Báo cáo an toàn thông tin

Đây là bài báo cáo đề tài chuyên đề về lĩnh vực công nghệ thông tin hệ đại học. Bài báo cáo đạt điểm cao cho cả nội dung và cách thức trình bày. TRIỂN KHAI FIREWALL FORTIGATE CHO DOANH NGHIỆP SMB với các mục chính: VAI TRÒ CỦA FIREWALL TRONG BẢO MẬT THÔNG TIN CỦA DOANH NGHIỆP SMB, GIỚI THIỆU CÁC SẢN PHẨM BẢO MẬT CỦA HÃNG FORTINET, CẤU HÌNH FIREWALL FORTIGATE100E

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO ĐỀ TÀI

An Toàn Thông Tin TRIỂN KHAI FIREWALL FORTIGATE CHO DOANH NGHIỆP SMB

Sinh viên thực hiện: Nguyễn Văn A Giảng viên hướng dẫn: Nguyễn Văn B

MỤC LỤC i

DANH MỤC HÌNH ẢNH ii

DANH MỤC TỪ VIẾT TẮT iii

LỜI MỞ ĐẦU iv

CHƯƠNG 1: VAI TRÒ CỦA FIREWALL TRONG BẢO MẬT THÔNG TIN CỦA DOANH NGHIỆP SMB. 1

1 Khái niệm về firewall 1

2 Các loại firewall 1

3 Mục đích của firewall 3

4 Nguyên lý hoạt động của firewall 3

4.1 Các thành phần và cơ chế hoạt động của firewall. 4

5 Firewall và an toàn thông tin của doanh nghiệp 7

5.1 Mô hình kiến trúc hạ tầng an toàn thông tin của doanh nghiệp SMB. 9

5.2 Ứng dụng của firewall trong mô hình an toàn thông tin của doanh nghiệp SMB 11

CHƯƠNG 2: GIỚI THIỆU CÁC SẢN PHẨM BẢO MẬT CỦA HÃNG FORTINET .15

1 Tổng quan về giải pháp bảo mật của Fortinet 15

2 Các sản phẩm bảo mật của Fortinet 17

3 Giới thiệu Firewall Fortigate của hãng Fortinet 18

CHƯƠNG 3: CẤU HÌNH FIREWALL FORTIGATE-100E .24

1 Mô hình mạng cơ bản và cấu hình thiết bị 24

2 Chính sách bảo mật cần có cho firewall và cách cấu hình 25

TÀI LIỆU THAM KHẢO. 38

DANH MỤC HÌNH ẢNH

Hình 1.1 Miêu tả tường lửa 1

Hình 1.2 Firwall đặt ở giữa mạng riêng và mạng công cộng 3

Hình 1.3 Ảnh minh họa firewall Fortigate 2

Hình 1.4 Mô hình mạng thứ nhất 10

Hình 1.5 Mô hình mạng cơ bản thứ hai 10

Hình 2.1 Giải pháp bảo mật Zero Trust Network Access 15

Hình 2.2 Giải pháp bảo mật Security-driven Networking 16

Hình 2.3 Giải pháp bảo mật Dynamic Cloud Security 16

Hình 2.4 Giải pháp AI-driven Security Operations 17

Hình 2.5 Giải pháp Fabric Management Center 17

Hình 2.6 Các tính năng UTM 19

Hình 3.1 Mô hình mạng 24

Hình 3.2 Cấu hình Web Filter 26

Hình 3.3 Cấu hình Antivirus 27

Hình 3.4 Cấu hình DNS Filter 28

Hình 3.5 Cấu hình Application Control 29

Hình 3.6 Cấu Hình IPS 30

Hình 3.7 Cấu hình Proxy Options 31

Hình 3.8 Cấu hình SSL/SSH Inspection 32

Hình 3.9 Tạo Vlan và đặt Ip 33

Hình 3.10 Tạo rule Vlan11 đến Vlan10 33

Hình 3.11 Tạo rule Vlan10 đến Vlan11 34

Hình 3.12 Tạo chặn Facebook,Youtube 35

Hình 3.13 Cấu hình Vlan10 đi Internet 36

Hình 3.14 Cấu hình Vlan11 đi Internet 37

DANH MỤC TỪ VIẾT TẮT

SD-WAN Software-defined Wide Area Network

trọng trong việc thúc đẩy sự tăng trưởng kinh tế với sự ra đời nhiều công nghệ mới, các dịch vụ công nghệ thông tin đáp ứng nhu cầu của người dùng cũng như là của các doanh nghiệp Nhưng để một doanh nghiệp duy trì hệ thống mạng nội bộ ổn định, nhanh chóng,

an toàn và đáng tin cậy đang là vấn đề tổ chức và doanh nghiệp đặc biệt quan tâm Trong

đó, yêu tố an toàn mạng luôn được đặt lên hàng đầu Nắm bắt được nhu cầu của các tổ chức, doanh nghiệp như vậy một số tập toàn công nghệ thông tin và truyền thông hàng đầu thế giới đã đưa ra nhiều giải pháp bảo mật như các Firewall ( cả phần cứng và phần mềm) để bảo vệ thông tin của doanh nghiệp tổ chức một cách an toàn

Hiện nay, các tổ chức và doanh nghiệp chọn cho mình các bảo vệ hệ thống mạng của họ bằng nhiều cách khác nhau như sử dụng firewall của nhiều hãng như Cisco, Fortinet, Juniper, Sophos… Chính vì điều đó nên em chọn đề tài” Triển khai Firewall Fortigate cho doanh nghiệp” để tìm hiểu rõ hơn về cách vận hành, quản trị firewall của một doanh nghiệp và giám sát những tính năng mà firewall có thể làm được trong mô hình mạng thực tiễn Đề tài gồm 4 phần chính:

Chương 1: Vai trò của firewall trong bảo mật thông tin của doanh nghiệp SMB Chương 2: Giới thiệu các sản phẩm bảo mật của hãng Fortinet

Chương 3: Cấu hình firewall fortigate-100E

Tuy nhiên do điều kiện tìm hiểu trong thời gian ngắn cũng như khả năng còn hạn chế nên bài báo cáo còn nhiều sai sót kính mong Thầy và các bạn cho nhóm em nhận xét, góp ý kiến để bài báo cáo được hoàn thiện hơn

Nhóm em Xin Chân Thành Cảm Ơn Thầy và các bạn!

CHƯƠNG 1: VAI TRÒ CỦA FIREWALL TRONG BẢO MẬT THÔNG TIN CỦA DOANH NGHIỆP SMB

1 Khái niệm về firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào

hệ thống mạng để chống lại sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ

và hạn chế xâm nhập không mong muốn vào hệ thống Firewall được miêu tả như là hệ thống phòng thủ bao quanh với các chốt để kiểm soát luồng lưu thông nhập xuất, có thể theo dõi và khóa truy cập của những thiết bị đó

Hình 1.1 Miêu tả tường lửa

Các mạng riêng kết nối với internet thường bị đe dọa bởi những kẻ tấn công Để bảo

vệ dữ liệu bên trong người ta thường dùng firewall Firewall có cách nào đó cho phép người dùng hợp lệ đi qua và chặn những người dùng không hợp lệ lại Firewall có thể là thiết bị phần cứng hoặc phần mềm chạy trên host để đảm bảo hoặc kết hợp cả hai lại Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một mạng cho firewall bảo

vệ, một mạng cho bên ngoài Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng

2 Các loại firewall

Firewall phần cứng cung cấp mức độ bảo mật cao hơn so với firewall phần mềm và dễ bảo trì hơn Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như firewall phần mềm Firewall phần cứng là một sự lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối

internet Có thể kết hợp firewall và một bộ định tuyến trên cùng một hệ thống phần cứng

và sử dụng hệ thống này để bảo vệ toàn bộ mạng

Đặc điểm của firewall cứng:

▪ Không được linh hoạt như firewall mềm

▪ Có thể quản lý tập trung

▪ Đơn giản, dễ lắp đặt, cấu hình, quản lý

▪ Firewall cứng hoạt động ở tầng thấp hơn firewall mềm ( tầng network và transport)

▪ Firewall cứng có thể ví như một router

Hình 1.2 Ảnh minh họa firewall Fortigate

Firewall mềm có rất nhiều nhà cung cấp tường lửa phần mềm mà bạn có thể sử dụng nếu bạn dùng các bản Windown trước đây So với firewall phần cứng, firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại thiết bị các hệ thống cho phù hợp hơn với nhu cầu riêng của từng công ty Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với firewall phần cứng tích hợp với bộ định tuyến chỉ làm tốt trong mạng có sẵn qui mô

Ưu điểm:

▪ Không yêu cầu phần cứng bổ sung

▪ Không yêu cầu chạy thêm dây máy tính

▪ Một lựa chọn tốt cho các máy tính đơn lẻ

Nhược điểm:

▪ Chi phí thêm hầu hết các tường lửa phần mềm tốn chi phí

▪ Việc cài đặt và cấu hình có thể cần bắt đầu

▪ Cần một bản sao riêng cho mỗi máy tính

Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính Chức năng kiểm soát dữ liệu đi ra của firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái phép cấy những virus có hại vào máy tính để phát động các cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet

Hình 1.3 Firwall đặt ở giữa mạng riêng và mạng công cộng

4 Nguyên lý hoạt động của firewall

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là

các dịch vụ chạy trên các giao thức ( Telnet, SMTP, DNS, SMNP, NFS…) thành các gói

dữ liệu(data packets) rồi gán cho các packet này các địa chỉ có thể nhận dạng được, tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Các luật lệ lọc packet này dựa trên các thông tin bao gồm mỗi đầu packet dùng để truyền các packet đó ở trên mạng Bao gồm:

▪ Địa chỉ nơi xuất phát ( Source)

▪ Địa chỉ nơi nhận (Destination)

▪ Những thủ tục truyền tin (TCP, UDP, ICMP…)

▪ Cổng TCP/UDP nơi xuất phát

▪ Cổng TCP/UDP nơi nhận

▪ Dạng thông báo ICMP

▪ Giao diện packet đến

▪ Giao diện packet đi

4.1 Các thành phần và cơ chế hoạt động của firewall

4.1.1 Bộ lọc gói (Packet Filtering)

Nguyên lý hoạt động:

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng firewall hoạt động chặt chẽ với giao thức TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức ( Telnet, SMTP, DNS, SMNP…) thành các gói dữ liệu rồi gắn cho các packet này những địa chỉ có thể nhận dạng, tái lập ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều các packet và những con

số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được.Các luật lệ lọc packet này dựa trên các thông tin bao gồm mỗi đầu packet dùng để truyền các packet đó ở trên mạng Đó là:

▪ Địa chỉ nơi xuất phát ( Source)

▪ Địa chỉ nơi nhận (Destination)

▪ Những thủ tục truyền tin (TCP, UDP, ICMP…)

▪ Cổng TCP/UDP nơi xuất phát

▪ Cổng TCP/UDP nơi nhận

▪ Dạng thông báo ICMP

▪ Giao diện packet đến

▪ Giao diện packet đi

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall Nếu không packet sẽ bị bỏ đi Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào

đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ

Ưu điểm:

▪ Chi phí thấp vì cơ chế lọc packet đã bao gồm trong mỗi phần mềm router

▪ Ngoài ra bộ lọc packet là trong suốt đối với các người sử dụng và các ứng dụng

Nhược điểm:

▪ Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi

về sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển

▪ Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet Các packet chuyển qua vẫn

có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

4.1.2 Cổng ứng dụng ( Application-Level Gateway)

Nguyên lý hoạt động:

Đây là một loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một

số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác

Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là:

▪ Bastion host luôn chạy các version an toàn của các phần mềm hệ thống Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall

▪ Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt,

nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host

▪ Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card

▪ Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống

▪ Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

▪ Mỗi proxy đều độc lập với các proxy khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang

có vấn đề

Ưu điểm:

▪ Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ

▪ Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng

có nghĩa là các dịch vụ ấy bị khoá

▪ Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống

▪ Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet

Nhược điểm:

▪ Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet

5 Firewall và an toàn thông tin của doanh nghiệp

Firewall sẽ bảo đảm an toàn thông tin cho doanh nghiệp bảo vệ dữ liệu,theo dõi luồng

dữ liệu mạng giữa Internet và Intranet Những thông tin cần được bảo vệ do những yêu cầu sau của doanh nghiệp:

▪ Bảo mật: một số chức năng của firewall là có thể cất giấu thông tin mạng tin cậy và nội bộ với mạng không đáng tin cậy và các mạng khác bên ngoài Firewall cũng cung cấp một mũi nhọn trung tâm để đảm bảo sự quản lý, rất

có lợi khi nguồn nhân lực và tài chính của một tổ chức, một doanh nghiệp

có hạn

▪ Tính toàn vẹn: tài nguyên của hệ thống đảm bảo an toàn

▪ Tính kịp thời: danh tiếng của các công ty sở hữu các thông tin cần bảo vệ Firewall sẽ chống lại những vấn đề sau để đảm bảo an toàn dữ liệu của một doanh nghiệp:

▪ Chống lại việc hacking: hacker là những người hiểu biết và sử dụng máy tính rất thành thạo và là người lập trình rất giỏi Khi phân tích và khám phá các lỗ hỏng của một hệ thống nào đó, sẽ tìm ra những cách thích hợp để truy cập và tấn công hệ thống Có thể sử dụng các kỹ năng khác nhau để tấn

công hệ thống máy tính Ví dụ có thể truy cập vào hệ thống mà không được phép truy cập và tạo thông tin giả, lấy cắp thông tin Nhiều công ty đang lo ngại về việc dữ liệu bảo mật bị đánh cắp bởi các hacker Vì vậy để tìm ra các phương pháp để bảo vệ dữ liệu thì firewall có thể làm được điều này

▪ Chống lại việc sửa đổi mã: khả năng này xảy ra khi một kẻ tấn công sửa đổi, xóa hoặc thay thế tính xác thực của các đoạn mã bằng cách sử dụng virus và những chương trình có chủ tâm Khi tải file trên internet có thể dẫn đến tải xuống các đoạn mã dã tâm, thiếu kiến thức về bảo mật máy tính, những file download có thể thực thi những quyền theo mục đích của những người dùng trên một số website

▪ Từ chối những dịch vụ đính kèm: từ chối dịch vụ là một loại ngắt hoạt động của sự tấn công Lời đe dọa tới tính liên tục của hệ thống mạng là kết quả từ nhiều phương thức tấn công giống nhau làm tràn ngập thông tin hay là sự sửa đổi đường đi không được phép Một kẻ tấn công có thể ngắm nhầm phá hoại hệ thống máy tính và thêm vào phần mềm dã tâm mà phần mềm này sẽ tấn công hệ thống theo thời gian xác định trước

▪ Tấn công trực tiếp: cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp Thông qua các chương trình dò tìm mật khẩu với một số thông tin người sử dụng máy tính như ngày sinh, tuổi, địa chỉ, số điện thoại… và kết hợp với thư viện do người tạo ra, kẻ tấn công có thể dò được mật khẩu Trong một số trường hợp khả năng thành công có thể lên tới 30% Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành

đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm lấy quyền truy cập (có được quyền của người quản trị hệ thống)

▪ Nghe trộm: có thể biết được tên, mật khẩu, các thông tin truyền qua mạng thông qua các chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng

▪ Vô hiệu hóa các chức năng của hệ thống ( Deny service): Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.

▪ Lỗi người quản trị hệ thống: Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc xử

lý các lỗ hổng của mình Điều này đòi hỏi người quản trị mạng phải có kiến

thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống Đối với người dùng cá nhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình một firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn

▪ Yếu tố con người: với những tính cách chủ quan và không hiểu rõ lắm về tầm quan trọng bảo mật hệ thống nên dễ dàng lộ các thông tin quan trọng cho hacker Ngoài ra thì còn dùng firewall để chống lại sử giả mạo địa chỉ

IP

5.1 Mô hình kiến trúc hạ tầng an toàn thông tin của doanh nghiệp SMB

Một mô hình mạng bảo mật rất cần thiết cho mỗi tổ chức, doanh nghiệp để phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho mỗi vùng mạng tùy theo yêu cầu thực tế Các thành phần trong mô hình mạng bảo mật, các thành phần bao gồm như sau:

▪ Vùng mạng nội bộ còn gọi là mạng LAN ( Local Area Network) là nơi đặt các thiết bị mạng, máy trạm và máy chủ thuộc nội bộ của đơn vị

▪ Vùng mạng DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp nhận rủi ro tấn công từ internet

▪ Vùng mạng Server (Server Farm) là nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng internet Các máy chủ triển khai ở vùng mạng này thường là database server, LDAP server…

▪ Vùng mạng internet còn gọi là mạng ngoài, kết nối mạng với internet toàn cầu Việc tổ chức mô hình mạng bảo mật đảm bảo bảo mật có ảnh hưởng lớn đến sự an toàn cho các hệ thống mạng và các cổng thông tin điện tử Đây là cơ sở đầu tiên cho việc xây dựng các hệ thống phòng thủ và bảo vệ Ngoài ra việc tổ chức mô hình mạng bảo mật có thể hạn chế được các tấn công từ bên trong và bên ngoài một cách hiệu quả

Một số mô hình mạng phổ biến:

Mô hình mạng thứ nhất: trong mô hình mạng này vùng internet, vùng mạng nội bộ

và vùng mạng DMZ được đặt tách biệt nhau Ngoài ra ta đặt một firewall giữa các vùng

mạng để nhằm kiểm soát luồng thông tin giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi các cuộc tấn công trái phép

Hình 1.4 Mô hình mạng thứ nhất

Mô hình mạng thứ hai trong mô hình này ta đặt một firewall giữa vùng mạng internet và vùng mạng DMZ và một firewall giữa vùng mạng DMZ và vùng mạng nội bộ Như vậy vùng mạng nội bộ nằm sâu bên trong và cách vùng mạng internet bằng hai lớp firewall

Hình 1.5 Mô hình mạng cơ bản thứ hai

Trên đây là hai mô hình mạng cơ bản để tham khảo và tùy theo yêu cầu của hệ thống mỗi công ty khác nhau nên chúng ta phải thiết kế, thiết lập phù hợp với những yêu cầu của hệ thống công ty đề ra

5.2 Ứng dụng của firewall trong mô hình an toàn thông tin của doanh nghiệp SMB

Ứng dụng của firewall trong mô hình an toàn thông tin của doanh nghiệp: giúp kiểm soát luồng thông tin giữa intranet và internet, phát hiện và xử lý những hành vi được truy cập và không được truy cập vào bên trong hệ thống của doanh nghiệp, đảm bảo tối đa

sự an toàn thông tin cho doanh nghiệp, giúp cho doanh nghiệp bảo vệ thông tin một cách

an toàn nhất Và những tính năng của firewall như sau:

▪ Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ có trong mạng nội bộ

▪ Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong

▪ Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài

▪ Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép)

▪ Kiểm soát truy cập của người dùng

▪ Quản lý và kiểm soát luồng dữ liệu trên mạng

▪ Firewall hoạt động như một Proxy trung gian

▪ Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật

▪ Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều

Và tùy theo mỗi công ty họ sẽ yêu cầu firewall đó như thế nào và nhà thi công thiết

kế sẽ làm theo yêu cầu của họ và trên firewall chúng ta có thể mua license để phù hợp cho xây dựng một hệ thống an toàn thông tin cho doanh nghiệp đó ví dụ như những license như sau:

▪ Web Server Protection: WAF, AV, Rev, Proxy

▪ Email Protection: AntiSpam, AV, SPX, DLP

▪ Network Protection: IPS, RED/HTML5, ATP, Security Heartbeat

▪ Web Protection: URL, AV, AppCtrl

CHƯƠNG 2: GIỚI THIỆU CÁC SẢN PHẨM BẢO MẬT CỦA HÃNG FORTINET

1 Tổng quan về giải pháp bảo mật của Fortinet

Nền tảng Fortinet Security Fabric cung cấp khả năng tích hợp và tự động hóa thực sự trên cơ sở hạ tầng, bảo mật của tổ chức, mang lại khả năng bảo vệ và khả năng hiển thị vô song song cho mọi phân đoạn mạng và thiết bị, cho dù là ảo, trên đám mây hay tại chỗ

Giải pháp Zero-Trust của Fortinet thúc đẩy một tập hợp các giải pháp bảo mật được

tích hợp chặt chẽ, cho phép các tổ chức xác định và phân loại tất cả người dùng và thiết

bị, đánh giá trạng thái tuân thủ các chính sách bảo mật nội bộ của họ và tự động đưa chúng vào các vùng kiểm soát Giải pháp truy cập Zero Trust Network (ZTNA) của Fortinet mở rộng chức năng này với công nghệ đám mây, bảo mật truy cập vào các ứng dụng quan trọng cho dù người dùng đang kết nối với hệ thống hay không Và có những tính năng như hình bên dưới:

Hình 2.1 Giải pháp bảo mật Zero Trust Network Access

FortiNAC: là giải pháp kiểm soát truy cập mạng Fortinet Giúp nâng cao tổng thể Fortinet Security Fabric với khả năng hiển thị, kiểm soát và phản hồi tự động cho mọi thứ kết nối với mạng…

FortiClient là một phần không thể thiếu của Fortinet Security Fabric Nó kết nối các điểm đầu cuối với Security Fabric và cung cấp khả năng hiển thị điểm cuối, kiểm soát tuân thủ, quản lý lỗ hỏng và tự động hóa

Giải pháp Security-driven Networking cho phép đối tác cung cấp cho khách hàng của

họ một mức độ bảo vệ cao hơn Bằng cách cung cấp hướng dẫn giải quyết các vấn đề về công nghệ thông tin hỗn hợp, việc giúp khách hàng thiết lập security-driven networking cũng là một cách để đối tác chứng minh giá trị của họ Có một số lý do để áp dụng đề xuất phương pháp tiếp cận kết hợp security và networking, ưu tiên cơ sở hạ tầng kết hợp, tính linh hoạt và hiệu suất Các công ty ngày nay dựa vào đám mây và các trung tâm dữ liệu

để tiến hành kinh doanh… Ngay cả khi khách hàng tập trung vào đám mây focused) họ vẫn phải có endpoint được bảo vệ, đặc biệt là việc áp dụng công việc từ xa trên quy mô rộng.Và có những tính năng như hình bên dưới:

(cloud-Hình 2.2 Giải pháp bảo mật Security-driven Networking

FortiAP là hệ thống Wireless tích hợp bởi Fortinet FortiAP của hãng Fortinet với hệ thống mạng không dây Wireless Lan sẽ cho phép doanh nghiệp, công ty có thể triển khai

hệ thống mạng đơn giản và đặc biệt FortiAP là giải pháp tối ưu trong việc kết nối của Fortigate

SD-Branch là giải pháp bảo mật cho mạng WAN và mạng Biên truy cập

SD-WAN là cân bằng tải các đường truyền internet bởi WAN, hỗ trợ cho cân bằng tải của đường truyền

Giải pháp Dynamic Cloud Security: cho phép các tổ chức phát triển cơ sở hạ tầng kinh

doanh dựa trên nhiều hạ tầng đám mây mà không ảnh hưởng đến việc bảo vệ dữ liệu và tài nguyên người dùng kết nối Fortinet đã đưa ra giải pháp Security Fabric để liên kết các giải pháp bảo mật trên đám mây với nhau giúp doanh nghiệp quản lý đám mây của mình để theo dõi hoạt động và cấu hình tài nguyên đám mây giúp kết nối mạng an toàn

qua các loại đám mây khác nhau trong khi vẫn bảo vệ tính bảo mật thông tin liên lạc

Hình 2.3 Giải pháp bảo mật Dynamic Cloud Security

Giải pháp AI-driven Security Operations: Để bắt kịp với quy mô, mức độ tinh vi và tốc

độ của các mối đe dọa mạng ngày nay, các tổ chức cần các hoạt động bảo mật có thể hoạt

động với tốc độ máy Bằng cách áp dụng trí tuệ nhân tạo cũng như tích hợp và tự động hóa, các tổ chức có thể giám sát rủi ro và nâng cao hiệu quả

Hình 2.4 Giải pháp AI-driven Security Operations

Giải pháp Fabric Management Center: dùng để giám sát, quản lý hoạt động của các

thiết bị của những công ty và những tính năng như hình sau:

Hình 2.5 Giải pháp Fabric Management Center

2 Các sản phẩm bảo mật của Fortinet

Fortinet Firewall: thiết bị tường lửa với VPN, có thể tích hợp các tính năng Antivirus, IPS, Web filtering, Application Control, Data Leak Prevention…

FortiMail: thiết bị chuyên dùng để bảo vệ hệ thống mail khỏi Antivirus/Worm/Spyware

và AntiSpam

FortiAnalyzer: thiết bị ghi log tập trung và phân tích log, scan hệ thống để tìm ra lỗ hỏng

FortiManager: thiết bị quản lý tập trung thiết bị Fortigate và ForClient, cho phép toàn

bộ người quản trị quản lý, cấu hình, update và áp dụng chính sách bảo mật chung cho tất

cả các thiết bị Fortigate và FortiClient trong toàn hệ thống

FortiClient: phần mềm personal firewall với VPN cho người sử dụng di động Có thể mua thêm license để có thêm các tính năng như Antivirus, Antispam và Web filtering Fortiguard subscription service: license đăng ký sử dụng và update các tính năng như Antivirus, IPS, Antispam và Web filtering License có thể mua mới hàng năm hoặc nhiều năm

Forticare service: dịch vụ hỗ trợ kỹ thuật, gia tăng thời gian bảo hành của sản phẩm cũng như update các OS/firmware mới nhất cho sản phẩm Dịch vụ này có thể mua theo từng năm hoặc nhiều năm