Nhiều doanh nghiệp tự bảo mật bằng tường lửa và cơ chế mã hóađể giảm thiểu các cuộc tấn công có thể được gửi qua mạng.Nhận thấy tầm quan trọng cũng như xu hướng phát triển trong tương la
GIỚI THIỆU VỀ TƯỜNG LỬA
Tổng quan về tường lửa
Trong phần này chúng em dự định trình bày về khái niệm, tác dụng, cấu trúc, cũng phân loại tường lửa
1.1.1 Khái niệm về tường lửa
Thuật ngữ tường lửa (firewall) là từ mượn trong kỹ thuật thiết kế xây dựng nhằm để ngăn chặn, hạn chế hoả hoạn Trong lĩnh vực công nghệ thông tin, firewall là kỹ thuật được tích hợp vào hệ thống mạng với mục đích chống lại sự truy cập trái phép, giúp bảo vệ thông tin, dữ liệu nội bộ và hạn chế sự xâm nhập từ bên ngoài Firewall có chức năng đúng như tên gọi của nó, là bức tường lửa bảo vệ máy tính, máy tính bảng hay điện thoại thông minh khỏi những mối nguy hiểm khi truy cập mạng Internet.
1.1.2 Tác dụng của tường lửa
Tường lửa mang đến nhiều tác dụng có lợi cho hệ thống máy tính Cụ thể:
Tường lửa ngăn chặn các truy cập trái phép vào mạng riêng Nó hoạt động như người gác cửa, kiểm tra tất cả dữ liệu đi vào hoặc đi ra từ mạng riêng Khi phát hiện có bất kỳ sự truy cập trái phép nào thì nó sẽ ngăn chặn, không cho traffic đó tiếp cận đến mạng riêng
Tường lửa giúp chặn được các cuộc tấn công mạng
Firewall hoạt động như chốt chặn kiểm tra an ninh Bằng cách lọc thông tin kết nối qua internet vào mạng hay máy tính cá nhân
Dễ dàng kiểm soát các kết nối vào website hoặc hạn chế một số kết nối từ người dùng mà doanh nghiệp, tổ chức, cá nhân không mong muốn
Người dùng có thể tùy chỉnh tường lửa theo nhu cầu sử dụng Bằng cách thiết lập các chính sách bảo mật phù hợp
1.1.3 Cấu trúc của tường lửa
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting).
1.1.4 Phân loại tường lửa a Tường lửa kiểm tra trạng tháiTường lửa kiểm tra trạng thái là một loại tường lửa theo dõi và giám sát trạng thái của bất kỳ kết nối mạng nào đang hoạt động Nó cũng có thể phân tích lưu lượng đến cùng với việc tìm kiếm các rủi ro dữ liệu có thể xảy ra Loại tường lửa này nằm ở Lớp3 và Lớp 4 của mô hình Kết nối Hệ thống mở (OSI)
Một trong những chức năng đi kèm với tường lửa trạng thái là khả năng ngăn chặn lưu lượng độc hại xâm nhập hoặc rời bỏ mạng riêng Hơn nữa nó có thể giám sát trạng thái tổng thể của giao tiếp mạng và phát hiện các nỗ lực truy cập mạng trái phép
Ưu điểm o Khả năng ngăn chặn các cuộc tấn công o Khả năng ghi nhật kí mở rộng o Sẽ không mở một loạt các cổng để lưu lượng truy cập o Biết trạng thái kết nối
Nhược điểm o Có thể khó định dạng cấu hình o Không có khả năng tránh những cuộc tấn công cấp ứng dụng o Một số giao thức không có thông tin trạng thái o Duy trì một bảng trạng thái đồi hỏi chi phí bổ xung b Tường lửa bộ lọc gói
Tường lửa không trạng thái còn được gọi là tường lửa lọc gói Đây là một trong những loại tường lửa cơ bản và lâu đời nhất hiện có So với những loại khác, loại tường lửa này hoạt động nội tuyến ở ngoại vi của mạng Loại tường lửa như thế này không định tuyến các gói, mà thay vào đó so sánh mọi gói nhận được với một bộ quy tắc được xác định trước
Bởi vì nó chỉ cung cấp bảo mật cơ bản, người dùng có thể đặt nó để bảo vệ khỏi các mối đe dọa đã biết, nhưng nó sẽ không hoạt động tốt với các mối đe dọa chưa biết
Ưu điểm o Không tốn nhiều chi phí bảo trì o Quá trình xử lý các gói được thực hiện cực kỳ nhanh chóng o Lọc lưu lượng cho toàn bộ mạng có thể được thực hiện với một thiết bị duy nhất
Nhược điểm o Trong một số trường hợp, nó có thể phức tạp để cấu hình và khó quản lý o Khả năng ghi nhật ký bị giới hạn ở đây o Khi nói đến các cuộc tấn công ứng dụng, không thể tránh chúng o Không hỗ trợ xác thực người dùng o Không thể bảo vệ hoàn toàn khỏi tất cả các cuộc tấn công giao thức TCP / IP c.Tường lửa cổng cấp ứng dụng Tường lửa cổng cấp ứng dụng, viết tắt là (ALG), là một proxy tường lửa cung cấp bảo mật mạng Nó được thiết kế để lọc lưu lượng nút đến theo các thông số kỹ thuật cụ thể, có nghĩa đơn giản là, dữ liệu duy nhất được lọc ở đây là từ một ứng dụng mạng được truyền Đối với các ứng dụng mạng có thể hoạt động với ALG, một số trong số đó là Giao thức truyền tệp (FTP), Telnet, Giao thức truyền trực tuyến thời gian thực (RTSP) và BitTorrent
Chúng ta nên chỉ ra rằng ALG cung cấp một trong những giao diện mạng cấp cao nhất an toàn nhất Để giải thích điều này tốt hơn, chúng ta hãy xem một ví dụ đơn giản về cách mọi thứ hoạt động
Khi máy khách di chuyển để yêu cầu quyền truy cập vào máy chủ trên mạng cho các tài nguyên cụ thể, trước tiên máy khách kết nối với máy chủ proxy và từ đó, máy chủ proxy đó thiết lập kết nối với máy chủ chính
Ưu điểm o Ghi nhật ký lưu lượng truy cập dễ dàng hơn o Hiệu suất mạng tốt hơn nhiều o Khó kích hoạt kết nối trực tiếp từ bên ngoài mạng chính o Hỗ trợ bộ nhớ đệm nội dung
Nhược điểm o Khả năng của thông lượng tác động o Ứng dụng tác động d Tường lửa thế hệ tiếp theo Đây là một loại tường lửa kiểm tra gói tin sâu có thể mở rộng ra ngoài kiểm tra cổng / giao thức Không chỉ vậy, nó còn vượt ra khỏi quy trình chặn để cung cấp thử nghiệm cấp ứng dụng, lên đến Lớp 7
SO SÁNH MỘT SỐ LOẠI TƯỜNG LỬA PHỔ BIẾN
Firewall Cisco ASA 5500
Firewall Cisco ASA 5500 là các thiết bị tường lửa thế hệ tiếp theo được nghiên cứu và sản xuất bởi tập đoàn công nghệ Cisco, được tích hợp các giải pháp bảo vệ nâng cao mang đến khả năng phòng thủ vuột trội trước các xâm nhập hay mối đe doạ tới hệ thống mạng của bạn.
Cisco Firewall ASA 5500 là nền tảng gồm các thiết bị có cấu trúc dạng module cung cấp các dịch vụ an ninh mạng cấp cao và VPN thế hệ mới, được thiết kế dưới các phiên bản sau:
Phiên bản an ninh nội dung
Phiên bản SSL/IPsec VPN
Firewall Cisco ASA 5500 Series hỗ trợ tiêu chuẩn hóa trên một thiết bị đơn nhất giúp giảm thiểu đáng kể chi phí tổng thể về an ninh mạng tại các doanh nghiệp Đồng thời, sản phẩm này cũng giúp con người làm việc hiệu quả, đơn giản hơn, góp phần nâng cao năng suất làm việc
Với Cisco ASA 5500, hệ thống mạng của doanh nghiệp sử dụng sẽ luôn hoạt động ổn định, bền bỉ, với độ an toàn cao nhất.
Các tính năng và lợi ích của Firewall Cisco ASA 5500 bao gồm:
Thiết kế phần cứng mạnh mẽ đi kèm hiệu suất vượt trội
Cung cấp bảo vệ nhiều lớp vượt trội giúp nâng cao khả năng phòng thủ, đa dạng các giải pháp bảo vệ, ngăn chặn nhiều mối nguy hại khác nhau có thể xảy đến với hệ thống mạng của bạn
Tự động xếp hạng nguy cơ và đánh dấu tác động nhằm xác định trường hợp nào cần được ưu tiên giải quyết trước cho đội ngũ xử lý.
Hiển thị thông tin chi tiết về người dùng, ứng dụng, thiết bị, mối đe dọa, tệp và các lỗ hổng bảo mật.
Phát hiện sớm hơn các xâm nhập và đe doạ trái phép, hành động nhanh hơn để bảo vệ an toàn tối đa và giảm thiểu những thiệt hại đến với hệ thống mạng
Tích hợp các tính năng bảo vệ chống phần mềm độc hại nâng cao như NGIPS và khả năng lọc URL để kiểm soát hàng triệu URL khác nhau
Đi kèm công cụ quản lý hợp nhất và tự động hóa mang đến sự đơn giản và giảm thiểu chi phí cho người dùng
Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (Stateful Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật (ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay ứng dụng).
Cho phép kết nối một chiều (outbound-đi ra) với rất ít việc cấu hình Một kết nối đi ra là kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết bị trên mạng có mức bảo mất thấp hơn.
Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở về.
Thay đổi ngẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để giảm rủi ro của sự tấn công.
Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy (trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mật thấp Qui tắc chính cho múc bảo mật đó là thiết bị từ vùng tin cậy có thể truy cập được thiết bị truy cập vùng không tin cậy hay còn gọi là outbound Ngược lại từ vùng bảo mật thấp không thể truy cập vùng bảo mật cao trừ khi được cho phép bởi ACL hay còn gọi là inbound.
Mức bảo mật (Security Level) 100: Đây là mức bảo mật cao nhất, thường được gán cho cổng thuộc mạng bên trong (inside).
Mức bảo mật 0: Đây là mức bảo mật thấp nhất, thường được gán cho cổng mà kết nối ra Internet hay vùng không tin cậy còn gọi là vùng bên ngoài (outside).
Mức bảo mật từ 1-99: Cho phép bạn sử dụng để gán cho những cổng còn lại nếu yêu cầu mở rộng vùng mạng.
Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng được gán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ của bạn thông qua câu lệnh security- level.
PA-7000 Series của Palo Alto Networks
PA-7000 Series là dòng tường lửa thế hệ tiếp theo (NGFW) cao cấp nhất của Palo
Alto Networks, Được thiết kế dành cho các tổ chức doanh nghiệp và nhà cung cấp dịch vụ, những tổ chức cần giải pháp an ninh hiệu quả để áp dụng trong các trung tâm dữ liệu và hệ thống mạng của họ có thể xử lý lưu lượng dữ liệu lớn từ các ứng dụng, người dùng, các thiết bị,… và ngăn chặn những cuộc tấn công công nghệ cao cùng với khả năng giải mã phát hiện các mối nguy hiểm ẩn.
2.2.2 Các đặc điểm đáng chú ý
Phát hiện và ngăn chặn các mối đe doạ với Cloud-Delivered Security Services
Hiện nay các cuộc tấn công an ninh mạng phức tạp có thể phát ra hơn 45000 biến thể của nó trong vòng 30 phút sử dụng multiple threat vectors để phát ra các payload độc hại Nếu như chỉ sử dụng các phương pháp phòng thủ thông thường sẽ tạo nên các thách thức không nhỏ đối với hệ thống phòng thủ, các đội an ninh sẽ bị quá tải, các lỗ hổng trong hệ thống sẽ tốn thời gian để vá, có thể bị kẻ tấn công tận dụng, và cản trở quá trình giao thương của các tổ chức, doanh nghiệp.
Với Palo Alto Networks PA-7000 Series, Cloud-Delivered Security Services của nó có thể đảm bảo an ninh mạng gần như ngay lập tức tới 80000 khách hàng.
Phòng chống các mối đe dọa: ngăn chặn các lỗ hổng , malware, URL độc hại, spyware đã được nhận biết và command and control (C&C/C2) với nhiều hơn 96% khả năng ngăn chặn web-based Cobalt Strike C&C và hơn 48% C&C chưa được biết bị phát hiện khi so với giải pháp IPS
Phòng chống phần mềm độc hại WildFire: đảm bảo an ninh cho file bằng việc tự động phát hiện và ngăn chặn các malware nhanh hơn 180 lần với threat intelligence and malware prevention engine.
Lọc URL Nâng Cao: cho phép truy cập Internet an toàn, ngăn chặn 76% các URL độc hại trong vòng 24 giờ.
Bảo mật DNS: bao phủ hơn 40% các cuộc tấn công DNS và làm gián đoạn hơn 80% các cuộc tấn công sử dụng DNS cho C&C và ăn cắp dữ liệu mà không cần thay đổi cơ sở hạ tầng.
Bảo mật dữ liệu doanh nghiệp: giảm thiểu khả năng data breach, ngăn chặn out-of-policy data transfers với khả năng bao phủ gấp đôi soi với bất kỳ cloud-delivered enterprise DLP khác.
Bảo mật đám mây: ngăn chặn bất kỳ cuộc SaaS explosion sử dụng Next- Generation CASB, tự động xem và kiểm soát tất cả các ứng dụng qua tất cả protocol.
Bảo mật IoT: đảm bảo an ninh cho mọi thứ và sử dụng thiết bị Zero Trust nhanh hơn 20 lần.
Cung cấp tính năng SD-Wan Cho phép doanh nghiệp áp dụng SD-Wan vào hệ thống tường lửa của mình
Cung cấp trải nghiệm tới người dùng bằng cách giảm độ trễ, packet loss, jitter.
Cung cấp giải pháp độc quyền về Packet Processing với kiến trúc Single-Pass
Thực hiện kết nối mạng, tra cứu chính sách, ứng dụng, giải mã và khớp chữ ký cho tất cả cá mối đe doạ và nội dung trong một lần chạy Giảm đáng kể tài nguyên cần sử dụng để thực hiện các chức năng trên trong một thiết bị.
Giảm độ trễ bằng quét lượng truy cập cho tất cả signature trong một lần chạy, sử dụng stream-based, uniform signature matching.
2.2.3 Lựa chọn mã Firewall Palo Alto 7000 series đang được ưa chuộng
Hiệu suất tường lửa (HTTP/appm ix)
Năng suất phòng chống mối đe dọa (HTTP/appm ix)
Số lượng phiên tối đa 416M 245M 43M 32M
Số lượng phiên tối đa trên giây
Hệ thống ảo (cơ bản/tối đa)
2.2.4 Cấu trúc của PA-7000 Series Được cung cấp một hệ thống thiết kế đặc biệt cho mục đích sử dụng năng lượng và tài nguyên tính toán cho các nhiệm vụ networking, an ninh, và quản lý.
PA-7000 Series được quản lý bởi một hệ thống duy nhất, cho phép việc điều hướng tài nguyên để bảo vệ dữ liệu trở nên dễ dàng PA-7000 Series chia tài nguyên của mình thành 3 hệ thống nhỏ Mỗi hệ thống đều được cung cấp một lượng lớn tài nguyên tính toán và năng lượng bao gồm: Processing Cards, Switch Management Card, và Dedicated Logging Card.
Trong PA-7000 Series, PA-7080 cung cấp 10 slot cho Processing Cards, trong khi PA-7050 cung cấp 6 slot Processing Cards có 2 loại:
Network Processing Cards (NPCs): o Hỗ trợ các chức năng networking và điều khiển luồng lưu thông dữ liệu Các mẫu mã trong PA-7000 Series đều cần có ít nhất 1 Network Processing Cards (NPCs) cho việc kết nối network. o Được thiết kế tập trung cho việc xử lý các packet, bao gồm cả networking, phân loại traffic và ngăn chặn các mối đe doạ Ví dụ như card 100G-NPC (PA- 7000-100G-NPC-A) bao gồm 144 core xử lý, tất cả đều được phục vụ vào việc bảo vệ network, cũng như cung cấp cho người dùng lựa chọn kiểu kết nối 100G, 40G, 10G và 1G.
Data Processing Cards (DPCs): o Tối ưu luồng dữ liệu lưu thông. o Card DPC-A (PA-7000-DPC-A) tối ưu khả năng bảo vệ network bằng việc cung cấp 192 core xử lý.
Switch Management Card Được coi như là một trung tâm điều khiển của PA-7000 Series, Switch Management Card (PA-7000-SMC-B) giám sát tất cả traffic và thi hành tất cả các chức năng điều khiển bằng việc kết hợp ba yếu tố: First Packet Processor (FPP), high-speed backplane, và management subsystem.
First Packet Processor: Là yếu tố quan trọng trong việc tối ưu performance và delivering linear scalability cho PA-7000 Series, FPP liên tục theo dõi việc xử lý và tài nguyên I/O khắp các NPCs và DPCs, điều hướng traffic đi vào tới vi xử lý dữ liệu thích hợp dựa trên policy đã được cài đặt Nếu như Processing Cards được thêm vào để tăng cường khả năng xử lý cho hệ thống, FPP sẽ tự động phát hiện và tận dụng các tài nguyên mới được cung cấp, không cần phải thay đổi gì thêm trong việc quản lý hoặc là phải cài đặt lại PA-7000 Series Gia tăng việc thông luồng dữ liệu cho PA-7080 và PA- 7050 dễ dàng như việc thêm vào DPC-A hoặc 100G-NPC mới, cho phép FPP xác định được cách tận dụng tốt nhất tài nguyên mới được thêm vào.
High-Speed Backplane: Mỗi Processing Card đều có thể truy cập tới hơn100 Gbps non-traffic.
Management Subsystem: Được xem như là một cứ điểm điều khiển mọi khía cạnh của PA-7000 Series.
Log Forwarding Card (PA-7000-LFC-A), một thành phần được tích hợp trong mọi hệ thống, tận dụng một multi-core CPU để tạo một subsystem điều khiển số lượng lớn log mà PA-7000 Series PA-7000-LFC-A được thiết kế tập trung vào xuất ra các log message, cho phép điều hướng của các log tới Panorama network security management, Cortex Data Lake, và syslog để phân tích.
FortiGate: Next Generation Firewall (NGFW) của Fortinet
FortiGate là dòng tường lửa thế hệ tiếp theo (NGFW) do Fortinet cung cấp và phát triển.đây là giải pháp bảo mật thông tin và dữ liệu dành cho các doanh nghiệp vừa và nhỏ nhằm tránh các hiện tượng bị đánh cắp dữ liệu doanh nghiệp bởi những kẻ xấu hoặc tin tặc Việc đầu tư hệ thống bảo mật tốt không những giúp bảo vệ thông tin và dữ liệu của doanh nghiệp được an toàn tuyệt đối, điều này con góp phần giúp doanh nghiệp tránh khỏi những rủi ro không đáng có cho chính doanh nghiệp và máy tính cá nhân của người dùng trong mạng nội bộ của công ty.
2.3.2 Đặc điểm nổi bật chỉ có ở FortiGate của FortnNet
Nền tảng phần cứng độc quyền FortiASIC đem lại sự ổn định, tốc độ cao và đầy đủ các tính năng mà một hệ thống bảo mật thế hệ mới cần có.
Thiết bị tích hợp tính năng chống Virus, quét Virus ra thời gian thực qua các con đường thu điện tử (SMTP, POP3, IMAP) chuyển File, Web mà không làm chậm tốc độ mạng.
Đã được chứng nhận bởi ICSA về Hệ thống quản lý tốt chống Virus, Firewall, VPN Khi phát hiện ra đường dẫn Virus có thể xóa, quét tự động, cách ly để xử lý, cảnh báo người dùng.
Chống thư rác không liên quan đến các từ khóa mà doanh nghiệp cài đặt trong hệ thống.
Đảm bảo băng thông: FortiOS phân biệt các loại dữ liệu khác nhau, thiết lập được các chính sách đảm bảo chống tắc nghẽn đồng thời ưu tiên cho các ứng dụng đòi hỏi thời gian đáp ứng cao như VoIP.
Hệ thống lọc những trang Web an toàn, giao diện đơn giản dễ sử dụng.
Hệ thống phát hiện, phòng ngừa truy cập trái phép.
Tính năng điều khiển ứng dụng.
Hệ thống cấp thoát dữ liệu.
Thiết bị hỗ trợ khả năng dự phòng nâng cấp hệ thống HA, giúp cho hệ thống luôn hoạt động ở chế độ dự phòng, đảm bảo cho hệ thống hoạt động bình thường nếu như thiết bị xảy ra sự cố.
Dòng cao cấp có thể xử lý những lưu lượng cao lên đến hàng GB.
Luôn cập nhật Virus, trang Web, File, các cách thức tấn công mới thông qua các trung tâm cập nhật trên toàn cầu.
2.3.3 Các mô hình tường lửa hàng đầu Fortigate của Fortinet bao gồm:
FortiGate 60F: FortiGate 60F là giải pháp bảo mật mạng nhỏ gọn, tất cả trong một, cung cấp khả năng bảo vệ khỏi mối đe dọa nâng cao, kết nối an toàn và bảo mật nhiều lớp.
1x cổng GE RJ45 DMZ/HA
Thông lượng tối đa 650 Mbps
Bảo vệ mối đe dọa nâng cao
Kết nối an toàn với sự hỗ trợ VPN
Bảo mật nhiều lớp với bảo mật mạng, web và email
Giao diện thân thiện với người dùng và các công cụ quản lý tập trung
FortiGate 100F: FortiGate 100F là giải pháp bảo mật mạng hiệu suất cao cung cấp khả năng bảo vệ khỏi mối đe dọa nâng cao, kết nối an toàn và bảo mật nhiều lớp.
2x cổng GE RJ45 DMZ/HA
Thông lượng tối đa 12 Gbps
Bảo vệ mối đe dọa nâng cao
Kết nối an toàn với sự hỗ trợ VPN
Bảo mật nhiều lớp với bảo mật mạng, web và email
Giao diện thân thiện với người dùng và các công cụ quản lý tập trung
Phần cứng hiệu suất cao với bộ xử lý đa lõi
Khả năng định tuyến và chuyển mạch nâng cao
FortiGate 200F: FortiGate 200F là giải pháp bảo mật mạng hiệu suất cao cung cấp khả năng bảo vệ khỏi mối đe dọa nâng cao, kết nối an toàn và bảo mật nhiều lớp.
4 cổng GE RJ45 DMZ/HA
Thông lượng tối đa 40 Gbps
Bảo vệ mối đe dọa nâng cao
Kết nối an toàn với sự hỗ trợ VPN
Bảo mật nhiều lớp với bảo mật mạng, web và email
Giao diện thân thiện với người dùng và các công cụ quản lý tập trung
Phần cứng hiệu suất cao với bộ xử lý đa lõi
Khả năng định tuyến và chuyển mạch nâng cao
Hỗ trợ giao diện mật độ cao
Các khả năng bảo mật nâng cao như App-ID, User-ID và Content-ID
FortiGate 1000F: FortiGate 1000F là giải pháp bảo mật mạng hiệu suất cao cung cấp khả năng chống mối đe dọa nâng cao, kết nối an toàn và bảo mật nhiều lớp.
Khe cắm 16x GE SFP/SFP+
4 cổng GE RJ45 DMZ/HA
Thông lượng tối đa 160 Gbps
Bảo vệ mối đe dọa nâng cao
Kết nối an toàn với sự hỗ trợ VPN
Bảo mật nhiều lớp với bảo mật mạng, web và email
Giao diện thân thiện với người dùng và các công cụ quản lý tập trung
Phần cứng hiệu suất cao với bộ xử lý đa lõi
Khả năng định tuyến và chuyển mạch nâng cao
Hỗ trợ giao diện mật độ cao
Các khả năng bảo mật nâng cao như App-ID, User-ID và Content-ID
Các tính năng bảo mật nâng cao như Anti-Botnet, SSL Inspection và bảo vệ DDoS
Khả năng SD-WAN nâng cao
Thiết bị bảo mật DDOS FortiGate 1500: Thiết bị bảo mật FortiGate 1500 DDOS là giải pháp bảo mật mạng hiệu suất cao cung cấp khả năng bảo vệ khỏi mối đe dọa nâng cao, kết nối an toàn và bảo mật nhiều lớp.
Khe cắm 16x GE SFP/SFP+
4 cổng GE RJ45 DMZ/HA
Thông lượng tối đa 320 Gbps
Bảo vệ mối đe dọa nâng cao
Kết nối an toàn với sự hỗ trợ VPN
Bảo mật nhiều lớp với bảo mật mạng, web và email
Giao diện thân thiện với người dùng và các công cụ quản lý tập trung
Phần cứng hiệu suất cao với bộ xử lý đa lõi
Khả năng định tuyến và chuyển mạch nâng cao
Hỗ trợ giao diện mật độ cao
Các khả năng bảo mật nâng cao như App-ID, User-ID và Content-ID
Các tính năng bảo mật nâng cao như Anti-Botnet, SSL Inspection và bảo vệ DDoS
Khả năng SD-WAN nâng cao
Khả năng phát hiện và ứng phó mối đe dọa nâng cao
Forcepoint NGFW - Forcepoint
Forcepoint NGFW là sự kết hợp hệ thống mạng một cách nhanh chóng, linh hoạt (SD-WAN và LAN) với tính năng bảo mật hàng đầu trong ngành để kết nối và bảo vệ mọi người cũng như dữ liệu mà họ sử dụng trên khắp các hệ thống mạng doanh nghiệp một cách đa dạng và đang phát triển Forcepoint NGFW cung cấp khả năng bảo mật, hiệu suất và hoạt động nhất quán trên các hệ thống nền tảng vật lý, ảo hóa và đám mây Nó được thiết kế ngay từ đầu để có tính khả dụng và khả năng mở rộng cao cũng như khả năng quản lý tập trung với khả năng hiển thị 360 ° một cách đầy đủ.
Kết nối SD-WAN ở quy mô doanh nghiệp lớn
IPS tích hợp với hệ thống phòng thủ chống lẩn trốn
Cho phép chạy Cluster các thiết bị và mạng có tính khả dụng cao (HA)
Cập nhật tự động, không có thời gian gián đoạn
Quản lý tập trung theo hướng chính sách
Khả năng hiển thị 360 ° hữu dụng, tương tác cao
Sidewinder proxy bảo mật cho các ứng dụng tới hạn
Lấy con người (người dùng) làm trung tâm và bối cảnh điểm cuối người dùng
Giải mã hiệu suất cao với các kiểm soát riêng tư một cách chi tiết
Danh sách trắng / danh sách đen theo phiên bản và ứng dụng của Client
Tích hợp CASB và Bảo mật web
Sandbox chống phần mềm độc hại chưa được biết tới
Phần mềm hợp nhất để triển khai vật lý, AWS, Azure, VMware
Hỗ trợ kiểm tra nhiều lớp
Kiểm tra nhiều lớp kết hợp kiểm soát truy cập, nhận dạng ứng dụng, kiểm tra sâu và lọc tệp một cách linh hoạt để tối ưu hóa bảo mật và hiệu suất hệ thống
Giao diện 2 lớp của ForcePoint NGWF trong vai trò Firewall/VPN
Giao diện lớp 2 trên Công cụ NGFW trong vai trò Tường lửa / VPN cho phép công cụ cung cấp cùng một loại kiểm tra lưu lượng có sẵn cho Công cụ NGFW trong vai trò IPS và Tường lửa lớp 2.
Kiểm tra đường truyền nâng cao
Quy trình kiểm tra lưu lượng truy cập của Tường lửa được thiết kế để đảm bảo mức độ bảo mật và thông lượng cao Chính sách của Tường lửa xác định thời điểm sử dụng theo dõi kết nối trạng thái, lọc gói hoặc bảo mật cấp ứng dụng.
Phân cụm tích hợp để cân bằng tải và tính sẵn sàng cao Tường lửa cung cấp các tính năng phân cụm và cân bằng tải tích hợp sáng tạo cung cấp một số lợi ích so với các giải pháp truyền thống.
SD-WAN trong Forcepoint NGFW Forcepoint NGFW hỗ trợ mạng diện rộng do phần mềm xác định (SD-WAN).
Quản lý lưu lượng truy cập đến tích hợp Tính năng Server Pool tích hợp cho phép Tường lửa giám sát một nhóm các máy chủ thay thế cung cấp cùng một dịch vụ cho người dùng.
Tích hợp Firewall/VPN với IPS và Layer 2 Firewalls Bạn có thể sử dụng Forcepoint NGFW trong các vai trò Tường lửa/VPN, IPS và Tường lửa Lớp 2 cùng nhau để kiểm tra lưu lượng.
2.4.4 Các mẫu thiết bị nổi bật
FORCEPOINT NGFW 120: Thông lượng xử lý mối đe dọa lên tới 4 Gbps.
Hỗ trợ kết nối Multi-ISP SD-WAN và site-to site Multi-Link™ Hộp cát phát hiện phần mềm độc hại nâng cao (AMD) tùy chọn Lọc URL tùy chọn do Forcepoint ThreatSeeker cung cấp
Forcepoint NGFW 355: Thông lượng tường lửa 40Gbps Thông lượng IPS
& NGFW 2,0 Gbps (N352) 4,1Gbps (N355) Hỗ trợ tối đa 200000 phiên xử lý, 30000 phiên kết nối VPN mã hóa IPSec.
Sophos Firewall XGS
Sophos XG Firewall là dòng sản phẩm mới phát triển từ Cyberoam XG Firewall được thừa kế nhiều tính năng thế mạnh của cả Cyberoam Firewall và Astaro Firewall, và được bổ sung nhiều tính năng mạnh mẽ.
Sophos Firewall XGS được thiết kế để giải quyết các vấn đề hiện có đối với các thiết bị Firewall hiện hành và đồng thời cung cấp một nền tảng tường lửa thế hệ mới đích thực để giải quyết các vấn đề về lưu lượng truy cập bị mã hóa và mối đe dọa đang phát triển trên Internet.
Synchronized Application Control : Tự động phân loại và kiểm soát các ứng dụng trên máy của người dùng
Application Control : Kiểm soát việc sử dụng các ứng dụng
Web Control : Kiểm soát việc truy cập Web
Content Control : Kiểm soát hoạt động dựa trên nội dung
Intrusion Prevention (IPS) : Chống ngăn ngừa xâm nhập
Anti-malware : Bảo vệ hệ thống chống lại mã độc và virus
Advanced Threat Protection(ATP) : Chống lại các mối đe doạ nâng cao
VPN : Kết nối an toàn và bảo mật từ xa ,hỗ trợ đầy đủ các công nghệ kết nối VPN site-to-site, client-to-site và hơn thế nữa
Sandstorm : Bảo vệ chống lại các hiểm họa Zero-day
Reporting and Logging : Báo cáo và ghi log các hoạt động
2.5.3 Ưu điểm (so với các tưởng lửa khác)
Phát hiện những rủi ro tìm ẩn (Expose hidden risk): Sophos Firewall thực hiện công việc Phát hiện những rủi ro tiềm ẩn tốt hơn nhiều so với các giải pháp khác thông qua bảng điều khiển trực quan, báo cáo được lưu trên cloud và trực tiếp trên thiết bị tường lửa, cung cấp thông tin chi tiết về các mối nguy tiềm ẩn trong hệ thống.
Ngăn chặn các mối nguy hại chưa được biết đến (Block unknown threats): Sophos Firewall giúp ngăn chặn các mối đe dọa không xác định nhanh hơn, dễ dàng hơn và hiệu quả hơn các tường lửa khác với các tính năng thế hệ mới: Deep Learning, Sandstorm, Threat Intelligent…
Tự động phản ứng khi có sự cố (Automatically respond to incident): Tính năng Synchronized Security giúp tự động phản hồi các sự cố trong hệ thống.
Máy trạm và Firewall chia sẻ trạng thái theo thời gian thực nhờ Sophos Security Heartbeat™ giúp Firewall ngay lập tức có được thông tin các mối nguy và tự động bật các chính sách ngăn chặn được cấu hình sẵn để cô lập mối nguy trong vòng 8 giây.
Firewall Sophos XGS 2100: Thông lượng Firewall 30Gbps, thông lượng
IPS: 6Gbps, thông lượng IPSEC VPN: 17,000 Mbps Đáp ứng nhu cầu của các doanh nghiệp vừa và nhỏ và các văn phòng từ xa với tối đa 60 nhân viên.
Sophos XGS 87: Dùng cho quy mô văn phòng tổ chức nhỏ, từ 10 - 15 người dùng Thông lượng Firewall 3,7 Gbps, thông lượng VPN 375 Mbps
TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES
Tổng quan về tưởng lửa Iptables
Trong phần này chúng em dự định giới thiệu về Iptables, thành phần của Iptables, cấu hình, các câu lệnh cơ bản, giới thiệu về Snort, kiến trúc, cơ chế hoạt động và bộ luật của Snort
Iptables chính là một chương trình Firewall – Tường lửa miễn phí Chương trình này được phát triển chủ yếu cho hệ điều hành Linux Chương trình cho phép hệ điều hành thiết lập các quy tắc riêng để kiểm soát truy cập và tăng tính bảo mật cho hệ thống gồm: VPS/Hosting/Server.
Khi sử dụng máy chủ, Iptables sẽ tiến hành thực thi tốt nhất nhiệm vụ ngăn chặn các truy cập không hợp lệ bằng cách sử dụng Netfilter Iptables/Netfilter gồm 2 phần chính là phần Netfilter ở bên trong nhân Linux Phần còn lại là Iptables nằm ở bên ngoài Vì vậy sự hiện diện của Iptables chính là hệ thống giao tiếp với người dùng Sau đó đẩy các luật của người dùng vào cho Netfilter xử lý.
Netfilter chịu trách nhiệm lọc các gói dữ liệu ở mức IP Netfilter làm việc trực tiếp trong nhân, nhanh và giảm tốc độ của hệ thống Iptables chỉ là Interface cho Netfilter.
Cả 2 thành phần này có nhiệm vụ tương tự nhau
Trong đó tường lửa quyết định các packet nào được phép đi vào hay đi ra khỏi hệ thống Các Packet ở bất kỳ Network nào cũng đều giao tiếp bằng cách sử dụng các cổng port Để quyết định Port nào được phép kết nối từ bên ngoài là nhiệm vụ của Tường lửa Một số tính năng tiêu biểu do Iptables cung cấp:
Tích hợp tốt với Kernel của Linux
Phân tích Package hiệu quả
Cung cấp đầy đủ các tùy chọn để ghi nhận sự kiện hệ thống
Cung cấp kỹ thuật NAT
Ngăn chặn sự tấn công theo kiểu DoS
3.1.2 Thành phần của Iptables a Các bảng trong Iptables
Filter Table Đối với thành phần Tables – Các bảng trong Iptables thì bảng Filter Table là một trong những bảng được Iptables sử dụng nhiều nhất trong suốt quá trình hoạt động.
Bảng này được tích hợp với nhiệm vụ chính là quyết định việc một gói tin có được đi đến đích dự kiến hay không Hay quyết định từ chối yêu cầu của gói tin một cách chắc chắn, nhanh chóng.
NAT Table Như đã đề cập ở trên, mỗi bảng trong Iptables sẽ có một nhiệm vụ khác nhau trong hệ thống Vì vậy đối với bản NAT Table sẽ dùng các rules về NAT Nhiệm vụ chính của NAT Table chính là chịu trách nhiệm chỉnh sửa các Source hay còn gọi là IP nguồn Hoặc chỉnh sửa các destination (IP đích) của các gói tin Với sự hiện diện của bảng NAT Table thì việc chỉnh sửa thông tin gói tín khi thực hiện cơ chế NAT trở nên đơn giản, dễ dàng hơn.
Mangle Table Mangle Table là một trong những bảng quan trọng trong Iptables Bảng này có nhiệm vụ chỉnh sửa header của gói tín Ngoài ra, sự hiện diện của Mangle Table còn cho phép chỉnh sửa giá trị của các trường: TTL, MTL, Type of Service.
RAM Table Dựa theo bản chất của Iptables thì Iptables là một stateful firewall với các gói tin.
Các gói tin này được kiểm tra liên quan đến trạng thái State RAM Tablet sẽ là bảng giúp người dùng dễ dàng làm việc với các gói tin trước khi kernel bắt đầu kiểm tra trạng thái Bảng RAM cũng chức năng loại bỏ một số gói tin khỏi việc tracking vì vấn đề hiệu năng của hệ thống Vì thế tâm quan trọng của bảng RAM trong Iptables cũng vô cùng quan trọng và cần thiết.
Security Table Bảng tiếp theo có trong Iptables chính là Security Table Một số Kernel có thể hỗ trợ thêm cho Security Table, được dùng bởi Selinux từ đó giúp thiết lập các chính sách bảo mật hiệu quả Vậy nên Security Table luôn là một trong những bảng quan trọng trong các bảng của Iptables. b Chains
Chains chính là thành phần cơ bản tiếp theo trong Iptables Thành phần này được tạo ra với một số lượng nhất định ứng với mỗi bảng trong Iptables Công dụng chính của thành phần này chính là giúp lọc gói tin tại điểm khác nhau.
Chain Prerouting: Chain tồn tại trong Nat Table, Mangle Table và Raw Table
Các rules trong Chain sẽ được thực thi ngay khi gói tin vào đến giao diện Network Interface.
Chain Input: Chain chỉ có ở Mangle Table và Nat Table Các rules trong Chain này được cung cấp nhiệm vụ thực thi trước khi gói tin vào tiến trình.
Chain Output: Chain này tồn tại ở các bảng quen thuộc như Raw Table, Mangle Table và Filter Các rules tại đây được cung cấp nhiệm vụ thực thi sau khi gói tin được tiến trình tạo ra.
Chain Forward: Chain này tồn tại ở các bảng Mangle Table và Filter Table Các rules được cung cấp nhiệm vụ thực thi cho các gói tin được định tuyến qua host hiện đại.
Chain Postrouting: Chain này chỉ tồn tại ở các bảng Mangle Table và Nat Table
Các rules trong Chain được thực thi khi gói tin rời giao diện Internet. c Target
Bộ phận thứ 3 trong Iptables chính là Target Target – hành động sử dụng dành cho các gói tin khi các gói tin thỏa mãn các rules đặt ra
ACCEPT: Hành động chấp nhận và cho phép gói tin đi vào hệ thống
DROP: Hành động loại gói tin, không có gói tin trả lời.
REJECT: Hành động loại gói tin nhưng vẫn cho phép gói tin trả lời Table gói tin khác
LOG: Hành động chấp thuận gói tin nhưng có ghi lại log Target là hành động dành cho gói tin được phép đi qua tất cả các rules đặt ra mà không dừng lại ở bất kỳ rules nào Trong trường hợp gói tin không khớp với yêu cầu của reles thì mặc định sẽ được chấp thuận.
Triển khai Iptables
Tường lửa Iptables là loại tường lửa miễn phí được tích hợp sẵn trong các hệ điều hành Linux Có thể ứng dụng để kiểm soát truy cập cho mạng máy tính nội bộ và phân vùng mạng máy chủ.
Trong hướng dẫn này, thiết lập tập luật cho tường lửa Iptables để kiểm soát các dịch vụ cho mạng nội bộ, mạng DMZ, mạng Internet Cụ thể là cho phép người dùng trong mạng nội bộ LAN có thể truy cập được ra ngoài Internet với các giao thức HTTP, HTTPS, ICMP, DNS.
Cho phép người dùng từ mạng Internet và mạng nội bộ truy cập được trang web từ máy chủ web trong phần vùng DMZ.
Cho phép người dùng sử dụng ứng dụng thư điện tử để gửi và nhận thư với nhau.
01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng thư Mozilla Thunderbird
01 máy ảo hệ điều hành Windows Server 2012.
Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định của Microsoft.
Đã cài dịch vụ phân giải tên miền DNS với các bản ghi thích hợp cho web và mail.
Đã cài phần mềm máy chủ thư điện tử (MDaemon V10).
01 máy ảo hệ điều hành CentOS 6.5 để làm tường lửa Iptables
Hình 3.4 3.2.4 Một số câu lệnh cơ bản sử dụng trong tường lửa Iptables
Lệnh khởi động tường lửa:
[root@server]# service iptables start [root@server]# service iptables stop [root@server]# service iptables restart
Để khởi động Iptables mỗi khi khởi động máy:
[root@server]# chkconfig iptables on
Để xem tình trạng của Iptables:
[root@server]# service iptables status
Lưu thông tin cấu hình:
[root@server]# /etc/init.d/iptables save
Lệnh xóa toàn bộ luật có trong Iptables:
[root@server]# iptables -F [root@server]# iptables –t nat -
3.2.5 Các kịch bản thực hiện
Kịch bản 1 Cho phép máy tính trong LAN Ping ra ngoài mạng Internet Bước 1: Kiểm tra Ping
Tại máy trạm Windows 7 thực Ping đến địa chỉ IP bất kỳ.
Kết quả, không Ping được ra ngoài mạng
Bước 2: Thiết lập luật trên tường lửa Iptables để cho phép máy trạm Ping ra bên ngoài.
Trước hết cần kiểm tra tên của các giao diện mạng trên máy tường lửaIptables:
Trong hình trên giao diện eth1 kết nối mạng Internet Giao diện eth2 kết nối mạng nội bộ, giao diện eth3 kết nối mạng máy chủ.
Tiếp theo đặt lệnh cho Iptables để cho phép máy trạm trong mạng nội bộ Ping ra mạng Internet.
[root@server]#iptables -A FORWARD -i eth2 -o eth1 -s 172.16.1.0/24 -p icmp icmp-type any -j ACCEPT
[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p icmp icmp-type any -j ACCEPT
[root@server]#iptables -t nat -A POSTROUTING -o eth1 -s 172.16.1.0/24 -j SNAT to-source 192.168.190.4
[root@server]#nano /proc/sys/net/ipv4/ip_forward 0 -> 1
Ghi chú: địa chỉ IP 192.168.190.4 là địa chỉ của giao diện mạng kết nối Internet (eth1), tùy thuộc vào trường hợp cụ thể của máy ảo mà sử dụng địa chỉ IP này.
Bước 3: Kiểm tra kết quả
Trở lại máy trạm Windows 7 kiểm tra Ping tới địa chỉ IP tại bước 1 Kết quả thành công.
Kịch bản 2: Cho phép máy tính trong LAN truy vấn DNS ra Internet Bước 1: Kiểm tra truy vấn
Trước khi thiết lập luật cho tường lửa, tại máy trạm Windows 7 không truy vấn được DNS Sử dụng lệnh nslookup để truy vấn.
Bước 2: Cấu hình luật để cho phép truy vấn DNS tại tường lửa.
[root@server]#iptables -A FORWARD-i eth2 -o eth1 -s 172.16.1.0/24 -p udp dport 53 -j ACCEPT
[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p udp sport 53 -j ACCEPT
Bước 3: Kiểm tra kết quả
Kết quả, lúc này tại máy Windows 7 thực hiện truy vấn thành công
Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập được các website từ mạng Internet
[root@server]#iptables -A FORWARD -i ens39 -o ens33 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT
[root@server]#iptables -A FORWARD -i ens33 -o ens39 -s 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT
Kịch bản 4: Cho phép truy cập tới máy chủ web trong phân vùng mạng DMZ
[root@server]#iptables -A FORWARD -i ens39 -o ens38 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT
[root@server]#iptables -A FORWARD -i ens38 -o ens39 -d 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT
[root@server]#iptables -t nat -A POSTROUTING -o ens38 -s 172.16.1.0/24 -d 10.0.0.0/24 -j SNAT –to-source 10.0.0.2
