Ban đầu NAT được đưa ra để tiết kiệm các địa chỉ IP. Bởi địa chỉ IP có 32 bít cấp cho các đơn vị sẽ trở lên cạn kiệt nhanh chóng Nhưng NAT đã đem lại một số tác dụng bất ngờ so với mục đích ban đầu khi thiết kế nó.
Với NAT tất cả các máy tính thuộc mạng trong có một địa chỉ IP thuộc một dải các địa chỉ IP riêng ví dụ 10.0.0.0/8 mà các dịa chỉ này không sử dụng trên mạng Internet. Khi một máy thuộc mạng trong muốn kết nối ra Internet thì NAT computer sẽ thay thế địa chỉ IP riêng ( ví dụ 10.65.1.7) bằng địa chỉ IP được nhà ISPs cung cấp chẳng hạn.( ví dụ 23.1.8.3 )và khi đó gói tin sẽ được gửi đi với địa chỉ IP là 23.1.8.3 và khi nhận tin thì nó thay đổi đại chỉ IP đích để chúng ta thu được : 10.65.1.7 Ta có mô hình của Network Address Translation như hình trên.
Sở dĩ NAT tiết kiệm tài nguyên địa chỉ IP vì địa chỉ cho các host trong mạng nội bộ của các tổ chức có thể hoàn giống nhau.
Trong trường hợp có nhiều hơn một máy tính trong mạng nội bộ cần kết nối ra ngoài Internet đồng thời thì máy tính NAT phải có nhiều địa chỉ IP công cộng, với mỗi địa chỉ này cho một máy tính trong mạng nội bộ. Với các dịch vụ NAT ngày nay thì máy tính NAT chỉ cần một địa chỉ IP công cộng bởi vì ngoài việc biến đổi địa chỉ IP thì nó còn thay đổi số hiệu cổng và mỗi máy trong mạng cục bộ sẽ được thay đôi với một số hiệu cổng khác nhau. Vì có khoảng 65355 số hiệu cổng khác nhau nên một máy tính NAT có thể quản lý một mạng cục bộ với hàng ngàn máy tính. Kỹ thuật thay đổi số hiệu cổng được gọi là chuyển đổi địa chỉ cổng mạng – Network Address Port
Translation ( NAPT ).
Qua đây ta cũng thấy tính bảo mật của NAT đó là: Nó có khả năng dấu đi địa chỉ IP của các máy tính thuộc mạng cần bảo vệ. Đây cũng chính là một ưu điểm mà firewall đã tận dụng, khi đó thế giới bên ngoài chỉ có thể thấy giao diện mạng với địa chỉ IP công cộng.
2.3.4 Theo dõi và ghi chép ( Monitoring and Logging )
Mục đích của theo dõi và ghi chép là giúp người quản trị biết các module trong hệ thống Firewall có hoạt động đúng như mong đợi hay không? Có chắc chắn rằng Packet Filtering lọc các gói tin có tin cậy?
NAT có dấu được các địa chỉ IP của các host trong mạng nội bộ không? Proxy ứng dụng có chia rẽ được mạng bên trong cần bảo vệ với mạng bên ngoài không ?
Ngoài ra nó còn cho ta biết các kết nối hiện tại trong hệ thống, thông tin về các gói tin bị loại bỏ, máy tính nào đang cố gắng xâm nhập vào hệ thống của ta. Sau đây là bốn lý do để Firewall thực hiện chức năng theo dõi và ghi chép:
+ Các thông tin báo cáo hữu ích: Chúng ta muốn tổng hợp các thông tin để biết hiệu năng
của hệ thống Firewall, các thông tin trạng thái và thậm chí là sự thay đổi các account của người dùng với các dịch vụ.
+ Phát hiện xâm nhập: Nếu để một hacker thâm nhập vào mạng của chúng ta hacker này có
đủ thời gian ở lại trong đó thực hiện các hành động gây tổn thương cho hệ thống. Sự theo dõi thường xuyên các log files có thể giúp phát hiện các manh mối để đưa ra các chứng cứ giúp phát hiện sự xâm nhập vào mạng của chúng ta.
+ Khám phá các phương pháp tấn công mới: Khi chúng ta phát hiện thành công sự xâm
nhập thì chúng ta vẫn cần phải chắc chắn rằng hacker đã dừng lại và không thể thực hiện lại một lần nữa theo đúng cách mà hắn đã dùng lúc trước. Điều này yêu cầu chúng ta phải phân tích kỹ càng tất cả các log files. Với hy vọng rằng chúng ta sẽ phát hiện ra các dấu vết mà hacker từ đó đi vào mạng của ta và lần đầu tiên xâm nhập vào mạng của ta là khi nào. Cũng từ những thông tin phân tích được chúng ta có thể phát hiện ra các ứng dụng Trojan horse mà nó được cài đặt trong hệ thống của chúng ta.
+ Các chứng cứ pháp lý: Một lợi ích mở rộng của các log files là tạo ra các chứng cứ có tính
động tiếp theo của hacker tác động vào hệ thống.
Chương 3: Nghiên cứu các Giải pháp Checkpoint Gateway Security
3.1.Mô hình Mạng
Hình11 : Mô hình Checkpoint
1 Gateway Security
2 Internet
4 HTTP Proxy
5 Mail Server
6 Active Directory
7 SmartView Tracker và Smart Event
3.2. Giới thiệu Checkpoint Firewall Gateway Security Kiến trúc Check Point Software Blades
Môi trường an ninh ngày càng trở nên phức tạp hơn khi các doanh nghiệp với qui mô khác nhau buộc phài phòng thủ chống lại những nguy cơ mới và đa dạng. Cùng với những mối đe dọa mới xuất hiện, là các giải pháp an ninh mới, các nhà cung cấp mới, phần cứng đắt tiền và gia tăng độ phức tạp. Khi ngành IT phải chịu áp lực ngày càng tăng để làm được nhiều hơn với nguồn lực và phần cứng đang có, thì phương pháp tiếp cận này sẽ ngày càng không thể chấp nhận được.
Kiến trúc Software Blade của Check Point đề xuất một cách thức tốt hơn, cho phép các tổ chức “cắt may” một cách hiệu quả các giải pháp mục tiêu, phù hợp các nhu cầu an ninh doanh nghiệp đề ra. Toàn bộ các giải pháp được quản lý tập trung thông qua bàn điều khiền duy nhất nhằm hạn chế sự phức tạp và quá tải vận hành. Với tư cách một ứng cứu khẩn cấp các mối đe dọa, kiến trúc Software Blade của Check Point mở rộng các dịch vụ một cách nhanh chóng và linh hoạt khi cần thiết mà không cần bổ sung phần cứng hay tăng độ phức tạp.
Check Point Software Blades là kiến trúc đầu tiên, cũng là duy nhất trong ngành nhằm cung cấp an ninh mạng một cách linh hoạt và quản trị tập trung cho các công ty có qui mô bất kỳ. Với khả năng chưa từng thấy này, Check Point Software Blades cung cấp sự bảo vệ với giá sở hữu thấp và giá thành hợp lý mà vẫn có thế đáp ứng bất kỳ nhu cầu an ninh mạng nào, hôm nay và trong tương lai.
Software blade là gì?
Software blade là một khối kiến trúc an ninh logic có tính độc lập, modull hóa và quản lý tập trung. Software Blades có thể được sẵn sàng và cấu hình theo một giải pháp dựa trên những nhu cầu kinh doanh cụ thể. Và khi có nhu cầu, các blades bổ sung có thể được kích hoạt để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần cứng.
Những lợi ích chính của Kiến trúc Check Point Software Blade
+Khả năng điều khiển – Cho phép triển khai nhanh các dịch vụ an ninh. Tăng cường hiệu suất làm việc thông qua quản trị blade tập trung.
+An Ninh Toàn diện – Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm thực thi, và toàn bộ các lớp mạng.
+Tổng giá thành sở hữu (TCO) thấp – Bảo vệ sự đầu tư thông qua củng cố và sử dụng hạ tầng phần cứng đang có.
+Năng suất đảm bảo – Cho phép dự phòng tài nguyên nhằm bảo đảm các mức độ dịch vụ.
Security Gateway Software Blades
+Firewall -Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và dịch vụ với tính năng công nghệ kiểm soát thích ứng và thông minh nhất.
+IPsec VPN – kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site-to-Site được quản lý truy cập từ xa mềm dẻo.
+IPS – Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao phủ các nguy cơ tốt nhất
+Web Security – Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ mạnh nhất chống lại các tấn công tràn bộ đệm.
+URL Filtering – Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm.
+Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus heuristic, ngăn chặn virus, sâu và các malware khác tại cổng.
+Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam, bảo vệ các servers và hạn chế tấn công qua email.
+Advanced Networking – Bổ sung định tuyến động, hỗ trợ multicast và Quality of Service (QOS) cho các cổng an ninh.
+Acceleration & Clustering – Công nghệ được cấp bằng SecureXL và ClusterXL cung cấp sự kiểm soát packet nhanh như chớp, tính sẵn sàng cao và cân bằng tải.
+Voice over IP - Có hơn 60 phòng thủ ứng dụng VoIP và các phương pháp QoS tiên tiến bảo vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công từ chối dịch vụ trong khi cung cấp thoại chất lượng cao.
Security Management Blades
+Network Policy Management – Quản lý chính sách an ninh mạng toàn diện cho các cổng Check Point và blades thông qua SmartDashboard, là bàn điều khiển đơn hợp nhất.
+Endpoint Policy Management – Triển khai, quản trị, giám sát tập trung và ép buộc chính sách an ninh cho toàn bộ các thiết bị đầu cuối trên toàn tổ chức qui mô bất kỳ.
+Logging & Status – Thông tin toàn diện ở dạng nhật ký (logs) và bức tranh toàn cảnh của những thay đổi trên các cổng, các kênh (tunnels), những người dùng từ xa và các hoạt động bảo mật. +Monitoring – Cái nhìn tổng thể của mạng và năng xuất an ninh, cho phép ứng xử nhanh chóng các thay đổi trong mẫu lưu thông và các sự kiện an ninh.
+Management Portal – Mở rộng tầm nhìn dựa trên trình duyệt của các chính sách an toàn an ninh tới các nhóm bên ngoài như lực lượng hỗ trợ chẳng hạn trong khi vẫn bảo đảm kiểm soát chính sách tập trung.
+User Directory – Cho phép các cổng Check Point có tác dụng đòn bẩy với các kho thông tin người dùng trên cơ sở LDAP, hạn chế các rủi ro liên quan việc bảo trì và đồng bộ bằng tay các kho dữ liệu dư thừa.
+IPS Event Analysis – Hệ thống quản lý sự kiện hoàn chỉnh cung cấp khả năng nhìn thấy các tình thế, dễ dàng cho việc áp dụng các công cụ chứng cứ, báo cáo.
+Provisioning – Cung ứng quản trị tập trung và dự phòng của các thiết bị an ninh Check Point thông qua bàn điều khiển quản trị đơn nhất.
+Reporting – Chuyển phần lớn dữ liệu mạng và an ninh sang dạng đồ họa, các báo cáo dễ hiểu.
+Event Correlation – So sánh và quản lý tương quan các sự kiện một cách tập trung và theo thời gian thực đối với các thiết bị Check Point và của các hãng thứ 3.
3. Cài đặt
`
Hình 12: Install Checkpoint Gaia R77
Hình 14: Phân vùng ổ đĩa
Hình 16: Điền địa chỉ interface
Hình 17 : Hoàn thành cài đặt Checkpoint R77
Hình 18: Cấu hình Web UI Checkpoint R77
Hình 20 : Kiểm tra lại cấu hình IP
Hình 22: Finish
Hình 24 : Server Checkpoint R77
4. Các thành phần của Smart Dashboard
Hình 26: Đăng nhập SmartDashboard
1.Anti Spam-Mail
Giới thiệu về Anti-Spam và Mail Security:
Sự phát triển không ngừng và chưa từng có trong email không mong muốn bây giờ đặt ra một mối đe dọa an ninh bất ngờ mạng. Như số lượng tài nguyên (không gian đĩa, băng thông mạng, CPU) dành cho xử lý email không mong muốn tăng từ năm này sang năm, nhân viên lãng phí nhiều thời gian phân loại thông qua email số lượng lớn không mong muốn thường được gọi là thư rác. Anti-Spam và Mail cung cấp quản trị mạng với một cách dễ dàng và trung tâm để loại bỏ hầu hết các thư rác đạt mạng của họ.
nội dung dựa trên phân loại Nội dung Mail IP Reputation Anti-Spam Sử dụng dịch vụ danh tiếng IP, hầu hết
các thư rác gửi đến bị chặn tại thời gian kết nối Block List Anti-Spam Chặn người gửi cụ thể dựa trên địa chỉ IP
hoặc địa chỉ của người gửi
Mail Anti-Virus Quét và lọc mail cho phần mềm độc hại Zero Hour Malware Protection Lọc mail sử dụng chữ ký phản ứng nhanh
IPS Hệ thống phòng chống xâm nhập để bảo
vệ thư
Hình 27: Giao diện Cấu hình dịch vụ Anti-Spam & Mail
2. Data Loss Prevention
Nhu cầu Chống suy hao Dữ liệu
Dữ liệu ngày nay dễ tiếp cận hơn và chuyển nhượng hơn bao giờ hết, và phần lớn các dữ liệu nhạy cảm tại mức độ khác nhau. Một số được giữ bí mật đơn giản chỉ vì nó là một phần của một tổ
chức nội bộ và không có nghĩa là sẽ có sẵn cho công chúng. Một số dữ liệu nhạy cảm do yêu cầu của công ty, luật pháp quốc gia, và quy định quốc tế. Thường giá trị của dữ liệu phụ thuộc vào nó bí mật còn lại - xem xét sở hữu trí tuệ và cạnh tranh.
Rò rỉ dữ liệu của bạn có thể xấu hổ hoặc tệ hơn, chi phí cạnh công nghiệp hoặc mất tài khoản. Cho phép tổ chức của bạn để hành động không tuân thủ các hành vi riêng tư và các luật khác có thể tồi tệ hơn lúng túng - sự toàn vẹn của tổ chức của bạn có thể bị đe dọa.
Bạn muốn bảo vệ sự riêng tư của tổ chức của bạn, nhưng với tất cả các công cụ để chia sẻ dễ dàng hơn thông tin, nó dễ dàng hơn để làm cho một sai lầm không thu hồi được. Để làm cho vấn đề phức tạp hơn, cùng với mức độ nghiêm trọng của rò rỉ dữ liệu, bây giờ chúng tôi có các công cụ mà vốn đã làm cho nó dễ dàng hơn để xảy ra: máy chủ đám mây, tài liệu của Google, và lạm dụng không chủ ý đơn giản các thủ tục công ty - như một nhân viên đem về nhà làm việc. Trong thực tế, hầu hết các trường hợp rò rỉ dữ liệu xảy ra do rò rỉ không chủ ý.
Giải pháp tốt nhất để ngăn chặn rò rỉ dữ liệu không chủ ý là để thực hiện một chính sách tự động của công ty đó sẽ bắt bảo vệ dữ liệu trước khi nó rời khỏi tổ chức của bạn. Một giải pháp như vậy được gọi là dữ liệu Loss Prevention (DLP). Nhận diện phòng chống mất dữ liệu, màn hình, và bảo vệ truyền dữ liệu thông qua kiểm tra nội dung sâu sắc và phân tích các thông số giao dịch (chẳng hạn như nguồn, đích, đối tượng dữ liệu, và giao thức), với một khuôn khổ quản lý tập trung. Trong ngắn hạn, DLP phát hiện và ngăn chặn việc truyền tải trái phép thông tin bí mật.
Phòng chống mất dữ liệu còn được gọi là dữ liệu rò rỉ phòng chống, phát hiện rò rỉ thông tin và phòng chống, thông tin rò rỉ phòng chống, giám sát nội dung và lọc, và đùn Phòng ngừa.
Lợi ích phòng chống mất dữ liệu
Check Point DLP tiết kiệm thời gian và cải thiện đáng kể thu nhập từ đầu. Công nghệ tiên tiến của nó cung cấp tự động hóa mà phủ nhận sự cần thiết phải phân tích dài và tốn kém và một nhóm để xử lý sự cố. Bây giờ bạn có thể di chuyển từ một chính sách phát hiện chỉ với một chính sách phòng ngừa chính xác và hiệu quả mà không đưa vào tư vấn bên ngoài hoặc thuê một đội ngũ an ninh.
Tất cả các chức năng này có thể dễ dàng quản lý thông qua SmartDashboard, trong một giao diện tương tự như khác Phần mềm Blades. Bạn sẽ không phải là một chuyên gia DLP từ ngày triển