Đang tải... (xem toàn văn)
Tổng quan về Fortinet Fortinet được thành lập trong năm 2000 bởi Ken Xie – Trước đây, ông Ken Xie là sáng lập viên, đồng chủ tịch và CEO của hãng bảo mật nổi tiếng NetScreen • Văn phòng chính ở Sunnyvale, CA. • Số lượng nhân viên hiện tại trên 1,500 nhân viên kỹ thuật và nghiên cứu phát triển • Có trên 30 văn phòng ở các châu Mỹ, châu Á và châu Âu • Tập trung chính vào các giải pháp bảo mật. • Là nhà tiên phong trong các hệ thống antivirus chạy trên ASIC, đảm bảo tính bảo vệ mạng theo thời gian thực • Đứng đầu danh sách đánh giá của IDC và Gartner đối với dòng sản phẩm UTM • Có năng lực tài chính mạnh, phát triển nhanh.
GIẢI PHÁP BẢO MẬT FORTINET 1 Phần kiểm soát Các thay đổi Ngày Người thực Nguyễn Trung Ve 0.1 Nội dung Tạo tài liệu Xem xét Ngày Tên chức vụ Nhận tài liệu Ngày Tên chức vụ Mục Lục MỤC LỤC TỔNG QUAN CHUNG 1.1 Giới thiệu hãng bảo mật Fortinet 1.2 Quan điểm xây dựng sách bảo mật 1.3 Nguyên lý xây dựng sách bảo mật ĐỀ XUẤT GIẢI PHÁP BẢO MẬT 2.1 Giới thiệu tính Firewall Fortigate 2.1.1 Các tính bật phần cứng .7 2.1.2 Các tính UTM 11 2.1.3 Các tính bật dịch vụ 14 2.2 Đề xuất giải pháp 15 2.2.1 Lớp bảo vệ ngoại vi – Phân hệ UTM .15 2.2.2 Lớp bảo vệ trung tâm liệu: 17 2.2.3 Các dòng thiết bị bảo mật Fortigate .20 MÔ HÌNH GIẢI PHÁP TỔNG THỂ 21 3 Tổng quan chung 1.1 Giới thợi hãng bảo mật Fortinet Tổng quan Fortinet Fortinet thành lập năm 2000 Ken Xie – Trước đây, ông Ken Xie sáng lập viên, đồng chủ tịch CEO hãng bảo mật tiếng NetScreen • Văn phòng Sunnyvale, CA • Số lượng nhân viên 1,500 nhân viên kỹ thuật nghiên cứu phát triển • Có 30 văn phòng châu Mỹ, châu Á châu Âu • Tập trung vào giải pháp bảo mật • Là nhà tiên phong hệ thống antivirus chạy ASIC, đảm bảo tính bảo vệ mạng theo thời gian thực • Đứng đầu danh sách đánh giá IDC Gartner dòng sản phẩm UTM • Có lực tài mạnh, phát triển nhanh Là công ty đạt chứng nhận ICSA Lab chứng NSS Lab Các sản phẩm bảo mật Fortinet gồm : Fortigate Firewall : thiết bị bảo mật tường lửa + VPN, tích hợp tính Antivirus, IPS, AntiSpam, Web filtering, Application Control, Data Leak Prevention … FortiMail: thiết bị chuyên dùng để bảo vệ riêng hệ thống email khỏi Antivirus/Worm/Spyware AntiSpam FortiAnalyzer : thiết bị ghi log tập trung phân tích log, scan hệ thống để tìm lỗ hỏng FortiManager : thiết bị quản lý tập trung thiết bị Fortigate FortiClient, cho phép người quản trị quản lý, cấu hình, update áp dụng sách bảo mật chung cho tất tả thiết bị Fortigate & FortiClient toàn hệ thống FortiClient : phần mềm personal firewall + VPN cho người sử dụng di động Có thể mua thêm license để có thêm tính Antivirus, AntiSpam & Web filtering Fortiguard subscription service : license đăng ký sử dụng update tính Antivirus, IPS, AntiSpam Wen filtering License mua hàng năm nhiều năm 4 Forticare service : dịch vụ hỗ trợ kỹ thuật, gia tăng thời gian bảo hành sản phẩm update OS/firmware cho sản phẩm dịch vụ mua hàng năm nhiều năm Các Giải thưởng Chứng nhận mà Fortinet đạt Một số khách hàng toàn cầu Fortinet Các khách hàng lớn Fortinet Việt Nam Fortinet giới thiệu sản phẩm bảo mật vào Việt Nam từ năm 2002 Trải qua thời gian gần năm thị trường Việt Nam, Fortinet nhiều tổ chức doanh nghiệp lớn Việt Nam tin tưởng sử dụng Sau khách hàng bật Fortinet Việt Nam triển khai giải pháp VPN cho trụ sở chi nhánh toàn quốc 5 Ngoài nhiều quan phủ sử dụng triển khai giải pháp VPN Fortinet : UBND LẠNG SƠN, HÀ TĨNH, HẢI PHÒNG, BÌNH ĐỊNH, PHÚ YÊN, QUẢNG NGÃI, THÔNG TẤN XÃ VIỆT NAM,… 1.2.Quan điểm xây dựng sách bảo mật Quan điểm vấn đề an ninh mạng là: An ninh mạng tiến trình lặp lặp lại, bao gồm bước xoay vòng sau: • Xác định đối tượng cần bảo vệ (máy chủ, tài nguyên, ứng dụng, thiết bị mạng, máy trạm, người dùng, v.v.) • Xác định hiểm họa gây nên cho mạng hệ thống • Thiết lập sách an ninh mạng tương ứng với đối tượng nhà lãnh đạo, quản lý tin học, quản trị mạng người dùng • Thiết lập sách an ninh mạng phương pháp điện tử hành Các phương pháp điện tử bao gồm: thiết kế quy hoạch lại mạng, Firewall, VPN, IDP, bảo mật lớp ứng dụng UTM (Antivirus, Antispam, Web Content Filtering, Intrusion Prevention 6 System, Application control, Data leak prevention) quản trị an ninh mạng • Theo dõi an ninh mạng phản ứng lại biểu bất thường • Kiểm tra lại sách an ninh thiết bị an ninh mạng để đáp ứng lại thay đổi • Tiếp tục theo dõi quản lý an ninh mạng, thay đổi sách an ninh cấu hình thiết bị an ninh mạng để phù hợp với ngữ cảnh an ninh 1.3.Nguyên lý xây dựng sách bảo mật An ninh mạng phải dựa nguyên tắc sau: • Bảo vệ có chiều sâu (defense in depth): Hệ thống phải bảo vệ theo chiều sâu, phân thành nhiều tầng tách thành nhiều lớp khác Mỗi tầng lớp thực sách bảo mật hay ngăn chặn khác Mặt khác để phòng ngừa tầng hay lớp bị xâm nhập xâm nhập trái phép bó hẹp tầng lớp ảnh hưởng sang tầng hay lớp khác • Sử dụng nhiều công nghệ giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDP làm công cụ “đánh hơi” ngăn chặn, phòng ngừa hình thức công từ bên hệ thống Đồng thời, công nghệ bắt buộc phải hỗ trợ tính nâng cao UTM (Unified Threat Management) Antivirus, AntiSpam, Email Content Filtering, Web Content Filtering, IPS, Data Leak Prevention (ngăn chặn rò rỉ liệu), Application Control (các ứng dụng Chat IAM, P2P, Remote Access, Proxy tool …) để ngăn chặn phòng chống nhiều lớp ứng dụng bên ngày lớp ứng dụng dễ bị công bên 7 khai thác lỗ hỏng lớp ứng dụng nhiều hình thức khác FortiASIC : Hệ thống FortiGate™ thiết bị tường lửa chuyên dụng với chương trình thiết kế phần cứng cho phép bảo vệ mạng theo thời gian thực Với công nghệ mạch điện tử thiết kế theo ứng dụng (Application-specific integrated circuit - ASIC), FortiASIC™ gồm thành phần xử lý Network Processor, Content Processor, Security Processor, tảng phần cứng FortiGate hệ thống tường lửa VPN phát loại bỏ virus/sâu, spyware, trojan, grayware, adware, DoS, hàng động công đoạn mã nguy hiểm khác mà không làm 2.Đề xuất giải pháp bảo mật 2.1.Giới thiệu tính Firewall Fortigate 2.1.1.Các tính bật phần cứng giảm tốc độ hoạt động mạng – chí ứng dụng theo thời gian thực duyệt web Các công cụ bảo mật nằm hệ điều hành nhân thiết bị Fortigate FortiOS Tính thành phần xử lý sau: 8 FortiASIC Network Processor (NP): làm việc cấp độ giao diện để hỗ trợ chuyển tiếp lưu lượng IPec offload giao thức unicast UDP/TCP Thông lượng(throughput) tối đa số lượng cổng giao tiếp tùy theo model FortiASIC Content Processor (CP): làm việc cấp độ hệ thống, đãm bảo chức cấp phát key SSL VPN tăng tốc xử lý gói tin SSL, giải mã thuật toán bảo mật DES/3DES/MD5,SHA… Khả tùy theo model chip Security Processor (SP-Hybrid): modules ASM-CE4 ADM-XE2, làm việc cấp độ giao diện hệ thống để tăng hiệu suất tổng thể thúc đẩy số bảo mật xử lý gói tin cổng giao tiếp SP đảm nhiệm ứng dụng điều khiển (application), IPS, flow based antivirus proctection, Complete Content Protection : Fortigate không đơn thiết bị bảo mật kiểm soát trạng thái (stateful inspection) mà bảo mật lớp ứng dụng quét toàn diện nội dung gói tin (application level security and content protection) Bằng việc quét sâu gói tin bảo mật lớp ứng dụng, Fortigate giúp người dùng ngăn chặn đe dọa nguy công vào hệ thống mà chế ngăn chặn truyền thống không thực được, loại bỏ đoạn code nguy hiểm nằm sâu ngụy trang bên gói tin Virtual Domains and Security zones : Các dòng sản phẩm Fortigate cung cấp chức VLAN, Virtual Domain (VDOM) giúp cho: • Các doanh nghiệp lớn phân chia cấu hình sách bảo mật cho hệ thống mạng phòng ban 9 • Các nhà cung cấp dịch vụ cung cấp phân chia “firewall” thành “firewall” nhỏ cho khách hàng • Các thiết bị Fortigate tích hợp sẵn từ đến 10 VDOM, nâng cấp lên 250 VDOM thông qua việc mua license High Availability (HA) : Hỗ trợ mode “Acitve-Active”, “Active-Passive” cho dòng sản phẩm dành cho SOHO Fortinet cho phép cấu hình hai hay nhiều thiết bị Fortigate hoạt động hệ thống trở thành thiết bị Fortigate (HA cluster) Với HA cluster, thiết bị Fortigate bị hư thiết bị Fortigate lại thay thế, đãm đương công việc thiết bị bị hư Chức giúp cho hệ thống khách hàng luôn bảo mật hoạt động xuyên suốt High concurrent sessions : Các thiết bị Fortigate có số kết nối đồng thời (concurrent session) cao, tùy theo dòng sản phẩm mà số kết nối từ 25.000 132.000.000 số kết nối giây lên đến 250.000 giúp 10 10 Chi phí đầu tư thấp (TCO) Fortinet tính license thiết bị (license per box) không tính license theo người dùng (license per user) Tính Antivirus Fortinet chứng nhận ICSALab, NSS 100 Buletin Intrusion Prevention System (IPS) : Chức IPS Fortinet cung cấp giải pháp toàn diện ngăn chặn phòng ngừa hình thức công vào ứng dụng liệu quan trọng doanh nghiệp, hình thức công công xuất phát từ bên kể bên hệ thống mạng Các tính bật : • Khả nhận dạng 7000 hình thức công & tự động cập nhật (push update) thông qua hệ thống khoảng 50 cụm server đặt khắp nơi toàn giới • Cho phép khách hàng khả tự định nghĩa hình thức công • Kiểm tra nội dung gói liệu mã hóa VPN (IPSec SSL) • Hỗ trợ 50 loại protocol ứng dụng • Cung cấp khả phòng chống ngăn chặn công thông qua đội ngũ kỹ sư nghiên cứu phàt triển Fortinet toàn cầu • Chi phí đầu tư thấp (TCO) Fortinet tính license thiết bị (license per box) không tính license theo người dùng (license per user) • Tính IPS Fortinet chứng nhận ICSALab, NSS AntiSpam : Fortinet cung cấp khả bảo vệ máy tính khỏi spam phishing cấp độ gateway Với lượng thư rác, thư đen khổng lồ gửi hàng ngàythì việc chống spam phần thiết yếu củamọi chiến lược bảo vệ an ninh mạng Spam làm tiêu tốn thời gian người sử dụng (user) gây hại đến tài nguyên mạng (network resources) Chức AntiSpam Fortinet cho phép bảo vệ hệ thống khỏi spam phishing cấp độ gateway khách hàng bận tâm cài đặt hay update phần mềm chống spam cho desktop Các tính bật : 13 13 • Quét dò tìm “thư rác” thông qua danh sách địa IP, dò tìm địa email, kiểm tra NIME header, kiểm tra nội dung email để xác nhận email có phải spam không • Tỉ lệ phát spam cao (trên 97,4%) nhờ công nghệ lọc Bayesian, Heuristics, hỗ trợ RBL, ORDB, dò tìm DNS, lọc theo theo “từ khóa hay cụm từ”, • Sai sót thấp nhờ tính cập nhật danh sách “black/white”,… • Database server Fortinet xử lý khoảng 500 triệu yêu cầu “thư rác” hàng tuần • Cung cấp khả phòng chống ngăn chặn thư rác tiên tiến thông qua đội ngũ kỹ sư nghiên cứu phát triển Fortinet toàn cầu • Chi phí đầu tư thấp (TCO) Fortinet tính license thiết bị (license per box) không tính license theo người dùng (license per user) Web content filtering : Ngày nay, lướt truy cập internet để tra cứu tìm kiếm thông tin trở thành yếu tố quan trọng hoạt động hàng ngày doanh nghiệp, đóng góp vào thành công doanh nghiệp Tuy nhiên, hành động truy cập trang web xấu, đen làm giảm suất hoạt động doanh nghiệp, tiêu tốn thời gian nhân viên, tiền bạc tài nguyên mạng doanh nghiệp, vi phạm quy định pháp luật trị, đạo đức,…Chức Web content filtering giúp quy định kiểm soát việc truy cập web người dùng tuân thủ theo quy định pháp luật sách sử dụng internet doanh nghiệp Các tính bật • Lọc địa Web, lọc theo từ khóa, danh sách trang web cấm, lọc Java Applet, Cookies, Active X,… • Hệ thống database server Fortinet cập nhật 47 triệu trang web chia thành 72 chủng loại • Ngăn chặn khóa trang web nguy hiểm P2P, mạo danh, gián điệp • URL caching : giúp tăng tốc khả lộc nội dung Web 14 14 • Online URL checker : công cụ giúp người dùng kiểm tra mức độ nguy hại trang Web • Đội ngũ kỹ sư Fortinet quản lý cập nhật hàng ngày database • Chi phí đầu tư thấp (TCO) Fortinet tính license thiết bị (license per box) không tính license theo người dùng (license per user) • Tính AntiSpam Fortinet chứng nhận CIPA (Children’s Internet Protection Act), NSS Data leak prevention: Cho phép xác định hình dạng liệu nhạy cảm Giám sát lưu lượng mạng ngăn chặn thông tin nhạy cảm từ hệ thống mạng (chẳng hạn email, HTTP …) Application control: Ngăn chặn mối đe dọa malware phúc tạp chẳng hạn Facebook, Skype, IM Mặc khác, giám sát kiểm soát ứng dụng mạng để bảo mật thông tin nhạy cảm Ngăn chặn nhiều ứng dụng mà không sử dụng port để truyền thông Phát 2000 ứng dụng lưu lượng mạng để cải thiện kiểm soát qua truyền thông mạng WAN Optimization (tối ưu mạng WAN) • Làm tăng hiệu suất mạng việc làm giảm số lượng liệu truyền qua mạng WAN • Làm giảm yêu cầu băng thông nguồn tài nguyên Server • Hỗ trợ dịch vụ như: CIFS, FTP giao thức HTTP traffic TCP • Hỗ trợ Byte caching, web caching, web proxy … • Hỗ trợ cho kết nối VPN site-to-site, client to site … Push Update : Hiện Fortinet áp dụng chế cập nhật tự động thông qua “công nghệ đẩy”(Push Update) cho chức Antivirus, IPS AntiSpam Với chế này, Fortinet giúp hệ thống bảo mật Fortinet cung cấp cập nhật hình thức công, virus/spyware, Trojans, Spam… vòng vài phút, 24 giờ/ngày toàn giới 15 15 The FortiGuard Distribution Server Network Fast Response to Emerging Threats FortiGuard keeps your assets continuously protected against threats Đặc biệt tính Antivirus, IPS, AntiSpam Web filtering : • Không bị vô hiệu hoá (disable), sử dụng trường hợp license hết hạn Tuy nhiên, khách hàng không update • Được Fortinet cho phép sử dụng thử (có update) vòng tháng tính từ ngày đăng ký sử dụng sản phẩm 2.1.3.Các tính bật dịch vụ Fortiguard subscription Service : 16 16 Đây dịch vụ đăng ký sử dụng cập nhật tính phần mềm Antivirus, IPS, AntiSpam Web filtering Dịch vụ Fortiguard cập nhật quản lý 24x7 đội ngũ kỹ thuật chuyên nghiệp Fortinet toàn cầu, đảm bảo hệ thống bảo mật Fortigate khách hàng luôn cập nhật signature Ưu điểm dịch vụ Fortiguard : Khách hàng chọn lựa mua license cho phần mềm phối hợp nhiều phần mềm lại với Khách hàng chọn lựa mua theo thời gian yêu cầu : năm, năm,…, năm Dịch vụ Fortiguard có chi phí tương đối thấp Fortinet tính chi phí license sản phẩm (per box license fee), không nhiều nhà sản xuất khác tính license theo người dùng (per user license fee) Push Update : dành cho tính chống vi-rút IPS Forticare Service : Đây dịch vụ hỗ trợ kỹ thuật cập nhật phiên cho OS/firmware thiết bị phần cứng Fortigate Ngoài ra, khách hàng nhận hỗ trợ tích cực Fortinet hệ thống đại lý Fortinet • toàn cầu thêo hình thức sau : Hỗ trợ qua web/ email 24x7 • Hỗ trợ qua điện thoại 8x5 từ Fortinet đại lý Fortinet • Được phép truy cập vào trang web Fortinet để tìm kiếm download tài liệu kỹ thuật, hình mẫu cấu hình, xử lý cố • 17 Fortinet có nhiều gói dịch vụ cho khách hàng lựa chọn 17 Global Escalation TAC Canada Americas TAC California EMEA TAC France APAC China APAC TAC Japan APAC TAC Malaysia Regional Technical Support Center (TSC) Local Technical Support Center (TSC) Global Escalation Technical Support Center (TSC) License subscription : Hiện Fortinet áp dụng cớ chế tính thời gian đăng ký dịch vụ Fortiguard Forticare “dễ chịu” : • Fortinet cho người sử dụng có khoảng thời gian 365 ngày (tính từ ngày license phát hành) để đăng ký license Fortiguard Forticare với Fortinet Nếu thời gian 365 ngày mà người sử dụng không đăng ký license không hiệu lực • Thời gian tính license lúc khách hàng hoàn tất thành công việc đăng ký Fortinet không trừ lùi thời gian hiệu 18 18 lức license trường hợp license cũ khách hàng hết hạn trước thời gian thực đăng ký • Nếu license cũ khách hàng hiệu lực Fortinet cộng dồn thời gian hiệu lựclicense cho khách hàng 2.2.Đề xuất giải pháp 2.2.1.Lớp bảo vệ ngoại vi – Phân hệ UTM Các thiết bị firewall vùng ngoại vi phải tích hợp sẵn tính an ninh mạng để đáp ứng yêu cầu giải pháp sau: • Bảo vệ mạng nội Customer với mạng bên Internet • Khi số lượng users khoảng …………và tăng lên hàng năm hay số lượng chi nhánh tăng lên khoảng từ đến năm lực xử lý firewall phải đáp ứng lớn … Gbps số lượng session bên truy cập vào vùng DMZ server farm nhiều Đồng thời, số lượng session bên qua thiết bị • Lọc nội dung thông tin web users truy cập bên Internet để hạn chế kiểm soát users theo quy định sử dụng Internet doanh nghiệp • Xây dựng hệ thống phòng chống virus cho toàn hệ thống mạng máy chủ máy trạm truy cập bên Internet Vì vậy, hiệu xuất quét virus firewall phải đạt tối thiểu ……Mbps • Ngăn chặn phòng chống thư rác (spam email) thông qua địa IP, dò tìm địa email công bên internet truy cập vào Server Farm DMZ • Do vùng ngoại vi số lượng phiên kết nối qua firewall lớn (bao gồm bên ngoài, bên vùng DMZ truy cập vào ra) yêu cầu số lượng phiên kết nối đồng thời thiết 19 19 bị phải tối thiểu ………và số lượng phiên kết nối thiết lập tối thiểu ………… • Các kết nối từ chi nhánh văn phòng quận huyện hay đối tác truy cập vào hệ thống phải kết nối VPN dùng IPSEC để mã hóa liệu với chuẩn mã hóa DES (3DES) AES (128-bit, 192-bit 256-bit) Vì vậy, hiệu suất kết nối VPN firewall phải đạt tối thiểu 6Gbps hỗ trợ kết nối SSL ……… User • Các users bên Internet truy cập vào hệ thống trung tâm liệu web portal (hỗ trợ tất trình duyệt web tất hệ điều hành) phần mềm chuyên dụng cài đặt PC/Laptop/Tablet/Smartphone với phương thức mã hóa liệu (IPSEC) Thiết bị vùng phải hỗ trợ tính SSL VPN với số lượng 800 users users bên Internet kết nối trung tâm liệu VPN dùng IPSEC với số lượng hỗ trợ ……… users • Kiểm soát nhận dạng thiết bị di động (Device Manager) dựa nên tảng di động phổ biến Android, IOS, Windowphone… với thiết bị Tablet hay Smartphone, cho phép thực thi sách cho loại thiết bị, đem lại khả bảo mật cao cho hệ thống • Ngăn chặn liệu nhạy cảm bị rò rỉ từ bên hệ thống mạng bên Internet (DLP) • Kiểm soát ngăn chặn số ứng dụng (như Instant Message, P2P, ứng dụng download, chương trình remote access …) users cục truy cập bên Internet • Ngăn chặn phát công từ hệ thống bên vào (Intrusion Prevention System) lực xử lý IPS vùng phải đáp ứng tối thiểu lớn …… Gbps (do công từ internet vào Server Farm DMZ vùng mạng bên lớn) Hệ thống IPS gồm có đặc điểm sau: 20 20 o Hệ thống IPS nhận diện mối nguy hiểm tiềm ẩn trước thật công vào bên như: Ngăn chặn mã độc hại, bao gồm sâu, công trực tiếp, công theo kiểu từ chối dịch vụ, công theo ứng dụng Xây dựng mở rộng bảo mật an ninh mạng có khả kiểm tra ngăn chặn mối nguy hiểm toàn mạng, từ ứng dụng giao thức phân hoạch địa (ARP) Kỹ thuật mở rộng Firewall phải cung cấp giải pháp tối ưu vể sách bảo mật cho hệ thống an ninh mạng Hệ thống IPS cung cấp chế bảo mật khác, theo nhóm hay cá nhân công riêng rẽ Ví dụ công theo kiểu ngày zero, hệ thống IPSs có khả học mạng, kiểm tra phản ứng người quản trị sau cập nhật phương pháp bảo vệ cho mạng Kỹ thuật dịch vụ IPSs phát triển nhóm chuyên gia bảo mật toàn cầu Các chuyên gia liên tục nghiên cứu đưa nhiều giải pháp tốt để tích hợp vào thiết bị IPSs Tính Client Reputation cho phép thống kê giám sát hành vi người dùng, từ có sở để cách ly mối đe dọa nguy hại nghi ngờ o Hệ thống IPS cảnh báo phân tích cho người dùng cách phản ứng tốt mối nguy hiểm công 21 21 Cung cấp kiến thức sâu rộng công tính toán theo thời gian thực mối nguy hiểm theo biến cố Nó ghi lại biến cố vào file để người quản trị tiện theo dõi xử lý sau Tập hợp nhiều phản ứng tác vụ phức tạp theo sách yêu cầu Ta cấu hình sách theo mạng riêng rẻ theo yêu cầu – xóa bỏ gói tin, phiên kết nối xa, giới hạn dùng hay làm chủ công bảo vệ ứng dụng mạng Có thể bảo vệ biến cố gây nguy hại cho hệ thống mạng cao Có thể đưa xác lập ưu tiên cho mối nguy hiểm cần xử lý Ghi thông tin cho cảnh báo cách giải vấn đề từ trước, sau vấn đề giải xong • Thiết bị firewall phải hỗ trợ tính HA (Active/Active, 2.2.2.Lớp bảo vệ trung tâm liệu: Active/Passive), khả mở rộng hệ thống hỗ trợ khe cấm • mở rộng Thiết bị firewall vùng phải tích hợp sẵn tính an ninh mạng để đáp ứng nhu cầu giải pháp sau: Bảo vệ vùng mạng trung tâm Customer với vùng bên • Gia tăng phòng chống xâm nhập, ngăn chặn loại virus, sâu worm loại công vào lớp ứng dụng trung tâm liệu Đồng thời, số lượng lớn users cục số lượng lớn chi nhánh truy cập vào vùng trung tâm lớn lực xử lý IPS vào vùng trung tâm phải đạt tối thiểu lớn 22 22 2Gbps có khả mở rộng khoảng từ đến năm Hệ thống IPS gồm đặc điểm sau: o Hệ thống IPS nhận diện mối nguy hiểm tiềm ẩn trước thật công vào bên như: Ngăn chặn mã độc hại, bao gồm sâu, công trực tiếp, công theo kiểu từ chối dịch vụ, công theo ứng dụng Xây dựng mở rộng bảo mật an ninh mạng có khả kiểm tra ngăn chặn mối nguy hiểm toàn mạng, từ ứng dụng giao thức phân hoạch địa (ARP) Kỹ thuật mở rộng Firewall phải cung cấp giải pháp tối ưu vể sách bảo mật cho hệ thống an ninh mạng Hệ thống IPS cung cấp chế bảo mật khác, theo nhóm hay cá nhân công riêng rẽ Ví dụ công theo kiểu ngày zero, hệ thống IPSs có khả học mạng, kiểm tra phản ứng người quản trị sau cập nhật phương pháp bảo vệ cho mạng Kỹ thuật dịch vụ IPSs phát triển nhóm chuyên gia bảo mật toàn cầu Các chuyên gia liên tục nghiên cứu đưa nhiều giải pháp tốt để tích hợp vào thiết bị IPSs Tính Client Reputation cho phép thống kê giám sát hành vi người dùng, từ có sở để cách ly mối đe dọa nguy hại nghi ngờ 23 23 o Hệ thống IPS cảnh báo phân tích cho người dùng cách phản ứng tốt mối nguy hiểm công Cung cấp kiến thức sâu rộng công tính toán theo thời gian thực mối nguy hiểm theo biến cố Nó ghi lại biến cố vào file để người quản trị tiện theo dõi xử lý sau Tập hợp nhiều phản ứng tác vụ phức tạp theo sách yêu cầu Ta cấu hình sách theo mạng riêng rẻ theo yêu cầu – xóa bỏ gói tin, phiên kết nối xa, giới hạn dùng hay làm chủ công bảo vệ ứng dụng mạng Có thể bảo vệ biến cố gây nguy hại cho hệ thống mạng cao Có thể đưa xác lập ưu tiên cho mối nguy hiểm cần xử lý Ghi thông tin cho cảnh báo cách giải vấn đề từ trước, sau vấn đề giải xong Dựa thông tin có sẵn nhận dạng công (Signature- based): Các dấu hiệu công nhập vào CSDL IPS cập nhật định kỳ từ nhà sản xuất Khi IPS nhận thấy luồng liệu chạy qua Router có dấu hiệu giống với dấu hiệu công mà có, phản ứng lại cách ngắt kết nối kẻ công, chặn IP kẻ gửi cảnh báo đến nhà quản trị đồng thời ghi lại toàn trình công để điều tra sau 24 24 o Dựa thông tin có sẵn nhận dạng công (Signature-based): Các dấu hiệu công nhập vào CSDL IPS cập nhật định kỳ từ nhà sản xuất Khi IPS nhận thấy luồng liệu chạy qua Router có dấu hiệu giống với dấu hiệu công mà có, phản ứng lại cách ngắt kết nối kẻ công, chặn IP kẻ gửi cảnh báo đến nhà quản trị đồng thời ghi lại toàn trình công để điều tra sau o Dựa hoạt động bất thường mạng để phát công o Tính Client Reputation cho phép thống kê giám sát hành vi người dùng, từ có sở để cách ly mối đe dọa nguy hại nghi ngờ • Số lượng users cục bộ, chi nhánh công ty đối tác kết nối vào trung tâm liệu lớn yêu cầu lực xử lý firewall cao phải đạt mức tối thiểu khoảng …….Gbps khả mở rộng khoảng từ đến năm • Số lượng phiên kết nối liệu ứng dụng truy cập lớn từ users cục bộ, chi nhánh công ty vùng đối tác công ty đến vùng trung tâm liệu qua firewall lớn Vì vậy, yêu cầu số lượng phiên kết nối đồng thời qua firewall phải đạt tối thiểu ……….và số lượng phiên kết nối thiết lập phải đạt tối thiểu đạt ……… • Xây dựng hệ thống phòng chống virus cho toàn hệ thống mạng máy chủ máy trạm truy cập bên Internet Vì vậy, hiệu xuất quét virus firewall phải đạt tối thiểu 900Mbps • Thiết bị phải hỗ trợ tính HA (Active/Active, Active/Passive), khả mở rộng hệ thống hỗ trợ khe cấm mở rộng 25 25 • Thiết bị firewall phải tích hợp vào hệ thống Active Directory, xác thực LDAP, RADIUS RSA … • Ngăn chặn liệu nhạy cảm bị rò rỉ từ bên hệ thống 2.2.3.Các dòng thiết bị bảo mật Fortigate mạng bên 26 26 • Internet 3.Mô hình giải pháp tổng thể Giải pháp tổng thể đề xuất cho hệ thống bảo mật với thiết bị Fortigate mô tả sau : 27 27