- تماس با ما
- ۰۲۱-۸۲۸۰۵۹۱۱
- ۰۲۱-۹۱۳۰۰۴۷۶
- info@arka.ir
آموزش کار با فایروال سوفوس | راهنمای کامل و گامبهگام (Sophos Firewall)
مقایسهٔ سه راهکار امنیتی سیمانتک با رقبای بازار: امنیت ایمیل و امنیت نقطهٔ پایانی
07/06/2026
فایروال سوفوس (Sophos Firewall) یکی از قدرتمندترین راهکارهای امنیت شبکه در کلاس Next-Generation Firewall (NGFW) است که امروزه در بسیاری از سازمانها، بانکها و کسبوکارهای ایرانی مورد استفاده قرار میگیرد. اگر به دنبال یک آموزش فایروال سوفوس کامل و کاربردی هستید که از نصب و راهاندازی اولیه تا پیکربندی قوانین، NAT، VPN و گزارشگیری را پوشش دهد، این مقاله دقیقاً برای شماست. در این آموزش سوفوس سعی کردهایم همه چیزهایی که یک مدیر شبکه برای شروع و مدیریت حرفهای این فایروال نیاز دارد را به زبان ساده و عملی توضیح دهیم.
آخرین نسخه پایدار سیستمعامل این محصول در زمان نگارش، SFOS v22 (و v22 MR1) است. مفاهیم این مقاله با نسخههای ۱۹، ۲۰، ۲۱ و ۲۲ سازگار است و تفاوتها در حد جزئیات رابط کاربری خواهد بود.
فهرست مطالب
- فایروال سوفوس چیست و چرا اهمیت دارد؟
- آشنایی با نسخهها و سختافزار (XGS / Software / Virtual / Cloud)
- پیشنیازها و روشهای دسترسی به فایروال
- اولین ورود و اجرای Initial Setup Wizard
- آشنایی با داشبورد (Control Center)
- مفاهیم کلیدی: Zones، Interfaces، Hosts و Services
- تعریف و مدیریت قوانین فایروال (Firewall Rules)
- آموزش NAT در سوفوس (SNAT و DNAT)
- حفاظت وب و فیلترینگ (Web Protection)
- کنترل برنامهها (Application Control)
- سیستم پیشگیری از نفوذ (IPS)
- آموزش راهاندازی VPN در فایروال سوفوس
- احراز هویت کاربران (Authentication)
- گزارشگیری و لاگها (Reporting & Logging)
- پشتیبانگیری و بهروزرسانی Firmware
- امنیت همگامسازیشده و Security Heartbeat
- اشتباهات رایج هنگام استفاده از فایروال سوفوس (جدول)
- بهترین شیوهها (Best Practices)
- سؤالات متداول (FAQ)
۱. فایروال سوفوس چیست و چرا اهمیت دارد؟
فایروال سوفوس یک Next-Generation Firewall است که علاوه بر وظیفه سنتی فایروال (فیلتر کردن ترافیک بر اساس آدرس و پورت)، مجموعهای از قابلیتهای امنیتی پیشرفته را در یک دستگاه واحد ارائه میدهد؛ از جمله:
- بازرسی ترافیک رمزنگاریشده با معماری Xstream Architecture
- سیستم پیشگیری از نفوذ (IPS – Intrusion Prevention System)
- فیلترینگ وب و کنترل برنامهها (Web & Application Control)
- سندباکس ابری (Sandstorm / Zero-Day Protection)
- انواع VPN برای دسترسی ایمن از راه دور
- قابلیت منحصربهفرد Security Heartbeat برای همگامسازی با Endpointها
دلیل محبوبیت این محصول، یکپارچگی مدیریت، رابط کاربری ساده تحت وب و قابلیت مدیریت متمرکز از طریق Sophos Central است. به همین خاطر یادگیری آموزش سوفوس برای هر مدیر شبکهای که با امنیت سروکار دارد، یک سرمایهگذاری ارزشمند محسوب میشود.
۲. آشنایی با نسخهها و مدلهای استقرار (Deployment)
مدلهای استقرار
| مدل استقرار | توضیح | پلتفرم / مناسب برای |
|---|---|---|
| سختافزاری Hardware Appliance |
دستگاه اختصاصی سری XGS با معماری Xstream و شتابدهنده سختافزاری؛ در دو رده دسکتاپ و رکمونت. | استقرار فیزیکی در محل، نیاز به نرخ عبور (throughput) بالا و پورتهای متنوع مس/فیبر/Wi-Fi/5G — از کاربر خانگی و SMB تا سازمانهای بزرگ. |
| نرمافزاری Software Appliance |
نصب ایمیج SFOS روی سرور Intel x86 اختصاصی شما. | سازمانهایی که میخواهند از سختافزار موجود خود استفاده کنند و سیزینگ را خودشان تعیین کنند. |
| مجازی Virtual Appliance |
اجرا روی هایپروایزرهای رایج بهصورت ماشین مجازی، با همان قابلیتهای کامل نسخه سختافزاری. | VMware، Microsoft Hyper-V، Citrix و KVM؛ مناسب دیتاسنتر مجازی، MSSP و معماری «امنیت در یک جعبه». |
| ابری Cloud |
استقرار در فضای ابری عمومی با دو مدل لایسنس: پرداخت بهازای مصرف (PAYG) یا استفاده از لایسنس خودتان (BYOL). | AWS Marketplace و Microsoft Azure Marketplace؛ برای حفاظت شبکههای ابری و ترکیبی (Hybrid). |
نسخههای لایسنس (باندل حفاظتی)
| نسخه | پوشش | مناسب برای |
|---|---|---|
| Xstream Protectionپیشنهاد سوفوس | کاملترین باندل؛ شامل تمام سرویسهای حفاظتی شبکه، وب، ایمیل، بازرسی TLS و قابلیتهای Synchronized Security — با افزودهشدن مداوم امکانات جدید بدون هزینه اضافه. | سازمانهایی که گستردهترین و آیندهنگرترین سطح حفاظت را میخواهند. |
| Standard Protection | باندل پایه شامل حفاظتهای اصلی شبکه و وب. | کسبوکارهایی با نیاز حفاظتی پایه و بودجه محدودتر. |
| ماژولهای مستقل | اشتراکهای مجزای Network، Web و Email Protection بهصورت افزودنی. | سفارشیسازی پوشش بر اساس نیاز خاص هر سازمان. |
نکات مهم درباره نسخهها
- نسخه SFOS v22 و بالاتر دیگر از سریهای سختافزاری قدیمی XG و SG پشتیبانی نمیکند؛ تنها سری XGS و نسخههای مجازی/نرمافزاری/ابری پشتیبانی میشوند.
- پایان پشتیبانی محصول Sophos UTM (خط SG) در تاریخ 30 July 2026 اعلام شده است؛ مهاجرت به XGS توصیه میشود.
- انتقال پیکربندی میان فرمفاکتورهای مختلف (سختافزاری/مجازی/نرمافزاری) با ابزار backup-restore و نگاشت پورت پشتیبانی میشود.
۳. پیشنیازها و روشهای دسترسی به فایروال
| روش دسترسی | آدرس / پورت پیشفرض | کاربرد |
|---|---|---|
| Web Admin Console | https://172.16.16.16:4444 |
پیکربندی گرافیکی کامل |
| Command Line (CLI) | از طریق SSH یا کنسول | عیبیابی پیشرفته و دستورات شبکه |
اطلاعات ورود پیشفرض معمولاً نام کاربری admin است و رمز عبور هنگام راهاندازی اولیه تعیین میشود.
توصیه میشود کلاینت مدیریت را به پورت Port1 (LAN) که بهصورت پیشفرض روی شبکه
172.16.16.16/24 تنظیم شده، متصل کنید.
۴. اولین ورود و اجرای Initial Setup Wizard
پس از اولین اتصال، یک ویزارد راهاندازی (Setup Wizard) اجرا میشود که شما را قدمبهقدم در این مراحل همراهی میکند:
- تنظیم رمز عبور Admin و پذیرش توافقنامه لایسنس.
- پیکربندی تاریخ، زمان و Time Zone (برای ایران: `(GMT+3:30) Tehran`).
- تنظیم اینترفیس WAN برای اتصال به اینترنت (بهصورت DHCP، PPPoE یا Static IP).
- ثبت دستگاه و اعمال License (نسخه آزمایشی یا تجاری).
- بهروزرسانی اولیه Firmware و الگوهای حفاظتی (Pattern Updates).
پس از تکمیل ویزارد، فایروال آماده ورود به محیط اصلی مدیریت است.
۵. آشنایی با داشبورد (Control Center)
اولین صفحهای که پس از ورود مشاهده میکنید، Control Center نام دارد. این داشبورد یک نمای کلی و آنی از وضعیت سیستم به شما میدهد:
- وضعیت سلامت سیستم (CPU، Memory، Disk)
- ترافیک شبکه و کاربران فعال
- تهدیدات شناساییشده و رویدادهای ATP
- وضعیت اتصالات VPN
- در نسخههای جدید، پنل Firewall Health Check که پیکربندی شما را بر اساس استانداردهای CIS Benchmark ارزیابی میکند.
۶. مفاهیم کلیدی: Zones، Interfaces، Hosts و Services
قبل از ساخت هر قانونی، باید این چهار مفهوم پایه را بشناسید:
- Zones (نواحی): گروهبندی منطقی اینترفیسها. نواحی پیشفرض شامل `LAN`، `WAN`، `DMZ`، `WiFi` و `VPN` است.
- Interfaces (واسطها): درگاههای فیزیکی یا مجازی شبکه که هر کدام به یک Zone تعلق دارند.
- Hosts/Networks (میزبانها): تعریف آبجکت برای آدرسهای IP، رنجها و شبکهها تا در قوانین قابل استفاده مجدد باشند.
- Services (سرویسها): تعریف پروتکل و پورت (مثلاً `HTTPS = TCP/443`).
ساخت آبجکتهای مجزا برای Hostها و Serviceها یکی از اصول مهم در آموزش سوفوس است؛ چون مدیریت قوانین را بسیار سادهتر و خواناتر میکند.
۷. تعریف و مدیریت قوانین فایروال (Firewall Rules)
قلب هر فایروالی، قوانین آن است. در سوفوس به مسیر `Rules and Policies > Firewall Rules` بروید و روی Add Firewall Rule کلیک کنید. هنگام ساخت یک قانون User/Network Rule باید موارد زیر را مشخص کنید:
- Source Zone & Networks: ترافیک از کجا میآید (مثلاً LAN).
- Destination Zone & Networks: ترافیک به کجا میرود (مثلاً WAN).
- Services: کدام پورتها و پروتکلها مجاز هستند.
- Action: اجازه (`Accept`)، رد کردن (`Reject`) یا حذف بیصدا (`Drop`).
- Security Features: فعالسازی IPS، Web Filtering، Application Control و Scan کردن.
مهم: قوانین فایروال از بالا به پایین (Top-Down) پردازش میشوند. اولین قانونی که با ترافیک منطبق شود اجرا میگردد و بقیه نادیده گرفته میشوند. بنابراین ترتیب قوانین حیاتی است؛ قوانین خاصتر را بالاتر از قوانین عمومیتر قرار دهید.
۸. آموزش NAT در سوفوس (SNAT و DNAT)
ترجمه آدرس شبکه (NAT – Network Address Translation) برای ارتباط شبکه داخلی با اینترنت ضروری است. در نسخههای جدید، NAT از قوانین فایروال جدا شده و در مسیر `Rules and Policies > NAT Rules` مدیریت میشود:
- SNAT (Source NAT): آدرس مبدأ ترافیک خروجی را تغییر میدهد (معمولاً به IP عمومی WAN). یک قانون MASQ (Masquerading) پیشفرض معمولاً برای دسترسی LAN به اینترنت وجود دارد.
- DNAT (Destination NAT): برای Port Forwarding استفاده میشود؛ یعنی انتشار یک سرور داخلی (مثل وبسرور یا میلسرور) روی اینترنت. برای این کار از قابلیت Business Application Rule یا یک NAT Rule از نوع DNAT استفاده میشود.
۹. حفاظت وب و فیلترینگ (Web Protection)
ماژول Web Protection به شما اجازه میدهد دسترسی کاربران به وبسایتها را کنترل کنید. در مسیر `Protect > Web` میتوانید Web Policies بسازید و بر اساس Categories (دستهبندیها) سایتها را مجاز یا مسدود کنید؛ مثلاً مسدود کردن دستههای `Gambling`، `Adult Content` یا `Malware`. همچنین میتوانید HTTPS Decryption را برای بازرسی ترافیک رمزنگاریشده فعال کنید.
۱۰. کنترل برنامهها (Application Control)
با Application Control میتوانید برنامهها و اپلیکیشنها را صرفنظر از پورتی که استفاده میکنند، شناسایی و مدیریت کنید. این قابلیت برای محدود کردن برنامههایی مانند نرمافزارهای اشتراک فایل (P2P)، پیامرسانها یا اپلیکیشنهای پرمصرف پهنای باند بسیار مفید است و در بخش Security Features هر قانون فایروال قابل فعالسازی است.
۱۱. سیستم پیشگیری از نفوذ (IPS)
ماژول IPS ترافیک را برای شناسایی الگوهای حمله شناختهشده بازرسی میکند. بهجای فعال کردن همه امضاها (که بار پردازشی بالایی دارد)، توصیه میشود از IPS Policy های مناسب با محیط خود استفاده کنید؛ مثلاً برای ترافیک ورودی به سرورها از یک Policy سختگیرانهتر و برای ترافیک کاربران داخلی از Policy سبکتر بهره ببرید.
۱۲. آموزش راهاندازی VPN در فایروال سوفوس
یکی از پرکاربردترین بخشهای هر آموزش فایروال سوفوس، راهاندازی VPN است. سوفوس از انواع زیر پشتیبانی میکند:
SSL VPN (Remote Access): برای اتصال کاربران دورکار از طریق نرمافزار Sophos Connect Client.
IPsec Site-to-Site: برای اتصال امن دو دفتر یا شعبه به یکدیگر.
Site-to-Site SSL VPN: جایگزین سادهتر برای اتصال شعب.
توجه مهم: از نسخه SFOS v22 MR1 به بعد، Remote Access IPsec قدیمی (Legacy) بازنشسته شده و دیگر پشتیبانی نمیشود. اگر هنوز از این پیکربندی استفاده میکنید، پیش از ارتقا حتماً به سراغ روشهای جایگزین (SSL VPN یا IPsec جدید) بروید.
۱۳. احراز هویت کاربران (Authentication)
برای اعمال قوانین مبتنی بر کاربر (User-Based Policies)، باید سرویس احراز هویت را پیکربندی کنید. سوفوس از این روشها پشتیبانی میکند:
- اتصال به Active Directory (AD) و LDAP
- RADIUS و TACACS+
- احراز هویت محلی (Local Authentication)
- STAS (Sophos Transparent Authentication Suite) برای احراز هویت شفاف و بدون نیاز به ورود مجدد کاربر.
۱۴. گزارشگیری و لاگها (Reporting & Logging)
سوفوس دارای یک سیستم گزارشگیری داخلی قدرتمند است. در بخش Reports میتوانید گزارشهای آمادهای درباره ترافیک وب، تهدیدات، مصرف پهنای باند و فعالیت کاربران مشاهده کنید. ابزار Log Viewer نیز برای عیبیابی لحظهای ترافیک و مشاهده اینکه کدام قانون روی یک بسته اعمال شده، فوقالعاده کاربردی است.
۱۵. پشتیبانگیری و بهروزرسانی Firmware
دو کار حیاتی برای نگهداری سلامت فایروال:
- Backup & Restore: از مسیر `System > Backup & Firmware` میتوانید بهصورت دستی یا زمانبندیشده (Scheduled) از پیکربندی پشتیبان بگیرید. حتماً فایل پشتیبان را در محلی امن خارج از دستگاه نگه دارید.
- Firmware Update: پیش از هر ارتقای نسخه، یادداشتهای انتشار (Release Notes) را بخوانید، یک Backup کامل تهیه کنید و در صورت امکان ابتدا در محیط آزمایشی تست کنید.
۱۶. امنیت همگامسازیشده و Security Heartbeat
قابلیت منحصربهفرد سوفوس، Synchronized Security است. وقتی فایروال با Sophos Central و Endpointها یکپارچه شود، یک سیگنال سلامت به نام Security Heartbeat بین آنها رد و بدل میشود. اگر یک دستگاه آلوده شناسایی شود، فایروال میتواند بهصورت خودکار آن را ایزوله کند تا از گسترش تهدید جلوگیری شود. این قابلیت یکی از مهمترین مزیتهای اکوسیستم سوفوس است.
۱۷. اشتباهات رایج هنگام استفاده از فایروال سوفوس
در ادامه مهمترین خطاهایی که مدیران شبکه (بهویژه افراد تازهکار) هنگام کار با فایروال سوفوس مرتکب میشوند، به همراه راهحل آنها آورده شده است. توجه به این جدول میتواند از بسیاری از مشکلات امنیتی و عملکردی جلوگیری کند:
| ردیف | اشتباه رایج (Common Mistake) | پیامد (Impact) | راهحل صحیح (Solution) |
|---|---|---|---|
| ۱ | باز گذاشتن دسترسی WAN به Web Admin Console (پورت 4444) | افزایش شدید ریسک نفوذ و حملات RCE | محدود کردن دسترسی مدیریتی فقط به شبکه LAN یا از طریق VPN |
| ۲ | استفاده از قانون Any-Any-Allow | عبور آزادانه همه ترافیکها و دور زدن امنیت | تعریف قوانین دقیق بر اساس اصل Least Privilege |
| ۳ | اشتباه در ترتیب قوانین (Rule Order) | اجرا نشدن قانون موردنظر چون قانون بالاتری زودتر منطبق شده | قرار دادن قوانین خاص بالاتر از قوانین عمومی |
| ۴ | عدم فعالسازی HTTPS Decryption | عبور تهدیدات داخل ترافیک رمزنگاریشده بدون بازرسی | فعالسازی هوشمندانه TLS Inspection با Exception های لازم |
| ۵ | بهروزرسانی نکردن Firmware و Pattern ها | آسیبپذیری در برابر تهدیدات روز صفر (Zero-Day) | فعالسازی بهروزرسانی خودکار Hotfix و بررسی منظم نسخهها |
| ۶ | نگرفتن Backup منظم از پیکربندی | از دست رفتن کل تنظیمات هنگام خرابی سختافزار | تنظیم Scheduled Backup و نگهداری نسخه خارج از دستگاه |
| ۷ | استفاده از رمز عبور ضعیف برای حساب admin | به خطر افتادن کل فایروال | رمز عبور قوی + فعالسازی MFA / OTP |
| ۸ | فعال کردن همه امضاهای IPS بدون نیاز | افت شدید کارایی (Performance) دستگاه | انتخاب IPS Policy متناسب با نوع ترافیک |
| ۹ | نادیده گرفتن Logها و گزارشها | عدم آگاهی از حملات و رفتارهای مشکوک | بررسی منظم Log Viewer و فعالسازی Notifications |
| ۱۰ | عدم استفاده از آبجکت (Host/Service) و نوشتن IP خام در قوانین | شلوغی و خطای انسانی در مدیریت قوانین | تعریف آبجکتهای مجزا و استفاده مجدد از آنها |
| ۱۱ | غیرفعال گذاشتن Geo-IP Blocking | دریافت ترافیک مخرب از کشورهای پرخطر | مسدودسازی کشورهای غیرضروری در قوانین ورودی |
| ۱۲ | تست نکردن VPN پس از تغییر پیکربندی | قطع دسترسی کاربران دورکار | تست اتصال در محیط کنترلشده پیش از اعمال نهایی |
۱۸. بهترین شیوهها (Best Practices)
برای داشتن یک فایروال امن و پایدار، این اصول را همیشه رعایت کنید:
- اصل حداقل دسترسی (Least Privilege) را در همه قوانین اعمال کنید.
- دسترسی مدیریتی را تا حد امکان محدود کرده و MFA را فعال کنید.
- بهصورت دورهای از قابلیت Firewall Health Check برای ارزیابی پیکربندی استفاده کنید.
- همیشه پیش از تغییرات بزرگ، Backup بگیرید.
- قوانین بلااستفاده را بهصورت دورهای Cleanup کنید.
- از Sophos Central برای مدیریت متمرکز و مانیتورینگ بهره ببرید.
- مستندسازی (Documentation) تغییرات را جدی بگیرید.
۱۹. سؤالات متداول (FAQ)
خیر. رابط کاربری گرافیکی سوفوس بسیار ساده و کاربرپسند طراحی شده است. با پشت سر گذاشتن مفاهیم پایهای مانند Zones و Firewall Rules، حتی افراد تازهکار هم میتوانند بهسرعت کار با آن را یاد بگیرند.
در حالت `Drop` بسته بدون هیچ پاسخی حذف میشود (مهاجم متوجه وجود سرویس نمیشود)، اما در حالت `Reject` یک پیام رد به فرستنده ارسال میگردد. برای ترافیک مشکوک از سمت WAN معمولاً `Drop` امنتر است.
بله. قابلیتهای پایه با لایسنس پایه فعال هستند، اما ماژولهای پیشرفته مانند Web Protection، IPS و Zero-Day Protection نیازمند ساباسکریپشنهای جداگانه (مانند بستههای Xstream) هستند.
از مسیر `System > Backup & Firmware` میتوانید فایل Firmware جدید را آپلود و نصب کنید. حتماً پیش از ارتقا یک Backup کامل تهیه کرده و یادداشتهای انتشار را مطالعه کنید.
بله. با استفاده از Sophos Central میتوانید چندین فایروال را از یک کنسول ابری واحد مدیریت، مانیتور و گزارشگیری کنید.
این قابلیت وضعیت سلامت Endpointها را به فایروال گزارش میدهد و در صورت آلوده شدن یک دستگاه، فایروال میتواند بهصورت خودکار آن را از شبکه ایزوله کند.
خیر. از نسخه SFOS v22 به بعد، این سختافزارها دیگر پشتیبانی نمیشوند و باید به سری جدید XGS مهاجرت کنید.
در این مقاله سعی کردیم یک آموزش فایروال سوفوس کامل و کاربردی ارائه دهیم که از نصب و راهاندازی اولیه تا مفاهیم پیشرفتهای مانند NAT، VPN، IPS و Synchronized Security را پوشش دهد. کلید موفقیت در کار با این فایروال، درک درست مفاهیم پایه (Zones، Rules، NAT)، رعایت اصول امنیتی (Least Privilege، بهروزرسانی منظم و Backup) و پرهیز از اشتباهات رایجی است که در جدول بالا مرور کردیم.
اگر این آموزش فایروال سوفوس را تا انتها دنبال کرده باشید، حالا یک پایه محکم برای مدیریت حرفهای فایروال سوفوس در اختیار دارید. به یاد داشته باشید که امنیت یک فرایند مداوم است؛ پس همیشه پیکربندی خود را پایش کنید، گزارشها را جدی بگیرید و دانش خود را با نسخههای جدید بهروز نگه دارید.
نکته: این مقاله جنبه آموزشی دارد. برای پیادهسازی در محیط عملیاتی، توصیه میشود از مستندات رسمی سوفوس و کارشناسان مجرب شرکت رایان سامانه آرکا کمک بگیرید.
