Transparent Firewall چیست تفاوت آن با routed mode | بررسی لایه دوم فایروال

با افزایش تهدیدات سایبری، نیاز به راهکارهای نوین جهت حفاظت از شبکه‌های سازمانی بیش از پیش احساس می‌شود. فایروال‌های Transparent با عملکرد در لایه دوم شبکه و بدون تغییر در توپولوژی، ترافیک را به‌صورت پنهانی کنترل می‌کنند.

transparent firewall در کجا قرار میگیرد؟

Transparent firewall یک نوع فایروال است که در لایه دوم شبکه (Data Link Layer) عمل می‌کند و به طور مستقیم به مسیرهای ترافیکی شبکه اضافه نمی‌شود. این فایروال به جای استفاده از IP خود به عنوان مسیریاب، به صورت ” transparent ” در شبکه قرار می‌گیرد و معمولاً به صورت میان‌افزار بین دو بخش شبکه (مثلاً بین یک سوئیچ و سرور یا دو شبکه مختلف) عمل می‌کند.

با این قابلیت، ترافیک از فایروال عبور کرده و هیچ تغییری در مسیر شبکه ایجاد نمی‌شود. این نوع فایروال بیشتر برای محیط‌هایی که نمی‌خواهند تغییرات زیادی در توپولوژی شبکه ایجاد کنند یا نیاز به تنظیمات خاص دارند، مناسب است.

Transparent در فورتی گیت

در فایروال‌های FortiGate، حالت Transparent به فایروال این امکان را می‌دهد که بدون تغییر در آدرس‌های IP شبکه، ترافیک را فیلتر کنند. در این حالت، فایروال مانند یک Bridge (پل) در لایه ۲ شبکه عمل کرده و تمامی پکت‌های عبوری را بررسی و کنترل می‌کند. این ویژگی برای سازمان‌هایی مناسب است که می‌خواهند امنیت شبکه را بدون اینکه تغییرات زیادی در ساختار آدرس‌دهی، افزایش دهند.

همچنین بهتر است بدانید، در حالت Transparent، قابلیت‌هایی مانند IPS، فیلتر وب، آنتی‌ویروس و کنترل اپلیکیشن‌ها را ارائه میشود، اما نیاز به تنظیم Gateway در کلاینت‌ها ندارد.

Transparent Firewall چیست؟

Transparent Firewall یا Bridge Firewall یک نوع فایروال لایه ۲ است که بدون نیاز به تغییر در آدرس‌های IP، به ساختار شبکه اضافه می‌شود. برخلاف فایروال‌های قدیمی که در لایه ۳ (Network) عمل کرده و به‌عنوان روتر، ترافیک را بین شبکه‌ها مسیریابی می‌کنند، Transparent Firewall در لایه Data Link قرار دارد و مانند یک پل ارتباطی عمل می‌کند.

این فایروال پکت‌های داده (Packets) را بررسی، فیلتر و کنترل کرده، اما مسیر آن‌ها را تغییر نمی‌دهد، بنابراین شبکه به پیکربندی مجدد نیاز ندارد. با تغییر فایروال از Routed Mode‌ به Transparent Mode، مشابه یک Stealth Firewall عمل خواهد بود که ترافیک شبکه را بدون داشتن آدرس IP مدیریت می‌کند.

یکی از مهم‌ترین مزایای Transparent Firewall، کاهش تأخیر در پردازش پکت‌ها و افزایش سطح امنیتی شبکه است. از آنجایی که این فایروال‌ها فاقد آدرس IP در مسیر ترافیک هستند، شناسایی آن‌ها توسط مهاجمان سایبری دشوارتر بوده و شبکه کمتر در معرض حملات DoS و سایر تهدیدات قرار می‌گیرد.

همچنین، این نوع فایروال امکان کنترل ترافیک غیر IP مانند BPDU، AppleTalk و IPX را دارد که در حالت Routed Firewall پشتیبانی نمی‌شود. فایروال‌های NGFW مانند FortiGate از قابلیت Transparent Mode پشتیبانی می‌کنند و امکان نظارت و ایمن‌سازی ترافیک را بدون تأثیر بر توپولوژی شبکه، فراهم می‌سازند.

فایروال لایه ۲

یکی از ویژگی‌های کلیدی فایروال‌های شفاف (Transparent Firewalls) این است که در لایه ۲ مدل OSI (Open Systems Interconnection) قرار دارند. مدل OSI یک چارچوب است که پروتکل‌های ارتباطی را مشخص و استانداردسازی کرده و عملکرد سیستم‌های شبکه، مانند سیستم‌های مخابراتی و پردازشی را توصیف می‌کند. این مدل، عملکرد اجزای شبکه را دسته ‌بندی کرده و قوانین و الزامات پشتیبان سخت‌افزار و نرم‌افزار شبکه را تعریف می‌کند.

در مدل OSI، لایه ۲ همان لایه پیوند داده (Data Link Layer) است که انتقال داده بین دستگاه‌های داخل یک شبکه را امکان ‌پذیر می‌کند. این لایه، پکت‌های داده (Packets) را به بخش‌های کوچکتر به نام “فریم” (Frames) تقسیم کرده و جریان داده و کنترل خطا را مدیریت می‌کند. این لایه شامل دو زیرلایه به نام‌های کنترل دسترسی به رسانه (MAC – Media Access Control) و کنترل پیوند منطقی (LLC – Logical Link Control) است.

با این حال، فایروال‌ها معمولاً در لایه‌های ۳ و ۴ یعنی لایه شبکه (Network Layer) و لایه انتقال (Transport Layer) کار می‌کنند. لایه شبکه، انتقال داده بین دو شبکه مختلف را انجام داده و عملیات مسیریابی (Routing) را مدیریت می‌کند، در حالی که لایه انتقال مسئول مدیریت ارسال و دریافت داده‌ها در ارتباطات انتها به انتها (End-to-End) بین دستگاه‌ها است و داده‌ها را به بخش‌های کوچکتر تقسیم می‌کند. علاوه بر این، آدرس‌های IP در لایه ۳ و شماره‌های پورت پروتکل‌های TCP و UDP در لایه ۴ کار می‌کنند.

مزایای قابلیت Transparent mode در فایروال ها چیست؟

Transparent Mode در فایروال، حالتی است که در لایه ۲ (Data Link) مدل OSI عمل می‌کند و بدون تغییر در آدرس‌های IP یا توپولوژی شبکه، ترافیک را فیلتر می‌کند. این قابلیت، فایروال را برای کاربران و مهاجمان نامرئی کرده و تأخیر شبکه را کاهش می‌دهد. به طور کلی از مزایای قابلیت Transparent Mode در فایروال‌ها میتوان به موارد زیر اشاره کرد:

عدم نیاز به تغییر در توپولوژی شبکه: فایروال در لایه ۲ (Data Link) عمل کرده و بدون تغییر در آدرس‌های IP یا ساختار شبکه اضافه می‌شود، که باعث سادگی در پیاده‌سازی می‌شود.
کاهش تأخیر در پردازش پکت‌ها: برخلاف فایروال‌های Routed Mode که نیاز به مسیریابی دارند، فایروال‌های Transparent بدون ایجاد Overhead اضافی، ترافیک را فیلتر کرده و تأخیر شبکه را کاهش می‌دهند.
افزایش امنیت از طریق مخفی بودن فایروال: این نوع فایروال فاقد آدرس IP در مسیر اصلی شبکه است، بنابراین برای مهاجمان سایبری نامرئی بوده و امکان حملاتی مانند DoS و اسکن‌ های شبکه‌ای کاهش می‌یابد.
کنترل بهتر بر ترافیک غیر IP: برخلاف فایروال‌های لایه ۳ که فقط ترافیک مبتنی بر IP را مدیریت می‌کنند، فایروال‌های Transparent می‌توانند پروتکل‌های غیر IP مانند BPDU، AppleTalk و IPX را نیز کنترل کنند.
راه‌اندازی سریع و آسان: این قابلیت نیاز به پیکربندی پیچیده و تغییر در تنظیمات آدرس‌دهی ندارد، بنابراین سازمان‌ها می‌توانند بدون تغییرات گسترده، از قابلیت‌های امنیتی پیشرفته بهره‌مند شوند.
سازگاری با تجهیزات موجود Transparent Firewall می‌تواند بین یک روتر و سوئیچ یا دروازه اینترنت قرار بگیرد و با تجهیزات مختلف شبکه بدون تداخل کار کند.
افزایش انعطاف ‌پذیری در سیاست‌های امنیتی: امکان اعمال Access Control List (ACL) و تنظیم Ruleهای امنیتی بدون ایجاد تغییر در روتینگ شبکه فراهم می‌شود.

به‌طور کلی، Transparent Mode برای شبکه‌هایی که نیاز به امنیت بدون تغییر در ساختار موجود دارند، یک راهکار ایده‌آل محسوب می‌شود.

تفاوت transparent mode و routed mode

در حالت Transparent Mode، فایروال به‌طور Transparent در شبکه قرار می‌گیرد و هیچ آدرس IP به خود اختصاص نمی‌دهد. این فایروال به‌عنوان یک فیلتر بسته عمل می‌کند و ترافیک بین دو بخش شبکه را بدون اینکه تغییرات قابل‌توجهی در توپولوژی شبکه ایجاد کند، بررسی و فیلتر می‌کند. این حالت معمولاً برای شبکه‌های پیچیده و محیط‌هایی که نیاز به استقرار بدون تغییر در آدرس‌دهی IP دارند، استفاده می‌شود. فایروال در این حالت بیشتر در لایه ۲ (Data Link Layer) عمل کرده و به‌عنوان یک ابزار میان‌افزاری در مسیر ترافیک قرار می‌گیرد.

در مقابل، Routed Mode معمولاً برای فایروال‌هایی استفاده می‌شود که می‌توانند پکت‌ها را مسیریابی کرده و ترافیک شبکه داخلی و خارجی را مدیریت کنند. این فایروال‌ها در لایه ۳ (Network Layer) عمل می‌کنند و به هر رابط شبکه خود یک آدرس IP اختصاص می‌دهند. این فایروال‌ها قادر به فیلتر کردن ترافیک ورودی و خروجی هستند و در مسیریابی پکت‌ها بین شبکه‌های مختلف نقش دارند. یکی از معایب این حالت، تاخیر در پردازش پکت‌ها است که ممکن است به دلیل پروتکل‌هایی مانند Spanning Tree Protocol (STP) یا دیگر پروتکل‌های مسیریابی به وجود آید.

مزایای استفاده از حالت Transparent فایروال

Simplicity of configuration

یکی از مهم‌ترین مزایای فایروال در حالت Transparent، راه‌اندازی سریع و بدون نیاز به پیکربندی پیچیده است. برخلاف حالت مسیریابی که مستلزم تغییرات گسترده در آدرس ‌دهی IP و شبکه است، فایروال Transparent را می‌توان بدون ایجاد تغییر در توپولوژی شبکه به ‌راحتی پیاده‌سازی کرد. این ویژگی باعث کاهش زمان و هزینه استقرار آن می‌شود.

Device is undetectable

به دلیل نداشتن آدرس IP در شبکه، فایروال Transparent غیرقابل شناسایی است و توسط مهاجمان سایبری به‌راحتی شناسایی نمی‌شود. این امر امنیت شبکه را افزایش می‌دهد، زیرا حملاتی مانند اسکن‌های شبکه و حملات سایبری کمتر می‌توانند این نوع فایروال را مورد هدف قرار دهند. در نتیجه، استفاده از فایروال Transparent به کاهش سطح حملات امنیتی کمک می‌کند.

Non-IP traffic can be permitted or denied

یکی از قابلیت‌های مهم فایروال Transparent، امکان عبور یا مسدودسازی ترافیک غیر IP است که در حالت مسیریابی امکان‌پذیر نیست. این ویژگی به شبکه‌ها اجازه می‌دهد که انواع مختلفی از ترافیک، مانند AppleTalk، واحدهای داده پروتکل پل (BPDU) و پروتکل‌های تبادل داده‌ای خاص را مدیریت کنند. این انعطاف‌پذیری، فایروال Transparent را به گزینه‌ای مناسب برای محیط‌هایی با پروتکل‌های ارتباطی متنوع تبدیل می‌کند.

فایروال های نسل جدید

فایروال‌های نسل بعدی FortiGate (NGFW) با ترکیب قابلیت‌های پیشرفته شبکه و امنیت، سطح بالایی از محافظت در برابر تهدیدات را همراه با رمزگشایی قدرتمند ارائه می‌دهند. این فایروال‌ها با بهره‌گیری از معماری ASIC اختصاصی، عملکردی بهینه و مصرف انرژی پایینی را در مقیاس وسیع تضمین می‌کنند.

سیستم‌عامل FortiOS نقش کلیدی در ایجاد امنیت یکپارچه در سراسر شبکه‌ها ایفا می‌کند. این راهکار نه‌تنها باعث افزایش کارایی و کاهش پیچیدگی‌های عملیاتی می‌شود، بلکه با همگرایی امنیت و شبکه در WLAN، LAN، SASE و NGFW، نیاز به چندین محصول مجزا را از بین می‌برد. همچنین، SD-WAN و ZTNA جهانی به‌صورت بومی در FortiGate ادغام شده‌اند.

برای دریافت مشاوره و خرید بهترین و مناسب ترین فایروال برای کسب و کارتان می توانید از کارشناسان مجرب شرکت داریا کمک بگیرید تا بتوانید شبکه ای امن برای سازمانتان پیاده سازی کنید و دیگر نگران نفوذ مهاجمان سایبری نباشید.