4.1 CYBEROAM
Tường lửa phần cứng của Cyberoam cung cấp khả năng kiểm tra gói tin sâu và rõ ràng để bảo mật mạng, ứng dụng và bảo mật dựa trên danh tính người dùng. Do đó, Cyberoam UTM Firewall bảo vệ các tổ chức khỏi các cuộc tấn công DoS, DDoS và IP Spoofing.
Thiết bị tường lửa dựa trên Nhận dạng Con người Lớp 8 đang chờ cấp bằng sáng chế của Cyberoam cho phép các chính sách dựa trên hồ sơ công việc và một giao diện duy nhất để tạo chính sách trên tất cả các tính năng của UTM, giúp dễ quản lý và bảo mật cao với tính linh hoạt.
Hình 4. 1 Tường lửa Cyberoam
Tính năng
sự miêu tả yếu tố Lợi ích
Bảo mật dựa trên nhận dạng con người Lớp 8
Tường lửa phần cứng với tạo
chính sách dựa trên danh tính
Tiêu chí kiểm sốt truy cập (ACC) - Định danh người dùng, Vùng nguồn & đích, MAC và địa chỉ IP, Dịch vụ
Bảo vệ các môi trường IP
động như Wi-Fi và các trường hợp người dùng chia sẻ các điểm cuối
Việc ra quyết định dựa trên danh tính người dùng ngăn ngừa các lỗi liên quan đến các chính sách dựa trên địa chỉ IP
28
Đơn giản hóa các yêu cầu
kiểm tra với nhận dạng người dùng tức thì
Cơng nghệ FUSION
Tạo chính sách cho nhiều tính
năng bảo mật thông qua một giao diện duy nhất trong tường lửa
Tường lửa được tích hợp tốt với VPN, IPS, Chống vi-rút & chống phần mềm gián điệp, Chống thư rác, Lọc web, Quản lý băng thông, Quản lý nhiều liên kết
Kết hợp Bảo mật, Kết nối,
Năng suất
Cung cấp bảo mật ngoại vi
tích hợp Hỗ trợ khách hàng mỏng Xác thực ứng dụng khách mỏng với ID phiên Hỗ trợ máy chủ Citrix –
XenApp, Microsoft Windows Server (Microsoft TSE)
Các chính sách dựa trên danh
tính trong mơi trường khách hàng mỏng
Hỗ trợ triển khai SaaS và
môi trường đám mây
Bảo mật cấp doanh nghiệp
Tường lửa UTM với Tính khả
dụng cao với chuyển đổi dự phòng trạng thái
Nhiều vùng an ninh
Thiết bị tường lửa cung cấp Định tuyến động
Hỗ trợ VLAN
Khả năng máy chủ ảo
Đa đúc
Thời gian hoạt động
nhanh hơn, giảm độ trễ, cấu hình đơn giản hóa, hỗ trợ phát triển mạng nhanh chóng
Hỗ trợ tạo các nhóm dựa
trên hồ sơ cơng việc trên các vị trí phân tán
Cho phép lưu trữ an toàn
các máy chủ bên trong mạng LAN và DMZ, sử dụng hiệu quả nhóm địa chỉ cơng cộng hạn chế để lưu trữ các dịch vụ
29
Công nghệ đa lõi cho phép xử
lý song song tốc độ cao
Tường lửa được ICSA chứng
nhận
Dấu kiểm Cấp độ 5 được
chứng nhận
Hỗ trợ các ứng dụng hoạt
động trên các bản cập nhật thời gian thực như cập nhật chứng khoán cho các tổ chức tài chính
Thơng lượng cao
Quản lý tập trung
Bảo mật tập trung với CCC Đơn giản hóa quản lý bảo
mật
Ghi nhật ký & Báo cáo
Báo cáo dựa trên nhận dạng lớp 8
Nhật ký tường lửa
Ghi nhật ký và báo cáo tập trung với Cyberoam iView và CCC
Đáp ứng các yêu cầu tuân thủ đối với CIPA, HIPAA, PCI DSS
4.2 FORTINET
Tường lửa thế hệ tiếp theo Next-Generation Firewall (NGFW) lọc lưu lượng mạng
để bảo vệ tổ chức khỏi các mối đe dọa bên trong và bên ngồi. Cùng với việc duy trì các tính năng của tường lửa trạng thái như lọc gói, hỗ trợ IPsec và SSL VPN, giám sát mạng và tính năng ánh xạ IP, NGFW có khả năng kiểm tra nội dung sâu hơn.
Những khả năng này cung cấp khả năng xác định các cuộc tấn công, phần mềm độc hại và các mối đe dọa khác, đồng thời cho phép NGFW chặn các mối đe dọa này. NGFW cung cấp cho các tổ chức khả năng kiểm tra SSL, kiểm soát ứng dụng, ngăn chặn xâm nhập và khả năng hiển thị nâng cao trên tồn bộ bề mặt tấn cơng.
Khi mối đe dọa mở rộng nhanh chóng do áp dụng đồng vị trí và đa đám mây, đồng thời các doanh nghiệp phát triển để đáp ứng nhu cầu ngày càng cao của khách hàng, tường lửa truyền thống ngày càng tụt hậu, không thể cung cấp khả năng bảo vệ trên quy mô lớn và dẫn đến trải nghiệm người dùng kém và tư thế bảo mật yếu.
NGFW không chỉ chặn phần mềm độc hại mà còn bao gồm các đường dẫn cho các bản cập nhật trong tương lai, giúp chúng linh hoạt phát triển với bối cảnh mối đe dọa và
30
giữ cho mạng an toàn khi các mối đe dọa mới phát sinh. Tường lửa thế hệ tiếp theo là một thành phần quan trọng để thực hiện bảo mật mạng.
Hình 4. 2 Tường lửa Fortinet
Firewal FortiGate là gì?
FortiGate là sản phẩm chủ đạo của hãng Fortinet (USA) là thiết bị tường lửa (Firewall) chuyên dụng được tạp chí Fortune khuyên dùng; sản phẩm dành cho doanh nghiệp trong việc bảo mật an ninh mạng LAN.
FortiGate thuộc họ Fortinet, là thiết bị bảo mật đa lớp dạng tường lửa (Firewall); cung cấp một giải pháp tồn diện trong việc bảo mật an ninh thơng tin doanh nghiệp cũng như là bảo vệ hệ thống mạng nội bộ (gọi là mạng LAN hay Local Area Network). Fortinet giúp ngăn chặn sự tấn công của mã độc do hacker gây ra
Nhận biết FortiGate là một tường lửa có tính bảo mật cao
Fortinet là nhà cung cấp thiết bị an ninh mạng lớn thứ tư trên thế giới theo doanh thu hàng năm sau Cisco, Palo Alto Networks, và phần mềm kiểm tra điểm. Fortigate cũng dẫn đầu thị trường về tổng số đơn vị bán ra.
Sản phẩm cốt lõi của Fortinet là một tường lửa thế hệ tiếp theo được gọi là Fortigate, được kết nối với các thiết bị bảo mật thơng qua Fortinet Security Fabric. Nó cung cấp sự bảo vệ từ đầu đến cuối cho các dịch vụ và thiết bị trên Internet, trên nền tảng đám mây và Internet of Things (IoT). Công ty phục vụ hơn 330.000 khách hàng
Hệ điều hành FortiOS giúp bảo vệ tổ chức doanh nghiệp chống lại nâng cao các mối đe dọa, cấu hình và triển khai bảo mật mạng nhanh hơn và xem sâu vào những gì đang xảy ra bên trong mạng. Nó cho phép tổ chức để thiết lập chính sách cụ thể cho các loại thiết bị, người dùng và các ứng dụng có khả năng bảo mật hàng đầu trong ngành.
31
Bảo mật tồn diện: Kiểm sốt hàng nghìn ứng dụng và ngăn chặn nhiều mối đe dọa hơn với IPS được đề xuất trong NSS Labs, Sandboxing, phần mềm chống Malware được chứng nhận VB100 và hơn thế nữa.
Kiểm soát và hiển thị cao cấp: Giữ quyền kiểm soát với việc khả năng hiển thị qua lưu lượng truy cập mạng, kiểm sốt chính sách chi tiết và trực quan, khả năng mở rộng bảo mật và quản lý mạng.
Khả năng mạng mạnh mẽ: Tối ưu hóa mạng của doanh nghiệp với chuyển đổi và định tuyến mở rộng, tính sẵn sàng cao, WAN tối ưu hóa, bộ điều khiển WiFi nhúng và một loạt tùy chọn ảo.
4.3 CISCO SA 500.
Thiết bị Cisco SA500 cung cấp giải pháp bảo mật toàn diện và kết nối VPN. Sản phẩm kết hợp những khả năng của tường lửa, bảo mật wed và mail ngăn chặn xâm nhập ngoài ý muốn vào mạng. Cisco SA500 cho phép dữ liệu kinh doanh hợp lệ đi qua nhưng vẫn ngăn chặn những truy cập không được phép. Hỗ trợ tạo ra vùng truy cập cơng cộng (DMZ) an tồn như máy chủ file, web… cách ly mạng nội bộ công ty và tránh được những nguy hiểm từ bên ngoài.
Sản phẩm chủ động ngăn ngừa sự xâm nhập và ngăn chặn những kết nối nguy hại với Intrusion Prevention System (IPS). Cisco SA500 có thể nhận biết những hiểm họa đối mạng công ty và thực hiện hành động ngăn cản xâm nhập và ngăn ngừa những hiểm họa trong tương lai. Ngồi ra, Cisco SA500 có thể khóa những thơng điệp tin nhắn, kết nối mạng ngang hàng và thực hiện kiểm tra giao thức nhằm tăng khả năng bảo mật, nâng cao năng suất hoạt động của nhân viên và giữ cho mạng của doanh nghiệp ln ln sẵn sàng.
32
Hình 4. 3 Tường lửa hãng Cisco
Cisco SA500 cung cấp khả năng bảo vệ mail và web tốc độ cao: Nhờ dịch vụ ProtectLink Gateway thơng qua nền tảng điện tốn đám mây, Email trước khi vào công ty sẽ được kiểm tra bởi đối tác công nghệ Trend Micro của Cisco cung cấp. Sản phẩm có khả năng quét Email với hơn 3 triệu mẫu virus, hơn 400.000 spyware, 10 cơng nghệ dị tìm spam. Đồng thời tích hợp Antivirus, antispyware, antispam, antiphishing, URL filtering, giúp Cisco SA500 cung cấp một giải pháp bảo vệ toàn diện hệ thống mạng.
Hình 4. 4 Giao diện Cisco Configuration Assistant
Tăng bảo mật truy cập từ xa: Nhờ dịch vụ VeriSign Indentity Protection (VIP), Cisco SA500 cung cấp khả năng chứng thực hai cấp và quản lý mật mã truy cập một lần tăng tính bảo mật truy cập từ xa mà không cần mua thêm bất kỳ thiết bị chứng thực khác.
Dễ dàng triển khai và quản lý: Cisco SA500 có thể được quản lý thơng qua tiện ích Security Appliance Configuration Utility, một giao diện web quản lý và theo dõi mạnh
33
mẽ, dễ dàng sử dụng, cung cấp giải pháp cấu hình và theo dõi tồn diện tất cả các dịch vụ trong một ứng dụng đơn. Security Appliance Configuration Utility cịn có thể được thực thi thơng qua Cisco Configuration Assistant, ngồi ra cịn hỗ trợ giao thức theo dõi Simple Network Management Protocol (SNMP).
Giải pháp Cisco SA500 giúp doanh nghiệp triển khai an toàn những ứng dụng mới thông qua việc cung cấp những dịch vụ bảo mật tiên tiến cho những những ứng dụng phổ biến: Mail, VoIP, video, multimedia, web… Sản phẩm cũng tăng cường bảo mật xác thực cho người truy cập từ xa: Ngăn chặn những truy cập không được phép vào mạng công ty bằng cách sử dụng mật mã sử dụng một lần. Sản phẩm còn cho phép nhân viên và đối tác kết nối đến mạng công ty thông qua SSL VPN. Như vậy, doanh nghiệp sẽ tăng năng suất lao động của nhân viên, nâng cao khả năng kinh doanh và giảm chi phí dành cho IT.
34
KẾT LUẬN
Qua bài tiểu luận, ta có thể nắm được một các tổng quan và sơ lược về cấu trúc của tường lửa, cũng như nắm được nguyên lý hoạt đông và cách thức bảo vệ các thiết bị như mạng máy tính. Có thể nói tường lửa là thiết bị có thể thỏa mãn được những yêu cầu bảo mật và an tồn thơng tin của người sử dụng, những yêu cầu hết sức khó khăn và phức tạp của mạng máy tính u cầu thì tưởng lửa đều đáp ứng được và giải quyết rất hiệu quả. Các cuộc tấn công như lấy cắp thông tin, giả mạo hay phá hoại các thông tin được gửi đi trên mạng máy tính đều có thể được tường lửa xử lý và chặn chúng. Tuy nhiên, khơng thể có loại tường lửa nào là hồn tồn vơ hiệu hóa được các cuộc tấn cơng nên cần có nhiều loại và nhiều cách thức bảo vệ mạng khác nhau cuả tường lửa để làm sao đó khi sử dụng độ bảo mật và an toàn là cao nhất.
35
TÀI LIỆU THAM KHẢO
[1] Thomas Ptacek, Arbor Networks (2013), 10 tips for improving security inside the firewall
[2] Tech Insights for Professionals, Hacks Sure to Defeat Your Firewall (And How to Prevent Them)
[3] S. Krit and E. Haimoud, "Overview of firewalls: Types and policies: Managing windows embedded firewall programmatically," 2017 International Conference on Engineering & MIS (ICEMIS), 2017, pp. 1-7, doi: 10.1109/ICEMIS.2017.8273003. [4] W. Weber, "Firewall basics," 4th International Conference on Telecommunications in Modern Satellite, Cable and Broadcasting Services. TELSIKS'99 (Cat. No.99EX365), 1999, pp. 300-305 vol.1, doi: 10.1109/TELSKS.1999.804748.