در دنیای امروز، بخش بزرگی از ترافیک اینترنت با پروتکل HTTPS رمزنگاری می‌شود. این موضوع اگرچه امنیت کاربران را افزایش می‌دهد، اما همزمان کار تحلیل و شناسایی تهدیدات را برای فایروال‌ها سخت‌تر می‌کند. بسیاری از بدافزارها، حملات فیشینگ و حتی ارتباطات Command & Control امروزه داخل ترافیک SSL/TLS مخفی می‌شوند. در نتیجه، قابلیت SSL Inspection در Sophos Firewall اهمیت پیدا می‌کند.

 

SSL Inspection چیست؟

SSL Inspection یا HTTPS Inspection فرآیندی است که طی آن فایروال ترافیک رمزنگاری‌شده HTTPS را به‌صورت موقت رمزگشایی (Decrypt) می‌کند، محتوای واقعی (Payload) آن را بررسی می‌کند و سپس دوباره رمزنگاری می‌کند.

 

چرا SSL Inspection اهمیت دارد؟

امروزه بیشتر تهدیدات سایبری از HTTPS استفاده می‌کنند:

  • Malware Delivery
  • Phishing Pages
  • Botnet Communication
  • Data Exfiltration
  • Ransomware Traffic

طبق گزارش‌های امنیتی، بخش زیادی از ترافیک مخرب داخل SSL/TLS مخفی می‌شود.

 

اگر SSL Inspection در فایروال سوفوس غیرفعال باشد

بخش زیادی از ترافیک HTTPS به‌صورت رمزنگاری‌شده از فایروال عبور می‌کند و محتوای واقعی نشست برای موتورهای امنیتی قابل مشاهده نیست. در این حالت، فایروال معمولاً فقط اطلاعاتی مانند IP، پورت، SNI و متادیتای اتصال را می‌بیند و امکان تحلیل کامل Payload را از دست می‌دهد.

  • IPS نمی‌تواند Payload را تحلیل کند. در نتیجه امضاهای حمله، Exploitها و الگوهای مخرب داخل ترافیک رمزنگاری‌شده ممکن است شناسایی نشوند.

 

  • آنتی‌ویروس نمی‌تواند محتوای واقعی فایل‌ها و دانلودها را اسکن کند. بنابراین، بدافزارهایی که از HTTPS استفاده می‌کنند می‌توانند از لایه‌های دفاعی عبور کنند.

 

  • Web Filtering دقت کمتری خواهد داشت. زیرا، تحلیل صرفاً بر اساس دامنه، دسته‌بندی URL یا اطلاعات سطح Session انجام می‌شود و بررسی محتوای واقعی صفحات محدود می‌شود.

 

  • Sandboxing دید کامل روی فایل‌ها و Objectهای منتقل‌شده ندارد. در نتیجه برخی فایل‌های مشکوک یا ارتباطات Command & Control ممکن است بدون تحلیل عمیق عبور کنند.

 

نحوه عملکرد SSL Inspection در Sophos Firewall

در معماری SSL Inspection در فایروال Sophos و مدیریت متمرکز از طریق Sophos Central، فایروال نقش یک TLS Proxy یا Man-in-the-Middle کنترل‌شده را بین کاربر و مقصد HTTPS ایفا می‌کند. این فرآیند به‌گونه‌ای طراحی شده که هم امنیت حفظ شود و هم ترافیک قابل تحلیل باشد.

1. آغاز اتصال (Client Hello)

کاربر هنگام اتصال به یک سایت HTTPS، پیام اولیه TLS یعنی Client Hello را ارسال می‌کند. این پیام شامل اطلاعاتی مثل نسخه TLS، الگوریتم‌های رمزنگاری و نام دامنه مقصد (SNI) است. در این مرحله، فایروال هنوز محتوا را رمزگشایی نکرده و فقط درخواست اتصال را مشاهده می‌کند.

 

2.قرار گرفتن Sophos در مسیر ارتباط

در این مرحله، فایروال Sophos به‌صورت یک TLS Proxy شفاف (Transparent TLS Proxy) در مسیر ارتباط قرار می‌گیرد. به جای اینکه اتصال HTTPS به‌صورت مستقیم بین کاربر و وب‌سایت برقرار شود، فایروال این ارتباط را در لحظه جدا (Split) می‌کند و خودش نقش واسط امنیتی را بر عهده می‌گیرد.

در نتیجه، دو ارتباط مستقل اما همزمان ایجاد می‌شود:

ارتباط اول: کلاینت Sophos Firewall

کاربر تصور می‌کند در حال برقراری یک اتصال HTTPS مستقیم است، در حالی که در واقع با فایروال در حال تبادل ترافیک رمزنگاری‌شده است.

ارتباط دوم: Sophos Firewall سرور مقصد

فایروال یک اتصال جدید HTTPS به سرور اصلی برقرار می‌کند و ترافیک را پس از بررسی امنیتی به آن ارسال می‌کند.

 

3. جایگزینی گواهی (Certificate Generation / Replacement)

در فرآیند SSL Inspection در Sophos Firewall، زمانی که اتصال TLS برای بررسی امنیتی در نقطه میانی متوقف (Terminate) می‌شود، فایروال دیگر نمی‌تواند از گواهی اصلی وب‌سایت به‌صورت مستقیم استفاده کند، چون عملاً بین کاربر و سرور قرار گرفته است.

به همین دلیل، Sophos برای اینکه اتصال HTTPS کاربر بدون اختلال ادامه پیدا کند، به‌صورت پویا یک گواهی SSL جدید (Dynamic Certificate) برای همان دامنه مقصد تولید می‌کند.

در این حالت:

  • کاربر فکر می‌کند مستقیم به سایت متصل شده
  • اما در واقع گواهی‌ای را دریافت می‌کند که توسط Sophos ساخته شده

در این سناریو، Sophos نقش یک Root Certificate Authority داخلی (Internal CA) را شبیه‌سازی می‌کند و یک Certificate جدید ایجاد می‌کند که دقیقاً برای همان سایت است، اما توسط فایروال صادر شده، نه توسط سرور اصلی. این گواهی جایگزین Certificate واقعی سایت در سمت کلاینت می‌شود.

حالا اگر Root Certificate مربوط به Sophos Firewall قبلاً روی سیستم کاربر یا در سطح سازمان (از طریق GPO یا MDM) نصب و Trusted شده باشد، مرورگر این گواهی تولیدشده را معتبر تشخیص می‌دهد و کاربر بدون هیچ خطای امنیتی، اتصال HTTPS را ادامه می‌دهد.

اما اگر این Root Certificate روی کلاینت نصب نشده باشد، مرورگر نمی‌تواند به آن اعتماد کند و خطاهای زیر نمایش داده می‌شود:

  • Certificate Warning
  • Untrusted Connection

این مکانیزم در واقع پایه‌ی اصلی TLS Decryption در فایروال سوفوس است و به فایروال اجازه می‌دهد محتوای ترافیک HTTPS را قبل از رمزگذاری مجدد بررسی کند؛ بدون اینکه تجربه کاربر نهایی دچار اختلال شود.

 

 4. رمزگشایی ترافیک (TLS Decryption)

پس از اینکه ارتباط HTTPS در مرحله قبل به دو بخش جداگانه بین کاربر و فایروال تقسیم شد، فایروال Sophos در وسط این ارتباط قرار می‌گیرد و می‌تواند محتوای رمزنگاری‌شده را بررسی کند.

در این مرحله، داده‌هایی که داخل تونل TLS منتقل می‌شوند، در نقطه میانی توسط فایروال رمزگشایی (Decrypt) می‌شوند. به عبارتی، اطلاعاتی که قبلاً به‌صورت رمز شده و غیرقابل خواندن بودند، برای مدت کوتاهی در داخل فایروال به حالت قابل‌خواندن (Plaintext)  تبدیل می‌شوند.

بعد از انجام بررسی‌های امنیتی، این داده‌ها دوباره رمزنگاری شده و به سمت مقصد اصلی ارسال می‌شوند، بدون اینکه کاربر یا سرور متوجه این فرآیند میانی شوند.

 

5. اعمال لایه‌های امنیتی (Security Inspection Engine)

در این مرحله، پس از رمزگشایی ترافیک در فایروال، محتوای واقعی ارتباط HTTPS در اختیار موتورهای امنیتی Sophos قرار می‌گیرد و چندین لایه حفاظتی به‌صورت هم‌زمان روی آن اعمال می‌شود. پس در این مرحله  قدرت اصلی SSL Inspection در Sophos Firewall مشخص می‌شود.

در این سطح، ترافیک به‌صورت عمیق (Deep Content Inspection) بررسی شده و تهدیدات مختلف در لایه‌های گوناگون شناسایی یا مسدود می‌شوند:

  • IPS (Intrusion Prevention System): شناسایی و جلوگیری از حملات شبکه‌ای، Exploitها و الگوهای نفوذ
  • Web Filtering: تحلیل URL و محتوای صفحات وب بر اساس دسته‌بندی امنیتی و سیاست‌های سازمان
  • ATP (Advanced Threat Protection): شناسایی رفتارهای غیرعادی و ارتباطات مشکوک با سرورهای مخرب (C2)
  • Antivirus / Malware Scan: بررسی فایل‌ها و دانلودهای منتقل‌شده از نظر وجود بدافزار، تروجان و Payloadهای مخرب
  • Sandstorm (Sandboxing): ارسال فایل‌های مشکوک به محیط ایزوله ابری برای تحلیل رفتاری و تشخیص تهدیدات ناشناخته (Zero-day)

در این مرحله، فایروال برای اولین بار به محتوای واقعی Payload دسترسی پیدا می‌کند و می‌تواند تهدیدات پنهان در ترافیک HTTPS را شناسایی و مسدود کند.

 

6. رمزنگاری مجدد و ارسال به مقصد (Re-encryption)

پس از اینکه ترافیک HTTPS در فایروال Sophos بررسی و از نظر امنیتی تحلیل شد، داده‌ها برای حفظ محرمانگی و سازگاری با پروتکل TLS دوباره رمزنگاری می‌شوند. این مرحله با عنوان TLS Re-encryption شناخته می‌شود.

در این فرآیند، فایروال سوفوس پس از اعمال سیاست‌های امنیتی مانند  IPS، Antivirus و  Web Filtering، یک ارتباط امن جدید بین خود و سرور مقصد برقرار کرده و داده‌ها را مجدداً در قالب TLS Encrypted Traffic ارسال می‌کند.

پس، اتصال نهایی به سرور مقصد همچنان به‌صورت کاملاً رمزنگاری‌شده ادامه پیدا می‌کند و هیچ‌گونه داده‌ای به‌صورت خام در شبکه باقی نمی‌ماند.

از دید کاربر و سرور، این فرآیند کاملاً شفاف (Transparent) است؛ یعنی:

  • کاربر تصور می‌کند ارتباط مستقیم HTTPS برقرار کرده است
  • سرور نیز هیچ تغییری در نوع اتصال احساس نمی‌کند

اما در پشت صحنه، فایروال Sophos نقش یک Secure Proxy Gateway را ایفا کرده است.

این طراحی باعث می‌شود امنیت در سطح Payload حفظ شود، بدون اینکه تجربه کاربری یا عملکرد سرویس‌های وب دچار اختلال شود.

 

عملکرد SSL Inspection در فایروال سوفوس

 

تفاوت SSL Inspection و  DPI

در امنیت شبکه، دو مفهوم SSL Inspection و DPI (Deep Packet Inspection) هر دو برای تحلیل ترافیک استفاده می‌شوند، اما سطح دید، نوع پردازش و کاربرد آن‌ها کاملاً متفاوت است.

DPI (Deep Packet Inspection) چیست؟

در واقع، DPI به معنی بررسی عمیق بسته‌های شبکه است، اما فقط در لایه‌های غیررمزشده یا اطلاعات قابل مشاهده.

این DPI می‌تواند موارد زیر را تحلیل کند:

  • IP و Port
  • پروتکل‌ها (HTTP, DNS, FTP)
  • هدرهای شبکه
  • الگوهای حمله (Signature-based Detection)

اما، DPI معمولاً محتوای رمزنگاری‌شده (HTTPS) را نمی‌تواند ببیند، مگر اینکه ترافیک قبلاً رمزگشایی شده باشد.

 

تفاوت اصلی SSL Inspection و DPI

ویژگی

 DPI

SSL Inspection

سطح تحلیل

 بسته‌های شبکه محتوای رمزنگاری‌شده
توانایی دیدن HTTPS

ندارد

دارد

نیاز به Decryption

 ندارد دارد
نوع تهدید قابل شناسایی حملات شبکه‌ای

Malware، Phishing، Payload داخل HTTPS

پیچیدگی پردازش

 متوسط بالا
کاربرد اصلی تحلیل ترافیک عمومی

امنیت پیشرفته HTTPS

 

SSL Inspection در واقع یک مرحله پیشرفته‌تر از DPI است.

در فایروال‌های مدرن:

  • ابتدا DPI روی ترافیک انجام می‌شود.
  • اگر ترافیک HTTPS باشد → وارد SSL Inspection می‌شود.

به همین دلیل SSL Inspection را می‌توان: DPI + Decryption Layer در نظر گرفت.

 

انواع SSL Inspection در فایروال سوفوس

در فایروال‌های مدرن مانند Sophos Firewall، قابلیت SSL Inspection برای بررسی ترافیک رمزنگاری‌شده HTTPS استفاده می‌شود. اما این قابلیت همیشه به‌صورت یکسان اجرا نمی‌شود و بسته به سطح امنیت، عملکرد و سیاست سازمان، به چند نوع مختلف تقسیم می‌شود.

 

1. Full SSL Inspection (Decrypt & Scan)

این حالت کامل‌ترین و در عین حال سنگین‌ترین نوع SSL Inspection است. در این روش:

  • تمام ترافیک HTTPS رمزگشایی (Decrypt) می‌شود.
  • محتوای کامل (Payload) بررسی می‌شود.
  • سپس دوباره رمزنگاری و ارسال می‌شود.

مواردی که بررسی می‌شوند:

  • Malware داخل فایل‌ها
  • صفحات فیشینگ
  • Payloadهای مخرب
  • درخواست‌های HTTP داخل HTTPS

مزایا:

  • بالاترین سطح دید امنیتی (Full Visibility)
  • مناسب برای جلوگیری از تهدیدات پیشرفته

معایب:

  • مصرف بالای CPU در فایروال
  • احتمال کاهش Performance
  • نیاز به مدیریت دقیق Certificate

 

2. Selective SSL Inspection

در این مدل، فقط بخشی از ترافیک HTTPS رمزگشایی می‌شود.

فایروال Sophos بر اساس Policy تصمیم می‌گیرد کدام ترافیک بررسی شود، مثل:

  • سایت‌های ناشناس
  • دسته‌بندی‌های High Risk
  • دانلود فایل‌ها
  • URLهای خاص

مزایا:

  • تعادل بین امنیت و Performance
  • کاهش فشار روی فایروال
  • مناسب برای سازمان‌های متوسط و بزرگ

معایب:

  • دید کامل روی کل ترافیک وجود ندارد
  • نیاز به تنظیم دقیق Policy

 

3. No Decryption (Bypass / Pass-through)

در این حالت، ترافیک HTTPS اصلاً رمزگشایی نمی‌شود. فایروال فقط اطلاعات سطح بالا را می‌بیند:

  • IP
  • Domain
  • SNI
  • Category

مزایا:

  • بهترین Performance
  • بدون اختلال در سرویس‌ها
  • مناسب برای اپلیکیشن‌های حساس

معایب:

  • عدم دید روی Payload
  • امکان عبور تهدیدات داخل HTTPS

 

4. Certificate-Based Bypass (Exclusion Mode)

در فایروال سوفوس می‌توان برخی ترافیک‌ها را از SSL Inspection مستثنی کرد. این قابلیت با نام Exclusion یا Bypass Mode شناخته می‌شود. در این حالت، فایروال به‌جای اینکه ترافیک را رمزگشایی و بررسی کند، آن را به‌صورت مستقیم و بدون Decryption از خود عبور می‌دهد. این کار زمانی انجام می‌شود که بررسی ترافیک ممکن است باعث اختلال در عملکرد سرویس شود یا اصول امنیتی اپلیکیشن اجازه تغییر در ارتباط را ندهد.

چه زمانی از Bypass استفاده می‌شود؟

این حالت معمولاً برای سرویس‌هایی استفاده می‌شود که به رمزنگاری End-to-End حساس هستند یا در صورت دستکاری TLS دچار مشکل می‌شوند، مانند:

  • سرویس‌های بانکی (Banking Websites)
  • سیستم‌های پزشکی و حساس (Healthcare Systems)
  • اپلیکیشن‌هایی که از SSL Pinning استفاده می‌کنند (مانند برخی اپ‌های موبایل)
  • سرویس‌های ابری و اکوسیستم مایکروسافت و Cloud Providerها

چرا SSL Pinning مهم است؟

در برخی اپلیکیشن‌ها، Certificate سرور به‌صورت سخت‌کد شده (Pinned) تعریف شده است. اگر فایروال وسط ارتباط قرار بگیرد و Certificate را تغییر دهد، اپلیکیشن اتصال را ناامن تشخیص داده و آن را قطع می‌کند.

مزیت:

  • جلوگیری از خطاهای Certificate در اپلیکیشن‌های حساس
  • حفظ پایداری و عملکرد سرویس‌های حیاتی
  • جلوگیری از قطع شدن ارتباط در سیستم‌های بانکی و سازمانی

 

تفاوت Certificate-Based Bypass و No Decryption در  Sophos Firewall

1. No Decryption (Global Bypass / Pass-through)

در این حالت، فایروال کلاً تصمیم می‌گیرد SSL Inspection را روی یک ترافیک انجام ندهد و خاموش باشد. یعنی:

  • هیچ TLS Decryption انجام نمی‌شود
  • ترافیک HTTPS فقط عبور داده می‌شود
  • فقط Metadata مثل IP / Domain بررسی می‌شود

در نتیجه، فایروال اصلاً وارد فرآیند SSL Inspection نمی‌شود.

2. Certificate-Based Bypass (Selective Exclusion)

در این فرایند SSL Inspection فعال و روشن است. اما روی برخی مقصدها/اپلیکیشن‌ها خاموش می‌شود. یعنی:

  • بقیه ترافیک HTTPS هنوز Decrypt و Inspect می‌شود.
  • فقط یک لیست خاص از سایت‌ها یا سرویس‌ها از این فرآیند خارج می‌شوند.

پس به طور کلی، SSL Inspection فعال است، اما به‌صورت استثنا (Exception-based) عمل می‌کند.

 

سناریو واقعی حمله (Real-World Scenario)

فرض کنید در یک سازمان، کاربری یک ایمیل فیشینگ دریافت می‌کند که در ظاهر از طرف یک سرویس معتبر ارسال شده و شامل لینکی برای ورود اضطراری به حساب کاربری است.

کاربر روی لینک کلیک کرده و وارد سایتی می‌شود که از نظر ظاهری کاملاً واقعی است و از HTTPS نیز استفاده می‌کند:

https://secure-login-company.com

از دید کاربر:

  • اتصال با قفل HTTPS (SSL Padlock) برقرار است
  • مرورگر هیچ هشدار امنیتی نمایش نمی‌دهد
  • Certificate نیز معتبر به نظر می‌رسد

اما در واقعیت:

  • این سایت یک صفحه فیشینگ کاملاً شبیه‌سازی‌شده است
  • اسکریپت‌های JavaScript مخرب در پس‌زمینه اجرا می‌شوند
  • اطلاعات ورود کاربر سرقت شده و به سرور مهاجم ارسال می‌شود
  • در ادامه، ارتباطی مخفی با یک C2 (Command & Control) Server برقرار می‌گردد

اگر SSL Inspection در Sophos Firewall غیرفعال باشد:

در این حالت فایروال فقط یک ارتباط HTTPS رمزنگاری‌شده می‌بیند:

  • محتوای واقعی قابل مشاهده نیست
  • Payload داخل TLS مخفی می‌ماند
  • IPS و Antivirus دسترسی به داده‌ها ندارند
  • تنها اطلاعات سطح بالا مانند IP و Domain قابل تحلیل است

در نهایت، حمله می‌تواند بدون شناسایی از کنترل‌های امنیتی مبتنی بر محتوا عبور کند.

اما در صورت فعال بودن Sophos SSL Inspection:

در این سناریو، ترافیک قبل از رسیدن به مقصد رمزگشایی و تحلیل می‌شود:

  • JavaScript مخرب توسط موتورهای امنیتی بررسی می‌شود.
  • URL Reputation و دسته‌بندی دامنه تحلیل می‌شود.
  • IPS الگوهای حمله و رفتار فیشینگ را تشخیص می‌دهد.
  • ارتباط با سرورهای مشکوک (C2) شناسایی می‌شود.
  • در نهایت اتصال به‌صورت خودکار Block یا Quarantine می‌شود.

 

مشکلات رایج SSL Inspection در Sophos

در پیاده‌سازی SSL Inspection در Sophos Firewall، اگرچه سطح امنیت شبکه به‌طور قابل توجهی افزایش پیدا می‌کند، اما در صورت تنظیم نادرست یا عدم هماهنگی با کلاینت‌ها، ممکن است برخی مشکلات عملیاتی و خطاهای رایج در شبکه ایجاد شود.

1. خطای Certificate (Certificate Error / Untrusted Connection)

یکی از رایج‌ترین مشکلات SSL Inspection در Sophos Firewall زمانی رخ می‌دهد که مرورگر کاربر نتواند به گواهی‌ای که فایروال تولید می‌کند اعتماد کند. این اتفاق معمولاً به این دلیل میفتد که فایروال برای انجام SSL Inspection، خودش یک گواهی جدید برای سایت‌ها ایجاد می‌کند. اما اگر سیستم کاربر این فایروال را به‌عنوان یک مرجع معتبر (Trusted CA) نشناسد، اتصال HTTPS قابل تأیید نخواهد بود.

علت اصلی:

Root Certificate مربوط به Sophos Firewall روی سیستم کاربر نصب نشده یا در لیست Trusted Root Authorities قرار نگرفته است.

نتیجه:

در این حالت، مرورگر به دلیل عدم اعتماد به زنجیره گواهی، خطاهای امنیتی نمایش می‌دهد، مانند:

  • نمایش خطایCertificate Warning
  • توقف یا عدم بارگذاری سایت‌های HTTPS
  • عدم دسترسی به سایت‌ها Untrusted Connection

راه‌حل:

برای رفع این مشکل باید گواهی Root فایروال در سطح کلاینت‌ها به‌درستی توزیع و Trust شود:

  • استخراج (Export) Root Certificate از Sophos Firewall
  • نصب و توزیع آن در کل سازمان از طریق Group Policy (GPO) در محیط‌های Active Directory
  • استفاده از ابزارهای مدیریت Endpoint مانند MDM / Endpoint Management برای نصب خودکار روی سیستم‌ها و دستگاه‌ها

 

2. عدم عملکرد اپلیکیشن‌های بانکی (Banking / SSL Pinning Issue)

برخی وب‌سایت‌ها و اپلیکیشن‌های بانکی برای افزایش امنیت، از مکانیزمی به نام SSL Pinning استفاده می‌کنند. در این روش، اپلیکیشن از قبل می‌داند Certificate معتبر سرور باید دقیقاً چه شکلی باشد و آن را داخل خودش به‌صورت سخت‌کد (Hardcoded) ذخیره کرده است.

در حالت عادی، این اپلیکیشن فقط به همان Certificate خاص اعتماد می‌کند و هرگونه تغییر در زنجیره TLS را غیرمعتبر تلقی می‌کند.

مشکل در SSL Inspection چیست؟

در SSL Inspection در Sophos Firewall، فایروال برای بررسی امنیتی، Certificate اصلی سایت را در مسیر ارتباط با یک Certificate جدید جایگزین می‌کند.

در نتیجه:

  • اپلیکیشن بانکی انتظار Certificate اصلی را دارد.
  • اما یک Certificate تولیدشده توسط فایروال دریافت می‌کند.
  • و این اختلاف را به‌عنوان دستکاری یا حمله امنیتی تشخیص می‌دهد.

پس، اتصال قطع می‌شود یا اپلیکیشن از کار می‌افتد.

راه‌حل:

برای جلوگیری از اختلال در این نوع سرویس‌ها، باید این ترافیک از فرآیند SSL Inspection مستثنی شود:

  • تعریف Bypass Rule برای دامنه‌ها یا اپلیکیشن‌های بانکی
  • Exclude کردن سرویس‌های حساس از SSL Decryption Policy در فایروال

 

3. افت عملکرد و افزایش بار پردازشی (Performance Degradation)

از مهم‌ترین چالش‌های SSL Inspection در Sophos، فشار پردازشی بالای عملیات TLS Decryption و Re-encryption است. چون فایروال مجبور است ترافیک رمزنگاری‌شده را در لحظه باز، بررسی و دوباره رمزنگاری کند، این فرآیند می‌تواند منابع سیستم را تحت فشار قرار دهد.

علائم در شبکه:

در صورت طراحی نامناسب Policy یا حجم بالای ترافیک HTTPS، معمولاً این نشانه‌ها دیده می‌شود:

  • افزایش مصرف CPU در فایروال
  • کندی محسوس در باز شدن صفحات وب
  • افزایش Latency در ارتباطات HTTPS
  • کاهش Performance در ساعات اوج ترافیک

راه‌حل‌:

برای جلوگیری از افت عملکرد و حفظ تعادل بین امنیت و کارایی شبکه، می‌توان از راهکارهای زیر استفاده کرد:

  • فعال‌سازی Hardware Acceleration (در صورت پشتیبانی سخت‌افزار) برای کاهش بار پردازش رمزنگاری
  • استفاده از Selective SSL Inspection به‌جای Full Inspection برای کاهش حجم ترافیک قابل بررسی
  • Exclude کردن سرویس‌ها و ترافیک‌های کم‌ریسک از فرآیند Decryption (مثل Updateها یا سرویس‌های Trusted)

 

4. ناسازگاری با QUIC و HTTP/3

یکی دیگر از چالش‌های مهم در پیاده‌سازی SSL Inspection در Sophos Firewall مربوط به پروتکل‌های جدید وب مانند QUIC (HTTP/3) است. مرورگرهای مدرن مانند Chrome و برخی سرویس‌های Cloud برای افزایش سرعت ارتباط، از QUIC استفاده می‌کنند که به‌جای TCP، روی UDP اجرا می‌شود.

 چرا QUIC برای SSL Inspection مشکل ایجاد می‌کند؟

در حالت سنتی (HTTP/1.1 یا HTTP/2)ترافیک HTTPS روی TCP و با استفاده از TLS قابل Intercept و Decrypt است.

اما در QUIC:

  • ارتباط به‌صورت UDP و یکپارچه (Encrypted by default) برقرار می‌شود.
  • مراحل TLS به شکل متفاوت و فشرده اجرا می‌شوند.
  • امکان کنترل کامل Session توسط فایروال محدودتر است.

در نتیجه، در بسیاری از سناریوها، SSL Inspection یا TLS Decryption روی QUIC به‌درستی اعمال نمی‌شود یا دید کامل روی ترافیک وجود ندارد.

 مشکل در شبکه چیست؟

اگر QUIC فعال باشد:

  • فایروال نمی‌تواند ترافیک HTTPS را به‌صورت کامل Inspect کند .
  • بخشی از ترافیک از لایه SSL Inspection عبور می‌کند.
  • دید امنیتی (Security Visibility) کاهش پیدا می‌کند.

راه‌حل در  Sophos Firewall

  • Block کردن پروتکل QUIC در سطح فایروال
  • اجبار مرورگرها به استفاده از ارتباط HTTPS روی TCP
    • یعنی HTTP/2 یا HTTP/1.1 به‌جای HTTP/3

با این کار، ترافیک دوباره وارد مسیر استاندارد TLS می‌شود و امکان SSL Inspection کامل و پایدار فراهم می‌گردد.

 

Best Practice برای SSL Inspection در Sophos Firewall

1. همه ترافیک HTTPS را Decrypt نکنید

از نظر فنی امکان رمزگشایی بخش زیادی از ترافیک HTTPS وجود دارد، اما در محیط‌های واقعی سازمانی همیشه توصیه نمی‌شود همه ارتباطات وارد TLS Decryption شوند.

  • Banking Services (سرویس‌های بانکی و مالی)
  • Healthcare Systems (سامانه‌های درمانی و پزشکی)
  • Government Platforms (سرویس‌های دولتی و حاکمیتی)
  • Microsoft Update / Trusted Update Services (سرویس‌های به‌روزرسانی معتبر)

 

2. از Category-based Bypass به جای Domain-based استفاده کنید

در Sophos Firewall می‌توان ترافیک را به‌صورت Bypass از SSL Inspection خارج کرد.

Domain-based Bypass چیست؟

در این روش، فقط یک دامنه مشخص استثنا می‌شود؛ مثلاً:

bank.example.com

مشکل این روش این است که:

  • نیاز به نگهداری مداوم دارد
  • با تغییر دامنه یا CDN ممکن است Policy از کار بیفتد

Category-based Bypass چیست؟

در SSL Inspection در فایروال سوفوس، منظور از Category-based Bypass این است که فایروال به جای استثنا کردن یک سایت مشخص، یک گروه از سایت‌ها با ماهیت مشابه را از فرآیند رمزگشایی خارج می‌کند.

مثلاً فرض کن در Policy فقط این دامنه را مستثنی کنی:

bank.example.com

در این حالت فقط همان سایت از SSL Inspection عبور می‌کند. اگر کاربر به دامنه دیگری از همان بانک یا یک سرویس مالی دیگر وصل شود، دوباره ترافیک وارد فرآیند TLS Decryption خواهد شد.

اما در Category-based Bypass، به جای تعریف تک‌تک دامنه‌ها، فایروال از دسته‌بندی محتوایی (URL Category / Web Category) استفاده می‌کند.

یعنی اگر دسته Financial Services را از SSL Inspection خارج کنی، هر سایتی که Sophos آن را در گروه سرویس‌های مالی تشخیص دهد، بدون Decryption عبور می‌کند.

مثال عملی

فرض کن کاربر به این سایت‌ها وصل شود:

  • bank-a.com
  • bank-b.com
  • payment-gateway.net

اگر این دامنه‌ها در دسته Financial Services قرار داشته باشند، فایروال آن‌ها را از SSL Inspection مستثنی می‌کند؛ حتی اگر نام دامنه‌ها قبلاً به‌صورت دستی در Policy وارد نشده باشند.

مزیت اصلی چیست؟

در محیط‌های سازمانی، تعداد دامنه‌ها زیاد است و دائماً تغییر می‌کنند. اگر بخواهید همه را دستی وارد کنید:

  • مدیریت سخت می‌شود.
  • نگهداری Policy پیچیده می‌شود.
  • احتمال خطای پیکربندی بالا می‌رود.

اما در Category-based Bypass، فایروال بر اساس نوع سرویس تصمیم می‌گیرد، نه فقط نام دامنه.

 

3. Certificate Management را استاندارد کنید

یکی از رایج‌ترین دلایل خطا در SSL Inspection، مدیریت نامناسب گواهی‌های ریشه (Root Certificate) است.

برای جلوگیری از خطاهای Certificate، توزیع گواهی باید متمرکز و سازمانی انجام شود:

  • Active Directory Group Policy (GPO): توزیع خودکار روی سیستم‌های ویندوزی
  • MDM (Mobile Device Management): مدیریت موبایل و لپ‌تاپ‌ها
  • Endpoint Management: اعمال Policy روی کلاینت‌ها و Endpointها

در نهایت، با این کار، کلاینت‌ها فایروال را به‌عنوان Trusted Certificate Authority می‌شناسند و TLS Decryption بدون خطا انجام می‌شود.

 

4. عملکرد فایروال را دائماً مانیتور کنید (Monitor Performance)

رمزگشایی و رمزنگاری مجدد ترافیک HTTPS یک فرآیند CPU-intensive است؛ یعنی مستقیماً روی منابع پردازشی فایروال اثر می‌گذارد. به همین دلیل، بعد از فعال‌سازی SSL Inspection باید شاخص‌های زیر به‌صورت مستمر پایش شوند:

  • CPU Usage (میزان مصرف پردازنده)
  • TLS Sessions (تعداد نشست‌های رمزنگاری فعال)
  • Concurrent Connections (تعداد ارتباطات همزمان)
  • Memory Usage (میزان مصرف حافظه)

افزایش ناگهانی این شاخص‌ها می‌تواند نشانه این باشد که:

  • Scope SSL Inspection بیش از حد گسترده تعریف شده
  • ترافیک HTTPS از ظرفیت پردازشی فایروال عبور کرده
  • نیاز به Selective Inspection یا Exclusion وجود دارد

 

5. لاگ‌ها را به‌صورت مستمر بررسی کنید

در پیاده‌سازی SSL Inspection در Sophos Firewall، لاگ‌ها مهم‌ترین منبع برای Troubleshooting و تحلیل رفتار TLS هستند.

مهم‌ترین بخش‌هایی که باید مانیتور شوند:

TLS Errors: خطاهای مربوط به Handshake یا Negotiation

Certificate Failures: خطاهای زنجیره اعتماد یا عدم اعتبار گواهی

Blocked HTTPS: ارتباطات HTTPS که توسط Policy مسدود شده‌اند

Unsupported Cipher Suites: الگوریتم‌های رمزنگاری که توسط کلاینت یا سرور پشتیبانی نمی‌شوند

  • Cipher Suite مجموعه‌ای از الگوریتم‌های رمزنگاری است که در زمان برقراری TLS بین کلاینت و سرور توافق می‌شود. اگر کلاینت، سرور و فایروال روی یک مجموعه مشترک توافق نکنند، ارتباط برقرار نخواهد شد.

 

Troubleshooting SSL Inspection در Sophos Firewall

وقتی SSL Inspection در Sophos Firewall به‌درستی کار نکند، معمولاً نشانه‌هایی مثل خطای Certificate، قطع شدن اتصال HTTPS، باز نشدن بعضی سایت‌ها یا کندی غیرعادی دیده می‌شود.

برای عیب‌یابی، باید مسیر برقراری ارتباط TLS را مرحله‌به‌مرحله بررسی کرد.

 1. بررسی TLS Handshake در Log Viewer

اولین نقطه بررسی، لاگ‌های SSL/TLS در فایروال است.

مسیر:

Log Viewer → SSL/TLS

TLS Handshake چیست؟

TLS Handshake همان مرحله ابتدایی مذاکره امنیتی بین کلاینت و سرور است؛ جایی که دو طرف درباره مواردی مثل:

  • نسخه TLS
  • الگوریتم رمزنگاری
  • اعتبار گواهی

با هم توافق می‌کنند.

اگر این مرحله با خطا مواجه شود، اتصال HTTPS اصلاً برقرار نمی‌شود.

در لاگ‌ها دنبال چه چیزی بگردیم؟

  • Handshake Failure: مذاکره TLS ناموفق بوده
  • Certificate Validation Error: زنجیره اعتماد گواهی معتبر نیست
  • Unsupported TLS Version: نسخه TLS توسط یکی از طرفین پشتیبانی نمی‌شود

این لاگ‌ها معمولاً اولین موارد برای پیدا کردن منشأ مشکل هستند.

 

2. تحلیل ترافیک با Packet Capture

اگر از لاگ‌ها علت مشکل مشخص نشد، باید ترافیک واقعی شبکه بررسی شود.

مسیر:

Diagnostics → Packet Capture

وظیفه Packet Capture

در این ابزار می‌توان دید:

  • آیا TLS Handshake کامل می‌شود یا نه.
  • آیا ارتباط توسط کلاینت قطع شده یا سرور.
  • آیا Reset یا Timeout در مسیر رخ داده است.

در واقع، Packet Capture نشان می‌دهد مشکل دقیقاً در کدام نقطه از ارتباط اتفاق می‌افتد.

 

3. بررسی Certificate Chain

یکی از رایج‌ترین دلایل خطا در SSL Inspection، مشکل در Certificate Chain است.

Certificate Chain چیست؟

وقتی مرورگر یک گواهی دریافت می‌کند، باید بتواند زنجیره اعتماد را تا Root CA دنبال کند.

معمولاً این زنجیره شامل این بخش‌هاست:

  • Root CA: مرجع اصلی اعتماد
  • Intermediate CA: گواهی واسط
  • Server Certificate: گواهی نهایی وب‌سایت

چه چیزهایی را بررسی کنیم؟

  •  Root CA مربوط به Sophos باید روی کلاینت Trusted باشد.
  • Intermediate Certificateها باید کامل و معتبر باشند.

اگر هر بخش از این زنجیره ناقص باشد، مرورگر خطای Certificate نمایش می‌دهد.

 

4. استفاده از Browser Developer Tools

در برخی مواقع، مرورگر دقیق‌تر از فایروال علت خطا را نشان می‌دهد. در مرورگرهای مدرن می‌توان از Developer Tools استفاده کرد. پس، باید موارد زیر بررسی شوند:

  • TLS Version:  آیا نسخه TLS بین کلاینت و سرور سازگار است؟
  • Cipher Suite: آیا الگوریتم رمزنگاری مشترک وجود دارد؟
  • Certificate Pinning: آیا اپلیکیشن فقط Certificate اصلی را قبول می‌کند؟

 

آیا SSL Inspection در Sophos Firewall باعث نقض حریم خصوصی می‌شود؟

SSL Inspection ذاتاً به معنی نقض حریم خصوصی نیست، اما چون در این فرآیند فایروال به‌صورت موقت محتوای ترافیک رمزنگاری‌شده HTTPS را رمزگشایی و بررسی می‌کند، از نظر حقوقی، انطباق (Compliance) و حریم داده موضوع حساسی محسوب می‌شود.

چه زمانی ممکن است SSL Inspection در Sophos Firewall مسئله‌ساز شود؟

اگر Sophos SSL Inspection بدون چارچوب مشخص اجرا شود، ممکن است داده‌های حساس یا شخصی وارد فرآیند بررسی شوند؛ مانند:

  • اطلاعات ورود کاربران (Credentials)
  • داده‌های مالی و بانکی
  • اطلاعات پزشکی و درمانی
  • داده‌های شخصی و هویتی

در چنین شرایطی، موضوع فقط فنی نیست و به سیاست سازمانی و الزامات قانونی هم مربوط می‌شود.

برای پیاده‌سازی درست SSL Inspection در Sophos Firewall معمولاً این اصول توصیه می‌شود:

  • اطلاع‌رسانی به کاربران

در بسیاری از سازمان‌ها باید کاربران بدانند بخشی از ترافیک HTTPS تحت بررسی امنیتی قرار می‌گیرد.

  • وجود Policy رسمی و مستند

باید مشخص باشد چه نوع ترافیکی بررسی می‌شود، چه داده‌هایی مستثنی هستند و هدف از Inspection چیست.

  • استثنا کردن داده‌های حساس (Selective Exclusion)

 

چرا در اروپا و محیط‌های درمانی مهم‌تر است؟

در برخی حوزه‌ها، قواعد مربوط به Data Protection سخت‌گیرانه‌تر هستند.

  • اتحادیه اروپا (European Union)

مقررات حفاظت از داده شخصی حساسیت بالایی روی پردازش داده‌های کاربران دارد.

  • GDPR (General Data Protection Regulation)

در این چارچوب، سازمان باید دلیل روشن، محدوده مشخص و کنترل مناسب برای پردازش داده داشته باشد.

  • محیط‌های درمانی و پزشکی

چون اطلاعات سلامت جزو داده‌های بسیار حساس محسوب می‌شود، معمولاً سیاست‌های محافظه‌کارانه‌تری در SSL Inspection اعمال می‌شود.