Tài liệu Bài báo cáo thực tập-giải pháp bảo mật fortinet

  • Số trang: 21 |
  • Loại file: PDF |
  • Lượt xem: 488 |
  • Lượt tải: 17
quangtran

Đã đăng 3721 tài liệu

Mô tả:

Giải pháp bảo mật Fortinet Chuẩn bị cho: Lập bởi: Techhorizon Phần kiểm soát Các thay đổi Ngày Người thực hiện Nguyễn Trung Công Version Nội dung 0.1 Tạo tài liệu Xem xét Ngày Tên và chức vụ Nhận tài liệu Ngày Tên và chức vụ 2 Mục Lục MỤC LỤC.........................................................................................................................................3 1. 2. TỔNG QUAN CHUNG .............................................................................................................4 1.1. Giới thiệu hãng bảo mật Fortinet ............................................................................4 1.2. Quan điểm xây dựng chính sách bảo mật .............................................................6 1.3. Nguyên lý xây dựng chính sách bảo mật ...............................................................6 ĐỀ XUẤT GIẢI PHÁP BẢO MẬT .............................................................................................7 2.1. 2.2. 3. Giới thiệu tính năng Firewall Fortigate ...................................................................7 2.1.1. Các tính năng nổi bật của phần cứng .......................................................7 2.1.2. Các tính năng UTM ................................................................................... 11 2.1.3. Các tính năng nổi bật của dịch vụ .......................................................... 14 Đề xuất giải pháp ................................................................................................... 15 2.2.1. Lớp bảo vệ ngoại vi – Phân hệ UTM ....................................................... 15 2.2.2. Lớp bảo vệ trung tâm dữ liệu: ................................................................ 17 2.2.3. Các dòng thiết bị bảo mật Fortigate ...................................................... 20 MÔ HÌNH GIẢI PHÁP TỔNG THỂ ....................................................................................... 21 3 1. Tổng quan chung 1.1. Giới thiệu hãng bảo mật Fortinet Tổng quan về Fortinet Fortinet được thành lập trong năm 2000 bởi Ken Xie – Trước đây, ông Ken Xie là sáng lập viên, đồng chủ tịch và CEO của hãng bảo mật nổi tiếng NetScreen  Văn phòng chính ở Sunnyvale, CA.  Số lượng nhân viên hiện tại trên 1,500 nhân viên kỹ thuật và nghiên cứu phát triển  Có trên 30 văn phòng ở các châu Mỹ, châu Á và châu Âu  Tập trung chính vào các giải pháp bảo mật.  Là nhà tiên phong trong các hệ thống antivirus chạy trên ASIC, đảm bảo tính bảo vệ mạng theo thời gian thực  Đứng đầu danh sách đánh giá của IDC và Gartner đối với dòng sản phẩm UTM  Có năng lực tài chính mạnh, phát triển nhanh. Là công ty duy nhất đạt được 8 chứng nhận của ICSA Lab và 2 chứng chỉ NSS Lab Các sản phẩm bảo mật của Fortinet gồm : Fortigate Firewall : thiết bị bảo mật tường lửa + VPN, có thể tích hợp các tính năng Antivirus, IPS, AntiSpam, Web filtering, Application Control, Data Leak Prevention … FortiMail : thiết bị chuyên dùng để bảo vệ riêng hệ thống email khỏi Antivirus/Worm/Spyware và AntiSpam FortiAnalyzer : thiết bị ghi log tập trung và phân tích log, scan hệ thống để tìm ra lỗ hỏng FortiManager : thiết bị quản lý tập trung thiết bị Fortigate và FortiClient, cho phép người quản trị quản lý, cấu hình, update và áp dụng chính sách bảo mật chung cho tất tả các thiết bị Fortigate & FortiClient trong toàn hệ thống FortiClient : phần mềm personal firewall + VPN cho người sử dụng di động. Có thể mua thêm license để có thêm các tính năng Antivirus, AntiSpam & Web filtering Fortiguard subscription service : license đăng ký sử dụng và update các tính năng Antivirus, IPS, AntiSpam và Wen filtering. License có thể mua mới hàng năm hoặc nhiều năm Forticare service : dịch vụ hỗ trợ kỹ thuật, gia tăng thời gian bảo hành của sản phẩm cũng như update các OS/firmware mới nhất cho sản phẩm. dịch vụ này có thể mua hàng năm hoặc nhiều năm. 4 Các Giải thưởng và Chứng nhận mà Fortinet đã đạt được Một số khách hàng toàn cầu của Fortinet Các khách hàng lớn của Fortinet tại Việt Nam Fortinet đã giới thiệu sản phẩm bảo mật của mình vào Việt Nam từ những năm 2002. Trải qua thời gian gần 5 năm tại thị trường Việt Nam, Fortinet đã được nhiều tổ chức và doanh nghiệp lớn tại Việt Nam tin tưởng sử dụng. Sau đây là khách hàng nổi bật của Fortinet tại Việt Nam đã triển khai giải pháp VPN cho trụ sở chính và các chi nhánh trên toàn quốc. 5 Ngoài ra còn rất nhiều cơ quan chính phủ đang sử dụng và triển khai giải pháp VPN của Fortinet như : UBND LẠNG SƠN, HÀ TĨNH, HẢI PHÒNG, BÌNH ĐỊNH, PHÚ YÊN, QUẢNG NGÃI, THÔNG TẤN XÃ VIỆT NAM,… 1.2. Quan điểm xây dựng chính sách bảo mật Quan điểm của chúng tôi trong vấn đề an ninh mạng là: An ninh mạng là một tiến trình lặp đi lặp lại, bao gồm các bước xoay vòng như sau:  Xác định các đối tượng cần được bảo vệ (máy chủ, các tài nguyên, các ứng dụng, các thiết bị mạng, máy trạm, người dùng, .v.v.).  Xác định các hiểm họa có thể gây nên cho mạng và hệ thống.  Thiết lập chính sách an ninh mạng tương ứng với các đối tượng như các nhà lãnh đạo, quản lý và tin học, quản trị mạng và người dùng.  Thiết lập các chính sách an ninh mạng bằng các phương pháp điện tử và hành chính. Các phương pháp điện tử bao gồm: thiết kế quy hoạch lại mạng, Firewall, VPN, IDP, bảo mật các lớp ứng dụng UTM (Antivirus, Antispam, Web Content Filtering, Intrusion Prevention System, Application control, Data leak prevention) và quản trị an ninh mạng.  Theo dõi an ninh mạng và phản ứng lại các biểu hiện bất thường.  Kiểm tra lại chính sách an ninh và các thiết bị an ninh mạng để đáp ứng lại các thay đổi.  Tiếp tục theo dõi và quản lý an ninh mạng, thay đổi chính sách an ninh và cấu hình các thiết bị an ninh mạng để phù hợp với ngữ cảnh an ninh mới. 1.3. Nguyên lý xây dựng chính sách bảo mật An ninh mạng phải dựa trên nguyên tắc như sau: 6  Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác.  Sử dụng nhiều công nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDP làm công cụ “đánh hơi” và ngăn chặn, phòng ngừa các hình thức tấn công từ bên ngoài hệ thống. Đồng thời, các công nghệ bắt buộc phải hỗ trợ các tính năng nâng cao UTM (Unified Threat Management) như Antivirus, AntiSpam, Email Content Filtering, Web Content Filtering, IPS, Data Leak Prevention (ngăn chặn rò rỉ dữ liệu), Application Control (các ứng dụng như Chat IAM, P2P, Remote Access, Proxy tool …) để ngăn chặn và phòng chống nhiều lớp ứng dụng bên trong bởi vì ngày nay các lớp ứng dụng này rất dễ bị các cuộc tấn công bên ngoài khai thác lỗ hỏng các lớp ứng dụng này bằng nhiều hình thức khác nhau. 2. Đề xuất giải pháp bảo mật 2.1. Giới thiệu tính năng Firewall Fortigate 2.1.1. Các tính năng nổi bật của phần cứng FortiASIC : Hệ thống FortiGate™ là thiết bị bức tường lửa chuyên dụng với chương trình được thiết kế ngay trên phần cứng cho phép bảo vệ mạng theo thời gian thực. Với công nghệ mạch điện tử thiết kế theo ứng dụng (Application-specific integrated circuit ASIC), FortiASIC™ gồm 3 thành phần xử lý Network Processor, Content Processor, Security Processor, nền tảng phần cứng FortiGate là hệ thống tường lửa và VPN có thể phát hiện và loại bỏ virus/sâu, spyware, trojan, grayware, adware, DoS, các hàng động tấn công và các đoạn mã nguy hiểm khác mà không làm giảm tốc độ hoạt động của mạng – thậm chí đối với các ứng dụng theo thời gian thực như duyệt web. Các công cụ bảo mật này nằm trong hệ điều hành nhân của thiết bị Fortigate là FortiOS. 7 Tính năng thành phần xử lý như sau: FortiASIC Network Processor (NP): làm việc ở cấp độ giao diện để hỗ trợ chuyển tiếp lưu lượng IPec offload và giao thức unicast UDP/TCP. Thông lượng(throughput) tối đa và số lượng cổng giao tiếp tùy theo model. FortiASIC Content Processor (CP): làm việc ở cấp độ hệ thống, đãm bảo chức năng cấp phát key SSL VPN và tăng tốc xử lý các gói tin SSL, giải mã các thuật toán bảo mật DES/3DES/MD5,SHA…. Khả năng tùy theo model của chip. Security Processor (SP-Hybrid): như modules ASM-CE4 và ADM-XE2, làm việc trên cấp độ giao diện và hệ thống để tăng hiệu suất tổng thể thúc đẩy một số bảo mật và xử lý các gói tin trên cổng giao tiếp. SP còn đảm nhiệm các ứng dụng điều khiển (application), IPS, flow based antivirus proctection, .. Complete Content Protection : Fortigate không đơn thuần chỉ là thiết bị bảo mật kiểm soát trạng thái (stateful inspection) mà bảo mật lớp ứng dụng và quét toàn diện nội dung gói tin (application level security and content protection). Bằng việc quét sâu gói tin và bảo mật lớp ứng dụng, Fortigate giúp người dùng ngăn chặn được các đe dọa và nguy cơ tấn công vào hệ thống mà các cơ chế ngăn chặn truyền thống không thực hiện được, loại bỏ các đoạn code nguy hiểm nằm sâu hoặc ngụy trang bên trong gói tin. 8 Virtual Domains and Security zones : Các dòng sản phẩm Fortigate cung cấp các chức năng VLAN, Virtual Domain (VDOM) giúp cho:  Các doanh nghiệp lớn có thể phân chia cấu hình các chính sách bảo mật cho hệ thống mạng của từng phòng ban.  Các nhà cung cấp dịch vụ có thể cung cấp phân chia “firewall” của mình thành các “firewall” nhỏ hơn cho từng khách hàng.  Các thiết bị Fortigate tích hợp sẵn từ 2 đến 10 VDOM, có thể nâng cấp lên 250 VDOM thông qua việc mua license. High Availability (HA) : Hỗ trợ 2 mode “Acitve-Active”, “Active-Passive” cho cả các dòng sản phẩm dành cho SOHO. Fortinet cho phép cấu hình hai hay nhiều thiết bị Fortigate hoạt động trong một hệ thống trở thành một thiết bị duy nhất Fortigate (HA cluster). Với HA cluster, khi một thiết bị Fortigate bị hư thì các thiết bị Fortigate còn lại sẽ thay thế, đãm đương công việc của thiết bị bị hư. Chức năng này giúp cho hệ thống khách hàng luôn luôn được bảo mật và hoạt động xuyên suốt. High concurrent sessions : Các thiết bị Fortigate có số kết nối đồng thời (concurrent session) rất cao, tùy theo dòng sản phẩm mà số kết nối có thể từ 25.000 cho đến 132.000.000 và số kết nối mới trên giây lên đến 250.000 giúp đáp ứng nhu cầu cao của các doanh nghiệp hoạt động trong lĩnh vực dịch vụ Web, thương mại điện tử hoặc chạy các ứng dụng ERP trên hệ thống WAN của doanh nghiệp. 9 VoIP aware gateway : Fortigate hỗ trợ các chuẩn về thoại như H.323 và SIP, giúp bảo mật các ứng dụng về thoại, thậm chí cả trong môi trường mà NAT được triển khai. Policy-based traffic shaping : Giúp người quản trị phân định mức độ ưu tiên băng thông cho từng chính sách bảo mật và ứng dụng. Multi-Threat Security Appliance : Thiết bị Fortigate với các công nghệ bức tường lửa, cổng VPN, và có thể tích hợp ngay trên Fortigate các chức năng  Phòng chống vi-rút và chống spam tại gateway cho email  Phát hiện và ngăn chặn xâm nhập,  Lọc nội dung Web và kiểm soát băng thông.  Chống mất mát dữ liệu và kiểm soát các ứng dụng truy cập internet.  Tối ưu mạng WAN để tiết kiệm băng thông và giảm chi phí vận hành mạng 10 VPN (IPSec, PPTP, SSL-VPN) : Giải pháp VPN của Fortinet đáp ứng các yêu cầu về hiệu suất cũng như giá cả, thiết kế dạng ASIC. Tích hợp chặt chẽ với tính năng bảo vệ ứng dụng, tường lửa, antivirus và IPS, Fortinet mang đến giải pháp VPN an toàn nhất trên thị trường hiện nay. WebUI (giao diện cấu hình và quản lý bằng Web) : Hầu hết các người sử dụng đều đánh giá cao Fortinet về phương diện này. Fortinet cung cấp cho người sử dụng một giao diện quản lý và cấu hình thật tiện lợi, trực giác và dễ hiểu bằng giao diện Web. Bằng WebUI, người quản trị có thể cấu hình, quản lý các tính năng bảo mật nâng cao cũng như truy cập các chức năng logging và báo cáo nhanh chóng chỉ sau vài cú clik chuột. Người quản trị không cần sử dụng đến các dòng lệnh (command line) mới cấu hình được. 2.1.2. Các tính năng UTM Antivirus: Phòng chống lên đến 60.000 loại vi-rút & tự động cập nhật (push update) thông qua hệ thống khoảng 50 cụm server đặt khắp nơi trên toàn thế giới. Luôn luôn được bảo vệ trước các loại virút mới vì Fortinet có đội ngũ kỹ sư cao cấp nghiên cứu, update làm việc 24x7 Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user) Tính năng Antivirus của Fortinet được chứng nhận bởi ICSALab, NSS và 100 Buletin Intrusion Prevention System (IPS) : Chức năng IPS của Fortinet cung cấp một giải pháp toàn diện về ngăn chặn và phòng ngừa các hình thức tấn công vào các ứng dụng và dữ liệu quan trọng của doanh nghiệp, các hình thức tấn công có thể là các cuộc tấn công xuất phát từ bên ngoài và kể cả bên trong hệ thống mạng. Các tính năng nổi bật :  Khả năng nhận dạng trên 7000 hình thức tấn công & tự động cập nhật (push update) thông qua hệ thống khoảng 50 cụm server đặt khắp nơi trên toàn thế giới  Cho phép khách hàng khả năng tự định nghĩa hình thức tấn công  Kiểm tra được nội dung các gói dữ liệu đã mã hóa VPN (IPSec và SSL)  Hỗ trợ trên 50 loại protocol và ứng dụng  Cung cấp các khả năng phòng chống và ngăn chặn tấn công thông qua đội ngũ kỹ sư nghiên cứu và phàt triển của Fortinet trên toàn cầu.  Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user)  Tính năng IPS của Fortinet được chứng nhận bởi ICSALab, NSS 11 AntiSpam : Fortinet cung cấp khả năng bảo vệ máy tính khỏi spam và phishing ở cấp độ gateway. Với một lượng thư rác, thư đen khổng lồ được gửi đi hàng ngàythì việc chống spam là một phần thiết yếu củamọi chiến lược bảo vệ an ninh mạng. Spam làm tiêu tốn thời gian của người sử dụng (user) và gây hại đến các tài nguyên mạng (network resources). Chức năng AntiSpam của Fortinet cho phép bảo vệ hệ thống khỏi spam và phishing ở cấp độ gateway và như thế khách hàng không phải bận tâm cài đặt hay update các phần mềm chống spam cho từng desktop nữa. Các tính năng nổi bật :  Quét dò tìm “thư rác” thông qua danh sách địa chỉ IP, dò tìm địa chỉ email, kiểm tra NIME header, kiểm tra cả nội dung email để xác nhận email có phải là spam không.  Tỉ lệ phát hiện spam cao nhất (trên 97,4%) nhờ công nghệ lọc Bayesian, Heuristics, hỗ trợ RBL, ORDB, dò tìm DNS, lọc theo theo “từ khóa hay cụm từ”,  Sai sót thấp nhất nhờ tính năng cập nhật danh sách “black/white”,….  Database server của Fortinet xử lý khoảng 500 triệu yêu cầu về “thư rác” hàng tuần  Cung cấp các khả năng phòng chống và ngăn chặn thư rác tiên tiến nhất thông qua đội ngũ kỹ sư nghiên cứu và phát triển của Fortinet trên toàn cầu.  Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user) Web content filtering : Ngày nay, lướt và truy cập internet để tra cứu và tìm kiếm thông tin trở thành yếu tố rất quan trọng trong hoạt động hàng ngày của doanh nghiệp, có thể đóng góp vào sự thành công của doanh nghiệp. Tuy nhiên, hành động truy cập các trang web xấu, đen đã làm giảm năng suất hoạt động của doanh nghiệp, tiêu tốn thời gian của nhân viên, tiền bạc và tài nguyên mạng của doanh nghiệp, và có thể vi phạm các quy định của pháp luật về chính trị, đạo đức,…Chức năng Web content filtering sẽ giúp quy định và kiểm soát được việc truy cập web của người dùng tuân thủ theo quy định của pháp luật và chính sách sử dụng internet của doanh nghiệp Các tính năng nổi bật  Lọc địa chỉ Web, lọc theo từ khóa, danh sách các trang web cấm, lọc Java Applet, Cookies, Active X,…  Hệ thống database server của Fortinet cập nhật được trên 47 triệu trang web và được chia thành hơn 72 chủng loại.  Ngăn chặn và khóa các trang web nguy hiểm như P2P, mạo danh, gián điệp  URL caching : giúp tăng tốc khả năng lộc nội dung Web.  Online URL checker : công cụ giúp người dùng kiểm tra mức độ nguy hại của trang Web. 12  Đội ngũ kỹ sư của Fortinet quản lý và cập nhật hàng ngày database.  Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user)  Tính năng AntiSpam của Fortinet được chứng nhận bởi CIPA (Children’s Internet Protection Act), NSS Data leak prevention: Cho phép xác định hình dạng của các dữ liệu nhạy cảm. Giám sát lưu lượng mạng và ngăn chặn thông tin nhạy cảm từ hệ thống mạng (chẳng hạn như email, HTTP …) Application control: Ngăn chặn các mối đe dọa và malware phúc tạp chẳng hạn như Facebook, Skype, IM. Mặc khác, giám sát và kiểm soát các ứng dụng trên mạng để bảo mật thông tin nhạy cảm. Ngăn chặn nhiều ứng dụng mà không sử dụng đúng các port để truyền thông. Phát hiện trên 2000 ứng dụng của lưu lượng mạng để cải thiện kiểm soát qua truyền thông mạng WAN Optimization (tối ưu mạng WAN)  Làm tăng hiệu suất mạng bằng việc làm giảm số lượng dữ liệu được truyền qua mạng WAN.  Làm giảm các yêu cầu băng thông và nguồn tài nguyên Server.  Hỗ trợ các dịch vụ như: CIFS, FTP hoặc giao thức HTTP cũng như các traffic TCP ..  Hỗ trợ Byte caching, web caching, web proxy …  Hỗ trợ cho các kết nối VPN site-to-site, client to site … Push Update : Hiện tại Fortinet áp dụng một cơ chế cập nhật tự động thông qua “công nghệ đẩy”(Push Update) cho chức năng Antivirus, IPS và AntiSpam. Với cơ chế này, Fortinet sẽ giúp các hệ thống bảo mật do Fortinet cung cấp được cập nhật các hình thức tấn công, virus/spyware, Trojans, Spam… mới trong vòng vài phút, 24 giờ/ngày và trên toàn thế giới. The FortiGuard Distribution Server Network Fast Response to Emerging Threats FortiGuard keeps your assets continuously protected against threats Đặc biệt các tính năng Antivirus, IPS, AntiSpam và Web filtering sẽ : 13  Không bị vô hiệu hoá (disable), vẫn sử dụng được trong trường hợp license đã hết hạn. Tuy nhiên, khách hàng sẽ không được update.  Được Fortinet cho phép sử dụng thử (có update) trong vòng 1 tháng tính từ ngày đăng ký sử dụng sản phẩm. 2.1.3. Các tính năng nổi bật của dịch vụ Fortiguard subscription Service : Đây là dịch vụ đăng ký sử dụng và cập nhật các tính năng phần mềm Antivirus, IPS, AntiSpam hoặc Web filtering. Dịch vụ Fortiguard được cập nhật và quản lý 24x7 bởi đội ngũ kỹ thuật chuyên nghiệp của Fortinet trên toàn cầu, đảm bảo hệ thống bảo mật Fortigate của khách hàng luôn luôn được cập nhật các signature mới. Ưu điểm của dịch vụ Fortiguard : Khách hàng có thể chọn lựa mua license cho từng phần mềm hoặc phối hợp nhiều phần mềm lại với nhau. Khách hàng có thể chọn lựa mua theo thời gian yêu cầu : 1 năm, 2 năm,…, 5 năm Dịch vụ Fortiguard có chi phí tương đối thấp vì Fortinet tính chi phí license trên sản phẩm (per box license fee), chứ không như nhiều nhà sản xuất khác là tính license theo người dùng (per user license fee). Push Update : dành cho tính năng chống vi-rút và IPS Forticare Service : Đây là dịch vụ hỗ trợ kỹ thuật và cập nhật các phiên bản mới nhất cho OS/firmware của thiết bị phần cứng Fortigate. Ngoài ra, khách hàng còn nhận được sự hỗ trợ tích cực của Fortinet và hệ thống của đại lý của Fortinet trên toàn cầu thêo các hình thức sau :  Hỗ trợ qua web/ email 24x7  Hỗ trợ qua điện thoại 8x5 từ Fortinet hoặc các đại lý của Fortinet  Được phép truy cập vào các trang web của Fortinet để tìm kiếm và download các tài liệu kỹ thuật, các hình mẫu về cấu hình, xử lý sự cố.  Fortinet có nhiều gói dịch vụ cho khách hàng lựa chọn. 14 Global Escalation TAC Canada Americas TAC California APAC TAC Japan EMEA TAC France APAC China APAC TAC Malaysia Regional Technical Support Center (TSC) Local Technical Support Center (TSC) Global Escalation Technical Support Center (TSC) License subscription : Hiện tại Fortinet áp dụng một cớ chế tính thời gian đăng ký các dịch vụ Fortiguard và Forticare hết sức “dễ chịu” :  Fortinet cho người sử dụng có khoảng thời gian là 365 ngày (tính từ ngày license được phát hành) để đăng ký các license Fortiguard và Forticare với Fortinet. Nếu quá thời gian là 365 ngày mà người sử dụng không đăng ký thì license sẽ không còn hiệu lực.  Thời gian tính license bắt đầu từ lúc khách hàng hoàn tất thành công việc đăng ký. Fortinet cũng không trừ lùi thời gian hiệu lức của license trong trường hợp license cũ của khách hàng đã hết hạn trước thời gian thực hiện đăng ký mới.  Nếu license cũ của khách hàng vẫn còn hiệu lực thì Fortinet sẽ cộng dồn thời gian hiệu lựclicense cho khách hàng. 2.2. Đề xuất giải pháp 2.2.1. Lớp bảo vệ ngoại vi – Phân hệ UTM Các thiết bị firewall vùng ngoại vi phải tích hợp sẵn các tính năng an ninh mạng để đáp ứng các yêu cầu giải pháp như sau:  Bảo vệ mạng nội bộ của Customer với các mạng bên ngoài và Internet.  Khi số lượng users hiện tại là khoảng …………và tăng lên hàng năm hay số lượng các chi nhánh tăng lên trong khoảng từ 3 đến 5 năm thì năng lực xử lý firewall phải đáp ứng lớn hơn …..Gbps bởi vì số lượng session bên ngoài truy cập vào vùng DMZ server farm rất nhiều. Đồng thời, số lượng session bên trong cũng đi qua thiết bị này.  Lọc nội dung thông tin web khi các users truy cập ra bên ngoài Internet để hạn chế và kiểm soát các users theo quy định sử dụng Internet của doanh nghiệp.  Xây dựng hệ thống phòng chống virus cho toàn hệ thống mạng khi các máy chủ và máy trạm truy cập ra bên ngoài Internet. Vì vậy, hiệu xuất quét virus trên firewall phải đạt tối thiểu trên ……Mbps 15  Ngăn chặn và phòng chống thư rác (spam email) thông qua địa chỉ IP, dò tìm địa chỉ email khi các cuộc tấn công bên ngoài internet truy cập vào Server Farm DMZ.  Do vùng ngoại vi này số lượng phiên kết nối đi qua firewall lớn (bao gồm bên ngoài, bên trong và vùng DMZ truy cập vào và ra) cho nên yêu cầu số lượng phiên kết nối đồng thời trên thiết bị này phải tối thiểu trên ………và số lượng phiên kết nối thiết lập mới tối thiểu trên …………  Các kết nối từ chi nhánh của các văn phòng tại quận huyện hay các đối tác truy cập vào hệ thống phải bằng kết nối VPN dùng IPSEC để mã hóa dữ liệu với các chuẩn mã hóa DES (3DES) và AES (128-bit, 192-bit và 256-bit). Vì vậy, hiệu suất kết nối VPN trên firewall phải đạt tối thiểu trên 6Gbps và hỗ trợ kết nối SSL trên ……….. User.  Các users bên ngoài Internet vẫn có thể truy cập vào hệ thống trung tâm dữ liệu bằng web portal (hỗ trợ tất cả các trình duyệt web trên tất cả các hệ điều hành) hoặc phần mềm chuyên dụng cài đặt trên PC/Laptop/Tablet/Smartphone với các phương thức mã hóa dữ liệu (IPSEC). Thiết bị vùng này phải hỗ trợ tính năng SSL VPN với số lượng trên 800 users hoặc các users bên ngoài Internet kết nối về trung tâm dữ liệu bằng VPN dùng IPSEC với số lượng hỗ trợ trên ………..users.  Kiểm soát và nhận dạng các thiết bị di động (Device Manager) dựa trên các nên tảng di động phổ biến hiện nay như Android, IOS, Windowphone… với các thiết bị như Tablet hay Smartphone, cho phép thực thi các chính sách cho từng loại thiết bị, đem lại khả năng bảo mật cao nhất cho hệ thống.  Ngăn chặn các dữ liệu nhạy cảm bị rò rỉ từ bên trong hệ thống mạng ra bên ngoài Internet (DLP).  Kiểm soát và ngăn chặn một số ứng dụng (như Instant Message, P2P, ứng dụng download, các chương trình remote access …) khi các users cục bộ truy cập ra bên ngoài Internet.  Ngăn chặn và phát hiện tấn công từ hệ thống bên ngoài vào (Intrusion Prevention System) và năng lực xử lý IPS tại vùng này phải đáp ứng tối thiểu lớn hơn ……..Gbps (do tấn công từ internet vào Server Farm DMZ và vùng mạng bên ngoài rất lớn). Hệ thống IPS gồm có các đặc điểm như sau: o Hệ thống IPS nhận diện được những mối nguy hiểm tiềm ẩn trước khi nó thật sự tấn công vào bên trong như:  Ngăn chặn những mã độc hại, bao gồm sâu, tấn công trực tiếp, tấn công theo kiểu từ chối dịch vụ, và tấn công theo các ứng dụng.  Xây dựng và mở rộng bảo mật an ninh mạng có khả năng kiểm tra và ngăn chặn các mối nguy hiểm trong toàn bộ mạng, từ các 16 ứng dụng cho đến giao thức phân hoạch địa chỉ (ARP). Kỹ thuật mở rộng của Firewall phải cung cấp giải pháp tối ưu vể chính sách bảo mật cho hệ thống an ninh mạng.  Hệ thống IPS cung cấp các cơ chế bảo mật khác, theo từng nhóm hay từng cá nhân tấn công riêng rẽ. Ví dụ như tấn công theo kiểu ngày zero, hệ thống IPSs có khả năng học trên mạng, kiểm tra những phản ứng của người quản trị và sau đó cập nhật phương pháp bảo vệ cho mạng đó.  Kỹ thuật và dịch vụ của IPSs được phát triển bởi nhóm chuyên gia về bảo mật trên toàn cầu. Các chuyên gia này liên tục nghiên cứu và đưa ra nhiều giải pháp tốt nhất để tích hợp vào thiết bị IPSs.  Tính năng Client Reputation cho phép thống kê và giám sát từng hành vi người dùng, từ đó có cơ sở để cách ly các mối đe dọa nguy hại nghi ngờ. o Hệ thống IPS có thể cảnh báo và phân tích cho người dùng cách phản ứng tốt nhất đối với các mối nguy hiểm cũng như các cuộc tấn công.  Cung cấp kiến thức sâu rộng đối với các cuộc tấn công và tính toán theo thời gian thực những mối nguy hiểm theo từng biến cố. Nó có thể ghi lại các biến cố vào các file để người quản trị tiện theo dõi và xử lý về sau.  Tập hợp nhiều nhất các phản ứng và tác vụ phức tạp theo các chính sách yêu cầu. Ta có thể cấu hình từng chính sách theo từng mạng riêng rẻ theo yêu cầu như – xóa bỏ các gói tin, các phiên kết nối ở xa, giới hạn dùng hay làm chủ các cuộc tấn công và bảo vệ các ứng dụng trong mạng.  Có thể bảo vệ các biến cố có thể gây nguy hại cho hệ thống mạng cao. Có thể đưa ra các xác lập ưu tiên cho các mối nguy hiểm cần xử lý.  Ghi các thông tin cho mỗi cảnh báo và cách giải quyết các vấn đề đó từ trước, trong và sau khi vấn đề được giải quyết xong.  Thiết bị firewall phải hỗ trợ tính năng HA (Active/Active, Active/Passive), khả năng mở rộng hệ thống và hỗ trợ khe cấm mở rộng. 2.2.2. Lớp bảo vệ trung tâm dữ liệu: Thiết bị firewall vùng này phải tích hợp sẵn các tính năng an ninh mạng để đáp ứng nhu cầu giải pháp như sau: 17  Bảo vệ vùng mạng trung tâm của Customer với các vùng bên ngoài  Gia tăng phòng chống xâm nhập, ngăn chặn các loại virus, sâu worm và các loại tấn công vào các lớp ứng dụng của trung tâm dữ liệu. Đồng thời, do số lượng lớn users cục bộ và số lượng lớn các chi nhánh truy cập vào vùng trung tâm rất lớn cho nên năng lực xử lý IPS vào vùng trung tâm phải đạt tối thiểu lớn hơn 2Gbps và có khả năng mở rộng trong khoảng từ 3 đến 5 năm. Hệ thống IPS gồm các đặc điểm như sau: o Hệ thống IPS nhận diện được những mối nguy hiểm tiềm ẩn trước khi nó thật sự tấn công vào bên trong như:  Ngăn chặn những mã độc hại, bao gồm sâu, tấn công trực tiếp, tấn công theo kiểu từ chối dịch vụ, và tấn công theo các ứng dụng.  Xây dựng và mở rộng bảo mật an ninh mạng có khả năng kiểm tra và ngăn chặn các mối nguy hiểm trong toàn bộ mạng, từ các ứng dụng cho đến giao thức phân hoạch địa chỉ (ARP). Kỹ thuật mở rộng của Firewall phải cung cấp giải pháp tối ưu vể chính sách bảo mật cho hệ thống an ninh mạng.  Hệ thống IPS cung cấp các cơ chế bảo mật khác, theo từng nhóm hay từng cá nhân tấn công riêng rẽ. Ví dụ như tấn công theo kiểu ngày zero, hệ thống IPSs có khả năng học trên mạng, kiểm tra những phản ứng của người quản trị và sau đó cập nhật phương pháp bảo vệ cho mạng đó.  Kỹ thuật và dịch vụ của IPSs được phát triển bởi nhóm chuyên gia về bảo mật trên toàn cầu. Các chuyên gia này liên tục nghiên cứu và đưa ra nhiều giải pháp tốt nhất để tích hợp vào thiết bị IPSs.  Tính năng Client Reputation cho phép thống kê và giám sát từng hành vi người dùng, từ đó có cơ sở để cách ly các mối đe dọa nguy hại nghi ngờ. o Hệ thống IPS có thể cảnh báo và phân tích cho người dùng cách phản ứng tốt nhất đối với các mối nguy hiểm cũng như các cuộc tấn công.  Cung cấp kiến thức sâu rộng đối với các cuộc tấn công và tính toán theo thời gian thực những mối nguy hiểm theo từng biến cố. Nó có thể ghi lại các biến cố vào các file để người quản trị tiện theo dõi và xử lý về sau.  Tập hợp nhiều nhất các phản ứng và tác vụ phức tạp theo các chính sách yêu cầu. Ta có thể cấu hình từng chính sách theo 18 từng mạng riêng rẻ theo yêu cầu như – xóa bỏ các gói tin, các phiên kết nối ở xa, giới hạn dùng hay làm chủ các cuộc tấn công và bảo vệ các ứng dụng trong mạng.  Có thể bảo vệ các biến cố có thể gây nguy hại cho hệ thống mạng cao. Có thể đưa ra các xác lập ưu tiên cho các mối nguy hiểm cần xử lý.  Ghi các thông tin cho mỗi cảnh báo và cách giải quyết các vấn đề đó từ trước, trong và sau khi vấn đề được giải quyết xong.  Dựa trên thông tin có sẵn về nhận dạng tấn công (Signaturebased): Các dấu hiệu về tấn công được nhập vào CSDL của IPS và cập nhật định kỳ từ nhà sản xuất. Khi IPS nhận thấy luồng dữ liệu chạy qua Router có dấu hiệu giống với những dấu hiệu tấn công mà nó đang có, nó sẽ phản ứng lại bằng cách ngắt kết nối của kẻ tấn công, chặn IP của kẻ đó và gửi cảnh báo đến nhà quản trị đồng thời ghi lại toàn bộ quá trình tấn công để điều tra về sau. o Dựa trên thông tin có sẵn về nhận dạng tấn công (Signature-based): Các dấu hiệu về tấn công được nhập vào CSDL của IPS và cập nhật định kỳ từ nhà sản xuất. Khi IPS nhận thấy luồng dữ liệu chạy qua Router có dấu hiệu giống với những dấu hiệu tấn công mà nó đang có, nó sẽ phản ứng lại bằng cách ngắt kết nối của kẻ tấn công, chặn IP của kẻ đó và gửi cảnh báo đến nhà quản trị đồng thời ghi lại toàn bộ quá trình tấn công để điều tra về sau. o Dựa trên những hoạt động bất thường của mạng để phát hiện tấn công o Tính năng Client Reputation cho phép thống kê và giám sát từng hành vi người dùng, từ đó có cơ sở để cách ly các mối đe dọa nguy hại nghi ngờ.  Số lượng users cục bộ, các chi nhánh công ty và các đối tác kết nối vào trung tâm dữ liệu rất lớn cho nên yêu cầu năng lực xử lý firewall rất cao và phải đạt mức tối thiểu khoảng …….Gbps và có thể khả năng mở rộng trong khoảng từ 3 đến 5 năm.  Số lượng phiên kết nối dữ liệu và ứng dụng truy cập rất lớn từ các users cục bộ, các chi nhánh công ty và các vùng đối tác của công ty đến vùng trung tâm dữ liệu đi qua firewall rất lớn. Vì vậy, yêu cầu số lượng phiên kết nối đồng thời qua firewall phải đạt tối thiểu là ……….và số lượng phiên kết nối thiết lập mới phải đạt tối thiểu đạt trên ………  Xây dựng hệ thống phòng chống virus cho toàn hệ thống mạng khi các máy chủ và máy trạm truy cập ra bên ngoài Internet. Vì vậy, hiệu xuất quét virus trên firewall phải đạt tối thiểu trên 900Mbps 19  Thiết bị phải hỗ trợ tính năng HA (Active/Active, Active/Passive), khả năng mở rộng hệ thống và hỗ trợ khe cấm mở rộng  Thiết bị firewall phải tích hợp vào hệ thống Active Directory, xác thực LDAP, RADIUS RSA …  Ngăn chặn các dữ liệu nhạy cảm bị rò rỉ từ bên trong hệ thống mạng ra bên ngoài Internet. 2.2.3. Các dòng thiết bị bảo mật Fortigate 20
- Xem thêm -