IV. Phương pháp nghiên cứu
3.1.1.Khái quát chung về FireWall/VPN Nokia
1. Firewall/VPN
- Firewall Nokia là thiết bị an toàn sử dụng hệ điều hành IPSO (hiện nay có khá nhiều phiên bản đang sử dụng nhưng trong phần áp dụng này tác giả đánh giá sản phẩm với phiên bản là IP130, IP350, IP380), đây là hệ điều hành được viết dựa trên nền tảng UNIX. Với phần mềm Check Point được cài đặt trên đó, Nokia trở thành một thiết bị an toàn mạnh với các chức năng chính của 1 Firewall và VPN. Phần mềm Check Point gồm có nhiều module, mỗi module đảm nhiệm một chức năng:
+ Floodgate-1: Quản lý băng thông người dùng + UserAuthority: quản lý Group và User chung cho tất cả các module của Check Point
+ VPN-1 & Firewall-1: Module quản lý VPN và Firewall, Management.
+ Reporting module: kết hợp với Log module để xuất ra các báo cáo thống kê dưới dạng đồ họa.
+ Real time Monitor: giúp người giám sát thời gian thực firewall: throughput traffic , CPU…
+ Policy server: module quản lý các policy cho các remote client.
Ngoài các module trên còn nhiều module khác nữa, tùy thuộc vào từng ngữ cảnh cụ thể của các tổ chức mà mua các phiên bản với các module khác nhau.
2. Check Point VPN-1/Firewall-1
a. Giải pháp VPN-1 Power
VPN-1 Power là giải pháp tích hợp firewall, VPN và ngăn chặn xâm nhập để bảo vệ cho các ứng dụng và các tài nguyên mạng, cùng với các công nghệ cải tiến làm tăng
tốc các module an toàn để đáp ứng với yêu cầu về tốc độ của môi trường mạng. VPN-1 Power là sự kết hợp giữa công nghệ firewall hàng đầu Firewall-1 với công nghệ VPN tinh vi để đáp ứng cho các nhu cầu kết nối VPN trên Internet, trong mạng nội bộ hay kết nối với các đối tác bằng cách cung cấp kết nối an toàn cho các mạng trung tâm, các chi nhánh, người dùng từ xa, các đối tác. VPN-1 Power sử dụng công nghệ Kiểm soát trạng thái Stateful Inspection và Ứng dụng thông minh Application Intelligent để chống lại các tấn công tầng ứng dụng cũng như tầng mạng. Khách hàng có thể lựa chọn giải pháp VPN-1 Power cài đặt trên máy chủ hoặc thiết bị chuyên dụng tùy theo khả năng cũng như nhu cầu của mình.
Các tính năng của VPN-1:
■ Tăng tốc các module an toàn.
■ Bảo vệ các kết nối VPN bằng cách tích hợp công nghệ firewall. ■ Bảo vệ cho mạng và các ứng dụng.
■ Tạo các kết nối an toàn sử dụng IPSec, L2TP, SSL và xác thực mạnh. ■ Quản trị tập trung, tích hợp.
Các lợi ích của VPN-1:
■ Cung cấp khả năng bảo vệ nâng cao cho các ứng dụng trước các nguy cơ đã biết và chưa biết.
■ Nhiều lựa chọn bảo vệ cho các chi nhánh cũng như người dùng từ xa. ■ Giải pháp tốc độ cao đáp ứng với các yêu cầu tốc độ của mạng.
CheckPoint VPN-1 Power tích hợp giải pháp kiểm soát truy cập, xác thực và mã hóa để bảo vệ cho các kết nối mạng, xác thực người dùng từ xa và người dùng nội bộ, đồng thời nó cũng tích hợp tính năng chống xâm nhập để bảo vệ cho các ứng dụng. VPN-1 Power cũng bao gồm thêm một firewall bảo vệ ứng dụng Web như một lựa chọn nâng cao.
Tích hợp Firewall-1: Để bảo vệ hiệu quả cho mạng vành đai, bên trong và Web, các mạng VPN phải tích hợp tính năng firewall. VPN-1 Power bao gồm phần mềm hàng đầu trong lĩnh vực firewall đó là Firewall-1 bảo vệ cho tất cả các dịch vụ trên Internet sử dụng công nghệ kiểm soát trạng thái của hãng Check Point. VPN-1 Power hỗ trợ hơn 150 ứng dụng, dịch vụ, giao thức khác nhau, bao gồm cả các ứng dụng Web, truyền thông điệp, ngang hàng, Oracle SQL, RealAudio và các dịch vụ đa phương tiện.
Hình 3. 1: VPN-1 Power là giải pháp về an toàn và kết nối tốt nhất đã được minh chứng cho các doanh nghiệp với các chi nhánh từ xa
VPN-1 Power gồm nhiều sản phẩm và công nghệ khác nhau phục vụ cho các kết nối VPN từ xa, kết nối nội bộ hay kết nối đối tác như:
Công nghệ One-Click VPN
Với công nghệ One-Click VPN, các mạng VPN quy mô lớn có thể được tạo ra chỉ với một vài thao tác đơn giản. Bằng cách định nghĩa các thành phần tham gia mạng VPN thành các nhóm, một tổ chức có thể thiết lập các thông số an toàn cho toàn bộ một VPN như một intranet, extranet hoặc triển khai truy cập từ xa. Các thành phần trong một nhóm VPN tự động kết nối với nhau theo các thông số thiết lập cho từng nhóm VPN. Khi các site mới được bổ sung vào nhóm, chúng tự động được gán các thuộc tính của nhóm và tham gia mạng VPN như tất cả các thành viên khác trong nhóm.
Các khả năng thiết lập VPN site-to-site tiên tiến.
VPN-1 hỗ trợ mô hình truyền thống tạo các nhóm VPN với các địa chỉ IP tĩnh của các VPN gateway. Công nghệ mới của VPN-1 cho phép kết nối VPN dựa trên bảng định tuyến, mô hình kết nối VPN sẽ thay đổi tùy theo định tuyến trên mạng. Công nghệ này cho phép triển khai VPN mềm dẻo hơn và cho phép thiết đặt chính sách an toàn theo từng luồng VPN chứ không theo địa chỉ IP tĩnh như công nghệ cũ.
Xác thực mềm dẻo.
Các giải pháp của Check Point SecureVPN đưa ra nhiều lựa chọn xác thực bao gồm xác thực thẻ, RADIUS, và TACACS/TACACS. Ngoài ra, OpenPKI của VPN-1 đảm bảo giải pháp VPN-1 là tương thích với các giải pháp PKI hàng đầu của các nhà
cung cấp như Entrust, Verisign, và Baltimore Technologies tạo khả năng cho một tổ chức có thể quản lý những hệ thống IPSec VPN rất lớn. Với mô hình xác thực lai (Hybrid Mode Authentication), một tổ chức vẫn tận dụng được hệ thống xác thực mạnh đang dùng ví dụ như SecureID khi triển khai hệ thống IPSec. Những tổ chức muốn sử dụng phần mềm xác thực mạnh tích hợp sẵn "out of the box" có thể dụng Check Point One-Click Certificates. Với một Internal Certificate Authority có trong VPN-1 Power, các chứng thực số hoá X.509 được sinh ra và cấp cho các cổng VPN-1 và các máy trạm VPN-1 SecureClient. One-Click Certificate cung cấp tiêu chuẩn công nghiệp, sự xác nhận hai yếu tố mà không phức tạp và đắt như các hệ thống PKI khác.
Hỗ trợ nhiều công nghệ truy cập từ xa khác nhau. (adsbygoogle = window.adsbygoogle || []).push({});
VPN-1 Power cung cấp nhiều giải pháp kết nối từ xa khác nhau cho các máy trạm. SecureRemote cho phép người dùng tạo các kết nối an toàn VPN cơ bản. SecureClient cung cấp thêm tính năng firewall cá nhân bảo vệ cho các máy trạm với các chính sách an toàn tập trung. Integrity SecureClient cung cấp giải pháp toàn diện kết nối VPN và bảo vệ cho các máy trạm. SSL Network Extender, một thành phần Web plug-in, cung cấp giải pháp kết nối VPN SSL. VPN-1 Power cũng hỗ trợ Windown L2TP và các máy trạm Symbian.
Khi hệ thống firewall/VPN phát triển thì vấn đề tốc độ xử lý càng trở lên quan trọng. Check Point cung cấp framework SecureXL và công nghệ luồng cho phép các đối tác xây dựng các giải pháp VPN-1 tốc độ cao với giá thành hợp lý.
Tích hợp phân chia đường truyền QoS cho kết nối VPN
QoS là một yêu cầu cho tất cả các triển khai VPN yêu cầu tốc độ cao. Floodgate- 1 cho phép khách hàng ưu tiên băng thông dành cho các ứng dụng quan trọng.
Khả năng sẵn sàng cao và phân chia tải
ClusterXL cho phép nhiều gateway VPN-1 cùng xử lý dữ liệu. Nếu một gateway bị lỗi, tất cả các kết nối sẽ được tự động chuyển sang các gateway còn lại để xử lý. Tốc độ của hệ thống tăng gần như tuyến tính khi lắp đặt thêm các gateway mới.
Không dừng
Tích hợp với các giao thức định tuyến động như OSPF, BGP, ClusterXL cung cấp giải pháp sẵn sàng cao toàn diện hơn.
Cân bằng tải VPN
Cân bằng tải VPN là giải pháp sẵn sàng cao và chia tải cho các kết nối VPN từ xa. Các kết nối VPN từ xa sẽ được phân phối giữa nhiều VPN gateway đặt tại nhiều vị trí địa lý khác nhau. Khi một VPN gateway bị lỗi, các máy trạm VPN sẽ tự động chuyển sang kết nối đến các VPN gateway còn lại.
b. Mô hình lab cài đặt
Phần mềm Check Point cài đặt trên Firewall Nokia theo 2 kiểu: Standalone và Distributed
Setup Standalone: Phần mềm Check Point với tất cả các module theo phiên
bản của nó tất cả được cài đặt trên Firewall Nokia bao gồm Management module
Hình 3. 2: Mô hình Firewall Nokia Setup Standalone
Setup Distributed: Checkpoint software với tất cả các module VPN-1/Firewall-1
với các module kèm theo cài đặt trên Nokia Firewall, không bao gồm Management module. Management module được cài đặt trên máy windows server 2003.
Hình 3. 3: Mô hình Firewall Nokia Setup Distributed