نحوه فعال‌سازی Threat Prevention و WildFire در فایروال Palo Alto

در عصر دیجیتال امروز، زیرساخت‌های شبکه سازمان‌ها هدف حملات سایبری پیچیده و گسترده‌ای قرار گرفته‌اند. تهدیداتی همچون باج‌افزارها، بدافزارهای پیشرفته (APT)، حملات فیشینگ و نقض‌های داده‌ای، تنها با راهکارهای امنیتی سنتی قابل دفع نیستند. در این میان، فایروال نسل بعدی (NGFW) به عنوان خط مقدم دفاعی، نقشی محوری ایفا می‌کند. با این حال، صرفاً فیلترکردن ترافیک بر اساس پورت و آدرس IP کافی نبوده و فایروال مدرن باید بتواند تهدیدات را در لایه کاربرد (Application) و محتوا (Content) نیز شناسایی و خنثی نماید.

فایروال‌های Palo Alto Networks با معماری منحصربه‌فرد خود، این امکان را فراهم می‌کنند که تمامی ترافیک شبکه، صرف نظر از پورت یا پروتکل، شناسایی، کنترل و بازرسی شود. اما قدرت واقعی این پلتفرم، در سرویس‌های امنیتی پیشرفته و یکپارچه آن نهفته است که با بهره‌گیری از هوش تهدید جهانی و یادگیری ماشین، از سازمان در برابر طیف وسیعی از حملات محافظت می‌کنند.

اهمیت تشخیص و پیشگیری تهدیدات در لایه فایروال

تمرکز سنتی بر محافظت از حاشیه شبکه (Network Perimeter) در دنیای امروز که مرزهای شبکه با گسترش دورکاری، رایانش ابری و دستگاه‌های سیار محو شده، ناکافی است. رویکرد مدرن، پیشگیری (Prevention) است؛ نه فقط تشخیص (Detection). تهدید باید در همان نقطه ورود به شبکه، مسدود (Block) شود، نه اینکه پس از نفوذ و ایجاد خسارت، شناسایی گردد. فایروال Palo Alto با اجرای سیاست‌های امنیتی یکپارچه و قرارگرفتن در مسیر تمامی ترافیک (East-West و North-South)، بستری ایده‌آل برای پیاده‌سازی این استراتژی “پیشگیری اول” فراهم می‌کند.

معرفی قابلیت‌های کلیدی

دو ستون اصلی سیستم پیشگیری از تهدیدات در این فایروال، سرویس‌های Threat Prevention و WildFire هستند که مکمل یکدیگرند:

Threat Prevention: سپر دفاعی در برابر تهدیدات شناخته شده

این سرویس، موتور اصلی شناسایی و مسدودسازی تهدیدات است که با بهره‌گیری از یک پایگاه داده تهدید جهانی (Global Threat Intelligence) که مرتباً به‌روز می‌شود، عمل می‌کند. Threat Prevention در واقع مجموعه‌ای از قابلیت‌ها است که به صورت یک سرویس اشتراکی (Subscription Service) فعال می‌شود و شامل موارد زیر است:

آنتی‌ویروس (Anti-Virus): شناسایی و مسدودسازی بدافزارهای شناخته شده در ترافیک عبوری.

ضد جاسوس‌افزار (Anti-Spyware): تشخیص و مقابله با نرم‌افزارهای جاسوسی، کی‌لاگرها و درهای پشتی (Backdoors).

محافظت در برابر آسیب‌پذیری‌ها (Vulnerability Protection): شناسایی و جلوگیری از سوءاستفاده از آسیب‌پذیری‌های شناخته شده در نرم‌افزارها و سیستم‌عامل‌ها، پیش از اعمال وصله.

مقابله با بات‌نت‌ها (Command-and-Control Prevention): شناسایی و قطع ارتباط سیستم‌های آلوده با سرورهای فرماندهی و کنترل (C&C) از طریق تکنیک‌هایی مانند Sinkholing.

WildFire: سامانه پیشرفته شکار تهدیدات ناشناخته (Zero-Day)

تهدیدات امروزی اغلب ناشناخته (Zero-Day) یا با امضاهای تغییرشکل‌یافته هستند. سرویس WildFire پاسخ Palo Alto به این چالش است. این سرویس، فایل‌ها و محتوای مشکوک را در یک محیط تحلیل پویای ابری (Cloud-Based Sandbox) اجرا و رفتار آن‌ها را زیر نظر می‌گیرد.

مکانیزم عمل: هنگامی که فایل مشکوکی (مانند یک فایل PDF، فایل اجرایی یا سند Office) از فایروال عبور می‌کند، در صورت پیکربندی مناسب، یک کپی از آن به صورت ایمن و رمزنگاری‌شده به سرویس ابری WildFire ارسال می‌شود.

تحلیل پویا: فایل در یک محیط ایزوله و مجازی‌شده (Sandbox) اجرا شده و رفتارهای مخربی مانند دسترسی به رجیستری، ایجاد اتصال شبکه به مقاصد مشکوک یا رمزنگاری فایل‌ها بررسی می‌شود.

بازخورد جهانی: اگر فایل مخرب تشخیص داده شود، تنها در ۵ دقیقه یک امضای جدید (Signature) ایجاد شده و به صورت خودکار برای تمامی مشترکین WildFire در سراسر جهان توزیع می‌شود. این موضوع یک «مصونیت جمعی» دیجیتال ایجاد می‌کند.

پیش‌نیازها

برای فعال‌سازی و بهره‌برداری مؤثر از این سرویس‌ها، نیازمند موارد زیر هستید:

لایسنس معتبر: داشتن اشتراک سرویس (Service Subscription) فعال برای Threat Prevention و WildFire. وضعیت لایسنس از مسیر Device > Licenses قابل بررسی است.

دسترسی مدیریتی: دسترسی ادمین با سطح دسترسی مناسب (مانند سوپرکاربر) به پنل مدیریت فایروال (Panorama یا GUI دستگاه).

اتصال اینترنتی: فایروال باید دسترسی لازم به اینترنت (به ویژه به سرویس‌های ابری Palo Alto برای به‌روزرسانی امضا و ارسال نمونه به WildFire) را داشته باشد.

پیکربندی پایه شبکه: تنظیمات اولیه اینترفیس‌ها، زون‌ها، مسیریابی و Policyهای پایه امنیتی باید انجام شده باشد.

در بخش‌های بعدی این مقاله، به صورت گام‌به‌گام و عملی، نحوه فعال‌سازی، پیکربندی و بهینه‌سازی این دو سرویس حیاتی را برای ایجاد لایه‌ای قدرتمند از امنیت پیشگیرانه در شبکه شما شرح خواهیم داد.

۲. آماده‌سازی اولیه

قبل از فعال‌سازی و پیکربندی سرویس‌های امنیتی پیشرفته در فایروال Palo Alto، انجام یکسری آماده‌سازی‌های زیرساختی و اطمینان از صحت تنظیمات پایه ضروری است. این مرحله از اهمیت بالایی برخوردار است، زیرا عملکرد صحیح سرویس‌هایی مانند WildFire و Threat Prevention کاملاً وابسته به به‌روز بودن پایگاه‌داده‌های امنیتی و امکان ارتباط امن فایروال با سرویس‌های ابری Palo Alto Networks است.

بروزرسانی سرویس‌ها (Service Updates)

قلب تپنده قابلیت‌های امنیتی فایروال Palo Alto، پایگاه داده محتوای امنیتی (Security Content Database) آن است که شامل امضاها (Signatures)، الگوهای حمله و اطلاعات تهدیدات می‌شود. بدون به‌روزرسانی منظم این محتوا، فایروال قادر به شناسایی تهدیدات جدید نخواهد بود.

مراحل بررسی و به‌روزرسانی:

ورود به پنل مدیریت: از طریق آدرس IP مدیریت فایروال به محیط وب (GUI) وارد شوید.

بررسی وضعیت لایسنس و به‌روزرسانی‌ها:

به مسیر Device > Dynamic Updates بروید.

در تب Software Versions، از به‌روز بودن سیستم عامل PAN-OS (ترجیحاً در نسخه پشتیبانی شده) اطمینان حاصل کنید.

به تب Applications and Threats بروید. این بخش وضعیت به‌روزرسانی محتوای امنیتی را نشان می‌دهد.

بررسی و دانلود به‌روزرسانی‌های حیاتی:

برنامه آنتی‌ویروس (Anti-Virus): اطمینان حاصل کنید که آخرین نسخه موتور آنتی‌ویروس و پایگاه داده تعریف ویروس‌ها دانلود شده است. این مورد برای شناسایی بدافزارهای شناخته شده در فایل‌های عبوری ضروری است.

پایگاه داده تهدیدات (Threat Prevention): این بسته شامل آخرین امضاهای Anti-Spyware، Vulnerability Protection و Command-and-Control است. تاریخ به‌روزرسانی آن باید حداکثر به ۲۴ ساعت قبل بازگردد.

 

اشتراک WildFire: اطمینان از فعال بودن و به‌روز بودن سرویس WildFire. همچنین، در تب WildFire در بخش Dynamic Updates، باید آخرین نسخه آپلود کننده (Uploader) و تحلیل‌گر (Analyzer) وجود داشته باشد.

تنظیم زمان‌بندی به‌روزرسانی خودکار (توصیه شده):

در همان بخش Dynamic Updates، روی دکمه Schedule در پایین صفحه کلیک کنید.

یک زمان‌بندی جدید ایجاد کنید (مثلاً: دریافت به‌روزرسانی‌ها هر روز ساعت ۳ بامداد).

گزینه Download and install را برای نصب خودکار پس از دانلود انتخاب کنید تا فایروال همواره از آخرین محافظت‌ها بهره‌مند باشد.

توجه: پیش از نصب به‌روزرسانی‌های اصلی (مانند ارتقای PAN-OS)، حتماً از پیکربندی فایروال Backup گرفته و تغییرات را در ابتدا در محیط آزمایشی تست کنید.

 

تنظیمات شبکه‌ای

دسترسی پایدار و مطمئن فایروال به اینترنت، شرط لازم برای عملکرد سرویس‌های امنیتی مبتنی بر ابر (مانند WildFire) و دریافت به‌روزرسانی‌ها است.

۱. پیکربندی رابط‌های شبکه (Interfaces):

اینترفیس مدیریت (Management Interface): معمولاً (MGT) برای دسترسی مدیریتی استفاده می‌شود. اگر از این اینترفیس برای ارتباط با سرویس‌های ابری استفاده می‌کنید، باید Route پیش‌فرض (Default Route) و DNS سرور روی آن تنظیم شود.

اینترفیس‌های داده (Dataplane Interfaces): اینترفیس‌هایی که ترافیک کاربر از آنها عبور می‌کند (مثل اینترفیس‌های Trust و Untrust) باید به درستی پیکربندی شده باشند: نوع اینترفیس (Layer 3 یا Layer 2)، آدرس IP، Zone مربوطه و پروفایل امنیتی (Security Profile) اولیه.

 

۲. تنظیم مسیریابی (Routing) برای دسترسی WildFire و سرویس‌ها به اینترنت:

فایروال Palo Alto برای آپلود فایل‌های مشکوک به WildFire و چک کردن به‌روزرسانی‌ها نیازمند یک Route پیش‌فرض معتبر است.

مسیر: Network > Virtual Routers > [نام روتر پیش‌فرض معمولاً ‘default’] > Static Routes

یک Route استاتیک با مقصد 0.0.0.0/0 و Next-Hop برابر با آدرس IP گیت‌وی ISP یا فایروال بالادستی ایجاد کنید.

مطمئن شوید این Route به اینترفیس صحیح (معمولاً اینترفیس بیرونی یا Untrust) متصل است.

۳. تنظیم DNS معتبر:

سرویس WildFire و سرورهای به‌روزرسانی Palo Alto با نام دامنه (FQDN) آدرس‌دهی می‌شوند. بنابراین، تنظیم DNS سرورهای قابل اطمینان (مانند 8.8.8.8 یا DNS سرورهای داخلی سازمان) حیاتی است.

مسیر: Device > Setup > Services

در بخش Primary DNS Server و Secondary DNS Server، آدرس IP سرورهای DNS معتبر را وارد کنید.

تست تنظیمات DNS: در همان صفحه، در قسمت Test DNS Resolution، یک دامنه معروف مانند paloaltonetworks.com را وارد و گزینه Test را بزنید. باید آدرس IP مربوطه برگردانده شود.

۴. (اختیاری اما توصیه شده) تعیین اینترفیس خروجی سرویس‌ها (Service Route):

به طور پیش‌فرض، فایروال از Route جدول مسیریابی برای ارتباط سرویس‌های مدیریتی استفاده می‌کند. می‌توان مسیر مخصوصی برای ترافیک سرویس‌ها تعریف کرد.

مسیر: Device > Setup > Session

روی Service Route Configuration کلیک کنید. می‌توانید مشخص کنید ترافیک سرویس‌هایی مانند پیشگیری از تهدید (Threat Prevention)، WildFire و به‌روزرسانی پویا (Dynamic Updates) از کدام اینترفیس خاص خارج شوند. این کار برای شبکه‌هایی که ترافیک مدیریت از ترافیک داده جدا است، بسیار مفید است.

با تکمیل این تنظیمات اولیه، زیرساخت فایروال شما برای پذیرش و اجرای مؤثر سیاست‌های پیشرفته امنیتی Threat Prevention و WildFire آماده خواهد شد. در بخش بعدی، به سراغ فعال‌سازی عملی این سرویس‌ها خواهیم رفت.

فعال‌سازی Threat Prevention

پس از آماده‌سازی زیرساخت، نوبت به فعال‌سازی و پیکربندی موتور اصلی دفاعی فایروال Palo Alto یعنی Threat Prevention می‌رسد. این فرآیند شامل سه مرحله اصلی است: ایجاد پروفایل امنیتی، تنظیمات پیشرفته برای افزایش اثربخشی، و در نهایت اعمال این پروفایل بر ترافیک شبکه.

ایجاد پروفایل امنیتی Threat Prevention

پروفایل امنیتی Threat Prevention، مجموعه‌ای از قوانین است که تعیین می‌کند فایروال چگونه با انواع مختلف تهدیدات شناسایی شده برخورد کند.

گام‌به‌گام ایجاد پروفایل:

مراجعه به بخش پروفایل‌ها:

از منوی اصلی به مسیر Objects > Security Profiles > Threat Prevention بروید.

ایجاد پروفایل جدید:

بر روی دکمه Add در پایین پنجره کلیک کنید.

در پنجره باز شده، یک Name توصیفی برای پروفایل وارد کنید (مثلاً: Corporate-Threat-Prevention-Profile).

Description اختیاری اما مفیدی برای مستندسازی اضافه نمایید (مثلاً: “پروفایل اصلی برای مسدودسازی تهدیدات با Action Reset-Both”).

پیکربندی اقدامات (Actions) برای دسته‌های تهدید:

در تب Threat Prevention (که به صورت پیش‌فرض باز است)، چهار بخش اصلی را مشاهده خواهید کرد. برای هر بخش، Action مناسب را از منوی کشویی انتخاب کنید. انتخاب اقدام صحیح، کلید موفقیت است:

 

 

دسته تهدید اقدام توصیه شده (Action) توضیح منطق
Virus reset-both هنگام شناسایی ویروس، هم اتصال از سمت کلاینت و هم از سمت سرور قطع (reset) می‌شود و یک صفحه اخطار (Alert) به کاربر نمایش داده می‌شود. این عمل سریع‌ترین روش برای متوقف کردن انتقال فایل آلوده است.
Spyware reset-both برای جاسوس‌افزارها و بدافزارهای مشابه، اقدام فوری قطع اتصال (reset-both) ضروری است تا از نشت اطلاعات جلوگیری شود.
Vulnerability reset-both برای حملات اکسپلویت که از آسیب‌پذیری‌های نرم‌افزاری سوءاستفاده می‌کنند، بهترین واکنش، قطع بلافاصله اتصال مهاجم است.
Command-and-Control block-ip برای ترافیک مرتبط با بات‌نت‌ها، اتصال به آدرس IP سرور C&C مسدود (block-ip) می‌شود. گزینه block-ip بهتر از reset-both است، زیرا به صورت فعال‌تر و با حداقل سربار، تمام ارتباطات آینده با آن IP مخرب را نیز مسدود می‌کند.

 

* **نکته:** می‌توانید سطح **Severity** (شدت تهدید) را برای فیلتر کردن تهدیدات بر اساس سطح خطر (مثلاً فقط **Critical** و **High**) محدود کنید. اما برای محیط‌های با حساسیت بالا، توصیه می‌شود تمام سطوح (**Low** تا **Critical**) تحت نظارت یا مسدودسازی قرار گیرند.

 

تنظیمات پیشرفته Threat Prevention

برای افزایش دقت و قدرت پروفایل ایجاد شده، باید چند تنظیم حیاتی دیگر را پیکربندی کنیم.

۱. فعال‌سازی Block DNS over HTTPS (DoH):

مهاجمان از پروتکل DNS over HTTPS برای مخفی کردن ارتباطات C&C خود در ترافیک رمزگذاری شده استاندارد وب استفاده می‌کنند.

در تب DNS Security درون پروفایل Threat Prevention، گزینه Block DNS over HTTPS را فعال (Enable) کنید.

 

این کار باعث می‌شود فایروال بتواند درخواست‌های DoH را شناسایی و در صورت شناسایی فعالیت مخرب، آنها را مسدود کند.

۲. پیکربندی Sinkholing برای تهدیدات C&C:

Sinkholing یک تکنیک هوشمندانه است که در آن، زمانی که فایروال ارتباط یک سیستم آلوده (مثلاً یک عضو بات‌نت) با سرور C&C واقعی را شناسایی می‌کند، درخواست DNS آن را به یک آدرس IP کنترل‌شده و بی‌خطر (Sinkhole) هدایت می‌کند. این کار باعث می‌شود:

آلودگی در شبکه شما شناسایی شود (با مشاهده لاگ ترافیک به سمت آدرس Sinkhole).

ارتباط مهاجم با قربانی قطع شود.

در تب DNS Security، در بخش Sinkhole:

گزینه Enable Sinkhole را فعال کنید.

یک IPv4 Sinkhole Address وارد کنید (مثلاً آدرس خصوصی مانند 10.255.255.1 یا یک آدرس عمومی کنترل‌شده).

فایروال به طور خودکار رکوردهای DNS دامنه‌های مخرب شناخته شده را به این آدرس حل می‌کند.

تنظیم حساسیت (Severity) و Exceptions:

در تب اصلی Threat Prevention، می‌توانید برای هر دسته (مثلاً Spyware) روی دکمه Override Options کلیک کنید.

در اینجا می‌توانید:

فیلترینگ را بر اساس Severity دقیق‌تر کنید (مثلاً برای تهدیدات با سطح Low تنها Alert بزنید و برای Critical اقدام reset-both انجام دهید).

استثنا (Exception) تعریف کنید. برای مثال، اگر یک نرم‌افزار داخلی خاص به اشتباه به عنوان Spyware شناسایی می‌شود، می‌توانید امضای (Signature) مربوطه را در اینجا مستثنی کنید تا Action روی آن اعمال نشود.

اعمال پروفایل Threat Prevention روی Policy امنیتی

ایجاد پروفایل به تنهایی کافی نیست. باید به فایروال بگوییم این پروفایل را بر روی کدام ترافیک شبکه اعمال کند.

مراجعه به قوانین امنیتی:

به مسیر Policies > Security بروید.

ویرایش یا ایجاد Rule جدید:

یا یک Rule موجود را که ترافیک هدف شما را مدیریت می‌کند، Edit کنید.

یا یک Rule جدید با کلیک بر روی Add ایجاد کنید. Rule جدید باید بر اساس Source/Destination Zones، آدرس‌ها و برنامه‌ها (Applications) تعریف شود تا دقیقاً مشخص کند کدام ترافیک بازرسی شود (مثلاً ترافیک از Zone Trust به Untrust).

اختصاص پروفایل Threat Prevention:

در پنجره ویرایش یا ایجاد Rule، به بخش Profile Settings بروید.

از منوی کشویی روبروی گزینه Threat Prevention، پروفایلی که در مرحله ۳.۱ ایجاد کردید (مثلاً Corporate-Threat-Prevention-Profile) را انتخاب کنید.

توجه: در این بخش پروفایل‌های دیگر مانند URL Filtering، File Blocking، Data Filtering و WildFire (که در بخش بعدی تنظیم می‌شود) نیز قابل اعمال هستند.

ذخیره و Commit تغییرات:

بر روی OK کلیک کنید.

در نهایت، تغییرات را با کلیک بر روی دکمه Commit در گوشه بالا سمت راست پنل مدیریت، ذخیره و اعمال (Commit) کنید. تا زمانی که Commit انجام نشود، هیچ یک از تغییرات اعمال نخواهد شد.

✅ بررسی نهایی: پس از Commit، ترافیک منطبق با Rule شما، تحت بازرسی Threat Prevention قرار می‌گیرد. می‌توانید از بخش Monitor > Threats برای مشاهده تهدیدات شناسایی و مسدود شده استفاده کنید تا از عملکرد صحیح پیکربندی اطمینان حاصل نمایید.

فعال‌سازی و پیکربندی WildFire

WildFire سرویس تحلیل رفتاری (sandbox) Palo Alto Networks است که با شناسایی تهدیدات ناشناخته (zero-day) و سریع‌العمل (zero-hour)، لایه دفاعی عمیقی را فراهم می‌کند. این بخش به صورت جامع مراحل پیاده‌سازی آن را شرح می‌دهد.

. تنظیمات اولیه WildFire

پیش از هر چیز، باید ارتباط فایروال با سرویس ابری WildFire برقرار شود.

گام‌به‌گام تنظیمات اولیه:

دسترسی به بخش تنظیمات WildFire:

از منوی اصلی به مسیر Device > Setup > WildFire بروید.

انتخاب سرویس‌دهنده WildFire (متناسب با منطقه جغرافیایی):

در تب Setup، بخش WildFire Settings را پیدا کنید.

در فیلد WildFire Server، از منوی کشویی، نزدیک‌ترین سرور ابری به موقعیت جغرافیایی خود را انتخاب کنید. این انتخاب بر تأخیر (latency) و رعایت مقررات محلی (مانند GDPR) تأثیر مستقیم دارد:

آمریکا: wildfire.paloaltonetworks.com (پیش‌فرض)

اروپا: wildfire-eu.paloaltonetworks.com

سایر مناطق: گزینه‌های مربوط به آسیا-اقیانوسیه یا کانادا را انتخاب کنید.

نکته: اگر از Panorama استفاده می‌کنید، ممکن است تنظیمات به صورت متمرکز از آنجا Push شود.

آپلود گواهی SSL (در صورت نیاز برای محیط‌های خاص):

در صورتی که در شبکه شما برای خروج به اینترنت از فیلتر مبتنی بر گواهی (SSL Decryption) استفاده می‌شود، یا به یک پراکسی احراز هویت متصل هستید، WildFire نیازمند گواهی ریشه (Root CA) مربوطه است تا ارتباط SSL با سرورهایش را برقرار کند.

در تب Setup، به بخش SSL Decryption بروید.

 

گواهی مورد اعتماد (Certificate Authority) مربوطه را با استفاده از دکمه Import آپلود کنید. در غیر این صورت، ارتباط WildFire ممکن است با خطای SSL مواجه شود.

تست ارتباط (Verify Connectivity):

پس از تنظیم Route و DNS (از مرحله آماده‌سازی)، می‌توانید از بخش Device > Troubleshooting و با استفاده از دستور test wildfire-upload در CLI، یا مشاهده وضعیت در Dashboard > Widgets > WildFire Subscription Status، از صحت ارتباط اطمینان حاصل کنید.

ایجاد پروفایل امنیتی WildFire

پروفایل WildFire مشخص می‌کند که فایروال با فایل‌های مشکوک چگونه رفتار کند.

مراحل ایجاد پروفایل:

ایجاد پروفایل جدید:

به مسیر Objects > Security Profiles > WildFire Analysis بروید.

روی دکمه Add کلیک کنید و یک Name توصیفی وارد کنید (مثلاً: WildFire-Standard-Profile).

پیکربندی اقدامات (Actions) در تب WildFire Analysis:

تحلیل اولیه (Initial Analysis): این گزینه تعیین می‌کند که در لحظه رسیدن فایل (پیش از دریافت نتیجه از ابر) چه عملی انجام شود.

Block: (توصیه شده برای محیط‌های حساس) – فایل بلافاصله مسدود می‌شود و تنها در صورتی که تحلیل WildFire نتیجه “پاک” را اعلام کند، برای دفعات بعدی اجازه عبور می‌گیرد.

Alert: (برای فاز آزمایشی) – فایل در ابتدا عبور می‌کند، اما برای تحلیل ارسال می‌شود و در صورت مخرب بودن، برای دفعات بعد مسدود خواهد شد.

ارسال به ابر عمومی (Public Cloud): گزینه Forward To Palo Alto Networks WildFire را حتماً فعال کنید. این هسته اصلی سرویس است.

ارسال به ابر خصوصی (Private Cloud): در صورتی که سازمان شما سرور WildFire خصوصی (On-Premise Appliance) داشته باشد، آدرس آن را در این بخش وارد می‌کنید. این گزینه برای ترافیک بسیار حساس که نمی‌تواند به ابر عمومی ارسال شود، طراحی شده است.

تعیین انواع و محدودیت‌های فایل برای تحلیل

برای بهینه‌سازی عملکرد و پهنای باند، باید مشخص کنیم کدام فایل‌ها و با چه حجمی برای تحلیل ارسال شوند.

انتخاب فرمت‌های فایل (File Types):

در همان پروفایل، به تب File Type Filtering بروید.

فایل‌هایی که بیشترین هدف برای حملات هستند را انتخاب (Check) کنید. انتخاب هوشمندانه منابع را مدیریت می‌کند:

اجرایی‌ها (PE): Windows EXE, DLL, Sys – ضروری

اسناد اداری: Microsoft Office (DOC, XLS, PPT)، PDF – ضروری

Android (APK) و Java (JAR)

فایل‌های پویا: Flash (SWF)، JavaScript

فایل‌های رایج اینترنتی: ZIP, RAR (حاوی فایل‌های اجرایی)

می‌توانید فایل‌های کم‌خطر مانند تصاویر (JPEG, PNG) را از تحلیل معاف کنید.

تعیین محدوده حجمی فایل‌ها (File Size Limits):

در بخش Upload Settings پروفایل، گزینه File Size Limit را می‌توانید تنظیم کنید.

حداکثر پیش‌فرض ۱۰ مگابایت است. می‌توانید این مقدار را بر اساس سیاست و پهنای باند شبکه افزایش یا کاهش دهید (مثلاً ۲۰ MB برای محیط‌هایی که فایل‌های مهندسی بزرگ جابه‌جا می‌کنند).

نکته مهم: فایل‌های بزرگ‌تر از این حد، برای تحلیل ارسال نمی‌شوند. بنابراین بهتر است در صورت امکان، این محدوده را به اندازه عملی فایل‌های رایج کسب‌وکار خود تنظیم کنید.

اعمال پروفایل WildFire روی Policy امنیتی

اکنون باید به فایروال بگوییم که کدام ترافیک را تحت بازرسی WildFire قرار دهد.

اعمال در Rule امنیتی:

به Policies > Security برگردید.

Rule امنیتی مورد نظر (معمولاً همان Ruleای که Threat Prevention را اعمال کردید) را Edit کنید. این Rule معمولاً ترافیک خروجی کاربران به اینترنت یا ترافیک دانلود از اینترنت را پوشش می‌دهد.

در بخش Actions همان Rule، مطمئن شوید که گزینه Log at session end فعال است. این برای آنالیز لاگ WildFire ضروری است.

اختصاص پروفایل WildFire:

در پنجره ویرایش Rule، به سربرگ Profile Settings بروید.

از منوی کشویی روبروی گزینه WildFire Analysis، پروفایل ایجاد شده در مرحله ۴.۲ (مثلاً WildFire-Standard-Profile) را انتخاب کنید.

ترکیب با Threat Prevention: دقت کنید که در این بخش، پروفایل Threat Prevention نیز باید انتخاب شده باشد. این دو سرویس به صورت مکمل کار می‌کنند: WildFire تهدیدات ناشناخته را پیدا کرده و به Threat Prevention می‌افزاید، و Threat Prevention همان تهدیدات را در آینده مسدود می‌کند.

اولویت‌دهی (Prioritization) و Commit:

اولویت Rule: اطمینان حاصل کنید Ruleای که WildFire را فعال می‌کند، در بالای لیست قوانین و قبل از هر Rule عمومی‌تری که ترافیک مشابه را بدون بازرسی WildFire مجاز می‌کند، قرار گیرد. قوانین در Palo Alto از بالا به پایین اجرا می‌شوند.

Commit نهایی: پس از اتمام تنظیمات، بر روی OK و سپس دکمه Commit در گوشه بالا-راست کلیک کنید. یک توضیح (Description) برای تغییرات وارد کرده (مثلاً: “افزودن پروفایل WildFire به Rule خروجی کاربران”) و Commit را تأیید کنید. پس از چند لحظه، پیکربندی فعال می‌شود.

✅ نکته نظارتی: پس از فعال‌سازی، می‌توانید گزارش‌ها و نتایج را در Monitor > WildFire و Monitor > Threats مشاهده کنید. در این بخش‌ها، نمونه‌های ارسال شده، وضعیت تحلیل (در حال بررسی، بدافزار، پاک) و جزئیات تهدیدات کشف شده قابل رؤیت است.

 

تست و اعتبارسنجی

پس از پیکربندی سرویس‌های امنیتی، تست عملی و اعتبارسنجی عملکرد آنها ضروری است. این مرحله اطمینان می‌دهد که Threat Prevention و WildFire به‌درستی فعال شده‌اند و در عمل از شبکه شما محافظت می‌کنند.

. تست عملکرد Threat Prevention

هدف از این تست، اطمینان از شناسایی و مسدودسازی تهدیدات شناخته شده مانند ویروس‌ها و بدافزارها توسط موتور Threat Prevention است.

روش‌های تست ایمن:

استفاده از فایل آزمایشی استاندارد EICAR:

این یک فایل کاملاً بی‌خطر اما به‌طور جهانی شناخته‌شده به‌عنوان “آزمون آنتی‌ویروس” است.

روش ۱ – دانلود از وب: از یک سیستم درون شبکه (Zone Trust)، به آدرس http://www.eicar.org/download/eicar.com دسترسی پیدا کنید. یک فایروال با Threat Prevention فعال و پیکربندی صحیح باید بلافاصله این اتصال را قطع (Reset) و فایل را مسدود کند.

روش ۲ – آپلود از طریق HTTP/S: می‌توانید فایل eicar.com را در یک سرور وب تست آپلود کرده و از داخل شبکه آن را دانلود کنید.

نکته: از سایت اصلی eicar.org استفاده کنید و از کپی‌های غیرقابل اعتماد خودداری نمایید.

بررسی لاگ‌ها در Monitor > Threats:

این بخش قلب نظارت بر امنیت در فایروال Palo Alto است.

پس از اجرای تست EICAR، به این بخش بروید.

در تب Threat، باید یک رکورد جدید با جزئیات زیر مشاهده کنید:

Threat/Content Name: EICAR Test File

Action: reset-both (یا عملی که در پروفایل تعریف کرده‌اید)

Type: virus

From/To: آدرس‌های مبدا و مقصد ترافیک

Application: http یا web-browsing

مشاهده این لاگ، تأیید نهایی بر عملکرد صحیح Threat Prevention است.

تست‌های تکمیلی (پیشرفته):

آسیب‌پذیری‌ها: می‌توانید با استفاده از ابزارهای اسکن آسیب‌پذیری قانونی (مانند نسخه‌های آموزشی Metasploit) در محیط ایزوله، یک حمله اکسپلویت ساده را به یک سیستم آزمایشی شبیه‌سازی کنید. باید لاگ مربوطه با نوع vulnerability را در Monitor > Threats ببینید.

Command-and-Control: تست این بخش پیچیده‌تر است و معمولاً نیاز به نمونه‌های کنترل‌شده آزمایشگاهی دارد.

تست عملکرد WildFire

هدف این تست، اطمینان از ارسال فایل‌های مشکوک به سرویس ابری WildFire، تحلیل صحیح و بازگشت نتیجه است.

روش اجرای تست ایمن:

ایجاد و استفاده از فایل آزمایشی EICAR در قالب‌های پیچیده:

WildFire فایل‌های EICAR که در قالب‌های رایج (مثلاً داخل یک فایل ZIP رمزگذاری‌شده یا یک سند PDF) قرار گرفته‌اند را نیز شناسایی می‌کند.

می‌توانید فایل eicar.com را در یک فایل ZIP با رمز عبور (مثلاً infected.zip با رمز infected) بسته‌بندی کنید و آن را از اینترنت دانلود یا از طریق ایمیل ارسال کنید.

با این کار، هم قابلیت آنتی‌ویرس پایه (بررسی محتوای فایل) و هم قابلیت WildFire (باز کردن و تحلیل فایل فشرده رمزدار) را می‌آزمایید.

بررسی بخش Monitor > WildFire:

این بخش مخصوص نظارت بر فعالیت‌های WildFire است.

پس از عبور فایل آزمایشی، به این بخش بروید.

در تب File, باید رکوردی از فایل آپلود شده (مثلاً infected.zip) را ببینید.

وضعیت WildFire Verdict ابتدا ممکن است pending باشد و پس از چند ثانیه یا دقیقه (بسته به سرعت تحلیل) به malware تغییر کند.

جزئیاتی مانند SHA256 هش فایل، نوع فایل و اقدام انجام‌شده (مثلاً blocked) در اینجا نمایش داده می‌شود.

تأیید ارسال و دریافت نتیجه تحلیل در Monitor > Threats:

پس از صدور حکم (Verdict) توسط WildFire، یک لاگ جدید نیز در Monitor > Threats ایجاد می‌شود.

این لاگ علاوه بر جزئیات عادی، در ستون Threat/Content Name شامل عبارت wildfire خواهد بود (مثلاً WildFire: EICAR_Test_File).

این مهم‌ترین نشانه است که ثابت می‌کند:

فایل برای تحلیل ارسال شده.

نتیجه تحلیل به‌صورت خودکار بازگشته.

یک امضا (Signature) جدید به صورت پویا برای این تهدید در پایگاه‌داده محلی فایروال شما ایجاد شده است. اکنون این فایل برای تمامی کاربران بعدی شبکه شما نیز مسدود خواهد شد.

آنالیز نتایج و عیب‌یابی رایج

پس از تست، باید نتایج را تحلیل و در صورت نیاز عیب‌یابی کنید.

وضعیت تست معنای احتمالی اقدام عیب‌یابی
Threat Prevention تست EICAR ناموفق فایل دانلود یا اجرا شد. ۱. اعتبارسنجی Policy: بررسی کنید پروفایل Threat Prevention به Security Policy اعمال شده و Rule مربوطه فعال است.
۲. بررسی به‌روزرسانی‌ها: از به‌روز بودن Applications and Threats در Device > Dynamic Updates اطمینان حاصل کنید.
۳. بررسی Action در پروفایل: مطمئن شوید Action برای دسته virus روی alert نباشد.
فایل برای WildFire ارسال نشد در Monitor > WildFire رکوردی وجود ندارد. ۱. بررسی لایسنس: وضعیت لایسنس WildFire در Dashboard > Widgets باید سبز (Active) باشد.
۲. بررسی ارتباط شبکه: از دسترسی فایروال به اینترنت و سرور WildFire (مثلاً wildfire.paloaltonetworks.com) از طریق Device > Troubleshooting اطمینان حاصل کنید.
۳. بررسی پروفایل WildFire: در پروفایل WildFire، گزینه Forward to WildFire Cloud باید فعال باشد.
۴. بررسی نوع و حجم فایل: از مطابقت نوع فایل (مثلاً zip) با فیلترهای تعریف‌شده در پروفایل و عدم تجاوز از حد مجاز حجم (10MB پیش‌فرض) اطمینان حاصل کنید.
حکم WildFire در حالت Pending می‌ماند تحلیل تمام نمی‌شود. ۱. صبر کنید (تحلیل ممکن است چند دقیقه طول بکشد).
۲. ارتباط اینترنت فایروال را بررسی کنید.
۳. در صورت تداوم، ممکن است مشکل از سمت سرویس ابری Palo Alto باشد.
عملکرد کلی فایروال کند شده تأخیر در ترافیک شبکه پس از فعال‌سازی سرویس‌ها. این امر با فعال‌سازی بازرسی عمیق محتوا طبیعی است. برای بهینه‌سازی، Security Policy خود را دقیق‌تر کنید (مثلاً ترافیک حساس را بازرسی کنید) و از سخت‌افزار مناسب با توان پردازشی کافی استفاده نمایید.

 

ایجاد فرآیند مانیتورینگ مستمر

تست اولیه کافی نیست. برای اطمینان از سلامت دائم سرویس‌ها، مانیتورینگ را راه‌اندازی کنید:

نظارت داخلی Panorama/فایروال: داشبوردهای پیش‌ساخته در بخش Dashboard را برای مشاهده روند تهدیدات و وضعیت سرویس‌ها شخصی‌سازی کنید.

یکپارچه‌سازی با سیستم‌های مانیتورینگ شبکه (SIEM/NMS): با استفاده از SNMP، Syslog یا API فایروال، رویدادهای امنیتی و معیارهای عملکردی (مانند مصرف CPU، تعداد Session) را به سیستم مرکزی مانند PRTG ارسال کنید. این کار امکان دریافت هشدار (Alert) خودکار و گزارش‌گیری تاریخی را فراهم می‌کند.

با انجام این تست‌ها و استقرار مانیتورینگ، نه تنها از صحت پیاده‌سازی اطمینان حاصل می‌کنید، بلکه یک چرخه بهبود مستمر برای امنیت شبکه خود ایجاد خواهید کرد.

بهینه‌سازی و مدیریت

پس از استقرار اولیه، مرحله حیاتی بهینه‌سازی و مدیریت مستمر آغاز می‌شود. این فرآیند تضمین می‌کند که سرویس‌های امنیتی همواره در اوج کارایی، به‌روز و متناسب با تغییرات شبکه شما عمل کنند.

مانیتورینگ و گزارش‌گیری

مانیتورینگ فعال، کلید درک محیط تهدید و اثربخشی دفاع شما است.

استفاده مؤثر از Application Command Center) ACC)

دسترسی: از منوی Monitor گزینه ACC را انتخاب کنید.

تحلیل دید کلان: ACC یک دید گرافیکی و تعاملی از تمامی فعالیت‌های شبکه (بر اساس Application، User، Threat و URL) ارائه می‌دهد.

شکار تهدید: از فیلترهای پیشرفته برای شناسایی سریع الگوهای مشکوک استفاده کنید:

فیلتر Threat Name : wildfire برای مشاهده تمام تهدیدات کشف‌شده توسط WildFire.

فیلتر Risk of App : 5 یا Action : reset-both برای متمرکز شدن بر پرخطرترین فعالیت‌ها.

نکته عملی: یک View شخصی‌سازی شده در ACC برای تیم امنیت خود بسازید که به‌طور خودکار ترافیک غیرعادی، تهدیدات سطح بالا و فعالیت کاربران پرخطر را هایلایت کند.

تنظیم هشدار (Alert) هوشمند برای تهدیدات حیاتی

ایجاد هشدارهای هدفمند، شما را از وقایع بحرانی مطلع می‌سازد.

مسیر: Objects > Log Forwarding

ایجاد پروفایل جدید هشدار:

روی Add کلیک و یک نام مانند Critical-Threat-Alert وارد کنید.

در تب Filters، شرط‌های دقیق تعریف کنید:

Severity eq ‘critical’

یا Action eq ‘reset-both’ برای حوادث مسدودسازی فوری.

در تب Actions، Email Alert را انتخاب و پیکربندی کنید.

آدرس ایمیل مدیران امنیت را وارد کنید.

یک قالب ایمیل (Email Template) حرفه‌ای ایجاد کنید که شامل جزئیات ضروری مانند نام تهدید، مبدا، مقصد، کاربر درگیر و زمان باشد.

انتساب: این پروفایل Log Forwarding را در Device > Log Settings به سطوح لاگ مورد نظر (مثلاً Threat) متصل کنید.

خروجی‌گیری و آنالیز گزارش‌های ماهانه

گزارش‌های دوره‌ای برای تحلیل روند و ارائه به مدیریت ضروری است.

مسیر: Monitor > Reports

گزارش‌های کلیدی:

تهدیدات (Threats Report): خلاصه‌ای از انواع تهدیدات مسدودشده، منابع اصلی و اهداف.

فعالیت WildFire: آمار فایل‌های ارسالی، درصد بدافزارها و رایج‌ترین انواع فایل آلوده.

فعالیت کاربران پرخطر (User Risk Report): شناسایی کاربرانی که بیشتر در معرض تهدیدات قرار گرفته‌اند (برای آموزش هدفمند).

خروجی و زمان‌بندی:

از قابلیت Schedule برای ارسال خودکار گزارش PDF به ایمیل مدیران در پایان هر ماه استفاده کنید.

داده‌های خام لاگ را نیز می‌توان به‌صورت هفتگی از طریق PCAP یا Syslog به یک سامانه SIEM (مانند Splunk یا Elastic) ارسال کرد برای تحلیل عمیق‌تر و همبستگی با رویدادهای دیگر.

نگهداری و عیب‌یابی

مدیریت پیشگیرانه از خرابی‌ها و افت عملکرد جلوگیری می‌کند.

بررسی منظم به‌روزرسانی‌های سرویس

وضعیت لایسنس: هفته‌ای یکبار از Dashboard > Licenses وضعیت لایسنس Threat Prevention و WildFire را بررسی کنید.

به‌روزرسانی محتوا: در Device > Dynamic Updates، از فعال بودن گزینه Scheduled Updates و موفقیت‌آمیز بودن آخرین به‌روزرسانی پایگاه تهدیدات اطمینان حاصل کنید. تاریخ به‌روزرسانی نباید بیش از ۲۴ ساعت گذشته باشد.

بروزرسانی PAN-OS: برنامه‌ای برای ارتقا به نسخه‌های Preferred (توصیه‌شده) PAN-OS در بازه‌های ۱۲-۱۸ ماهه داشته باشید. همیشه Release Notes را برای رفع اشکالات امنیتی و بهبود قابلیت‌ها مطالعه کنید.

عیب‌یابی مشکلات ارتباط با WildFire

اگر WildFire فایل‌ها را تحلیل نمی‌کند، این چک‌لیست را دنبال کنید:

مشکل احتمالی روش تشخیص راه حل
مشکل اتصال به اینترنت در CLI: test system بررسی وضعیت سرویس‌ها تنظیمات Route پیش‌فرض و DNS در Device > Setup را بررسی کنید.
مسدودی توسط پراکسی/فایروال بالادست در CLI: test wildfire-upload پورت‌های TCP/443 و TCP/80 برای آدرس wildfire.paloaltonetworks.com (یا معادل منطقه‌ای) باید باز باشند. در صورت نیاز، SSL Decryption Certificate را در Device > Setup > WildFire وارد کنید.
لایسنس منقضی یا نامعتبر در Dashboard: بررسی وضعیت ویجت WildFire Subscription لایسنس را از پنل پشتیبانی Palo Alto (Support Portal) تمدید یا فعال کنید.
پروفایل یا Policy نادرست بررسی Monitor > WildFire. اگر رکوردی نیست، فایل ارسال نشده. ۱. مطمئن شوید پروفایل WildFire به Security Policy صحیح اعمال شده.
۲. در پروفایل، گزینه Forward to WildFire فعال باشد.
۳. نوع و حجم فایل در File Type Filtering مجاز باشد.

بهینه‌سازی Performance با مدیریت حجم لاگ

ذخیره لاگ‌های سنگین می‌تواند بر عملکرد تأثیر بگذارد.

تنظیم سهمیه (Quota) و فیلترینگ لاگ:

به Device > Log Settings بروید.

برای هر نوع لاگ (مانند Threat، Traffic)، Local Logging Quota را بر اساس نیاز و فضای دیسک تعیین کنید (مثلاً ۵۰۰ مگابایت).

از تب Filters برای جلوگیری از ذخیره لاگ‌های کم‌اهمیت استفاده کنید. مثلاً می‌توان لاگ‌های Threat با Severity: low را تنها Forward کرد اما ذخیره محلی نکرد.

مدیریت Session و Policy:

Performance مشکل دارد؟ به Dashboard > Widgets > Session Metrics مراجعه کنید.

Security Policy خود را بهینه کنید: قوانین پرتردد را در بالای لیست قرار دهید و از Policy Optimizer (در Panorama یا PAN-OS 10.x+) برای حذف قوانین بلااستفاده کمک بگیرید.

سختی افزاری: از ابزار Palo Alto BPA (Best Practices Assessment) برای دریافت توصیه‌های شخصی‌سازی شده ارتقا سخت‌افزار یا تنظیمات استفاده کنید.

نتیجه‌گیری

فعال‌سازی همزمان Threat Prevention و WildFire در فایروال Palo Alto Networks، یک استراتژی دفاعی لایه‌ای و پیشرفته ایجاد می‌کند که سازمان را در برابر طیف وسیعی از تهدیدات، از حملات شناخته شده روزمره گرفته تا بدافزارهای پیچیده و ناشناخته (Zero-Day)، مقاوم می‌سازد.

نکته کلیدی موفقیت در این است که این سرویس‌ها را نه به عنوان یک فعالیت یکباره، بلکه به عنوان یک چرخه حیات مستمر ببینیم. پیاده‌سازی اولیه صحیح بر اساس اصول بهترین روش‌ها (Best Practices) پایه را می‌سازد، اما ارزش واقعی با مدیریت هوشمند، بهینه‌سازی مستمر بر اساس گزارش‌ها، و واکنش سریع به هشدارها محقق می‌شود.

با رعایت اصولی که در این مقاله تشریح شد – از آماده‌سازی شبکه و پیکربندی دقیق پروفایل‌ها گرفته تا تست اعتبارسنجی، مانیتورینگ فعال و نگهداری پیشگیرانه – می‌توانید قابلیت امنیتی شبکه خود را به سطحی ارتقا دهید که قادر به خنثی‌سازی موثر بیش از ۹۵٪ از تهدیدات رایج باشد. این رویکرد نه تنها امنیت را افزایش می‌دهد، بلکه با جلوگیری از وقوع حوادث امنیتی پرهزینه، بازگشت سرمایه قابل توجهی را نیز برای سازمان به ارمغان می‌آورد. در نهایت، یک محیط امن، بستری قابل اعتماد برای رشد و نوآوری کسب‌وکار فراهم می‌کند.

امتیاز
تصویر وینو سرور

وینو سرور

وینو سرور، اولین استارتاپ ارائه تجهیزات و سیستم های سخت افزاری، به صورت مستقیم از تولید کننده به مصرف کننده است. همواره تلاش مجموعه بر این اصل استوار بوده است تا مشتریان بتوانند بهترین سیستم را برای پروژه خود انتخاب کرده و با مناسب‌ترین قیمت، آن را تهیه کنند. تیم وینو سرور، همواره سعی می‌کند تا جامع‌ترین خدمات را به مشتریان ارائه دهد تا خرید را برای شما به کاری لذت‌بخش و آسان تبدیل کند.

پست ها

مطلع شدن از پست های جدید

می‌خواهم اولین نفری باشم که از مقاله‌هایی که در وینو سرور منتشر می‌شود، آگاه شوم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لوگو وینو سرور
×
نمودار قیمت
آخرین قیمت:
تومان
در حال آماده‌سازی...