛ هدف این است که ریسک‌های جدی دیده شوند، تغییرات پرخطر کنترل شوند و خروجی ممیزی به جای فهرست بلند ایرادهای تکراری، به چند اقدام اولویت‌دار و قابل اجرا برسد.

۱. محدوده فایروال و دارایی‌های پشت آن را مشخص کنید

اولین ضعف در بسیاری از ممیزی‌ها این است که مشخص نیست فایروال دقیقاً از چه چیزی محافظت می‌کند. یک فایروال مرزی ممکن است هم‌زمان اینترنت کاربران، VPN، سرویس‌های منتشرشده، ارتباط شعب و چند مسیر مدیریتی را عبور دهد. اگر قبل از ممیزی این محدوده روشن نباشد، بررسی Ruleها هم دقیق نخواهد بود.

برای هر فایروال این موارد را مکتوب کنید: محل قرارگیری در معماری، Zoneها یا Interfaceهای اصلی، شبکه‌های پشت هر Zone، سرویس‌های حیاتی، مسیرهای اینترنت، مسیرهای شعب، مسیرهای مدیریتی و مالک هر بخش. این سند نباید پیچیده باشد؛ یک جدول تمیز و یک دیاگرام ساده از چند صفحه توضیح پراکنده مفیدتر است.

  • آیا Zoneهای داخلی، DMZ، کاربران، سرورها، مهمان و مدیریت از هم جدا هستند؟
  • آیا سرویس‌های منتشرشده در اینترنت با مالک سرویس و دلیل تجاری ثبت شده‌اند؟
  • آیا مسیرهای غیرمنتظره یا قدیمی بین شبکه‌ها هنوز فعال مانده‌اند؟
  • آیا مسیرهای مدیریت فایروال و تجهیزات حیاتی از شبکه کاربران جدا شده‌اند؟

۲. Rule Review را از Ruleهای پرخطر شروع کنید

مرور همه Ruleها بدون اولویت‌بندی معمولاً وقت زیادی می‌گیرد و خروجی کمی دارد. برای هاردنینگ قبل از ممیزی، ابتدا Ruleهایی را بررسی کنید که بیشترین سطح حمله را ایجاد می‌کنند: Any به Any، مقصدهای حساس، سرویس‌های مدیریتی، دسترسی از اینترنت، Ruleهای بدون لاگ، Ruleهای بدون توضیح و Ruleهایی که مدت زیادی Hit نداشته‌اند.

هر Rule مهم باید حداقل چهار پاسخ داشته باشد: چرا وجود دارد، مالک آن کیست، آخرین زمان بازبینی چه زمانی بوده و در صورت حذف یا محدودسازی چه سرویسی تحت تأثیر قرار می‌گیرد. اگر این چهار پاسخ موجود نیست، Rule از نظر ممیزی قابل دفاع نیست؛ حتی اگر از نظر فنی فعلاً کاری را خراب نکند.

  • Ruleهای Any/Any یا Any Service را جداگانه فهرست کنید.
  • Ruleهای Allow از اینترنت به داخل را با مالک سرویس و دلیل تجاری تطبیق دهید.
  • Ruleهای مدیریتی مثل SSH، RDP، WinRM، SNMP، HTTPS Admin و Database Portها را محدود کنید.
  • Ruleهای بدون Comment یا Ticket ID را برای بازبینی اجباری علامت بزنید.
  • Ruleهای قدیمی و بدون Hit را مستقیم حذف نکنید؛ ابتدا در یک بازه کنترل‌شده disable و مانیتور کنید.

۳. دسترسی مدیریتی فایروال را سخت‌گیرانه کنید

اگر پنل مدیریت فایروال از شبکه‌های عمومی، شبکه کاربران یا IPهای نامشخص قابل دسترسی باشد، حتی بهترین Ruleهای امنیتی هم دفاع‌پذیری کافی ندارند. دسترسی مدیریتی باید از مسیر مشخص، محدود، ثبت‌شده و ترجیحاً پشت VPN یا شبکه مدیریت انجام شود.

برای ممیزی، فقط امن بودن کافی نیست؛ باید بتوانید نشان دهید چه کسانی دسترسی دارند، از کجا وارد می‌شوند، چه سطح دسترسی دارند و فعالیت آن‌ها چگونه ثبت می‌شود. حساب‌های مشترک، رمزهای قدیمی و دسترسی مستقیم از اینترنت معمولاً جزو اولین ایرادهای ممیزی هستند.

  • مدیریت فایروال را فقط به IPهای مشخص یا شبکه مدیریت محدود کنید.
  • برای Adminها از MFA، حساب شخصی و Role-Based Access استفاده کنید.
  • حساب‌های پیش‌فرض، بلااستفاده و مشترک را حذف یا غیرفعال کنید.
  • پروتکل‌های ناامن مدیریتی را ببندید و نسخه‌های قدیمی TLS/SSH را بررسی کنید.
  • لاگ ورود، تغییرات Policy و Export تنظیمات را نگه دارید.

۴. سرویس‌های منتشرشده و NAT را با نگاه حمله بررسی کنید

NAT و Port Forwarding معمولاً در طول زمان شلوغ می‌شوند؛ یک سرویس برای تست باز شده، یک دسترسی موقت دائمی مانده، یا یک مقصد قدیمی دیگر مالک مشخصی ندارد. قبل از ممیزی باید همه سرویس‌هایی که از بیرون به داخل منتشر شده‌اند دوباره با نیاز واقعی سازمان تطبیق داده شوند.

هر Publish باید مقصد مشخص، پورت مشخص، مالک سرویس، مکانیزم محافظتی و دلیل تجاری داشته باشد. اگر یک سرویس داخلی مستقیم روی اینترنت قرار گرفته و پشت WAF، Reverse Proxy، VPN یا کنترل دسترسی مناسب نیست، باید به عنوان ریسک جدی ثبت شود.

  • لیست تمام DNAT، VIP، Port Forward و Static NATها را استخراج کنید.
  • پورت‌های مدیریتی منتشرشده مثل RDP، SSH و پنل‌های ادمین را فوراً بازبینی کنید.
  • برای سرویس‌های وب، نیاز به WAF یا Reverse Proxy را بررسی کنید.
  • برای سرویس‌های حساس، محدودسازی Source IP یا VPN را در اولویت بگذارید.
  • سرویس‌های بدون مالک یا بدون ترافیک معتبر را وارد برنامه حذف کنید.

۵. VPN را مثل یک ورودی حساس به شبکه ببینید

VPN فقط یک قابلیت دسترسی نیست؛ یک مسیر ورود به شبکه سازمان است. در ممیزی امنیتی، وضعیت کاربران VPN، Site-to-Site VPN، Split Tunnel، سطح دسترسی بعد از اتصال، احراز هویت و لاگ اتصال بررسی می‌شود. اگر کاربر بعد از اتصال VPN به بخش‌های غیرضروری شبکه دسترسی دارد، طراحی نیاز به اصلاح دارد.

  • کاربران VPN را با منابع انسانی یا مالک واحدها تطبیق دهید.
  • دسترسی VPN را بر اساس گروه و نیاز واقعی محدود کنید.
  • MFA را برای دسترسی راه دور فعال کنید.
  • VPNهای Site-to-Site قدیمی، رمزنگاری ضعیف و Peerهای نامشخص را بازبینی کنید.
  • لاگ اتصال، قطع اتصال، خطا و تلاش ناموفق را به مانیتورینگ مرکزی بفرستید.

۶. لاگ و مانیتورینگ را قبل از حادثه درست کنید

در بسیاری از سازمان‌ها فایروال ترافیک را عبور می‌دهد، اما وقتی سؤال می‌شود «چه کسی، چه زمانی، به کجا وصل شد؟» پاسخ دقیق وجود ندارد. برای ممیزی، لاگ فقط برای عیب‌یابی نیست؛ بخشی از کنترل امنیتی است. Ruleهای حساس باید لاگ داشته باشند و لاگ‌ها باید به‌موقع، قابل جست‌وجو و قابل نگهداری باشند.

لاگ همه چیز هم راه‌حل خوبی نیست، چون حجم بالا و نویز زیاد، رخدادهای مهم را پنهان می‌کند. هاردنینگ درست یعنی لاگ Ruleهای مهم، Dropهای مشکوک، دسترسی مدیریتی، VPN، تغییرات Policy و رخدادهای Threat/IPS/AV به شکل قابل تحلیل جمع‌آوری شود.

  • برای Ruleهای حساس و مسیرهای بیرونی، Logging را فعال کنید.
  • ارسال لاگ به Syslog، SIEM، FortiAnalyzer، FMC، Panorama یا سامانه مشابه را بررسی کنید.
  • زمان سیستم و NTP را روی فایروال و سامانه لاگ هماهنگ کنید.
  • Retention لاگ را با نیاز ممیزی و سیاست سازمان تطبیق دهید.
  • برای رخدادهای مهم Alert تعریف کنید، نه فقط ذخیره‌سازی خام لاگ.

۷. High Availability و Backup را واقعاً تست کنید

وجود دو دستگاه در حالت HA به معنی آماده بودن برای بحران نیست. قبل از ممیزی باید مشخص باشد Failover چه زمانی تست شده، نتیجه چه بوده، وضعیت Sync چگونه است و بعد از خرابی یکی از اعضا چه اثری روی سرویس‌ها ایجاد می‌شود. همین منطق برای Backup هم وجود دارد: داشتن فایل Backup کافی نیست؛ باید مطمئن باشید قابل بازیابی است.

  • وضعیت HA، Sync، License، Firmware و Interface Monitoring را بررسی کنید.
  • سناریوی Failover کنترل‌شده را در زمان مناسب تست و مستند کنید.
  • Backup رمزگذاری‌شده و تاریخ‌دار از تنظیمات نگه دارید.
  • نسخه Backup را بعد از تغییرات مهم Policy تهیه کنید.
  • مسیر بازیابی اضطراری و افراد مسئول را مشخص کنید.

۸. Firmware و قابلیت‌های امنیتی را بدون عجله بازبینی کنید

قدیمی بودن Firmware می‌تواند ریسک جدی باشد، اما ارتقای عجولانه قبل از ممیزی هم ممکن است سرویس را مختل کند. رویکرد بهتر این است که وضعیت نسخه فعلی، آسیب‌پذیری‌های شناخته‌شده، End of Support، مسیر ارتقا، Backup و Rollback Plan مشخص شود. اگر ارتقا قبل از ممیزی امکان‌پذیر نیست، باید ریسک و برنامه اصلاحی مستند باشد.

قابلیت‌های امنیتی مثل IPS، Anti-Virus، Web Filtering، SSL Inspection، DNS Security یا Bot Protection هم باید متناسب با معماری فعال شوند. فعال‌سازی بدون طراحی می‌تواند باعث قطعی یا False Positive شود؛ اما غیرفعال بودن همه کنترل‌ها هم در ممیزی قابل دفاع نیست.

  • نسخه Firmware را با توصیه Vendor و وضعیت پشتیبانی مقایسه کنید.
  • آسیب‌پذیری‌های بحرانی مربوط به مدل و نسخه را بررسی کنید.
  • برای ارتقا، تست، Backup، پنجره تغییر و Rollback تعریف کنید.
  • Security Profileها را برای مسیرهای حساس فعال و Tune کنید.
  • استثناها را محدود، مستند و تاریخ‌دار نگه دارید.

۹. کنترل تغییرات را به بخشی از هاردنینگ تبدیل کنید

یکی از نشانه‌های بلوغ امنیتی این است که تغییرات فایروال بدون مسیر مشخص انجام نشود. هر Rule جدید، حذف Rule، تغییر NAT، تغییر VPN یا تغییر دسترسی مدیریتی باید دلیل، درخواست‌دهنده، تأییدکننده، زمان اجرا و نتیجه تست داشته باشد. این موضوع در ممیزی به اندازه خود تنظیمات فنی اهمیت دارد.

اگر تیم کوچک است، لازم نیست فرایند پیچیده ITIL بسازید؛ اما حداقل یک قالب ساده برای درخواست تغییر، بررسی ریسک، اجرای تغییر و بازبینی بعد از اجرا داشته باشید. تغییرات اضطراری هم باید بعد از اجرا مستند و تأیید شوند.

  • برای Rule جدید، تاریخ انقضا یا تاریخ بازبینی تعیین کنید.
  • برای تغییرات حساس، خروجی Before/After نگه دارید.
  • تغییرات بدون مالک یا بدون Ticket را وارد صف اصلاح کنید.
  • بعد از تغییر، لاگ و سرویس‌های وابسته را بررسی کنید.
  • هر ماه یک بازبینی سبک روی تغییرات ماه قبل انجام دهید.

۱۰. خروجی ممیزی را از قبل قابل ارائه کنید

اگر قبل از ممیزی فقط تنظیمات را تغییر دهید اما سندی نداشته باشید، بخش زیادی از کار دیده نمی‌شود. برای هر محور، یک خروجی کوتاه آماده کنید: وضعیت فعلی، ریسک‌های باز، اقدامات انجام‌شده، اقدامات برنامه‌ریزی‌شده و مالک ادامه کار. این خروجی باعث می‌شود ممیزی به گفت‌وگوی فنی تبدیل شود، نه جلسه دفاع پراکنده.

محور بررسی مدرک قابل ارائه ریسک رایج
Rule Review لیست Ruleهای پرخطر، مالک و وضعیت بازبینی Ruleهای Any/Any، بدون توضیح یا بدون Hit
دسترسی مدیریتی لیست Adminها، روش ورود و محدودیت Source حساب مشترک، نبود MFA، دسترسی از شبکه عمومی
VPN لیست کاربران و Peerها، گروه دسترسی و لاگ اتصال دسترسی بیش از حد بعد از اتصال
لاگ نمونه لاگ Ruleهای حساس و تغییرات مدیریتی نبود Retention یا نبود ارسال به سامانه مرکزی
Backup و HA آخرین Backup، نتیجه تست Failover و برنامه بازیابی Backup تست‌نشده یا HA ناسازگار

اولویت‌بندی اصلاحات: همه چیز را هم‌زمان تغییر ندهید

در هاردنینگ فایروال، تغییر زیاد و هم‌زمان خودش ریسک است. بهتر است اصلاحات را به سه دسته تقسیم کنید: اقدام فوری، اقدام برنامه‌ریزی‌شده و اقدام نیازمند طراحی. بستن یک پنل مدیریتی باز روی اینترنت ممکن است فوری باشد؛ اما بازطراحی Zoneها یا تغییر گسترده Ruleها باید با تست و برنامه تغییر انجام شود.

  • اقدام فوری: حذف دسترسی مدیریتی باز، غیرفعال کردن حساب‌های مشترک، بستن سرویس‌های واضحاً غیرضروری.
  • اقدام برنامه‌ریزی‌شده: پاکسازی Ruleهای قدیمی، محدودسازی VPN، اصلاح لاگ و فعال‌سازی کنترل‌های امنیتی.
  • اقدام نیازمند طراحی: بازطراحی Zone، تفکیک DMZ، تغییر معماری NAT، HA و مهاجرت Firmware.

جمع‌بندی

چک‌لیست هاردنینگ فایروال قبل از ممیزی امنیتی باید روی چیزهایی تمرکز کند که هم ریسک واقعی می‌سازند و هم در ممیزی قابل سنجش‌اند: Ruleهای پرخطر، دسترسی مدیریتی، انتشار سرویس‌ها، VPN، لاگ، Backup، HA و کنترل تغییرات. اگر این موارد با مالک، سند و برنامه اصلاحی همراه شوند، حتی اگر همه ایرادها هنوز برطرف نشده باشند، وضعیت سازمان بسیار قابل دفاع‌تر خواهد بود.

برای اجرای عملی این مسیر، صفحه پیاده‌سازی فایروال سازمانی مسیر طراحی و امن‌سازی Ruleها را توضیح می‌دهد. اگر موضوع شما گسترده‌تر از فایروال است، راهنمای طراحی امنیت شبکه و هاردنینگ زیرساخت سازمانی و مطلب هاردنینگ تجهیزات شبکه مکمل‌های خوبی برای ادامه بررسی هستند. برای مرحله قبل از اجرا نیز مقاله ریسک‌های قبل از پیاده‌سازی فایروال سازمانی کمک می‌کند محدوده پروژه دقیق‌تر شود.

علیرضا عربیان

متخصص شبکه و امنیت شبکه، مدرس امنیت شبکه و نویسنده وبلاگ arabiyan.ir

مشاهده همه مقالات ←

دیدگاه بگذارید