در عصر دیجیتال امروز، زیرساختهای شبکه سازمانها هدف حملات سایبری پیچیده و گستردهای قرار گرفتهاند. تهدیداتی همچون باجافزارها، بدافزارهای پیشرفته (APT)، حملات فیشینگ و نقضهای دادهای، تنها با راهکارهای امنیتی سنتی قابل دفع نیستند. در این میان، فایروال نسل بعدی (NGFW) به عنوان خط مقدم دفاعی، نقشی محوری ایفا میکند. با این حال، صرفاً فیلترکردن ترافیک بر اساس پورت و آدرس IP کافی نبوده و فایروال مدرن باید بتواند تهدیدات را در لایه کاربرد (Application) و محتوا (Content) نیز شناسایی و خنثی نماید.
فایروالهای Palo Alto Networks با معماری منحصربهفرد خود، این امکان را فراهم میکنند که تمامی ترافیک شبکه، صرف نظر از پورت یا پروتکل، شناسایی، کنترل و بازرسی شود. اما قدرت واقعی این پلتفرم، در سرویسهای امنیتی پیشرفته و یکپارچه آن نهفته است که با بهرهگیری از هوش تهدید جهانی و یادگیری ماشین، از سازمان در برابر طیف وسیعی از حملات محافظت میکنند.
اهمیت تشخیص و پیشگیری تهدیدات در لایه فایروال
تمرکز سنتی بر محافظت از حاشیه شبکه (Network Perimeter) در دنیای امروز که مرزهای شبکه با گسترش دورکاری، رایانش ابری و دستگاههای سیار محو شده، ناکافی است. رویکرد مدرن، پیشگیری (Prevention) است؛ نه فقط تشخیص (Detection). تهدید باید در همان نقطه ورود به شبکه، مسدود (Block) شود، نه اینکه پس از نفوذ و ایجاد خسارت، شناسایی گردد. فایروال Palo Alto با اجرای سیاستهای امنیتی یکپارچه و قرارگرفتن در مسیر تمامی ترافیک (East-West و North-South)، بستری ایدهآل برای پیادهسازی این استراتژی “پیشگیری اول” فراهم میکند.
معرفی قابلیتهای کلیدی
دو ستون اصلی سیستم پیشگیری از تهدیدات در این فایروال، سرویسهای Threat Prevention و WildFire هستند که مکمل یکدیگرند:
Threat Prevention: سپر دفاعی در برابر تهدیدات شناخته شده
این سرویس، موتور اصلی شناسایی و مسدودسازی تهدیدات است که با بهرهگیری از یک پایگاه داده تهدید جهانی (Global Threat Intelligence) که مرتباً بهروز میشود، عمل میکند. Threat Prevention در واقع مجموعهای از قابلیتها است که به صورت یک سرویس اشتراکی (Subscription Service) فعال میشود و شامل موارد زیر است:
آنتیویروس (Anti-Virus): شناسایی و مسدودسازی بدافزارهای شناخته شده در ترافیک عبوری.
ضد جاسوسافزار (Anti-Spyware): تشخیص و مقابله با نرمافزارهای جاسوسی، کیلاگرها و درهای پشتی (Backdoors).
محافظت در برابر آسیبپذیریها (Vulnerability Protection): شناسایی و جلوگیری از سوءاستفاده از آسیبپذیریهای شناخته شده در نرمافزارها و سیستمعاملها، پیش از اعمال وصله.
مقابله با باتنتها (Command-and-Control Prevention): شناسایی و قطع ارتباط سیستمهای آلوده با سرورهای فرماندهی و کنترل (C&C) از طریق تکنیکهایی مانند Sinkholing.
WildFire: سامانه پیشرفته شکار تهدیدات ناشناخته (Zero-Day)
تهدیدات امروزی اغلب ناشناخته (Zero-Day) یا با امضاهای تغییرشکلیافته هستند. سرویس WildFire پاسخ Palo Alto به این چالش است. این سرویس، فایلها و محتوای مشکوک را در یک محیط تحلیل پویای ابری (Cloud-Based Sandbox) اجرا و رفتار آنها را زیر نظر میگیرد.
مکانیزم عمل: هنگامی که فایل مشکوکی (مانند یک فایل PDF، فایل اجرایی یا سند Office) از فایروال عبور میکند، در صورت پیکربندی مناسب، یک کپی از آن به صورت ایمن و رمزنگاریشده به سرویس ابری WildFire ارسال میشود.
تحلیل پویا: فایل در یک محیط ایزوله و مجازیشده (Sandbox) اجرا شده و رفتارهای مخربی مانند دسترسی به رجیستری، ایجاد اتصال شبکه به مقاصد مشکوک یا رمزنگاری فایلها بررسی میشود.
بازخورد جهانی: اگر فایل مخرب تشخیص داده شود، تنها در ۵ دقیقه یک امضای جدید (Signature) ایجاد شده و به صورت خودکار برای تمامی مشترکین WildFire در سراسر جهان توزیع میشود. این موضوع یک «مصونیت جمعی» دیجیتال ایجاد میکند.
پیشنیازها
برای فعالسازی و بهرهبرداری مؤثر از این سرویسها، نیازمند موارد زیر هستید:
لایسنس معتبر: داشتن اشتراک سرویس (Service Subscription) فعال برای Threat Prevention و WildFire. وضعیت لایسنس از مسیر Device > Licenses قابل بررسی است.
دسترسی مدیریتی: دسترسی ادمین با سطح دسترسی مناسب (مانند سوپرکاربر) به پنل مدیریت فایروال (Panorama یا GUI دستگاه).
اتصال اینترنتی: فایروال باید دسترسی لازم به اینترنت (به ویژه به سرویسهای ابری Palo Alto برای بهروزرسانی امضا و ارسال نمونه به WildFire) را داشته باشد.
پیکربندی پایه شبکه: تنظیمات اولیه اینترفیسها، زونها، مسیریابی و Policyهای پایه امنیتی باید انجام شده باشد.
در بخشهای بعدی این مقاله، به صورت گامبهگام و عملی، نحوه فعالسازی، پیکربندی و بهینهسازی این دو سرویس حیاتی را برای ایجاد لایهای قدرتمند از امنیت پیشگیرانه در شبکه شما شرح خواهیم داد.
۲. آمادهسازی اولیه
قبل از فعالسازی و پیکربندی سرویسهای امنیتی پیشرفته در فایروال Palo Alto، انجام یکسری آمادهسازیهای زیرساختی و اطمینان از صحت تنظیمات پایه ضروری است. این مرحله از اهمیت بالایی برخوردار است، زیرا عملکرد صحیح سرویسهایی مانند WildFire و Threat Prevention کاملاً وابسته به بهروز بودن پایگاهدادههای امنیتی و امکان ارتباط امن فایروال با سرویسهای ابری Palo Alto Networks است.
بروزرسانی سرویسها (Service Updates)
قلب تپنده قابلیتهای امنیتی فایروال Palo Alto، پایگاه داده محتوای امنیتی (Security Content Database) آن است که شامل امضاها (Signatures)، الگوهای حمله و اطلاعات تهدیدات میشود. بدون بهروزرسانی منظم این محتوا، فایروال قادر به شناسایی تهدیدات جدید نخواهد بود.
مراحل بررسی و بهروزرسانی:
ورود به پنل مدیریت: از طریق آدرس IP مدیریت فایروال به محیط وب (GUI) وارد شوید.
بررسی وضعیت لایسنس و بهروزرسانیها:
به مسیر Device > Dynamic Updates بروید.
در تب Software Versions، از بهروز بودن سیستم عامل PAN-OS (ترجیحاً در نسخه پشتیبانی شده) اطمینان حاصل کنید.
به تب Applications and Threats بروید. این بخش وضعیت بهروزرسانی محتوای امنیتی را نشان میدهد.
بررسی و دانلود بهروزرسانیهای حیاتی:
برنامه آنتیویروس (Anti-Virus): اطمینان حاصل کنید که آخرین نسخه موتور آنتیویروس و پایگاه داده تعریف ویروسها دانلود شده است. این مورد برای شناسایی بدافزارهای شناخته شده در فایلهای عبوری ضروری است.
پایگاه داده تهدیدات (Threat Prevention): این بسته شامل آخرین امضاهای Anti-Spyware، Vulnerability Protection و Command-and-Control است. تاریخ بهروزرسانی آن باید حداکثر به ۲۴ ساعت قبل بازگردد.
اشتراک WildFire: اطمینان از فعال بودن و بهروز بودن سرویس WildFire. همچنین، در تب WildFire در بخش Dynamic Updates، باید آخرین نسخه آپلود کننده (Uploader) و تحلیلگر (Analyzer) وجود داشته باشد.
تنظیم زمانبندی بهروزرسانی خودکار (توصیه شده):
در همان بخش Dynamic Updates، روی دکمه Schedule در پایین صفحه کلیک کنید.
یک زمانبندی جدید ایجاد کنید (مثلاً: دریافت بهروزرسانیها هر روز ساعت ۳ بامداد).
گزینه Download and install را برای نصب خودکار پس از دانلود انتخاب کنید تا فایروال همواره از آخرین محافظتها بهرهمند باشد.
توجه: پیش از نصب بهروزرسانیهای اصلی (مانند ارتقای PAN-OS)، حتماً از پیکربندی فایروال Backup گرفته و تغییرات را در ابتدا در محیط آزمایشی تست کنید.
تنظیمات شبکهای
دسترسی پایدار و مطمئن فایروال به اینترنت، شرط لازم برای عملکرد سرویسهای امنیتی مبتنی بر ابر (مانند WildFire) و دریافت بهروزرسانیها است.
۱. پیکربندی رابطهای شبکه (Interfaces):
اینترفیس مدیریت (Management Interface): معمولاً (MGT) برای دسترسی مدیریتی استفاده میشود. اگر از این اینترفیس برای ارتباط با سرویسهای ابری استفاده میکنید، باید Route پیشفرض (Default Route) و DNS سرور روی آن تنظیم شود.
اینترفیسهای داده (Dataplane Interfaces): اینترفیسهایی که ترافیک کاربر از آنها عبور میکند (مثل اینترفیسهای Trust و Untrust) باید به درستی پیکربندی شده باشند: نوع اینترفیس (Layer 3 یا Layer 2)، آدرس IP، Zone مربوطه و پروفایل امنیتی (Security Profile) اولیه.
۲. تنظیم مسیریابی (Routing) برای دسترسی WildFire و سرویسها به اینترنت:
فایروال Palo Alto برای آپلود فایلهای مشکوک به WildFire و چک کردن بهروزرسانیها نیازمند یک Route پیشفرض معتبر است.
مسیر: Network > Virtual Routers > [نام روتر پیشفرض معمولاً ‘default’] > Static Routes
یک Route استاتیک با مقصد 0.0.0.0/0 و Next-Hop برابر با آدرس IP گیتوی ISP یا فایروال بالادستی ایجاد کنید.
مطمئن شوید این Route به اینترفیس صحیح (معمولاً اینترفیس بیرونی یا Untrust) متصل است.
۳. تنظیم DNS معتبر:
سرویس WildFire و سرورهای بهروزرسانی Palo Alto با نام دامنه (FQDN) آدرسدهی میشوند. بنابراین، تنظیم DNS سرورهای قابل اطمینان (مانند 8.8.8.8 یا DNS سرورهای داخلی سازمان) حیاتی است.
مسیر: Device > Setup > Services
در بخش Primary DNS Server و Secondary DNS Server، آدرس IP سرورهای DNS معتبر را وارد کنید.
تست تنظیمات DNS: در همان صفحه، در قسمت Test DNS Resolution، یک دامنه معروف مانند paloaltonetworks.com را وارد و گزینه Test را بزنید. باید آدرس IP مربوطه برگردانده شود.
۴. (اختیاری اما توصیه شده) تعیین اینترفیس خروجی سرویسها (Service Route):
به طور پیشفرض، فایروال از Route جدول مسیریابی برای ارتباط سرویسهای مدیریتی استفاده میکند. میتوان مسیر مخصوصی برای ترافیک سرویسها تعریف کرد.
مسیر: Device > Setup > Session
روی Service Route Configuration کلیک کنید. میتوانید مشخص کنید ترافیک سرویسهایی مانند پیشگیری از تهدید (Threat Prevention)، WildFire و بهروزرسانی پویا (Dynamic Updates) از کدام اینترفیس خاص خارج شوند. این کار برای شبکههایی که ترافیک مدیریت از ترافیک داده جدا است، بسیار مفید است.
با تکمیل این تنظیمات اولیه، زیرساخت فایروال شما برای پذیرش و اجرای مؤثر سیاستهای پیشرفته امنیتی Threat Prevention و WildFire آماده خواهد شد. در بخش بعدی، به سراغ فعالسازی عملی این سرویسها خواهیم رفت.
فعالسازی Threat Prevention
پس از آمادهسازی زیرساخت، نوبت به فعالسازی و پیکربندی موتور اصلی دفاعی فایروال Palo Alto یعنی Threat Prevention میرسد. این فرآیند شامل سه مرحله اصلی است: ایجاد پروفایل امنیتی، تنظیمات پیشرفته برای افزایش اثربخشی، و در نهایت اعمال این پروفایل بر ترافیک شبکه.
ایجاد پروفایل امنیتی Threat Prevention
پروفایل امنیتی Threat Prevention، مجموعهای از قوانین است که تعیین میکند فایروال چگونه با انواع مختلف تهدیدات شناسایی شده برخورد کند.
گامبهگام ایجاد پروفایل:
مراجعه به بخش پروفایلها:
از منوی اصلی به مسیر Objects > Security Profiles > Threat Prevention بروید.
ایجاد پروفایل جدید:
بر روی دکمه Add در پایین پنجره کلیک کنید.
در پنجره باز شده، یک Name توصیفی برای پروفایل وارد کنید (مثلاً: Corporate-Threat-Prevention-Profile).
Description اختیاری اما مفیدی برای مستندسازی اضافه نمایید (مثلاً: “پروفایل اصلی برای مسدودسازی تهدیدات با Action Reset-Both”).
پیکربندی اقدامات (Actions) برای دستههای تهدید:
در تب Threat Prevention (که به صورت پیشفرض باز است)، چهار بخش اصلی را مشاهده خواهید کرد. برای هر بخش، Action مناسب را از منوی کشویی انتخاب کنید. انتخاب اقدام صحیح، کلید موفقیت است:
| دسته تهدید | اقدام توصیه شده (Action) | توضیح منطق |
| Virus | reset-both | هنگام شناسایی ویروس، هم اتصال از سمت کلاینت و هم از سمت سرور قطع (reset) میشود و یک صفحه اخطار (Alert) به کاربر نمایش داده میشود. این عمل سریعترین روش برای متوقف کردن انتقال فایل آلوده است. |
| Spyware | reset-both | برای جاسوسافزارها و بدافزارهای مشابه، اقدام فوری قطع اتصال (reset-both) ضروری است تا از نشت اطلاعات جلوگیری شود. |
| Vulnerability | reset-both | برای حملات اکسپلویت که از آسیبپذیریهای نرمافزاری سوءاستفاده میکنند، بهترین واکنش، قطع بلافاصله اتصال مهاجم است. |
| Command-and-Control | block-ip | برای ترافیک مرتبط با باتنتها، اتصال به آدرس IP سرور C&C مسدود (block-ip) میشود. گزینه block-ip بهتر از reset-both است، زیرا به صورت فعالتر و با حداقل سربار، تمام ارتباطات آینده با آن IP مخرب را نیز مسدود میکند. |
* **نکته:** میتوانید سطح **Severity** (شدت تهدید) را برای فیلتر کردن تهدیدات بر اساس سطح خطر (مثلاً فقط **Critical** و **High**) محدود کنید. اما برای محیطهای با حساسیت بالا، توصیه میشود تمام سطوح (**Low** تا **Critical**) تحت نظارت یا مسدودسازی قرار گیرند.
تنظیمات پیشرفته Threat Prevention
برای افزایش دقت و قدرت پروفایل ایجاد شده، باید چند تنظیم حیاتی دیگر را پیکربندی کنیم.
۱. فعالسازی Block DNS over HTTPS (DoH):
مهاجمان از پروتکل DNS over HTTPS برای مخفی کردن ارتباطات C&C خود در ترافیک رمزگذاری شده استاندارد وب استفاده میکنند.
در تب DNS Security درون پروفایل Threat Prevention، گزینه Block DNS over HTTPS را فعال (Enable) کنید.
این کار باعث میشود فایروال بتواند درخواستهای DoH را شناسایی و در صورت شناسایی فعالیت مخرب، آنها را مسدود کند.
۲. پیکربندی Sinkholing برای تهدیدات C&C:
Sinkholing یک تکنیک هوشمندانه است که در آن، زمانی که فایروال ارتباط یک سیستم آلوده (مثلاً یک عضو باتنت) با سرور C&C واقعی را شناسایی میکند، درخواست DNS آن را به یک آدرس IP کنترلشده و بیخطر (Sinkhole) هدایت میکند. این کار باعث میشود:
آلودگی در شبکه شما شناسایی شود (با مشاهده لاگ ترافیک به سمت آدرس Sinkhole).
ارتباط مهاجم با قربانی قطع شود.
در تب DNS Security، در بخش Sinkhole:
گزینه Enable Sinkhole را فعال کنید.
یک IPv4 Sinkhole Address وارد کنید (مثلاً آدرس خصوصی مانند 10.255.255.1 یا یک آدرس عمومی کنترلشده).
فایروال به طور خودکار رکوردهای DNS دامنههای مخرب شناخته شده را به این آدرس حل میکند.
تنظیم حساسیت (Severity) و Exceptions:
در تب اصلی Threat Prevention، میتوانید برای هر دسته (مثلاً Spyware) روی دکمه Override Options کلیک کنید.
در اینجا میتوانید:
فیلترینگ را بر اساس Severity دقیقتر کنید (مثلاً برای تهدیدات با سطح Low تنها Alert بزنید و برای Critical اقدام reset-both انجام دهید).
استثنا (Exception) تعریف کنید. برای مثال، اگر یک نرمافزار داخلی خاص به اشتباه به عنوان Spyware شناسایی میشود، میتوانید امضای (Signature) مربوطه را در اینجا مستثنی کنید تا Action روی آن اعمال نشود.
اعمال پروفایل Threat Prevention روی Policy امنیتی
ایجاد پروفایل به تنهایی کافی نیست. باید به فایروال بگوییم این پروفایل را بر روی کدام ترافیک شبکه اعمال کند.
مراجعه به قوانین امنیتی:
به مسیر Policies > Security بروید.
ویرایش یا ایجاد Rule جدید:
یا یک Rule موجود را که ترافیک هدف شما را مدیریت میکند، Edit کنید.
یا یک Rule جدید با کلیک بر روی Add ایجاد کنید. Rule جدید باید بر اساس Source/Destination Zones، آدرسها و برنامهها (Applications) تعریف شود تا دقیقاً مشخص کند کدام ترافیک بازرسی شود (مثلاً ترافیک از Zone Trust به Untrust).
اختصاص پروفایل Threat Prevention:
در پنجره ویرایش یا ایجاد Rule، به بخش Profile Settings بروید.
از منوی کشویی روبروی گزینه Threat Prevention، پروفایلی که در مرحله ۳.۱ ایجاد کردید (مثلاً Corporate-Threat-Prevention-Profile) را انتخاب کنید.
توجه: در این بخش پروفایلهای دیگر مانند URL Filtering، File Blocking، Data Filtering و WildFire (که در بخش بعدی تنظیم میشود) نیز قابل اعمال هستند.
ذخیره و Commit تغییرات:
بر روی OK کلیک کنید.
در نهایت، تغییرات را با کلیک بر روی دکمه Commit در گوشه بالا سمت راست پنل مدیریت، ذخیره و اعمال (Commit) کنید. تا زمانی که Commit انجام نشود، هیچ یک از تغییرات اعمال نخواهد شد.
✅ بررسی نهایی: پس از Commit، ترافیک منطبق با Rule شما، تحت بازرسی Threat Prevention قرار میگیرد. میتوانید از بخش Monitor > Threats برای مشاهده تهدیدات شناسایی و مسدود شده استفاده کنید تا از عملکرد صحیح پیکربندی اطمینان حاصل نمایید.
فعالسازی و پیکربندی WildFire
WildFire سرویس تحلیل رفتاری (sandbox) Palo Alto Networks است که با شناسایی تهدیدات ناشناخته (zero-day) و سریعالعمل (zero-hour)، لایه دفاعی عمیقی را فراهم میکند. این بخش به صورت جامع مراحل پیادهسازی آن را شرح میدهد.
. تنظیمات اولیه WildFire
پیش از هر چیز، باید ارتباط فایروال با سرویس ابری WildFire برقرار شود.
گامبهگام تنظیمات اولیه:
دسترسی به بخش تنظیمات WildFire:
از منوی اصلی به مسیر Device > Setup > WildFire بروید.
انتخاب سرویسدهنده WildFire (متناسب با منطقه جغرافیایی):
در تب Setup، بخش WildFire Settings را پیدا کنید.
در فیلد WildFire Server، از منوی کشویی، نزدیکترین سرور ابری به موقعیت جغرافیایی خود را انتخاب کنید. این انتخاب بر تأخیر (latency) و رعایت مقررات محلی (مانند GDPR) تأثیر مستقیم دارد:
آمریکا: wildfire.paloaltonetworks.com (پیشفرض)
اروپا: wildfire-eu.paloaltonetworks.com
سایر مناطق: گزینههای مربوط به آسیا-اقیانوسیه یا کانادا را انتخاب کنید.
نکته: اگر از Panorama استفاده میکنید، ممکن است تنظیمات به صورت متمرکز از آنجا Push شود.
آپلود گواهی SSL (در صورت نیاز برای محیطهای خاص):
در صورتی که در شبکه شما برای خروج به اینترنت از فیلتر مبتنی بر گواهی (SSL Decryption) استفاده میشود، یا به یک پراکسی احراز هویت متصل هستید، WildFire نیازمند گواهی ریشه (Root CA) مربوطه است تا ارتباط SSL با سرورهایش را برقرار کند.
در تب Setup، به بخش SSL Decryption بروید.
گواهی مورد اعتماد (Certificate Authority) مربوطه را با استفاده از دکمه Import آپلود کنید. در غیر این صورت، ارتباط WildFire ممکن است با خطای SSL مواجه شود.
تست ارتباط (Verify Connectivity):
پس از تنظیم Route و DNS (از مرحله آمادهسازی)، میتوانید از بخش Device > Troubleshooting و با استفاده از دستور test wildfire-upload در CLI، یا مشاهده وضعیت در Dashboard > Widgets > WildFire Subscription Status، از صحت ارتباط اطمینان حاصل کنید.
ایجاد پروفایل امنیتی WildFire
پروفایل WildFire مشخص میکند که فایروال با فایلهای مشکوک چگونه رفتار کند.
مراحل ایجاد پروفایل:
ایجاد پروفایل جدید:
به مسیر Objects > Security Profiles > WildFire Analysis بروید.
روی دکمه Add کلیک کنید و یک Name توصیفی وارد کنید (مثلاً: WildFire-Standard-Profile).
پیکربندی اقدامات (Actions) در تب WildFire Analysis:
تحلیل اولیه (Initial Analysis): این گزینه تعیین میکند که در لحظه رسیدن فایل (پیش از دریافت نتیجه از ابر) چه عملی انجام شود.
Block: (توصیه شده برای محیطهای حساس) – فایل بلافاصله مسدود میشود و تنها در صورتی که تحلیل WildFire نتیجه “پاک” را اعلام کند، برای دفعات بعدی اجازه عبور میگیرد.
Alert: (برای فاز آزمایشی) – فایل در ابتدا عبور میکند، اما برای تحلیل ارسال میشود و در صورت مخرب بودن، برای دفعات بعد مسدود خواهد شد.
ارسال به ابر عمومی (Public Cloud): گزینه Forward To Palo Alto Networks WildFire را حتماً فعال کنید. این هسته اصلی سرویس است.
ارسال به ابر خصوصی (Private Cloud): در صورتی که سازمان شما سرور WildFire خصوصی (On-Premise Appliance) داشته باشد، آدرس آن را در این بخش وارد میکنید. این گزینه برای ترافیک بسیار حساس که نمیتواند به ابر عمومی ارسال شود، طراحی شده است.
تعیین انواع و محدودیتهای فایل برای تحلیل
برای بهینهسازی عملکرد و پهنای باند، باید مشخص کنیم کدام فایلها و با چه حجمی برای تحلیل ارسال شوند.
انتخاب فرمتهای فایل (File Types):
در همان پروفایل، به تب File Type Filtering بروید.
فایلهایی که بیشترین هدف برای حملات هستند را انتخاب (Check) کنید. انتخاب هوشمندانه منابع را مدیریت میکند:
اجراییها (PE): Windows EXE, DLL, Sys – ضروری
اسناد اداری: Microsoft Office (DOC, XLS, PPT)، PDF – ضروری
Android (APK) و Java (JAR)
فایلهای پویا: Flash (SWF)، JavaScript
فایلهای رایج اینترنتی: ZIP, RAR (حاوی فایلهای اجرایی)
میتوانید فایلهای کمخطر مانند تصاویر (JPEG, PNG) را از تحلیل معاف کنید.
تعیین محدوده حجمی فایلها (File Size Limits):
در بخش Upload Settings پروفایل، گزینه File Size Limit را میتوانید تنظیم کنید.
حداکثر پیشفرض ۱۰ مگابایت است. میتوانید این مقدار را بر اساس سیاست و پهنای باند شبکه افزایش یا کاهش دهید (مثلاً ۲۰ MB برای محیطهایی که فایلهای مهندسی بزرگ جابهجا میکنند).
نکته مهم: فایلهای بزرگتر از این حد، برای تحلیل ارسال نمیشوند. بنابراین بهتر است در صورت امکان، این محدوده را به اندازه عملی فایلهای رایج کسبوکار خود تنظیم کنید.
اعمال پروفایل WildFire روی Policy امنیتی
اکنون باید به فایروال بگوییم که کدام ترافیک را تحت بازرسی WildFire قرار دهد.
اعمال در Rule امنیتی:
به Policies > Security برگردید.
Rule امنیتی مورد نظر (معمولاً همان Ruleای که Threat Prevention را اعمال کردید) را Edit کنید. این Rule معمولاً ترافیک خروجی کاربران به اینترنت یا ترافیک دانلود از اینترنت را پوشش میدهد.
در بخش Actions همان Rule، مطمئن شوید که گزینه Log at session end فعال است. این برای آنالیز لاگ WildFire ضروری است.
اختصاص پروفایل WildFire:
در پنجره ویرایش Rule، به سربرگ Profile Settings بروید.
از منوی کشویی روبروی گزینه WildFire Analysis، پروفایل ایجاد شده در مرحله ۴.۲ (مثلاً WildFire-Standard-Profile) را انتخاب کنید.
ترکیب با Threat Prevention: دقت کنید که در این بخش، پروفایل Threat Prevention نیز باید انتخاب شده باشد. این دو سرویس به صورت مکمل کار میکنند: WildFire تهدیدات ناشناخته را پیدا کرده و به Threat Prevention میافزاید، و Threat Prevention همان تهدیدات را در آینده مسدود میکند.
اولویتدهی (Prioritization) و Commit:
اولویت Rule: اطمینان حاصل کنید Ruleای که WildFire را فعال میکند، در بالای لیست قوانین و قبل از هر Rule عمومیتری که ترافیک مشابه را بدون بازرسی WildFire مجاز میکند، قرار گیرد. قوانین در Palo Alto از بالا به پایین اجرا میشوند.
Commit نهایی: پس از اتمام تنظیمات، بر روی OK و سپس دکمه Commit در گوشه بالا-راست کلیک کنید. یک توضیح (Description) برای تغییرات وارد کرده (مثلاً: “افزودن پروفایل WildFire به Rule خروجی کاربران”) و Commit را تأیید کنید. پس از چند لحظه، پیکربندی فعال میشود.
✅ نکته نظارتی: پس از فعالسازی، میتوانید گزارشها و نتایج را در Monitor > WildFire و Monitor > Threats مشاهده کنید. در این بخشها، نمونههای ارسال شده، وضعیت تحلیل (در حال بررسی، بدافزار، پاک) و جزئیات تهدیدات کشف شده قابل رؤیت است.
تست و اعتبارسنجی
پس از پیکربندی سرویسهای امنیتی، تست عملی و اعتبارسنجی عملکرد آنها ضروری است. این مرحله اطمینان میدهد که Threat Prevention و WildFire بهدرستی فعال شدهاند و در عمل از شبکه شما محافظت میکنند.
. تست عملکرد Threat Prevention
هدف از این تست، اطمینان از شناسایی و مسدودسازی تهدیدات شناخته شده مانند ویروسها و بدافزارها توسط موتور Threat Prevention است.
روشهای تست ایمن:
استفاده از فایل آزمایشی استاندارد EICAR:
این یک فایل کاملاً بیخطر اما بهطور جهانی شناختهشده بهعنوان “آزمون آنتیویروس” است.
روش ۱ – دانلود از وب: از یک سیستم درون شبکه (Zone Trust)، به آدرس http://www.eicar.org/download/eicar.com دسترسی پیدا کنید. یک فایروال با Threat Prevention فعال و پیکربندی صحیح باید بلافاصله این اتصال را قطع (Reset) و فایل را مسدود کند.
روش ۲ – آپلود از طریق HTTP/S: میتوانید فایل eicar.com را در یک سرور وب تست آپلود کرده و از داخل شبکه آن را دانلود کنید.
نکته: از سایت اصلی eicar.org استفاده کنید و از کپیهای غیرقابل اعتماد خودداری نمایید.
بررسی لاگها در Monitor > Threats:
این بخش قلب نظارت بر امنیت در فایروال Palo Alto است.
پس از اجرای تست EICAR، به این بخش بروید.
در تب Threat، باید یک رکورد جدید با جزئیات زیر مشاهده کنید:
Threat/Content Name: EICAR Test File
Action: reset-both (یا عملی که در پروفایل تعریف کردهاید)
Type: virus
From/To: آدرسهای مبدا و مقصد ترافیک
Application: http یا web-browsing
مشاهده این لاگ، تأیید نهایی بر عملکرد صحیح Threat Prevention است.
تستهای تکمیلی (پیشرفته):
آسیبپذیریها: میتوانید با استفاده از ابزارهای اسکن آسیبپذیری قانونی (مانند نسخههای آموزشی Metasploit) در محیط ایزوله، یک حمله اکسپلویت ساده را به یک سیستم آزمایشی شبیهسازی کنید. باید لاگ مربوطه با نوع vulnerability را در Monitor > Threats ببینید.
Command-and-Control: تست این بخش پیچیدهتر است و معمولاً نیاز به نمونههای کنترلشده آزمایشگاهی دارد.
تست عملکرد WildFire
هدف این تست، اطمینان از ارسال فایلهای مشکوک به سرویس ابری WildFire، تحلیل صحیح و بازگشت نتیجه است.
روش اجرای تست ایمن:
ایجاد و استفاده از فایل آزمایشی EICAR در قالبهای پیچیده:
WildFire فایلهای EICAR که در قالبهای رایج (مثلاً داخل یک فایل ZIP رمزگذاریشده یا یک سند PDF) قرار گرفتهاند را نیز شناسایی میکند.
میتوانید فایل eicar.com را در یک فایل ZIP با رمز عبور (مثلاً infected.zip با رمز infected) بستهبندی کنید و آن را از اینترنت دانلود یا از طریق ایمیل ارسال کنید.
با این کار، هم قابلیت آنتیویرس پایه (بررسی محتوای فایل) و هم قابلیت WildFire (باز کردن و تحلیل فایل فشرده رمزدار) را میآزمایید.
بررسی بخش Monitor > WildFire:
این بخش مخصوص نظارت بر فعالیتهای WildFire است.
پس از عبور فایل آزمایشی، به این بخش بروید.
در تب File, باید رکوردی از فایل آپلود شده (مثلاً infected.zip) را ببینید.
وضعیت WildFire Verdict ابتدا ممکن است pending باشد و پس از چند ثانیه یا دقیقه (بسته به سرعت تحلیل) به malware تغییر کند.
جزئیاتی مانند SHA256 هش فایل، نوع فایل و اقدام انجامشده (مثلاً blocked) در اینجا نمایش داده میشود.
تأیید ارسال و دریافت نتیجه تحلیل در Monitor > Threats:
پس از صدور حکم (Verdict) توسط WildFire، یک لاگ جدید نیز در Monitor > Threats ایجاد میشود.
این لاگ علاوه بر جزئیات عادی، در ستون Threat/Content Name شامل عبارت wildfire خواهد بود (مثلاً WildFire: EICAR_Test_File).
این مهمترین نشانه است که ثابت میکند:
فایل برای تحلیل ارسال شده.
نتیجه تحلیل بهصورت خودکار بازگشته.
یک امضا (Signature) جدید به صورت پویا برای این تهدید در پایگاهداده محلی فایروال شما ایجاد شده است. اکنون این فایل برای تمامی کاربران بعدی شبکه شما نیز مسدود خواهد شد.
آنالیز نتایج و عیبیابی رایج
پس از تست، باید نتایج را تحلیل و در صورت نیاز عیبیابی کنید.
| وضعیت تست | معنای احتمالی | اقدام عیبیابی |
| Threat Prevention تست EICAR ناموفق | فایل دانلود یا اجرا شد. | ۱. اعتبارسنجی Policy: بررسی کنید پروفایل Threat Prevention به Security Policy اعمال شده و Rule مربوطه فعال است. ۲. بررسی بهروزرسانیها: از بهروز بودن Applications and Threats در Device > Dynamic Updates اطمینان حاصل کنید. ۳. بررسی Action در پروفایل: مطمئن شوید Action برای دسته virus روی alert نباشد. |
| فایل برای WildFire ارسال نشد | در Monitor > WildFire رکوردی وجود ندارد. | ۱. بررسی لایسنس: وضعیت لایسنس WildFire در Dashboard > Widgets باید سبز (Active) باشد. ۲. بررسی ارتباط شبکه: از دسترسی فایروال به اینترنت و سرور WildFire (مثلاً wildfire.paloaltonetworks.com) از طریق Device > Troubleshooting اطمینان حاصل کنید. ۳. بررسی پروفایل WildFire: در پروفایل WildFire، گزینه Forward to WildFire Cloud باید فعال باشد. ۴. بررسی نوع و حجم فایل: از مطابقت نوع فایل (مثلاً zip) با فیلترهای تعریفشده در پروفایل و عدم تجاوز از حد مجاز حجم (10MB پیشفرض) اطمینان حاصل کنید. |
| حکم WildFire در حالت Pending میماند | تحلیل تمام نمیشود. | ۱. صبر کنید (تحلیل ممکن است چند دقیقه طول بکشد). ۲. ارتباط اینترنت فایروال را بررسی کنید. ۳. در صورت تداوم، ممکن است مشکل از سمت سرویس ابری Palo Alto باشد. |
| عملکرد کلی فایروال کند شده | تأخیر در ترافیک شبکه پس از فعالسازی سرویسها. | این امر با فعالسازی بازرسی عمیق محتوا طبیعی است. برای بهینهسازی، Security Policy خود را دقیقتر کنید (مثلاً ترافیک حساس را بازرسی کنید) و از سختافزار مناسب با توان پردازشی کافی استفاده نمایید. |
ایجاد فرآیند مانیتورینگ مستمر
تست اولیه کافی نیست. برای اطمینان از سلامت دائم سرویسها، مانیتورینگ را راهاندازی کنید:
نظارت داخلی Panorama/فایروال: داشبوردهای پیشساخته در بخش Dashboard را برای مشاهده روند تهدیدات و وضعیت سرویسها شخصیسازی کنید.
یکپارچهسازی با سیستمهای مانیتورینگ شبکه (SIEM/NMS): با استفاده از SNMP، Syslog یا API فایروال، رویدادهای امنیتی و معیارهای عملکردی (مانند مصرف CPU، تعداد Session) را به سیستم مرکزی مانند PRTG ارسال کنید. این کار امکان دریافت هشدار (Alert) خودکار و گزارشگیری تاریخی را فراهم میکند.
با انجام این تستها و استقرار مانیتورینگ، نه تنها از صحت پیادهسازی اطمینان حاصل میکنید، بلکه یک چرخه بهبود مستمر برای امنیت شبکه خود ایجاد خواهید کرد.
بهینهسازی و مدیریت
پس از استقرار اولیه، مرحله حیاتی بهینهسازی و مدیریت مستمر آغاز میشود. این فرآیند تضمین میکند که سرویسهای امنیتی همواره در اوج کارایی، بهروز و متناسب با تغییرات شبکه شما عمل کنند.
مانیتورینگ و گزارشگیری
مانیتورینگ فعال، کلید درک محیط تهدید و اثربخشی دفاع شما است.
استفاده مؤثر از Application Command Center) ACC)
دسترسی: از منوی Monitor گزینه ACC را انتخاب کنید.
تحلیل دید کلان: ACC یک دید گرافیکی و تعاملی از تمامی فعالیتهای شبکه (بر اساس Application، User، Threat و URL) ارائه میدهد.
شکار تهدید: از فیلترهای پیشرفته برای شناسایی سریع الگوهای مشکوک استفاده کنید:
فیلتر Threat Name : wildfire برای مشاهده تمام تهدیدات کشفشده توسط WildFire.
فیلتر Risk of App : 5 یا Action : reset-both برای متمرکز شدن بر پرخطرترین فعالیتها.
نکته عملی: یک View شخصیسازی شده در ACC برای تیم امنیت خود بسازید که بهطور خودکار ترافیک غیرعادی، تهدیدات سطح بالا و فعالیت کاربران پرخطر را هایلایت کند.
تنظیم هشدار (Alert) هوشمند برای تهدیدات حیاتی
ایجاد هشدارهای هدفمند، شما را از وقایع بحرانی مطلع میسازد.
مسیر: Objects > Log Forwarding
ایجاد پروفایل جدید هشدار:
روی Add کلیک و یک نام مانند Critical-Threat-Alert وارد کنید.
در تب Filters، شرطهای دقیق تعریف کنید:
Severity eq ‘critical’
یا Action eq ‘reset-both’ برای حوادث مسدودسازی فوری.
در تب Actions، Email Alert را انتخاب و پیکربندی کنید.
آدرس ایمیل مدیران امنیت را وارد کنید.
یک قالب ایمیل (Email Template) حرفهای ایجاد کنید که شامل جزئیات ضروری مانند نام تهدید، مبدا، مقصد، کاربر درگیر و زمان باشد.
انتساب: این پروفایل Log Forwarding را در Device > Log Settings به سطوح لاگ مورد نظر (مثلاً Threat) متصل کنید.
خروجیگیری و آنالیز گزارشهای ماهانه
گزارشهای دورهای برای تحلیل روند و ارائه به مدیریت ضروری است.
مسیر: Monitor > Reports
گزارشهای کلیدی:
تهدیدات (Threats Report): خلاصهای از انواع تهدیدات مسدودشده، منابع اصلی و اهداف.
فعالیت WildFire: آمار فایلهای ارسالی، درصد بدافزارها و رایجترین انواع فایل آلوده.
فعالیت کاربران پرخطر (User Risk Report): شناسایی کاربرانی که بیشتر در معرض تهدیدات قرار گرفتهاند (برای آموزش هدفمند).
خروجی و زمانبندی:
از قابلیت Schedule برای ارسال خودکار گزارش PDF به ایمیل مدیران در پایان هر ماه استفاده کنید.
دادههای خام لاگ را نیز میتوان بهصورت هفتگی از طریق PCAP یا Syslog به یک سامانه SIEM (مانند Splunk یا Elastic) ارسال کرد برای تحلیل عمیقتر و همبستگی با رویدادهای دیگر.
نگهداری و عیبیابی
مدیریت پیشگیرانه از خرابیها و افت عملکرد جلوگیری میکند.
بررسی منظم بهروزرسانیهای سرویس
وضعیت لایسنس: هفتهای یکبار از Dashboard > Licenses وضعیت لایسنس Threat Prevention و WildFire را بررسی کنید.
بهروزرسانی محتوا: در Device > Dynamic Updates، از فعال بودن گزینه Scheduled Updates و موفقیتآمیز بودن آخرین بهروزرسانی پایگاه تهدیدات اطمینان حاصل کنید. تاریخ بهروزرسانی نباید بیش از ۲۴ ساعت گذشته باشد.
بروزرسانی PAN-OS: برنامهای برای ارتقا به نسخههای Preferred (توصیهشده) PAN-OS در بازههای ۱۲-۱۸ ماهه داشته باشید. همیشه Release Notes را برای رفع اشکالات امنیتی و بهبود قابلیتها مطالعه کنید.
عیبیابی مشکلات ارتباط با WildFire
اگر WildFire فایلها را تحلیل نمیکند، این چکلیست را دنبال کنید:
| مشکل احتمالی | روش تشخیص | راه حل |
| مشکل اتصال به اینترنت | در CLI: test system بررسی وضعیت سرویسها | تنظیمات Route پیشفرض و DNS در Device > Setup را بررسی کنید. |
| مسدودی توسط پراکسی/فایروال بالادست | در CLI: test wildfire-upload | پورتهای TCP/443 و TCP/80 برای آدرس wildfire.paloaltonetworks.com (یا معادل منطقهای) باید باز باشند. در صورت نیاز، SSL Decryption Certificate را در Device > Setup > WildFire وارد کنید. |
| لایسنس منقضی یا نامعتبر | در Dashboard: بررسی وضعیت ویجت WildFire Subscription | لایسنس را از پنل پشتیبانی Palo Alto (Support Portal) تمدید یا فعال کنید. |
| پروفایل یا Policy نادرست | بررسی Monitor > WildFire. اگر رکوردی نیست، فایل ارسال نشده. | ۱. مطمئن شوید پروفایل WildFire به Security Policy صحیح اعمال شده. ۲. در پروفایل، گزینه Forward to WildFire فعال باشد. ۳. نوع و حجم فایل در File Type Filtering مجاز باشد. |
بهینهسازی Performance با مدیریت حجم لاگ
ذخیره لاگهای سنگین میتواند بر عملکرد تأثیر بگذارد.
تنظیم سهمیه (Quota) و فیلترینگ لاگ:
به Device > Log Settings بروید.
برای هر نوع لاگ (مانند Threat، Traffic)، Local Logging Quota را بر اساس نیاز و فضای دیسک تعیین کنید (مثلاً ۵۰۰ مگابایت).
از تب Filters برای جلوگیری از ذخیره لاگهای کماهمیت استفاده کنید. مثلاً میتوان لاگهای Threat با Severity: low را تنها Forward کرد اما ذخیره محلی نکرد.
مدیریت Session و Policy:
Performance مشکل دارد؟ به Dashboard > Widgets > Session Metrics مراجعه کنید.
Security Policy خود را بهینه کنید: قوانین پرتردد را در بالای لیست قرار دهید و از Policy Optimizer (در Panorama یا PAN-OS 10.x+) برای حذف قوانین بلااستفاده کمک بگیرید.
سختی افزاری: از ابزار Palo Alto BPA (Best Practices Assessment) برای دریافت توصیههای شخصیسازی شده ارتقا سختافزار یا تنظیمات استفاده کنید.
نتیجهگیری
فعالسازی همزمان Threat Prevention و WildFire در فایروال Palo Alto Networks، یک استراتژی دفاعی لایهای و پیشرفته ایجاد میکند که سازمان را در برابر طیف وسیعی از تهدیدات، از حملات شناخته شده روزمره گرفته تا بدافزارهای پیچیده و ناشناخته (Zero-Day)، مقاوم میسازد.
نکته کلیدی موفقیت در این است که این سرویسها را نه به عنوان یک فعالیت یکباره، بلکه به عنوان یک چرخه حیات مستمر ببینیم. پیادهسازی اولیه صحیح بر اساس اصول بهترین روشها (Best Practices) پایه را میسازد، اما ارزش واقعی با مدیریت هوشمند، بهینهسازی مستمر بر اساس گزارشها، و واکنش سریع به هشدارها محقق میشود.
با رعایت اصولی که در این مقاله تشریح شد – از آمادهسازی شبکه و پیکربندی دقیق پروفایلها گرفته تا تست اعتبارسنجی، مانیتورینگ فعال و نگهداری پیشگیرانه – میتوانید قابلیت امنیتی شبکه خود را به سطحی ارتقا دهید که قادر به خنثیسازی موثر بیش از ۹۵٪ از تهدیدات رایج باشد. این رویکرد نه تنها امنیت را افزایش میدهد، بلکه با جلوگیری از وقوع حوادث امنیتی پرهزینه، بازگشت سرمایه قابل توجهی را نیز برای سازمان به ارمغان میآورد. در نهایت، یک محیط امن، بستری قابل اعتماد برای رشد و نوآوری کسبوکار فراهم میکند.



