امروزه، روند گسترش محیط شبکهی سازمانی تا حدی است که شناسایی کامل آن امکانپذیر نبوده و یا بهراحتی قابل شناسایی نمیباشد.سازمانهای بزرگ علاوه بر اندازهی شبکه، باید نیازهای کاربران و الزامات پیادهسازی را نیز مدنظر قرار دهند. سطح حملات در تجهیزات سیار و دیتاسنترها، Public Cloud و Private Cloud و همچنین اینترنت اشیا (IoT) به طرز چشمگیری افزایش یافته و تعریف سازمانهای گسترده و برقراری امنیت در آنها را با چالش مواجه نموده است. عوامل تهدید، با هدف کسب درآمد به نقاط ضعف شبکههای سازمانی حمله نموده و با فرآیندهای حمله خودکار از اطلاعات حساس به دستآمده جهت باجخواهی یا فروش در بازار سیاه استفاده میکنند.
کمبود قابلیت دید (Visibility) و قابلیت کنترل در یک محیط نامحدود با برخورداری از امکان توسعه شبکه، برنامههای کاربردی، دادهها و کاربران از دغدغههای متخصصین حوزهی امنیت به شمار میرود. این دغدغه ناشی از آن است که سطح پایین عملکردهای امنیتی در یک فایروال واحد ممکن است منجر به پیکربندی نامناسب و از دست رفتن Event Logها گشته و علاوه بر آن احتمال عدم شناسایی نقضهای امنیتی را نیز افزایش دهد.
کارشناسان امنیت سازمان، علاوه بر افزایش اثربخشی امنیت به دنبال سازگاری و انطباق بیشتر در حین ارائه فاکتورها، تجمیع حوزههای امنیتی، سطح بالای عملکرد قابلاطمینانِ شبکه و سادهسازی روند مدیریت امنیت ترجیحاً در یک کنسول واحد میباشند. امنیت فایروال شبکه باید به گونهای تکمیل گردد که قادر به تأمین امنیت درسازمانهای بزرگ باشد.
با توجه به اینکه سازمانها، نیازمند یک راهکار امنیت شبکه از نوع End-to-End میباشند، باید تمامی سطوح آسیبپذیری از اینترنت اشیاء (IoT) گرفته تا سرویس Cloud و از کاربران گرفته تا دادهها را محافظت کرد. راهکار IPImen NGFirewall-UTM با استفاده از یک رویکرد مشترک در سراسر زیرساخت شبکه این کار را انجام داده و مدیران امنیتی را قادر به پیادهسازی یک استراتژی گسترده و پویای دفاعی در بلندمدت مینماید.
معرفی محصول امنیتی IPImen NGFirewall-UTM:
محصول فایروال یوتیام نسل بعدی (Next Generation Firewall-UTM) با نام IPImen یک محصول تخصصی در زمینه امن سازی شبکه است که به دست توانای متخصصان داخلی تولید گردیده است و قابلیت های مختلف تعبیه شده در آن متناسب با نیازهای سازمان های ایرانی است که ماحصل کسب نظرات، پیشنهادات، انتقادات و راهکارهای ارائه شده توسط مدیران شبکه در سراسر کشور می باشد. در واقع این محصول از نظر قابلیت، گام های بلندتر و موفق تری را نسبت به بسیاری از تولید کنندگان برداشته است و امروزه در نقش یک محصول Next Generation عرض اندام می نماید.
محصول IPImen NGFirewall-UTM میتواند قابلیت دفاع لحظهای،Responsive و هوشمند را در مقابل بدافزارها و تهدیدات پیش رو فراهم نماید. قابلیت های تعبیه شده در این محصول اساس زیرساخت امنیتی شبکه سازمانی را تشکیل میدهند.
ویژگی انعطافپذیری در فایروالها این امکان را فراهم مینماید تا روند پیادهسازی متناسب با نیازهای خاص امنیتی در قسمت خاصی از سازمان بدون خطا در عملکرد صورت گیرد. تمامی تجهیزات فایروال در IPImen NGFirewall-UTM از طریق کنسول مدیریتی واحد به یکدیگر مرتبط میشوند. این ارتباط متقابل به ارائه اثربخشترین نوع محافظت پرداخته و علاوه بر تسهیل پیادهسازی، موجب کاهش نقاط تماس متعدد و Policyها در سراسر سازمان میگردد.علاوه بر این، راهکار فوق به منظور فراهم آوردن بهترین نوع محافظت دربرابر حملات هدفمند و پیشرفتهترین تهدیدات امنیتی به ارائهی مواردی همچون امنیت شبکه به صورت End-to-End از طریق یک پلتفرم، یک سیستمعامل امنیت شبکه و مدیریت یکپارچه Policy با یک کنسول واحد میپردازد.
اجزای اصلی راهکار امنیتی IPImen NGFirewall-UTM:
در زیر به بررسی اجزای اصلی راهکارهای امنیتی ارائه شده توسط شرکت تاکیان می پردازیم.
1 - ارائهی مؤثر امنیتی توسط آزمایشگاه تاکیان:
کسب دانش جامع در مورد چشمانداز تهدیدات به همراه توانایی پاسخگویی سریع به سطوح متعددی از این تهدیدات میتواند مبنایی برای ایجاد امنیت اثربخش در شبکه باشد. بر همین اساس، بروزرسانی های آنلاین به عنوان بخش مهمی از راهکار امنیتی IPImen NGFirewall-UTM بشمار میرود. این بروزرسانی ها توسط متخصصان این شرکت بصورت انلاین ارائه میگردد و به منظور اثربخشی بهتر، تیم تحقیقات امنیت به بررسی بروزرسانی های ارائه شده توسط سایر تولیدکنندگان مطرح در ایران و جهان میپردازد تا با بالاترین سطح از امنیت ارائه شده در دنیا همگام باشد.
2 - کنسول واحد با یک سیستمعامل امنیت شبکه:
صرف نظر از جایگاه پیادهسازی تجهیزات IPImen NGFirewall-UTM یا پلتفرم آن (سختافزاری، مجازیسازیشده،Public Cloud و یا Hybrid Cloud)، قابلیت دید و کنترل با یک سیستم عامل سازگار برای امنیت شبکه تأمین میگردد. ImenOS با هدف کاهش پیچیدگیها به تجمیع تمامی سرویسهای امنیت و شبکه میپردازد. ضمن اینکه قابلیت دید ۳۶۰ درجه به ترافیک شبکه را میسر میسازد و کاربران با یک کلیک میتوانند ترافیک را از طریق برنامههای کاربردی، تهدیدات، تجهیزات، کشورها و سایر فاکتورها مشاهده نمایند.
ImenOS به اِعمال Policyهای ارزشمند در سراسر شبکه میپردازد. با وجود امکانات فوق، مدیران حوزهی امنیت میتوانند بر ترافیک شبکه نظارت داشته و Policyهای تجمیع یافتهای را تدوین نمایند که این موضوع شامل کنترلهای امنیتی بصورت جزئیتر میباشد. در عین حال مدیران امنیتی با در اختیار داشتن یک کنسول واحد میتوانند از قابلیت دید و کنترل در سراسر سازمانها بهرهمند شده و به این ترتیب انجام فرآیندهای مدیریت مرکزی، گزارشگیری و Logging به صورت مقیاسپذیر را میسر نمایند.
3 - ارائه راهکار فایروالی در سراسر سازمانهای بزرگ:
مجموعه تجهیزات شبکه IPImen به ارائه طیف بسیار وسیعی از پلتفرمهای فایروال در بازار میپردازد IPImen NGFirewall-UTMبرمبنای یک معماری یکپارچه و هدفمند ایجاد شده که به ایجاد توان عملیاتی بسیار بالا و تأخیر بسیار کم میپردازد و در عین حال باعث ایجاد اثربخشی امنیتی بیشتر میگردد.
مجموعه تجهیزات IPImenشامل یک مجموعه از پلتفرمهای انعطافپذیر میگردد که به عنوان فایروالهای نسل بعدی (NGFW) در Edge، به عنوان فایروالهای دیتاسنتر در Edge مربوط به دیتاسنتر و بخشهای داخلی یا سازمانهای توزیعشده پیادهسازی شوند. تجهیزات IPImen که توسط یک سیستمعامل امنیت شبکه مدیریت میشوند، یک Policy امنیتی یکپارچه را در تمامی موقعیتها عرضه مینمایند.
4 - ارائه یک راهبرد دفاعی گسترده و دینامیک برای بلندمدت:
محصول IPImen NGFirewall-UTMبا پشتیبانی از تمام انواع پیادهسازیها میتواند آزادی عمل بینظیری را در اختیار متخصصان امنیتی در سراسر شبکههای سازمانی بزرگ قرار دهند. مدیران امنیتی از قابلیت دید و کنترل لازم برای مقابله با مهاجمان از طریق یک سیستمعامل امنیت شبکه در سراسر مجموعه تجهیزات FortiGate برخوردارند. مدیران امنیتی با استفاده از یک داشبورد واحد که بصورت GUI یا WUI ارائه میگردد، میتوانند دیدگاههای مدیریتی مختلف را گردآوری نموده و Policyهای امنیتی را به شکلی دقیق اجرا نمایند.
چرا این محصول یک Next Generation Firewall است؟
طبق تعاریف بینالمللی، هر دو محصول NGFW و UTM دارای همپوشانی بالایی هستند و بیشتر به زمان ارائه آنها برمیگردد زیرا درگذشته برای رفع نیازهای امنیتی سازمانی، پکیجی باقابلیتهای متنوع به نام UTM ارائهشده بود و هیچگاه تصور نمیشد که در آیندهای نزدیک، پهنای باند سازمانها تا این حد افزایشیافته و نیازها تخصصیتر شود لذا محصولات NGFW قابلدرک نبودند و دستگاههایی که بهعنوان UTM ها به فروش میرسند معمولاً دارای رتبه بازده پایین هستند و برای کسبوکارهای کوچک و متوسط به بازار عرضه میشوند، درحالیکه دستگاههایی که دارای رتبه بازدهی بالاتری هستند معمولاً بهعنوان NGFW ها به فروش میرسند(مرجع). اما امروزه با افزایش پهنای باند سازمانها، گسترش پروتکلهای امنی مانند SSL و SSH ، پیچیدهتر شدن ساختار شبکهها و نیاز به ارتباطات چندگانه با سایر شعب سازمانی، توانایی و عملکرد NGFW ها کاملاً قابلدرک بوده و استفاده از آنها ضروری مینماید.
امروز، بااینحال، ما شاهد ترکیب قابلتوجه مفهوم این دو سبک از محصول هستیم. شکاف عملکرد ناپدیدشده است و راهحلهایی به بازار عرضه میشود که دستگاههای NGFW و UTM با خدمات امنیتی مشابه تولیدشده و به بازار عرضه میشوند زیرا بسیاری از UTM های مطرح سعی دارند تواناییهای یک NGFW را نیز تا حد امکان پشتیبانی کنند. هرچند که در سطحی کلانتر دستگاههای UTM پالیسیهای محدودتر، مدیریت، گزارشهای غیرخطی و تواناییهای امنیتی ثابتی را ارائه میکنند و باهدف سهولت در نصب و استقرار و مدیریت مداوم طراحیشدهاند و بیشتر مناسب سازمانی است که مدیر امنیت فناوری اطلاعات نداشته و کارشناس شبکه قصد دارد در کمترین زمان تنظیمات ثابتی را اعمال نماید، درحالیکه دستگاههای NGFW برای سازمانهایی که مایل به سفارشی کردن سیاستهای امنیتی خود هستند و نیازهای امنیتی پویا دارند، ترجیح داده میشوند و تأکید عملکردی بیشتری بر روی تکنیکهای مدیریتی و گزارشهای فنی قویتر دارند(مرجع).
ازنظر فنی نیز، محصولات NGFW، در سطح کلان سعی دارند که تأکید زیادی بر قابلیتهایی فانتزی ازجمله آنتیویروس و وب پراکسی نداشته باشند، زیرا علاوه بر قدیمی شدن این تکنولوژیها، سربار زیادی را به ترافیک شبکه تحمیل نموده و کارایی را تا سطح غیرقابل قبولی پایین میاورند درحالیکه ترجیح NGFW ها بر این است که با بازرسی دقیق پکت ها، حتی در پروتکلهای امن، مشکلات امنیتی را از پایه پیگیری و رفع نمایند(مرجع).
بعضی از محصولات مانند فورتیگیت نیز، سعی دارند که همزمان قابلیتهای UTM و NGFW را ارائه کنند و مشتری متناسب با نیاز سازمانی خود، سیستم را دریکی از این مدهای عملیاتی مستقر نماید یعنی UTM را فقط برای Small Business ها یا و NGFW را برای Enterprise & Midsize Business و حتی Small business ها در نظر بگیرد (مرجع) و محصول IPImen نیز با همین رویکرد به بازار ارائهشده است.
همچنین لازم به ذکر است که محصولات NGFW علاوه بر ارائه خدمات محصولات دیگر این حوزه، تواناییهای خاصتری را نسبت به سایرین عرضه میکنند که این تواناییها بخشی از نیازهای ضروری یک سازمان است و در زیر به بعضی از آنها بهصورت کاربردی اشارهشده است(مرجع):
- این رده از محصولات توانایی بررسی و واکاوی پروتکلهای امنی مانند SSLو SSH را دارند که مزایای زیادی را به همراه دارد ازجمله، امکان ثبت لاگ سایتهای HTTPS، احراز هویت بر روی سایتهای HTTPS، فیلتر نمودن تفکیکی این آدرسها، تشخیص و کنترل نرمافزارهایی که خدمات خود را بروی این پروتکل ارائه میدهند و...
- شناسایی و فیلتر کردن نرم افزارها و امکان تشخیص پروتکلها در لایه کاربرد مهمترین توانایی یک NGFW است، زیرا میتوان فارغ از نوع پورت یا پروتکل، ترافیک آن را رصد و پایش نمود. یعنی به جای اینکه صرفاً پورت یا پروتکل خاصی را فیلتر کنند ، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر نمایند. این قابلیت موجب میگردد که نرم افزارهای مخرب، فیلترشکن ها و نرم افزارهای غیرمجاز در سطح سازمان، نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند . مثلاً اگر ترافیک RDP بر روی پروتکل SSH ردوبدل شود، بهراحتی تشخیص داده شد و میتوان تصمیم لازم را اتخاذ نمود و قطعاً در جریان هستید که اکثر حملات باج افزاری و تخریبی منطبق بر RDP ، طی ماههای گذشته به سرویسهای ایرانی، بایت نبود این قابلیت در زیرساختهای سازمانی بوده است.
- این رده از محصولات توانایی خوبی درزمینه تعامل با دامین های متنوع سازمانی دارند و مخصوصاً در شبکههای بزرگ میتوانند با تمامی دامین های Trusted و Untrusted بهطور همزمان تعامل داشته باشند.
- بطور اختصاصی در محصول IPImen، امکان تشخیص کامل نرمافزارها یکی دیگر از نکات مهم است که موجب میگردد بهراحتی بتوان بدون وابستگی به Port، IP، DNS و Pattern نرمافزارها را شناسایی کرده و علاوه بر اعمال پهنای باند بر روی آنها، لاگ ارتباطی و سایت مشاهدهشده توسط آنها را نیز ثبت نمود. بهطور مثال مدیر سیستم میتواند دسترسی به نرمافزار فیلترشکن Psiphon را قطع نموده اما FreeGate را باز بگذارد و در لاگ ها مشاهده کند که کاربر توسط فیلترشکن فری گیت چه سایتهایی را مشاهده کرده و چه ارتباطاتی را برقرار نموده است. بدیهی است که این گزارشها نه باهدف رصد غیرمنطقی، بلکه امروزه یکی از نیازهای اصلی پلیس فتا در مواجه با شکایات و مشکلات است.
- این رده از محصولات همچنین توانایی زیادی در رصد سایتهای مخرب دارند و با تشخیص آدرسهای حاوی انواع بدافزارها، باج افزارها، بات ها، صفحات فیشینگ و... امنیتی بالایی را فراهم نمایند.
- بطور اختصاصی در محصول IPImen، امکان رمزنگاری دادهها در سطح شبکه LAN، بدون وابستگی به تانل و بدون سربارهای اضافی نیز قابلیتی جالب در این محصول است که امنیت دادهها در سطح شبکه سازمان را تأمین مینماید.
- قابلیت ویژه دیگر در محصول IPImen، امکان تفکیک ترافیک شبکه داخلی از اینترنت (قطع دسترسی به شبکه داخلی در هنگام اتصال به اینترنت) است، که درگذشته نهچندان دور تنها سناریوهایی مانند VPN یا Parallels و 2X در کنار محصولات برند سایبروم و سوفوس یا Thin client های جانبی امکان ارائه آن را داشتند اما در این محصول بدون وابستگی به هیچ محصول و هزینه جانبی میتوان به این مهم دستیافت.
چرا لازم است که به سمت این محصول مهاجرت نمایید:
عدم وابستگی به تحریم ها : با توجه به اینکه این محصول بصورت بومی طراحی و پیاده سازی شده است لذا هیچ نگرانی بایت تحریم ها شامل حال این محصول نخواهد شد.
پشتیبانی داخلی: کارشناسان بخش پشتیبانی این شرکت، محصول را بصورت رایگان نصب و راه اندازی کرده و خدمات دائمی پشتیبانی را به همراه مستندات فارسی و امکان ثبت تیکتها، ارائه مینمایند.
لایسنس زمانی نامحدود : این محصول به همراه کلیه قابلیت های درخواستی (از جمله Firewall ، IDPS و...) از نظر زمانی،لایسنس مادامالعمر داشته و در تمام مدت، تمامی قابلیت های محصول تحویلی قابل اجرا و استفاده می باشند. لذا مدیر شبکه سازمان هر سال اجباری به پرداخت هزینه های کلان برای تمدید مجدد لایسنس ندارد.
نصب بر روی سخت افزارهای مشتری : در صورتی که مشتری قبلاً از سایر محصولات بومی یا بعضی از محصولات خارجی(از جمله سایبروم، آستارو، سوفوس) استفاده نموده است، میتواند بدون پرداخت هزینه های جانبی بابت سخت افزار، بر روی همین سخت افزارها، محصول IPImen را دریافت نماید.
پشتیبانی از تاریخ شمسی: این محصول علاوه بر پشتیبانی از تاریخ شمسی، امکان ثبت لاگ ها به تاریخ شمسی را نیز فراهم مینماید.
مدیریت گواهینامه ها: این محصول امکان ساخت و ذخیره سازی Certificate های از پیش تعریف شده یا Self-Sign را فراهم مینماید.
بروزرسانی آنلاین و آفلاین : این محصول امکان بروزرسانی آنلاین بصورت دستی و خودکار را فراهم مینماید و مدیر شبکه سازمان نیازی به هماهنگی های تلفنی و ارائه ریموت جهت بروزرسانی دستی محصول را ندارد.
ذخیره بکاپ ها در زیرساخت ابری : این محصول امکان ذخیره بکاپ تنظیمات سیستم را بر روی IPImen Cloud فراهم نموده است تا همیشه توسط رمزاختصاصی شما قابل دسترس باشند.
ثبت لاگ SSL و TLS: با توجه به اینکه سایت های اینترنتی به سمت HTTPS شدن مهاجرت نموده اند، لذا بسیار مهم است که محصول بتواند لاگ مرتبط با این سایت ها را ثبت نماید درصورتیکه این قابلیت تقریباً در سایر محصولات تعبیه نشده است.
قابلیت فیلترینگ بر روی پروتکلTLS وSSL: این محصول میتواند ترافیک های عبوری تحت SSL و در فرم جدید تر TLS را حداقل توسط TLS Server Name ، فیلتر نماید در صورتی که سایر محصولات یا این قابلیت را نداشته و یا تنها به SSL Common name اکتفا نموده اند.
قابلیت فیلترینگ بر روی پروتکلSMTP: این محصول میتواند ترافیک های عبوری بر روی پروتکل SMTP را به تفکیک From و RCPT فیلتر نماید که در سایر محصولات تعبیه نشده است
قابلیت فیلترینگ بر رویROW Packet Data : این محصول میتواند ترافیک های عبوری را حسب String و HEX Byte پکت ها فیلتر نماید که در سایر محصولات تعبیه نشده است
قابلیت فیلتر نمودن دائمی و کامل کلیه نرمافزارهای فیلترشکن (ازجملهFree gate ،Ultra-surfو...)، پیام رسان های اجتماعی مانندTelegram و...: براي بستن اين نرمافزارها روش هاي رايج (ازجمله بستن پورت، بستن آدرس URL ، بستن Pattern ، بستن DNS و...) كفايت نميكند زيرا هوشمندي فراوان آنها و گستردگي سرورهاي خدمات دهنده موجب فعاليت مجدد آنها خواهد شد. در محصول IPImen به اين راهكار به عنوان يك Total Solution نگاه میشود و با در نظر گرفتن تمامي راه هاي جاري و ساير روش هاي انحصاري (مانند Name، Path، MD5 Hash، Cert Subject و Cert Serial No) تعبيه شده در محصول، ميتوان اين نرمافزارها را فيلتر كرد. بديهي است كه اين فيلترينگ بر روي تمامي نسخه هاي قديمي و جديد اين نرمافزارها اعمال شده و قابل دورزدن نمیباشد.
ثبت لاگ ارتباطی برنامه های کاربر: این محصول امکان ثبت لاگ های ارتباطی برنامه های کاربردی را فراهم می نماید تا مدیر شبکه بتواند گزارشی از سایت ها و آدرس های استفاده شده توسط کاربر با استفاده از فیلترشکن ها و... را داشته باشد.
قابلیت جلوگیری از ورودMalware ها و بروزرسانی دائمی و انلاین آدرس ها
قابلیت جلوگیری از حملاتPhishing و بروزرسانی دائمی و انلاین آدرس ها
قابلیت جلوگیری ازRansomware ها و بروزرسانی دائمی و انلاین آدرس ها
قابلیتDLP سمتGateway: این محصول قابلیت جلوگیری از نشت اطلاعات تحت پروتکل های FTP، HTTP، TFTP و... را فراهم می نماید.
ارائه خدماتWi-Fi Access point: این محصول میتواند در مدل های سخت افزاری دارای Wi-Fi، خدمات ارائه اینترنت بیسیم را فراهم می نماید.
پشتیبانی ازVirtual IP : جهت پایلیش نمودن آدرس های چندگانه سایت های داخلی
قابلیت احراز هویت در پروتکلSSLوTLS: با توجه به فراگیر شدن سایت های HTTPS، این محصول میتواند حتی سایت های HTTPS را نیز احراز هویت نموده و حتی لاگ های مرتبط با مشاهده سایت های HTTPS توسط کاربران را نیز ثبت نماید.
استفاده از كانال امن برای انتقال اطلاعات هویتی: این محصول میتواند ترافيك هاي مرتبط با انتقال اطلاعات هويتي كاربران در شبكه را امن نمايد (SSL ، TLS و...). در یک توضیح ساده تر، صفحه hotspot بصورت HTTPS ارائه میگردد تا امکان شنود رمزعبور کاربران در شبکه وجود نداشته باشد.
قابلیت تغییر عنوان و لوگوی صفحه احراز هویت توسط مدیر سیستم: این محصول امکانی را در کنسول مدیریتی سیستم تعبیه نموده تا مدیر سیستم بصورت دستی و بدون دخالت تولیدکننده بتواند تغییرات لازم در عنوان و لوگوی صفحات احراز هویت را اعمال نماید.
یکپارچگی محصول با قابلیتAccounting: در این محصول نیازی به استفاده از محصولات جانبی جهت اکانتینگ کاربران وجود ندارد و تمامی قابلیت ها در یک محصول بصورت یکپارچه ارائه میگردند.
امکان اتصال به انواعRadius NAS Server ها: قابلیت Accounting تعبیه شده در سیستم میتواند این خدمت را به سایر محصولات (مثل فایروال ها، VPN سرور ها، میکروتیک و...) نیز ارائه نماید بگونه ای که کاربران سایر سیستم ها را نیز اکانتینگ کند.
امکانMulti Database: این محصول جهت نگهداری و مدیریت لیست کاربران و گروه ها، امکان اتصال به دیتابیس داخلی و یا دیتابیس خارجی را فراهم نموده است در صورتی که در سایر محصولات به دیتابیس داخلی بسنده شده است و با زیاد شدن لاگ ها و اطلاعات، دیتابیس کند شده و در عملکرد محصول اختلال ایجاد مینماید.
قابلیتZone بندی اختیاری: این محصول امکانی را فراهم می نماید تا مدیر سیستم هیچ اجباری در استفاده از Zone بندی نداشته باشد اما در صورت نیاز بتواند بر اساس انواع مختلف حداقل شامل LAN، WAN و DMZ اقدام به تعریف و بکارگیری از Zone ها بنماید.
جلوگیری ازBig IP ها: این محصول قابلیت جلوگیری اتوماتیک از دسترسی کلاینت ها به آدرس های مخرب (معرفی شده به عنوان Banned) لیست شده را فراهم می نماید.
قابليت پشتيباني کامل و نامحدود از IPsec VPN
قابلیت پشتیبانی از SSL tunnel اختصاصی : تانل های SSL در سایر محصولات نیز ارائه میشوند اما در این محصول، کاربر میتواند توسط Drag drop کردن، تعیین کند که ترافیک کدام نرم افزارها از طریق تانل ارسال شود.
امکان ارائهToken سخت افزاری:این محصول امکان استفاده از Token را بصورت Optional برای SSL Tunnel ها فراهم می نماید و مدیر سیستم میتواند بدون دخالت تولید کننده اقدام به تولید این توکن ها بنماید.
راهنمای معرفی قابلیت ها (پروپوزال) IPApp Control
پرزنت معرفی محصول IPApp Control
English (UK) 
Persian (IR)