Đây là bài báo cáo đề tài chuyên đề về lĩnh vực công nghệ thông tin hệ đại học. Bài báo cáo đạt điểm cao cho cả nội dung và cách thức trình bày. TRIỂN KHAI FIREWALL FORTIGATE CHO DOANH NGHIỆP SMB với các mục chính: VAI TRÒ CỦA FIREWALL TRONG BẢO MẬT THÔNG TIN CỦA DOANH NGHIỆP SMB, GIỚI THIỆU CÁC SẢN PHẨM BẢO MẬT CỦA HÃNG FORTINET, CẤU HÌNH FIREWALL FORTIGATE100E
Trang 1KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO ĐỀ TÀI An Tồn Thơng Tin
TRIỂN KHAI FIREWALL FORTIGATE CHO DOANH NGHIỆP SMB
Trang 2MỤC LỤC i DANH MỤC HÌNH ẢNH ii DANH MỤC TỪ VIẾT TẮT iii LỜI MỞ ĐẦU iv CHƯƠNG 1: VAI TRÒ CỦA FIREWALL TRONG BẢO MẬT THÔNG TIN CỦA DOANH NGHIỆP SMB. 1 1.Khái niệm về firewall 12.Các loại firewall 13.Mục đích của firewall 3
4.Nguyên lý hoạt động của firewall 3
4.1 Các thành phần và cơ chế hoạt động của firewall. 4
5.Firewall và an tồn thơng tin của doanh nghiệp 7
5.1 Mô hình kiến trúc hạ tầng an tồn thơng tin của doanh nghiệp SMB. 9
5.2 Ứng dụng của firewall trong mô hình an tồn thơng tin của doanh nghiệp SMB 11
CHƯƠNG 2: GIỚI THIỆU CÁC SẢN PHẨM BẢO MẬT CỦA HÃNG FORTINET .15
1.Tổng quan về giải pháp bảo mật của Fortinet 15
2.Các sản phẩm bảo mật của Fortinet 17
3.Giới thiệu Firewall Fortigate của hãng Fortinet 18
CHƯƠNG 3: CẤU HÌNH FIREWALL FORTIGATE-100E .24
1.Mơ hình mạng cơ bản và cấu hình thiết bị 24
2.Chính sách bảo mật cần có cho firewall và cách cấu hình 25
Trang 3DANH MỤC HÌNH ẢNH
Hình 1.1 Miêu tả tường lửa 1
Hình 1.2 Firwall đặt ở giữa mạng riêng và mạng công cộng 3
Hình 1.3 Ảnh minh họa firewall Fortigate 2
Hình 1.4 Mô hình mạng thứ nhất 10
Hình 1.5 Mô hình mạng cơ bản thứ hai 10
Hình 2.1 Giải pháp bảo mật Zero Trust Network Access 15
Hình 2.2 Giải pháp bảo mật Security-driven Networking 16
Hình 2.3 Giải pháp bảo mật Dynamic Cloud Security 16
Hình 2.4 Giải pháp AI-driven Security Operations 17
Hình 2.5 Giải pháp Fabric Management Center 17Hình 2.6 Các tính năng UTM 19 Hình 3.1 Mô hình mạng 24 Hình 3.2 Cấu hình Web Filter 26 Hình 3.3 Cấu hình Antivirus 27 Hình 3.4 Cấu hình DNS Filter 28 Hình 3.5 Cấu hình Application Control 29 Hình 3.6 Cấu Hình IPS 30 Hình 3.7 Cấu hình Proxy Options 31 Hình 3.8 Cấu hình SSL/SSH Inspection 32 Hình 3.9 Tạo Vlan và đặt Ip 33
Hình 3.10 Tạo rule Vlan11 đến Vlan10 33
Hình 3.11 Tạo rule Vlan10 đến Vlan11 34
Hình 3.12 Tạo chặn Facebook,Youtube 35
Hình 3.13 Cấu hình Vlan10 đi Internet 36
Trang 4DANH MỤC TỪ VIẾT TẮT
NIC Network Interface Card
LAN Local Area Network
WAN Wide Area Network
DMZ Demilitarized Zone
VPN Virtual Private Network
IPS Intrusion Prevention System
SSL Secure Sockets Layer
IPSEC Internet Protocol Security
DNS Domain Name System
FTP File Transfer Protocol
HTTP HyperText Transfer Protocol
SD-WAN Software-defined Wide Area Network
NAT Network address translation
GAN Global Area Network
Trang 5trọng trong việc thúc đẩy sự tăng trưởng kinh tế với sự ra đời nhiều công nghệ mới, các dịch vụ công nghệ thông tin đáp ứng nhu cầu của người dùng cũng như là của các doanh nghiệp Nhưng để một doanh nghiệp duy trì hệ thống mạng nội bộ ổn định, nhanh chóng, an toàn và đáng tin cậy đang là vấn đề tổ chức và doanh nghiệp đặc biệt quan tâm Trong đó, u tố an tồn mạng ln được đặt lên hàng đầu Nắm bắt được nhu cầu của các tổ chức, doanh nghiệp như vậy một số tập toàn công nghệ thông tin và truyền thông hàng đầu thế giới đã đưa ra nhiều giải pháp bảo mật như các Firewall ( cả phần cứng và phần mềm) để bảo vệ thông tin của doanh nghiệp tổ chức một cách an toàn
Hiện nay, các tổ chức và doanh nghiệp chọn cho mình các bảo vệ hệ thống mạng của họ bằng nhiều cách khác nhau như sử dụng firewall của nhiều hãng như Cisco, Fortinet, Juniper, Sophos… Chính vì điều đó nên em chọn đề tài” Triển khai Firewall Fortigate cho doanh nghiệp” để tìm hiểu rõ hơn về cách vận hành, quản trị firewall của một doanh nghiệp và giám sát những tính năng mà firewall có thể làm được trong mô hình mạng thực tiễn Đề tài gồm 4 phần chính:
Chương 1: Vai trò của firewall trong bảo mật thông tin của doanh nghiệp SMB Chương 2: Giới thiệu các sản phẩm bảo mật của hãng Fortinet
Chương 3: Cấu hình firewall fortigate-100E
Tuy nhiên do điều kiện tìm hiểu trong thời gian ngắn cũng như khả năng còn hạn chế nên bài báo cáo còn nhiều sai sót kính mong Thầy và các bạn cho nhóm em nhận xét, góp ý kiến để bài báo cáo được hoàn thiện hơn
Trang 6CHƯƠNG 1: VAI TRÒ CỦA FIREWALL TRONG BẢO MẬT THÔNG TIN CỦA DOANH NGHIỆP SMB
1 Khái niệm về firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế xâm nhập không mong muốn vào hệ thống Firewall được miêu tả như là hệ thống phòng thủ bao quanh với các chốt để kiểm soát luồng lưu thông nhập xuất, có thể theo dõi và khóa truy cập của những thiết bị đó
Hình 1.1 Miêu tả tường lửa
Các mạng riêng kết nối với internet thường bị đe dọa bởi những kẻ tấn công Để bảo vệ dữ liệu bên trong người ta thường dùng firewall Firewall có cách nào đó cho phép người dùng hợp lệ đi qua và chặn những người dùng không hợp lệ lại Firewall có thể là thiết bị phần cứng hoặc phần mềm chạy trên host để đảm bảo hoặc kết hợp cả hai lại Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một mạng cho firewall bảo vệ, một mạng cho bên ngoài Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng
2 Các loại firewall
Trang 7internet Có thể kết hợp firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ toàn bộ mạng
Đặc điểm của firewall cứng:
▪ Không được linh hoạt như firewall mềm ▪ Có thể quản lý tập trung
▪ Đơn giản, dễ lắp đặt, cấu hình, quản lý
▪ Firewall cứng hoạt động ở tầng thấp hơn firewall mềm ( tầng network và transport)
▪ Firewall cứng có thể ví như một router
Hình 1.2 Ảnh minh họa firewall Fortigate
Firewall mềm có rất nhiều nhà cung cấp tường lửa phần mềm mà bạn có thể sử dụng nếu bạn dùng các bản Windown trước đây So với firewall phần cứng, firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại thiết bị các hệ thống cho phù hợp hơn với nhu cầu riêng của từng công ty Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với firewall phần cứng tích hợp với bộ định tuyến chỉ làm tốt trong mạng có sẵn qui mô
Trang 8▪ Không yêu cầu phần cứng bổ sung ▪ Không yêu cầu chạy thêm dây máy tính ▪ Một lựa chọn tốt cho các máy tính đơn lẻ Nhược điểm:
▪ Chi phí thêm hầu hết các tường lửa phần mềm tốn chi phí ▪ Việc cài đặt và cấu hình có thể cần bắt đầu
▪ Cần một bản sao riêng cho mỗi máy tính
3 Mục đích của firewall
Với firewall người sử dụng có thể yên tâm đang thực thi quyền giám sát dữ liệu truyền giữa các máy tính của họ với các máy tính khác Có thể xem firewall là một người bảo vệ có nhiệm vụ kiểm tra bất kì các gói dữ liệu nào đi vào máy tính hoặc đi ra khỏi máy tính của người sử dụng và chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ các gói dữ liệu không hợp lệ
Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính Chức năng kiểm soát dữ liệu đi ra của firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái phép cấy những virus có hại vào máy tính để phát động các cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet
Hình 1.3 Firwall đặt ở giữa mạng riêng và mạng công cộng
4 Nguyên lý hoạt động của firewall
Trang 9các dịch vụ chạy trên các giao thức ( Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu(data packets) rồi gán cho các packet này các địa chỉ có thể nhận dạng được, tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Các luật lệ lọc packet này dựa trên các thông tin bao gồm mỗi đầu packet dùng để truyền các packet đó ở trên mạng Bao gồm:
▪ Địa chỉ nơi xuất phát ( Source) ▪ Địa chỉ nơi nhận (Destination)
▪ Những thủ tục truyền tin (TCP, UDP, ICMP…) ▪ Cổng TCP/UDP nơi xuất phát
▪ Cổng TCP/UDP nơi nhận ▪ Dạng thông báo ICMP ▪ Giao diện packet đến ▪ Giao diện packet đi
4.1 Các thành phần và cơ chế hoạt động của firewall 4.1.1 Bộ lọc gói (Packet Filtering)
Nguyên lý hoạt động:
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng firewall hoạt động chặt chẽ với giao thức TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức ( Telnet, SMTP, DNS, SMNP…) thành các gói dữ liệu rồi gắn cho các packet này những địa chỉ có thể nhận dạng, tái lập ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều các packet và những con số địa chỉ của chúng
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được.Các luật lệ lọc packet này dựa trên các thông tin bao gồm mỗi đầu packet dùng để truyền các packet đó ở trên mạng Đó là:
▪ Địa chỉ nơi xuất phát ( Source) ▪ Địa chỉ nơi nhận (Destination)
▪ Những thủ tục truyền tin (TCP, UDP, ICMP…) ▪ Cổng TCP/UDP nơi xuất phát
Trang 10▪ Giao diện packet đến ▪ Giao diện packet đi
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall Nếu không packet sẽ bị bỏ đi Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ
Ưu điểm:
▪ Chi phí thấp vì cơ chế lọc packet đã bao gồm trong mỗi phần mềm router ▪ Ngoài ra bộ lọc packet là trong suốt đối với các người sử dụng và các ứng
dụng Nhược điểm:
▪ Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi về sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển
▪ Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet khơng kiểm sốt được nơi dung thơng tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu
4.1.2 Cổng ứng dụng ( Application-Level Gateway)
Nguyên lý hoạt động:
Trang 11số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác
Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn cơng từ bên ngồi Những biện pháp đảm bảo an ninh của một bastion host là:
▪ Bastion host ln chạy các version an tồn của các phần mềm hệ thống Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall ▪ Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài
đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host
▪ Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card
▪ Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống
▪ Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại
▪ Mỗi proxy đều độc lập với các proxy khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn đề
Ưu điểm:
▪ Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ
▪ Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá
Trang 12▪ Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet
Nhược điểm:
▪ Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet
4.1.3 Cổng vòng (circuit-Level Gateway)
Nguyên lý hoạt động:
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng vòng đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện được bất kì một hành động xử lý hay lọc packet nào cả Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong
5 Firewall và an tồn thơng tin của doanh nghiệp
Firewall sẽ bảo đảm an tồn thơng tin cho doanh nghiệp bảo vệ dữ liệu,theo dõi luồng dữ liệu mạng giữa Internet và Intranet Những thông tin cần được bảo vệ do những yêu cầu sau của doanh nghiệp:
▪ Bảo mật: một số chức năng của firewall là có thể cất giấu thông tin mạng tin cậy và nội bộ với mạng không đáng tin cậy và các mạng khác bên ngoài Firewall cũng cung cấp một mũi nhọn trung tâm để đảm bảo sự quản lý, rất có lợi khi nguồn nhân lực và tài chính của một tổ chức, một doanh nghiệp có hạn
▪ Tính toàn vẹn: tài nguyên của hệ thống đảm bảo an toàn
▪ Tính kịp thời: danh tiếng của các công ty sở hữu các thông tin cần bảo vệ Firewall sẽ chống lại những vấn đề sau để đảm bảo an toàn dữ liệu của một doanh nghiệp:
Trang 13công hệ thống máy tính Ví dụ có thể truy cập vào hệ thống mà không được phép truy cập và tạo thông tin giả, lấy cắp thông tin Nhiều công ty đang lo ngại về việc dữ liệu bảo mật bị đánh cắp bởi các hacker Vì vậy để tìm ra các phương pháp để bảo vệ dữ liệu thì firewall có thể làm được điều này ▪ Chống lại việc sửa đổi mã: khả năng này xảy ra khi một kẻ tấn công sửa đổi,
xóa hoặc thay thế tính xác thực của các đoạn mã bằng cách sử dụng virus và những chương trình có chủ tâm Khi tải file trên internet có thể dẫn đến tải xuống các đoạn mã dã tâm, thiếu kiến thức về bảo mật máy tính, những file download có thể thực thi những quyền theo mục đích của những người dùng trên một số website
▪ Từ chối những dịch vụ đính kèm: từ chối dịch vụ là một loại ngắt hoạt động của sự tấn công Lời đe dọa tới tính liên tục của hệ thống mạng là kết quả từ nhiều phương thức tấn công giống nhau làm tràn ngập thông tin hay là sự sửa đổi đường đi không được phép Một kẻ tấn công có thể ngắm nhầm phá hoại hệ thống máy tính và thêm vào phần mềm dã tâm mà phần mềm này sẽ tấn công hệ thống theo thời gian xác định trước
▪ Tấn công trực tiếp: cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp Thông qua các chương trình dò tìm mật khẩu với một số thông tin người sử dụng máy tính như ngày sinh, tuổi, địa chỉ, số điện thoại… và kết hợp với thư viện do người tạo ra, kẻ tấn công có thể dò được mật khẩu Trong một số trường hợp khả năng thành công có thể lên tới 30% Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm lấy quyền truy cập (có được quyền của người quản trị hệ thống)
▪ Nghe trộm: có thể biết được tên, mật khẩu, các thông tin truyền qua mạng thông qua các chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ nhận tồn bộ các thơng tin lưu truyền qua mạng
▪ Vô hiệu hóa các chức năng của hệ thống ( Deny service): Đây là kiểu tấn công nhằm làm tê liệt tồn bộ hệ thống khơng cho nó thực hiện các chức năng mà nó được thiết kế Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.
Trang 14thức tốt về bảo mật mạng để có thể giữ vững an tồn cho thơng tin của hệ thống Đối với người dùng cá nhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình một firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn ▪ Yếu tố con người: với những tính cách chủ quan và không hiểu rõ lắm về
tầm quan trọng bảo mật hệ thống nên dễ dàng lộ các thông tin quan trọng cho hacker Ngoài ra thì còn dùng firewall để chống lại sử giả mạo địa chỉ IP
5.1 Mô hình kiến trúc hạ tầng an tồn thơng tin của doanh nghiệp SMB
Một mô hình mạng bảo mật rất cần thiết cho mỗi tổ chức, doanh nghiệp để phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an tồn thơng tin riêng cho mỗi vùng mạng tùy theo yêu cầu thực tế Các thành phần trong mô hình mạng bảo mật, các thành phần bao gồm như sau:
▪ Vùng mạng nội bộ còn gọi là mạng LAN ( Local Area Network) là nơi đặt các thiết bị mạng, máy trạm và máy chủ thuộc nội bộ của đơn vị
▪ Vùng mạng DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp nhận rủi ro tấn công từ internet
▪ Vùng mạng Server (Server Farm) là nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng internet Các máy chủ triển khai ở vùng mạng này thường là database server, LDAP server…
▪ Vùng mạng internet còn gọi là mạng ngoài, kết nối mạng với internet toàn cầu Việc tổ chức mô hình mạng bảo mật đảm bảo bảo mật có ảnh hưởng lớn đến sự an toàn cho các hệ thống mạng và các cổng thông tin điện tử Đây là cơ sở đầu tiên cho việc xây dựng các hệ thống phòng thủ và bảo vệ Ngoài ra việc tổ chức mô hình mạng bảo mật có thể hạn chế được các tấn công từ bên trong và bên ngồi một cách hiệu quả
Một số mơ hình mạng phổ biến:
Trang 15mạng để nhằm kiểm sốt luồng thơng tin giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi các cuộc tấn công trái phép
Hình 1.4 Mô hình mạng thứ nhất
Mô hình mạng thứ hai trong mô hình này ta đặt một firewall giữa vùng mạng internet và vùng mạng DMZ và một firewall giữa vùng mạng DMZ và vùng mạng nội bộ Như vậy vùng mạng nội bộ nằm sâu bên trong và cách vùng mạng internet bằng hai lớp firewall
Trang 16Trên đây là hai mô hình mạng cơ bản để tham khảo và tùy theo yêu cầu của hệ thống mỗi công ty khác nhau nên chúng ta phải thiết kế, thiết lập phù hợp với những yêu cầu của hệ thống công ty đề ra
5.2 Ứng dụng của firewall trong mơ hình an tồn thơng tin của doanh nghiệp SMB
Ứng dụng của firewall trong mơ hình an tồn thông tin của doanh nghiệp: giúp kiểm sốt luồng thơng tin giữa intranet và internet, phát hiện và xử lý những hành vi được truy cập và không được truy cập vào bên trong hệ thống của doanh nghiệp, đảm bảo tối đa sự an tồn thơng tin cho doanh nghiệp, giúp cho doanh nghiệp bảo vệ thơng tin một cách an tồn nhất Và những tính năng của firewall như sau:
▪ Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ có trong mạng nội bộ
▪ Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong ▪ Phát hiện và ngăn chặn các cuộc tấn cơng từ bên ngồi
▪ Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép)
▪ Kiểm soát truy cập của người dùng
▪ Quản lý và kiểm soát luồng dữ liệu trên mạng ▪ Xác thực quyền truy cập ▪ Hỗ trợ kiểm sốt nội dung thơng tin và gói tin lưu chuyển trên hệ thống mạng ▪ Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng), giao thức mạng ▪ Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống mạng
▪ Firewall hoạt động như một Proxy trung gian
▪ Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật
▪ Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều
Và tùy theo mỗi công ty họ sẽ yêu cầu firewall đó như thế nào và nhà thi công thiết kế sẽ làm theo yêu cầu của họ và trên firewall chúng ta có thể mua license để phù hợp cho xây dựng một hệ thống an toàn thông tin cho doanh nghiệp đó ví dụ như những license như sau:
Trang 17▪ Email Protection: AntiSpam, AV, SPX, DLP
▪ Network Protection: IPS, RED/HTML5, ATP, Security Heartbeat
Trang 18CHƯƠNG 2: GIỚI THIỆU CÁC SẢN PHẨM BẢO MẬT CỦA HÃNG FORTINET 1 Tổng quan về giải pháp bảo mật của Fortinet
Nền tảng Fortinet Security Fabric cung cấp khả năng tích hợp và tự động hóa thực sự trên cơ sở hạ tầng, bảo mật của tổ chức, mang lại khả năng bảo vệ và khả năng hiển thị vô song song cho mọi phân đoạn mạng và thiết bị, cho dù là ảo, trên đám mây hay tại chỗ
Giải pháp Zero-Trust của Fortinet thúc đẩy một tập hợp các giải pháp bảo mật được
tích hợp chặt chẽ, cho phép các tổ chức xác định và phân loại tất cả người dùng và thiết bị, đánh giá trạng thái tuân thủ các chính sách bảo mật nội bộ của họ và tự động đưa chúng vào các vùng kiểm soát Giải pháp truy cập Zero Trust Network (ZTNA) của Fortinet mở rộng chức năng này với công nghệ đám mây, bảo mật truy cập vào các ứng dụng quan trọng cho dù người dùng đang kết nối với hệ thống hay không Và có những tính năng như hình bên dưới:
Hình 2.1 Giải pháp bảo mật Zero Trust Network Access
FortiNAC: là giải pháp kiểm soát truy cập mạng Fortinet Giúp nâng cao tổng thể Fortinet Security Fabric với khả năng hiển thị, kiểm soát và phản hồi tự động cho mọi thứ kết nối với mạng…
FortiClient là một phần không thể thiếu của Fortinet Security Fabric Nó kết nối các điểm đầu cuối với Security Fabric và cung cấp khả năng hiển thị điểm cuối, kiểm soát tuân thủ, quản lý lỗ hỏng và tự động hóa
Giải pháp Security-driven Networking cho phép đối tác cung cấp cho khách hàng của
Trang 19Hình 2.2 Giải pháp bảo mật Security-driven Networking
FortiAP là hệ thống Wireless tích hợp bởi Fortinet FortiAP của hãng Fortinet với hệ thống mạng không dây Wireless Lan sẽ cho phép doanh nghiệp, công ty có thể triển khai hệ thống mạng đơn giản và đặc biệt FortiAP là giải pháp tối ưu trong việc kết nối của Fortigate
SD-Branch là giải pháp bảo mật cho mạng WAN và mạng Biên truy cập
SD-WAN là cân bằng tải các đường truyền internet bởi WAN, hỗ trợ cho cân bằng tải của đường truyền
Giải pháp Dynamic Cloud Security: cho phép các tổ chức phát triển cơ sở hạ tầng kinh
doanh dựa trên nhiều hạ tầng đám mây mà không ảnh hưởng đến việc bảo vệ dữ liệu và tài nguyên người dùng kết nối Fortinet đã đưa ra giải pháp Security Fabric để liên kết các giải pháp bảo mật trên đám mây với nhau giúp doanh nghiệp quản lý đám mây của mình để theo dõi hoạt động và cấu hình tài nguyên đám mây giúp kết nối mạng an toàn
qua các loại đám mây khác nhau trong khi vẫn bảo vệ tính bảo mật thông tin liên lạc
Hình 2.3 Giải pháp bảo mật Dynamic Cloud Security
Giải pháp AI-driven Security Operations: Để bắt kịp với quy mô, mức độ tinh vi và tốc
Trang 20động với tốc độ máy Bằng cách áp dụng trí tuệ nhân tạo cũng như tích hợp và tự động hóa, các tổ chức có thể giám sát rủi ro và nâng cao hiệu quả
Hình 2.4 Giải pháp AI-driven Security Operations
Giải pháp Fabric Management Center: dùng để giám sát, quản lý hoạt động của các
thiết bị của những công ty và những tính năng như hình sau:
Hình 2.5 Giải pháp Fabric Management Center
2 Các sản phẩm bảo mật của Fortinet
Fortinet Firewall: thiết bị tường lửa với VPN, có thể tích hợp các tính năng Antivirus, IPS, Web filtering, Application Control, Data Leak Prevention…
FortiMail: thiết bị chuyên dùng để bảo vệ hệ thống mail khỏi Antivirus/Worm/Spyware và AntiSpam
FortiAnalyzer: thiết bị ghi log tập trung và phân tích log, scan hệ thống để tìm ra lỗ hỏng
FortiManager: thiết bị quản lý tập trung thiết bị Fortigate và ForClient, cho phép toàn bộ người quản trị quản lý, cấu hình, update và áp dụng chính sách bảo mật chung cho tất cả các thiết bị Fortigate và FortiClient trong toàn hệ thống
FortiClient: phần mềm personal firewall với VPN cho người sử dụng di động Có thể mua thêm license để có thêm các tính năng như Antivirus, Antispam và Web filtering
Fortiguard subscription service: license đăng ký sử dụng và update các tính năng như Antivirus, IPS, Antispam và Web filtering License có thể mua mới hàng năm hoặc nhiều năm
Trang 213 Giới thiệu Firewall Fortigate của hãng Fortinet
Firewall UTM Fortinet đã đi tiên phong trong khái niệm Unified Threat Management ( UTM) hợp nhất nhiều chức năng bảo mật thành một thiết bị duy nhất UTM cung cấp cho các tổ chức lớn và nhỏ một cách hiệu và quả đơn giản để đối phó với cảnh quan an ninh phức tạp ngày càng phát triển
Khi mà việc áp dụng rộng rãi các mạng lưới giữa các doanh nghiệp vừa và nhỏ, cùng với sự bùng nổ của các thiết bị di động và các ứng dụng, đã đẩy nhanh yêu cầu bổ sung an ninh mạng cho cả mạng nhỏ nhất Các mối đe dọa từ tin tặc, các phần mềm độc hại phức tạp, botnet và các mối đe dọa liên tục hiện đại nhấn mạnh sự cần thiết phải triển khai và thực thi các kiểm soát an ninh
Các thành phần thiết yếu của UTM:
▪ Tường lửa: kiểm tra lưu lượng truy cập trong và ngoài trên mạng, cho phép lưu lượng an toàn để vượt qua trong khi chặn lưu lượng khơng an tồn ▪ VPN: một mạng riêng ảo mở rộng mạng riêng thông qua công cộng VPN
cho phép nhân viên truy cập vào mạng của công ty khi họ ở ngoài văn phòng
▪ IPS: hệ thống ngăn chặn xâm nhập giám sát, đăng nhập, xác định và tùy ý ngừng hoạt động mạng nguy hiểm Kiểm soát ứng dụng khả năng xác định và kiểm soát các ứng dụng trên mạng và điểm cuối ( máy tính, điện thoại thông minh và máy tính bảng…) bất kể cổng giao thức hoặc địa chỉ IP được sử dụng
▪ Lọc web/nội dung: cho phép hoặc chặn lưu lượng trang web, trên một số tham số có thể cấu hình như danh tiếng hoặc doanh mục của trang web đã truy cập
Trang 22Hình 2.6 Các tính năng UTM Tính năng Antivirus:
▪ Phòng chống lên đến 60.000 loại vi-rút & tự động cập nhật (push update) thông qua hệ thống khoảng 50 cụm server đặt khắp nơi trên toàn thế giới ▪ Luôn luôn được bảo vệ trước các loại vi rút mới vì Fortinet có đội ngũ kỹ sư
cao cấp nghiên cứu, update làm việc 24/7
▪ Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user)
▪ Tính năng Antiviruscủa Fortinet được chứng nhận bởi ICSALab, NSS và 100 Buletin
Trang 23▪ Khả năng nhận dạng trên 7000 hình thức tấn công & tự động cập nhật (push update) thông qua hệ thống khoảng 50 cụm server đặt khắp nơi trên toàn thế giới
▪ Cho phép khách hàng khả năng tự định nghĩa hình thức tấn công
▪ Kiểm tra được nội dung các gói dữ liệu đã mã hóa VPN (IPSec và SSL) ▪ Hỗ trợ trên 50 loại protocol và ứng dụng
▪ Cung cấp các khả năng phòng chống và ngăn chặn tấn công thông qua đội ngũ kỹ sư nghiên cứu và phát triển của Fortinet trên toàn cầu
▪ Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user)
▪ Tính năng IPS của Fortinet được chứng nhận bởi ICSALab, NSS
Tính năng AntiSpam: Fortinet cung cấp khả năng bảo vệ máy tính khỏi spam và phishing ở cấp độ gateway Với một lượng thư rác, thư đen khổng lồ được gửi đi hàng ngày thì việc chống spam là một phần thiết yếu của mọi chiến lược bảo vệ an ninh mạng Spam làm tiêu tốn thời gian của người sử dụng và gây hại đến các tài nguyên mạng Chức năng AntiSpam của Fortinet cho phép bảo vệ hệ thống khỏi spam và phishing ở cấp độ gateway và như thế khách hàng không phải bận tâm cài đặt hay update các phần mềm chống spam cho từng desktop nữa Các tính năng nổi bật như:
▪ Quét dò tìm thư rác thông qua danh sách địa chỉ IP, dò tìm địa chỉ email, kiểm tra cả nội dung email để xác nhận email có phải là spam không
▪ Tỉ lệ phát hiện spam cao nhất (trên 97,4%) nhờ công nghệ lọc Bayesian, Heuristics, hỗ trợ RBL, ORDB, dò tìm DNS, lọc theo theo “từ khóa hay cụm từ”
▪ Database server của Fortinet xử lý khoảng 500 triệu yêu cầu về thư rác hàng tuần
▪ Cung cấp các khả năng phòngchống và ngăn chặn thư rác tiên tiến nhất thông qua đội ngũ kỹ sư nghiên cứu và phát triển của Fortinet trên toàn cầu ▪ Tính năng AntiSpam của Fortinet được chứng nhận bởi CIPA (Children’s
Internet Protection Act), NSS
Trang 24cập các trang web xấu, đen đã làm giảm năng suất hoạt động của doanh nghiệp, tiêu tốn thời gian của nhân viên, tiền bạc và tài nguyên mạng của doanh nghiệp, và có thể vi phạm các quy định của pháp luật về chính trị, đạo đức,… Chức năng Web content filtering sẽ giúp quy định và kiểm soát được việc truy cập web của người dùng tuân thủ theo quy định của pháp luật và chính sách sử dụng internet của doanh nghiệp Các tính năng nổi bật như:
▪ Lọc địa chỉ Web, lọc theo từ khóa, danh sách các trang web cấm, lọc Java Applet, Cookies, Active X…
▪ Hệ thống database server của Fortinet cập nhật được trên 47 triệu trang web và được chia thành hơn 72 chủng loại
▪ Ngăn chặn và khóa các trang web nguy hiểm như P2P, mạo danh, gián điệp ▪ URL caching: giúp tăng tốc khả năng lộc nội dung Web
▪ Online URL checker: công cụ giúp người dùng kiểm tra mức độ nguy hại của trang Web
▪ Đội ngũ kỹ sư của Fortinet quản lý và cập nhật hàng ngày database Tính năng WAN Optimization( tối ưu mạng WAN):
▪ Làm tăng hiệu suất mạng bằng việc làm giảm số lượng dữ liệu được truyền qua mạng WAN
▪ Làm giảm các yêu cầu băng thông và nguồn tài nguyên Server
▪ Hỗ trợ các dịch vụ như: CIFS, FTP hoặc giao thức HTTP cũng như các traffic TCP …
▪ Hỗ trợ Byte caching, web caching, web proxy
▪ Hỗ trợ cho các kết nối VPN site-to-site, client to site …
Tính năng Data leak prevetion: cho phép xác định hình dạng của các dữ liệu nhạy cảm Giám sát lưu lượng mạng và ngăn chặn thông tin nhạy cảm từ hệ thống mạng ( chẳng hạn như email, HTTP…)
Trang 25Tính năng Push Update: Hiện tại Fortinet áp dụng một cơ chế cập nhật tự động thông qua “công nghệ đẩy” (Push Update) cho chức năng Antivirus, IPS và AntiSpam Với cơ chế này, Fortinet sẽ giúp các hệ thống bảo mật do Fortinet cung cấp được cập nhật các hình thức tấn công, virus/spyware, Trojans, Spam… mới trong vòng vài phút, 24 giờ/ngày và trên toàn thế giới
Đặc biệt các tính năng Antivirus, IPS, AntiSpam và Web filtering sẽ: Không bị vô hiệu hóa(disable), vẫn sử dụng được trong trường hợp license đã hết hạn Tuy nhiên, khách hàng sẽ không được update Được Fortinet cho phép sử dụng thử (có update) trong vòng 1 tháng tính từ ngày đăng ký sử dụng sản phẩm
Công nghệ SD-WAN của Fortinet:
SD-WAN là cân bằng tải các đường truyền internet bởi WAN, hỗ trợ cho cân bằng tải của đường truyền, trong đó WAN là một mạng diện rộng wide area network là mạng thiết kế để kết nối giữa các mạng đô thị với các khu vực địa lý nằm cách xa nhau Có thể nói WAN là mạng mạnh thứ hai chỉ đứng sau mạng toàn cầu GAN ( global area network) và nó mạnh hơn mạng LAN Lợi ích hấp dẫn của kiến trúc SD-WAN đang thu hút sự chú ý của các công ty trên toàn thế giới SD-WAN cung cấp ứng dụng nhận thức cao, tính linh hoạt và đơn giản hơn khi đặt so sánh với công nghệ WAN truyền thống đắt tiền khác SD-WAN là một mạng diện rộng, hỗ trợ phần nào cho cân bằng tải đường truyền và được xác định bởi phần mềm SDN ( software-defined networking)
SD-WAN hoạt động như sau: những ứng dụng có nhu cầu về yếu tố độ tin cậy cao và chất lượng dịch vụ tốt kèm theo đòi hỏi nhiều băng thông đều phải dựa vào mạng diện rộng SD-WAN Đối với phương pháp truyền thống muốn giải quyết các yếu tố ràng buộc với WAN và đáp ứng đầy đủ yêu cầu mà doanh nghiệp đưa ra thì cách duy nhất là nâng cấp băng thông nhà mạng Nhưng cách vẫn hạn chế về mặt chi phí và nó củng không tập trung vào bảo vệ cho các ứng dụng quan trọng hay thông báo mọi tính năng mới đã được nâng cấp trong các ứng dụng, dữ liệu bổ sung…Sự ra đời của công nghệ SD-WAN cho phép bạn tạo ra một kiến trúc WAN lai kết nối nhiều đường MPLS, cung cấp tính năng tự động hóa chương trình, ứng dụng và các điều kiện khác của mạng Bên cạnh đó, nó cũng thực hiện nhiệm vụ sàn lọc, phân loại chi tiết ra ứng dụng nào là tốt nhất và đặt ưu tiên tuyệt đối cho ứng dụng quan trọng, đảm bảo được vận hành tốt nhất Đây là giải pháp thay thế cho thế hệ tiếp theo của WAN, các công nghệ SD-WAN giải quyết các yêu cầu về hạ tầng ứng dụng và chi nhánh
Trang 26▪ Khả năng đáp ứng, hỗ trợ nhiều loại kết nối như là MPLS, Frame relay và tốc độ truyền thông không dây LTE cao hơn
▪ Khả năng tự lựa chọn đường dẫn động, để chia sẻ, tải về và các mục đích khác nữa
▪ Giao diện đẹp, cấu hình đơn giản dễ quản lý
▪ Khả năng hỗ trợ VPN và các dịch khác của bên thứ ba như bộ điều khiển tối ưu hóa WAN, Firewall, và cổng WEB
Tính năng của mỗi con SD-WAN:
▪ Khả năng tự phụ hồi: Khi mạng bị chết, mất liên kết, SD – WAN phát hiện thời gian thực của sự cố và tự động chuyển sang liên kết làm việc khác ▪ Bảo mật: SD-WAN thường được bảo mật bằng cách sử dụng Ipsec – là một
trong những yếu tố quan trọng của WAN
▪ Tối ưu hóa ứng dụng: SD-WAN có thể cải thiện việc phân phối ứng dụng bằng cách sử dụng bộ nhớ đệm , lưu trữ thông tin truy cập gần đây ở bộ nhớ để tăng tốc độ truy cập trong tương lai
▪ Tùy chọn triển khai: Hầu hết các sản phẩm SD-WAN đều có sẵn như các thiết bị được định cấu hình sẵn, được đặt tại rìa mạng trong các trung tâm dữ liệu, văn phòng chi nhánh và các địa điểm xa khác Ngoài ra còn có các thiết bị ảo có thể hoạt động trên phần cứng mạng hiện có hoặc thiết bị này có thể được triển khai dưới dạng một thiết bị ảo trên đám mây trong các môi trường như Amazon Web Services (AWS) Điều này cho phép các doanh nghiệp được hưởng lợi từ các dịch vụ SD-WAN khi họ di chuyển việc phân phối ứng dụng từ các máy chủ của công ty sang các dịch vụ dựa trên đám mây như ứng dụng của Google
▪ Quản lý đơn giản và khắc phụ sự cố kịp thời Bảo mật SD-WAN của Fortinet:
Trang 27CHƯƠNG 3: CẤU HÌNH FIREWALL FORTIGATE-100E 1 Mơ hình mạng cơ bản và cấu hình thiết bị
Hình 3.1 Mô hình mạng Quy hoạch IP
Vlan Name Subnet mask 10 DMZ 172.16.10.0/24 11 IT 172.16.11.0./24 12 Staff 172.16.12.0/24 13 Guest 172.16.13.0/24 14 Wifi 172.16.14.0/24 Port2 Firewall: 192.168.2.1/30 Port 3 của vùng DMZ: 192.168.3.1/30
Sw-DMZ cấu hình như sau: tạo vlan 10 trên switch và access tất cả những cổng của switch vào vlan 10 để cho những thiết bị nối vào switch sẽ thuộc vlan 10 và trunk cổng Gi0/0 nối với port 3 của firewall
Trang 28Sw-Access-Staff cấu hình như sau: tạo vlan 12 trên switch và access tất cả những cổng của switch vào vlan 12 để cho những pc nối vào switch sẽ thuộc vlan 12
Sw-Access-Guest cấu hình như sau: tạo vlan 13 trên switch và access tất cả những cổng của switch vào vlan 13 để cho những pc nối vào switch sẽ thuộc vlan 13
Sw-Access-Wifi cấu hình như sau: tạo vlan 14 trên switch và access tất cả những cổng của switch vào vlan 14 để cho những pc nối vào switch sẽ thuộc vlan 14
Ditribution-Sw-L3 cấu hình như sau: tạo vlan 11, 12, 13, 14 và trunk những cổng nối với switch của IT, Staff, Guest, Wifi Sau đó mở IP routing để switch thành layer 3 và cấu hình và đặt ip cho vlan 11,12,13,14 Và đặt ip cho cổng Gi0/0 192.168.2.2/30 Cấu hình default route lên port 2 của firewall
Firewall Fortigate cấu hình như sau đặt ip cho port 2 và port 3 và tạo vlan trên port2 và port3 Và tạo route static cho vlan 10,11,12,13,14 Sau đó tạo Nat cho hệ thống đi internet
2 Chính sách bảo mật cần có cho firewall và cách cấu hình
Web Filtering: mô tả bộ lọc web Fortigate cho lưu lượng truy cập HTTP Ba thành phần
chính của chức năng lọc web: bộ lọc nội dung web, bộ lọc URL và dịch vụ lọc web FortiGuard tương tác với nhau để cung cấp quyền kiểm soát tối đa với những gì người dùng trên công ty mạng có thể xem cũng như bảo vệ mạng của hệ thống công ty khỏi những mối đe dọa nội dung trên internet Bộ lọc nội dung web chặn các trang web chứa các từ hoặc mẫu mà bạn chỉ định Lọc URL sử dụng URL và các mẫu URL để chặn hoặc miễn các trang web khỏi các nguồn cụ thể FortiGuard Web Filtering cung cấp nhiều danh mục bổ sung mà công ty có thể sử dụng để lọc lưu lượng truy cập web Cấu hình GUI như sau:
▪ Vào Security Profiles chọn Web Filter ▪ Chọn tạo mới hay chỉnh sửa cấu hình có sẵn
▪ Nếu sử dụng FortiGuard, hãy bật lên chọn các danh mục và hành động cần thiết
▪ Cấu hình bất kỳ hạn ngạch sử dụng cho danh mục nào cần thiết ▪ Cho phép ghi đè bị chặn nếu cần
▪ Thiết lập cài đặt tìm kiếm an toàn và cài đặt youtube ( proxy dựa trên luồng)
▪ Cấu hình cài đặt Static URL ▪ Cấu hình Rating Options ▪ Cấu hình Proxy Options
Trang 29Hình 3.2 Cấu hình Web Filter
Antivirus: cấu hình tùy chọn chống virus Từ cấu hình chống virus, có thể cấu hình trên
Fortigate để áp dụng chống virus cho các phiên HTTP, SMTP, Pop3, Imap, Mapi, FTp tùy vào từng dòng firewall hỗ trợ.Trong nhiều trường hợp, có thể tùy chỉnh cấu hình virus mặc định và áp dụng nó vào chích sách bảo mật chấp nhận lưu lượng được quét Cũng có thể áp dụng các loại bảo vệ chống virus khác nhau cho từng loại lưu lượng khác nhau… Cấu hình GUI như sau:
▪ Vào Security Profiles chọn Antivirus
▪ Chọn Cấu hình tùy chọn và chỉnh sửa, hoặc tạo mới để tạo một cấu hình mới
Trang 30Hình 3.3 Cấu hình Antivirus
DNS Filter: có thể cấu hình lọc web DNS để cho phép, chặn hoặc giám sát quyền truy
cập vào nội dung web theo các danh mục của FortiGuard Khi tính năng lọc web DNS được bật, FortiGate của bạn phải sử dụng dịch vụ DNS FortiGuard để tra cứu DNS Các yêu cầu tra cứu DNS được gửi đến dịch vụ DNS FortiGuard sẽ trả về địa chỉ IP và xếp hạng miền bao gồm danh mục FortiGuard của trang web Nếu danh mục FortiGuard đó được đặt thành chặn, kết quả tra cứu DNS sẽ không được trả lại cho người yêu cầu Nếu danh mục được đặt thành chuyển hướng, thì địa chỉ được trả về cho người yêu cầu sẽ trỏ đến trang chuyển hướng FortiGuard Có thể cho phép hoặc giám sát quyền truy cập dựa trên danh mục FortiGuard Cấu hình GUI như sau:
▪ Vào Security Profiles chọn DNS Filter
▪ Sau đó bật hoặc chặn các yêu cầu như ( nội dung dành cho người trưởng thành, rủi ro an ninh, tiêu thụ băng thông….)
Trang 31Hình 3.4 Cấu hình DNS Filter
Application Control: ngăn chặn các mối đe dọa và malware phức tạp chẳng hạn như
Facebook, Skype, Ym… Mặt khác giám sát và kiểm soát các ứng dụng trên mạng để bảo vệ thông tin nhạy cảm, ngăn chặn nhiều ứng dụng mà không cần sử dụng đúng các port để nhận diện ứng dụng Kiểm soát ứng dụng hỗ trợ phát hiện lưu lượng truy cập bằng giao thức HTTP FortiGate có thể nhận ra lưu lượng mạng được tạo ra bởi một số lượng lớn các ứng dụng Tạo những cảm biến kiểm soát ứng dụng vào chính sách tường lửa kiểm soát lưu lượng mạng cần theo dõi trên các ứng dụng… Cấu hình GUI như sau:
▪ Vào Security Profiles chọn Application Control
▪ Ta tạo những ứng dụng như (Game, Proxy, VoIp ) sau đó liệt kê những thứ cần thiết cho từng ứng dụng để cho Fortigate phát hiện theo dõi lưu lượng thì ta để chế độ Monitor và muốn chặn gì thì để Block
Trang 32Hình 3.5 Cấu hình Application Control
IPS: Hệ thống ngăn chặn xâm nhập FortiOS (IPS) kết hợp phát hiện và ngăn chặn chữ ký
với độ trễ thấp và độ tin cậy tuyệt vời Với tính năng bảo vệ chống xâm nhập, có thể tạo nhiều cảm biến IPS, mỗi cảm biến chứa một cấu hình hoàn chỉnh dựa trên cách thiết lập cấu hình đó Sau đó, có thể áp dụng bất kỳ cảm biến IPS nào cho bất kỳ chính sách bảo mật nào phù hợp Cấu hình GUI như sau:
▪ Vào Security Profiles chọn Intrusion Prevention ▪ Chọn biểu tượng tạo mới hoặc chỉnh sửa
▪ Nhập tên của IPS Sensor mới
▪ Sau đó tùy chọn, nhập nội dung cần tạo cho cảm biến IPS đó
Trang 33Hình 3.6 Cấu Hình IPS
Anti-Spam Filter: mô tả cách cấu hình lọc email FortiGate cho email IMAP, POP3 và
SMTP Lọc email bao gồm cả lọc thư rác và lọc bất kỳ từ hoặc tệp nào bạn muốn không cho phép trong thư email Nếu FortiGate của bạn hỗ trợ quét và kiểm tra nội dung SSL, bạn cũng có thể định cấu hình lọc thư rác cho lưu lượng email IMAPS, POP3S và SMTPS Cấu hình bảo mật chống thư rác chỉ khả dụng khi vận hành FortiGate trong chế độ kiểm tra dựa trên proxy Cấu hình GUI như sau:
▪ Vào Security Profiles chọn Anti-Spam ▪ Chọn biểu tượng tạo mới và nhập tên ▪ Bật tính năng phát hiện và lọc thư rác
▪ Sau đó apply để lưu lại cấu hình và áp dụng vào chính sách bảo mật cho công ty
Proxy options: Khi cấu hình bảo mật yêu cầu sử dụng proxy được bật trong chính sách,
trường tùy chọn proxy sẽ được hiển thị Tùy chọn proxy xác định các thông số về các lưu lượng sẽ được xử lý và mức lưu lượng sẽ được xử lý Có thể có nhiều cấu hình bảo mật của một loại duy nhất Cũng có thể có một số cấu hình tùy chọn proxy duy nhất Vì các yêu cầu đối với một chính sách khác nhau giữa các chính sách, nên một cấu hình tùy chọn proxy khác nhau cho từng chính sách riêng lẻ có thể được định cấu hình hoặc một cấu hình có thể được áp dụng nhiều lần Cách cấu hình những thông số chỉnh theo yêu cầu của hệ thống Cấu hình GUI như sau:
▪ Vào security profiles chọn proxy options
▪ Tích vào HTTP, SMTP, POP3… cần thiết cho hệ thống công ty
▪ Common Options, Web Options, Email Options tùy chọn cần thiết cho công ty
Trang 34Hình 3.7 Cấu hình Proxy Options
SSL/SSH Inspection: Hồ sơ bảo mật kiểm tra sâu riêng lẻ có thể được tạo tùy thuộc vào
yêu cầu của chính sách Tùy thuộc vào hồ sơ kiểm tra đã chọn và các cách thực hiện: - Cấu hình xem một giao thức SSL cụ thể sẽ được kiểm tra, chặn hoặc bỏ qua
- Cấu hình các cổng nào sẽ được liên kết với các giao thức SSL cho mục đích kiểm tra
- Cấu hình các trang web hoặc danh mục trang web nào sẽ được miễn kiểm tra SSL - Xác định cách xử lý chứng chỉ SSL không hợp lệ, không được hỗ trợ hoặc không
đáng tin cậy
- Xác định phương pháp kiểm tra nào sẽ được áp dụng cho lưu lượng Secure Shell (SSH) / SSL
Cách cấu hình GUI như sau:
▪ Vào Security Profiles chọn SSL/SSH Inspeciton ▪ Tạo 1 cấu hình mới và nhập tên
▪ Nhập nội dung cần ghi chú để cho người quản trị dễ quản lý tại ô Comments
▪ Chọn những lựa chọn cần thiết cho cấu hình SSL/SSH Inspection
Trang 35Hình 3.8 Cấu hình SSL/SSH Inspection
Data Leak Prevention: hệ thống ngăn chặn rò rỉ dữ liệu (DLP) của FortiGate cho phép
ngăn không cho dữ liệu nhạy cảm rời khỏi mạng của công ty Khi xác định các mẫu dữ liệu nhạy cảm, dữ liệu khớp với các mẫu này sẽ bị chặn hoặc được ghi lại và cho phép khi chuyển qua đơn vị FortiGate Mặc dù mục đích chính của tính năng DLP là ngăn dữ liệu nhạy cảm rời khỏi mạng của bạn, nó cũng có thể được sử dụng để ngăn dữ liệu không mong muốn xâm nhập vào mạng và lưu trữ một số hoặc tất cả nội dung đi qua đơn vị FortiGate DLP chỉ có thể được cấu hình cho các đơn vị FortiGate trong kiểm tra dựa trên proxy Giám sát lưu lượng mạng và ngăn chặn thông tin nhạy cảm từ hệ thống mạng ( chẳng hạn như email, HTTP,…) Cách cấu hình GUI như sau:
▪ Vào Security Profiles chọn Data Leak Prevention ▪ Chọn tạo mới một cấu hình
▪ Nhập tên cho cảm biến DLP
▪ Tùy chọn có thể nhập nội dung cần ghi chú hoặc không
▪ Thêm bộ lọc vào cảm biến DLP và chọn Ok để lưu Nếu không có bộ lọc thì cảm biến DLP sẽ không làm gì cả
Trang 36Hình 3.9 Tạo Vlan và đặt Ip
Tạo Rule cho từng vlan giao tiếp với nhau (khi tạo rule thì phải tạo 2 chiều) và để kiểm tra lưu lượng truy cập giữa các vlan giao tiếp với nhau
Hình 3.10 Tạo rule Vlan11 đến Vlan10 ▪ Name: Đặt tên để biết vlan nào giao tiếp với nhau
Trang 37▪ Source, Destination: chọn tùy thuộc vào chính sách áp dụng giữa các vlan phù hợp cho từng công ty, ở đây ta để all
▪ Schedule: chọn always, nếu chính sách có hiệu lực trong khoảng 1 thời gian thì add thêm vào
▪ Service: chọn tùy thuộc vào chính sách áp dụng giữa các vlan, ở đây chọn HTTP, HTTPS, Ping, SMTP, SSH
▪ Action: chọn accept để cho phép Nếu policy để chặn giao tiếp thì chọn deny
▪ NAT: disable vì tạo rule để giao tiếp mạng nội bộ
▪ Security Profiles: thiết bị mua license thì bật lên và áp dụng chính sách giữa các vlan
▪ Logging Options: bật Log Allowed Traffic để kiểm tra quản lý lưu lượng truy cập
Sau đó tạo rule vlan10 đến vlan11 lại và chỉ thay đổi Incoming Interface, Outgoing Interface và Service Tương tự tạo rule cho những vlan còn lại giao tiếp với nhau như vậy
Hình 3.11 Tạo rule Vlan10 đến Vlan11
Trang 38nhập website ta muốn chặn, type chọn Wildcard, action chọn Block Ở trường hợp này chặn Facebook và Youtube
Hình 3.12 Tạo chặn Facebook,Youtube
Trang 39Hình 3.13 Cấu hình Vlan10 đi Internet
Trang 40Hình 3.14 Cấu hình Vlan11 đi Internet