LOADING CLOSE

سوالات و پرسشهای متداول محصول Spooler Firewall

سوالات و پرسشهای متداول محصول Spooler Firewall

در این بخش پرسش های رایج در مورد محصول اسپولر فایروال (سولارایکس) مطرح گردیده است ، در صورت داشتن اشکال و یا هرگونه سوال لطفاً قبل از تماس با بخش پشتیبانی موارد زیر را مرور نمایید.

  • پاسخ: يك فايروال از شبكه شما در برابر ترافيك ناخواسته و همچنين نفوذ ديگران به كامپيوتر شما حفاظت مي كند. توابع اوليه يك فايروال به اين صورت هستند كه اجازه مي دهند ترافيك خوب عبور كند و ترافيك بد را مسدود مي كنند! مهمترين قسمت يك فايروال ويژگي كنترل دستيابي آن است كه بين ترافيك خوب و بد تمايز قائل مي شود.

    فايروال بين کامپيوتر شما (و يا شبکه) و کابل و يا خطDSL و هر ارتباط دیگری با خارج از شبکه شما ، قرار خواهند گرفت. فايروال های سخت افزاری در مواردی نظير حفاظت چندين کامپيوتر (یا یک شبکه بزرگ)مفيد بوده و يک سطح مناسب حفاظتی را ارائه می نمايند. فايروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سيستم عامل اختصاصی خود می باشد . بنابراين بکارگيری آنان باعث ايجاد يک لايه دفاعی اضافه در مقابل تهاجمات می گردد .

  • پاسخ: محصول فایروال طراحی شده توسط شرکت پارس فناوران با Engine کاملاً بومی که تحت برند Spooler با نام Spooler Firewall ارائه میگردد.
  • پاسخ: محصول اسپولر فایروال بر روی سیستم عامل اختصاصی این شرکت با نام سولارایکس SolarX ارائه شده است. این سیستم عامل بر مبنای سیستم عامل Unix و توزیع Free BSD است که پس از اعمال تغییرات اختصاصی و بهینه سازی جهت استفاده در سطوح امنیتی بالا و در نهایت کامپایل مجدد با نام سولارایکس ارائه میگردد. به دلیل استفاده از این سیستم عامل اختصاصی، بسیاری از مشتریان محصول اسپولر فایروال را با نام SolarX می شناسند.
  • پاسخ: در حال حاضر سه شرکت بزرگ در دنیا ، سخت افزارهای Network Applicance را بصورت تخصی ارائه میدهند. کمپانی NEXCOM یکی از بزرگترین و حرفه ای ترین شرکت هایی است که در کشور تایوان واقع شده است و خدمات مناسبی را به کشور ایران ارائه میدهد. شرکت پارس فناوران و بسیاری از شرکت های داخلی از محصولات این شرکت استفاده می نمایند. هر چند که از نظر فنی توانایی تولید چنین سخت افزارهایی توسط شرکت پارس فناوران وجود دارد و پیشنهاد راه اندازی خط تولید این سخت افزارها توسط این شرکت ارائه شده است اما از نظر اقتصادی مقرون به صرفه نبوده و هزینه بسیار بالایی را در بر دارد. البته کارشناسان شرکت پارس فناوران برای اولین بار در ایران با افزون بًردهای طراحی شده اختصاصی جانبی به این سخت افزارها عملکرد انها را بسیار بسیار بهینه نموده اند در حالی که چنین تغییرات و بهینه سازی هایی در محصولات سایر شرکت ها مشاهده نمیگردد.
  • پاسخ: برخلاف سایر فروشندگان در بازار ایران ، این شرکت به مشتریان خود اجازه میدهد که محصول خود را بر روی سخت افزارهای دلخواه و با امکانات دلخواه خریداری نمایند. بطور مثال شما میتوانید مدل 50A را بر روی سخت افزار Nexcom 7110 خریداری نموده و فقط کافی است مابه التفاوت هزینه سخت افزار را پرداخت نمایید. البته پس از خرید سخت افزار امکان تعویض آن وجود ندارد اما می توانید سخت افزاری جدید را خریداری نمایید تا محصول بر روی آن انتقال یابد. جهت ارتقای منابع سخت افزاری نیز میتوانید با ارسال محصول به شرکت و ارائه درخواست کتبی مبنی بر نوع تغییر و پرداخت هزینه، منابع سخت افزاری شامل RAM ، HDD و CPU را ارتقاء دهید. همچنین توجه به این موضوع ضروری است که باز کردن درب سخت افزار و مخدوش شدن لوگوی گارانتی موجب خروج محصول از گارانتی میگردد.
  • پاسخ: با توجه به اینکه این محصول در هر سه ردهء SOHO ، Bussiness و Enterpise ارائه گردیده است لذا هیچ محدودیتی در نوع استفاده نداشته و از خدمات خانگی گرفته تا دیتاسنتر را میتوان از این محصول انتظار داشت.
  • پاسخ: هنگامی که در مورد این رده از محصولات صحبت میشود باید به 3 نکته توجه نمود. سخت افزار ، سیستم عامل و Engine . در زمینه سخت افزار از برند Nexcom استفاده میگردد. در زمینهء سیستم عامل نیز از سیستم عامل اختصاصی SolarX استفاده میشود. اما مهمترین قسمت Engine است که محصولات مختلف را از یکدیگر متمایز می نماید زیرا تمامی تولیدکنندگان در دنیا از سخت افزارهای تولیدکنندگان متخصص در این زمینه استفاده نموده و همگی بر روی سیستم عامل های Unix ، Linux و یا ویندوز ارائه میگردند و هیچ تولیدکننده ای به سمت پروژه های شکست خوردهء تولید سیستم عامل کاملا بومی نخواهد رفت. لذا این Engine است که یک تولید کننده میتواند با تخصصی که دارد آنرا به بهترین وجه پیاده سازی نماید تا بتواند از سایر محصولات برتر و قوی تر عمل کند. متاسفانه بسیاری از تولیدکنندگان در ایران به دلیل عدم تسلط کافی به تولید Engine های تخصصی و عدم صرف هزینه اقدام به استفاده از Engine های متن باز از جمله IPTabels ، PF و … می نمایند و تنها واسط کاربری را شخصی سازی مینمایند که با اندکی تامل در محصولات میتوان انها را براحتی تشخیص داد. البته استفاده از Engine های متن باز به معنی بد بودن پروزه های متن باز نیست بلکه میتوان با کسب تخصص و صرف وقت و هزینه ، این پروژه ها را نیز گسترش داد و این اتفاقی است که متاسفانه در کشور ما نیافتاده است لذا این محصولات در کشور ما اغلب توانایی ارایه خدمات تخصصی را نداشته و تنها محدود به یک واسط کاربری جذاب به همراه لیست بلند بالایی از قابلیت های غیرقابل استفاده می باشند.

    اما تولیدکنندگان بزرگ دنیا از جمله Juniper ، Cisco و Fortigate بصورت تخصصی اقدام به تولید Engine های اختصاصی نموده و هیچگاه خود را به پروژه های متن باز محدود نکرده ودرنهایت خود را در صدر محصولات امنیتی قرار داده اند. شرکت پارس فناوران نیز بصورت تخصصی اقدام به تولید Engine اختصاصی و بومی نموده و با طراحی بهینه توانسته است بالاترین توان خروجی را به همراه سطح بالایی از امنیت ارایه دهد تا جایی که به عنوان ” تنها فایروال بومی با توان خروجی بالا” در نمایشگاه صافاوا از این محصول پرده برداری گردید و به تنهایی در صدر جدول تولیدکنندگان بومی قرار گرفت و سایر تولید کنندگان داخلی که همگی از محصولات متن باز استفاده مینمایند، نتوانستند جایگاهی در این عرصه داشته باشند.

  • پاسخ: محصول اسپولر فایروال یک فایروال معمولی نیست و قابلیت های متععدی در این محصول گنجانده شده است از جمله: Firewall ، Accounting ، Traffic Shaping ، Identity ، Content Filtering ، HTTP Proxy ، VPN ، LinkBalancing ، Load Balancing ، Link Aggregation ، DNS Forwarder و…

    البته بعضی از قابلیت های موجود در این محصول را ممکن است شما در محصولات خارجی مانند Juniper ، ASA ، Fortigate و … نبینید و این بدلیل ماهیت قابیت ها می باشد. بطور مثال قابلیت Balancer در هیچ یک از محصولات فوق وجود ندارد و دلیل ان شاید سیاست های بازاریابی هر محصول باشد که شما را به سمت استفاده و خرید ماژول های گران قیمت جانبی سوق میدهد (مثلا Forti Balancer به تنهایی قیمتی برابر با 12000$ دارد) و درنهایت برای داشتن چنین قابلیتی حتی میتوانید از محصولات جانبی مثل Imperva ، Baracuda و … استفاده نمایید که آنها نیز هزینه های بسیار بالایی را به شما تحمیل مینمایند. یا مثلا در مورد قابلیت اکانتینگ ، ممکن است شما ادعا کنید که در هیچ یک از فایروال های تخصصی این قابلیت وجود ندارد پس به این نتیجه برسید که این ماژول نباید در یک فایروال وجود داشته باشد اما ذکر این نکته ضروری است که در کشورهای تولید کننده این محصولات بدلیل داشتن بندویت های بالا ، قابلیت هایی همچون اکانتینگ منسوخ شده اند و طبعاَ بخاطر کشورهایی مثل ایران که هنوز بزرگترین مشکل مدیران سازمان ها هزینه بالای بندویت است و سهم بسیار بسیار کمی از بازار جهانی دارند، چنین قابلیت هایی توسط تولیدکنندگان بزرگ دنیا در محصولاتشان گنجانده نمیشود در صورتی که وجود این ماژول برای مدیران سازمان های ما بسیار ضروری می نماید. بنابراین با خرید این محصول شما بسیاری قابلیت های بومی و مورد نیاز کشور را نیز در اختیار دارید.

  • پاسخ: با توجه به اینکه سیستم اسپولر فایروال پروتکل Mobus را پشتیبانی میکند لذا سیستم های SCADA و … را میتوان توسط این سیستم محافظت نمود.
  • پاسخ: رقبای خارجی این محصول شامل محصولات شرکت های Juniper ، Cisco، Chekpoint و Fortigate می باشد. اما در حال حاضر محصول اسپولر فایروال در کشور هیچ رقیبی ندارد. هرچند که محصولات مختلف توسط سایر تولیدکنندگان ایرانی از جمله شرکت امن افزارگستر شریف ، شرکت دوران ، شرکت پیام پرداز ، شرکت قاصدک و … در بازار ارائه شده اند که بدلیل استفاده از محصولات متن باز (محصولات هر 4 شرکت فوق از IPTables استفاده می نمایند) توانایی برابری و رقابت با این محصول را دارند و بیشتر در سطوح SOHO قابلیت ارائه خدمات دارند.

  • پاسخ: این محصول دارای یک سال پشتیبانی رایگان (8×5) است و در این مدت هرگونه مشکلات سیستم توسط تیم پشتیبانی شرکت برطرف گردیده و آپدیت های جدید به مشتریان ارائه میگردد و از سال دوم به بعد مشتریان میتوانند با مبلغ ناچیزی پشتیبانی خود را تمدید نمایند. پشتیبانی در سه سطح برنزی (8×5) ، نقره ای (7×24) و طلایی (7×24 به همراه نیروی مقیم) ارائه میگردد. البته حتی اگر پشتیبانی تمدید نشود محصول باز هم فعالیت خود را بصورت مادام العمر انجام خواهد داد.
  • پاسخ: این محصول در 10 مدل مختلف ارائه شده است و جهت دریافت هرگونه پیش فاکتور و قیمت میتوانید با بخش فروش شرکت (021-88730704) تماس حاصل نمایید.
  • پاسخ: بله این سیستم توانایی Link Balancing تخصصی را دارد و از 11 الگوریتم حرفه ای جهت انجام موازنه بار استفاده می نماید. این الگوریتم ها از بین سایر محصولات بازار از جمله Baracuda ، Imperva و Elfiq انتخاب شده است و تکمیل ترین حالات ممکن را ارائه خواهد داد. همچنین بر خلاف محصولات خارجی شما هیچ محدودیتی در نوع مدیا و نوع لینک ندارید و به تعداد نامحدود میتوانید لینک های مختلف از ISP های مختلف را Balancing نمایید. البته در بسیاری از محصولات سطح پایین تر مثل میکروتیک نیز به این قابلیت اشاره شده است اما روش کارکرد آنها با استفاده از Route Table بوده و در واقع یک Link Failover سطح پایین می باشند.
  • راه حل : به دلایل امنیتی و با توجه به اینکه کاربر Root دارای بالاترین سطح دسترسی به سیستم می باشد ، لذا محافظت از این کاربر یکی از مهم ترین مسئولیت های مدیر سیستم است و بدون دسترسی به پسورد اصلی ، به هیچ وجه امکان حذف پسورد و یا تغییر پسورد وجود ندارد. در صورت برخورد با این مشکل باید با بخش پشتیبانی شرکت تماس بگیرید تا رمز عبور شما توسط کارشناسان این بخش تغییر یابد.
  • راه حل:

    ایتدا لایسنس سیستم را چک کنید و مطمئن شوید که تاریخ ان به پایان نرسیده است.
    مطمئن شوید که لایسنس، مخصوص خود شماست و نام آن با نام سازمان شما یکی است.
    چک کنید که خود سیستم اسپولر آدرس های اینترنتی را Ping نموده و DNS Resolve نماید.
    چک کنید که کاربران به اینترنتPing داشته باشند و یا آدرس ها را Resolve نمایند.
    در مدل Layer 3 NAT ، پالیسی های فایروال را بررسی نمایید و مطمئن شوید که پالیسی مربوط به دسترسی کاربران وجود داشته و فعال باشد و بر روی کارت شبکه صحیح NAT شده باشد.
    در مدل Layer 3 Route ، پالیسی های فایروال را بررسی نمایید و مطمئن شوید که پالیسی مربوط به دسترسی کاربران وجود داشته و فعال باشد.
    در مدلProxy ، پالیسی های فایروال را بررسی نمایید و مطمئن شوید که پالیسی مربوط به دسترسی کاربران وجود داشته و فعال باشد و پورت پراکسی (مثلا 8080) در پالیسی مربوطه فعال باشد.
    در پالیسی مربوطه در صورتی که Hotspot فعال باشد نیاز است که کاربر جهت دسترسی به مقصد ابتدا احراز هویت شود.

  • راه حل:

    بررسی کنید که کاربران بتوانند آدرس ها را DNS Resolve نمایند.
    در پالیسی مربوطه چک کنید که دسترسی کاربران به اینترنت بر روی سرویس HTTP و HTTPS باز باشد.
    در صورتی که کاربران باید احراز هویت شوند، دقت کنید که این پروسه به درستی انجام شود.
    در مدل L3 NAT/Route و L2 Bridge بررسی کنید که در مرورگر کاربر، پراکسی تنظیم نشده باشد.
    در مدل Proxy بررسی کنید که در مرورگر کاربر، پراکسی غیرمجاز تنظیم نشده باشد.

  • راه حل:

    باید در کارت شبکه کاربران حتما یک آدرس DNS وجود داشته باشد. دقت نمایید که در شبکه های مبتنی بر Domain ، این آدرس باید حتماً آدرس DNS Server داخلی باشد.
    در صورتی که شبکه شما مبتنی بر Domain است ، در پالیسی مربوطه بررسی کنید که دسترسی DNS Server به اینترنت بر روی پورت DNS باز باشد.
    در صورتی که کاربران شما از DNS Server های خارج از سازمان استفاده می نمایند، در پالیسی مربوطه بررسی کنید که دسترسی کاربران به اینترنت بر روی پورت DNS باز باشد.
    در مدل L3 Proxy ، کاربران نیازی به DNS Server ندارند و خود سیستم اسپولر باید بتواند آدرس ها را Resolve نماید

  • راه حل:

    بررسی نمایید که دسترسی کاربران به سیستم اسپولر فایروال بر روی سرویس SolarX Embeded Web Server (پورت های 1390 تا 1400) باز باشد.
    در سمت کلاینت سرویس فایروال فعال نباشد و در صورت فعال بودن، پورت های 1390 تا 1400 استثناء شوند.
    در مدل Proxy، در پالیسی مربوطه به دسترسی کاربران به اسپولر فایروال بر روی پورت 8080 (یا پورت تنظیم شده برای پراکسی)، در قسمت Protocol Inspector باید گزینهء HTTP را انتخاب نمایید.
    در صورتی که شبکه شما مبتنی بر Domain است و در قسمت Identity→Authentication گزینهء Redirect Path غیرفعال است ، کاربران باید بتوانند نام سرور اسپولر فایروال را Resolve نمایند.
    در حالت های غیر از پراکسی کاربران باید بتوانند آدرس ها را Resolve نمایند.

  • راه حل:

    بررسی نمایید که دسترسی کاربران به سیستم اسپولر فایروال بر روی سرویس SolarX Embeded Web Server (پورت های 1390 تا 1400) باز باشد.
    در سمت کلاینت سرویس فایروال فعال نباشد و در صورت فعال بودن، پورت های 1390 تا 1400 استثناء شوند.
    در مدل Proxy، در پالیسی مربوطه به دسترسی کاربران به اسپولر فایروال بر روی پورت 8080 (یا پورت تنظیم شده برای پراکسی)، در قسمت Protocol Inspector باید گزینهء HTTP را انتخاب نمایید.
    در صورتی که شبکه شما مبتنی بر Domain است و در قسمت Identity→Authentication گزینهء Redirect Path غیرفعال است ، کاربران باید بتوانند نام سرور اسپولر فایروال را Resolve نمایند.
    در حالت های غیر از پراکسی کاربران باید بتوانند آدرس ها را Resolve نمایند.
    سیستم اسپولر فایروال باید بتواند آدرس Domain Server را بطور صحیح Resolve نماید.
    دسترسی سیستم اسپولر فایروال به Domain Server بر روی پورت های SAMBA (TCP=139) باید باز باشد.
    در مدل Proxy و در صورت فعال بودن گزینهء Identity→Authentication→Redirect Path ، در تنظیمات مرورگر سمت کاربر در قسمت Internet Option → Connectons → LAN Settings → Advanced → Exceptions ، باید نام سیستم اسپولر فایروال اضافه شود. (این پالیسی را میتوان توسط پالیسی های Domain اعمال نمود)
    در مدل Proxy و در صورت غیر فعال بودن گزینهء Identity→Authentication→Redirect Path ، در تنظیمات مرورگر سمت کاربر در قسمت Internet Option → Connectons → LAN Settings → Advanced → Exceptions ، باید آدرس IP سیستم اسپولر فایروال اضافه شود. (این پالیسی را میتوان توسط پالیسی های Domain اعمال نمود)
    در مرورگر کاربران در قسمت Internet Options → Security → Local Intranet باید نام و آدرس IP سیستم اسپولر فایروال اضافه شود.(این پالیسی را میتوان توسط پالیسی های Domain اعمال نمود)

  • راه حل:

    در سمت کلاینت ، کلید Caps Lock را چک نمایید که خاموش باشد.
    در سمت کلاینت ، چک کنید که کیبود فارسی نشده باشد.
    در سیستم اکانتینگ بررسی کنید که این نام کاربری وجود داشته باشد.
    در سیستم اکانتینگ، نام کاربری را Check Password نمایید و مطمئن شوید که جواب Correct باشد.
    تنظیمات مرورگر سمت کلاینت را Reset نمایید تا مقادیر ذخیره شده در Cache پاک شود

  • راه حل: در قسمت System→Backup/Restore میتوان سیستم را تنظیم نمود که بصورت روزانه و اتوماتیک از سیستم Backup گرفته شود و در همین صفحه میتوان Backup های گرفته شده را مشاهده نموده و با راست کلیک کردن بر روی آنها عملیات Restore را انجام داد.
  • راه حل:

    روش اول : در قسمت Traffic Policy میتوان این قابلیت را تنظیم نمود. برای انجام این کار باید پالیسی ای را تعریف نموده در ستون مبدا ، آدرس IP یا نام کاربری کاربر را وارد و در ستون مقصد باید نام یا IP سایت مورد ظر را وارد نمایید.
    روش دوم : در پالیسی مربوط به دسترسی کاربر به اینترنت ، در ستون Content filter ، نام سایت های مورد نظر را وارد نمود و حالت آنرا به Access Only to تغییر داد.
    در هر دو روش، هرگونه دسترسی کاربر به سابر مقصد ها را باید در پالیسی دیگری(پایین تر از پالیسی قبلی) محدود نمود.