Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

    Chào các bạn,

    Khi xây dựng giải pháp an toàn, an ninh mạng bạn phải chọn firewall như thế nào khi trên thị trường Việt Nam.

    - CheckPoint Firewall mang tính linh hoạt có khả năng cài trên tất cả các platform như Windows, Linux, Solaris. Về chuyên nghiệp có thể sử dụng trên các thiết bị chuyên dụng như Nokia, Celestix, Resilience, Sun iForce. Tích hợp khá tốt với các sản phẩm bảo mật trên gateway với 350 nhà sản xuất phần mềm bảo mật, thiết bị theo chuẩn OPSEC như phần mềm AV, Websense...

    - Pix Firewall được tích hợp khá tốt với kiến trúc mạng của Cisco. Bước đầu đã quan tâm đến bảo mật trên gateway như liên kết với Trend Micro để tích hợp vào FW và AV trên gateway

    - Sonic wall, Netsreen Firewall, Sonic Wall hay fortinet...

    - Proventia M series cua Internet security System đây là công nghệ tích hợp tất cả Firewall/VPN, IDS, IPS, AV, Content filtering.

    Tất cả sản phẩm firewall trên đều bảo vệ khá tốt với công nghệ "statefull inspection".
    Hỗ trợ Static NAT, Dynamic NAT.
    xác thực user.
    Bảo mật ứng dụng.
    Hỗ trợ VPN...

    Thật đau đầu cho người sử dụng khi lựa chọn firewall phải không các bạn? Khó có thể phân biệt được ưu điểm hay khuyết điểm của từng sản phẩm firewall.

    Trên diễn đàn này mình muốn nói đến trên quan điểm lựa chọn FW bạn sẽ lựa chọn giải pháp nào để tối ưu cho người sử dụng.

    Theo mình thì lựa chọn FW theo những tiêu chuẩn sau đây
    - Khả năng bảo vệ mạng tốt nhất.
    - Uy tín của hãng sản xuất Firewall.
    - Khả năng tích hợp vào hệ thống.
    - Khả năng đáp ứng những yếu tố như tốc độ xử lý Firewall, VPN.
    ....
    - Điều quan trọng không kém đó là giá thành sản phẩm


    Bạn nào có những so sánh hay tối ưu sản phẩm FW, giúp mọi người nhìn rõ hơn về tính năng từng sản phẩm cụ thể?

  • #2
    Hi,
    Một câu hỏi quá chung chung, nếu bạn đưa ra yêu cầu cụ thể của khách hàng thì có thể dễ trả lời hơn. :shock:
    Các sản phẩm điều có thế mạnh riêng rất khó so sánh, hơn nữa nếu dựa vào thông tin nhà sản xuất cung cấp thì có lẻ cũng chẳng so sánh được.

    Comment


    • #3
      Chào!
      Mình cũng nghĩ như vậy!
      Thật ra,các FW đều đáp ứng được hầu hết các yêu cầu mà caonguyen đưa ra.Khả năng tích hợp vào hệ thống tất nhiên phải thỏa,nên mình nghĩ k nên đưa yếu tố này vào.
      Vấn đề cốt lõi là số tính năng được tích hợp trong FW là bao nhiêu?có đủ những cái thiết yếu chưa?Và giá tiền cho thiết bị.
      Sẽ có 2 quan điểm trái ngược nhau:
      -Một hướng cho rằng tích hợp all-in-one sẽ ưu thế hơn về số tính năng,chi phí đầu tư và dễ quảnlý hơn nhờ tập trung
      -Một hứong khác lại cho rằng all-in-one thì mỗi one sẽ không hoạt động với hiệu quả cao nhất do phải phụ thuộc vào khả năng tổng thể của thiết bị.Nên để các tính năng riêng do các thiết bị khác nhau đảm trách.Tuy nhiên,việc này đòi hỏi một kiến thức tổng quát của ADMIN.
      Nói tóm lại,có thằng FW nào xuất hiện ở VN thì chúng ta cùng nhau phân tích hết,nhưng chọn FW nào còn tùy thuộc mình đang làm đại lý cho hãng nào nữa.
      Chắc chắn không thể kết luận FW nào là tốt nhất.
      Mến
      Vietnamese Professionals (VnPro)
      Tel: +84 8 5124257 - 5125314
      Fax: +84 8 5124314
      149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
      Tp.Ho Chi Minh
      http://www.chuyenviet.com

      VnPro - The way to get knowledge

      Comment


      • #4
        Bạn chọn firewall ... thì.. thực ra chọn FW phụ thuộc vào kinh nghiệm nhiều :).

        Tớ chọn Firewall theo kiểu thế này :

        Trước tiên xác định Firewall này dùng để làm gì. Chổ nào cũng có thể đặt firewall được hết, nhưng thường thì có 3 chổ :

        Edge Network : Nơi giao tiếp giữa trusted và untrusted network. Tức là Internet Edge cũa bạn đó. Yêu cầu firewall ở nơi này là : Dedicated Firewall Features, có hổ trợ nhiều Interface (dành cho DMZ) nếu có thể. Có thể tích hợp được với IDS. Hổ trợ Fail-Over trong trường hợp bị sự cố. Thường thấy nhất ở khu vực này là CheckPoint (mình chạy trên nền Nokia và sau đó tới Sun). Có nhiều Interface khác nhau, cho inside, outside, DMZ và cả Management nữa :). Các option khác ở đây có thể là PIX535 mặc dù ít người dùng. Các loại firewall khác tớ chưa dùng thì chưa biết tới, vì cơ bản Check Point Nokia SUN là một kết hợp tương đối tốt (Stability, Security and Performance).

        Core Firewall : Firewall đặt ngay Distribution Edge của Network, dùng để kiểm soát policy, traffic và security cho cùng một Autonomous System. Yêu cầu lớn nhất của firewall trong vùng này là bạn vừa bảo đảm security, nhưng đảm bảo performance và tốc độ chuyễn mạch cao. Thường thì 1 Firewall Service Module và 1 IDS Service Module trên dòng Catalyst 6500 ở khu vực Core / Distribution Edge là kết hợp thường thấy nhất. FWSM không ảnh hưởng đến Performance của lưu lượng traffic flow :), điều này làm cho nó là lựa chọn thix hợp nhất nếu bạn sữ dụng sản phẩm Cisco :). Có thể các vendor khác cũng có chức năng tương tự, nhưng một lần nữa, tớ chưa dùng chưa dám có ý kiến :D hhehehe.

        Datacenter Firewall : Thực sự thì Datacenter Firewall đôi khi được tích hợp vào cả Distribution Edge firewall, nhưng muh đôi khi, lại đôi khi, để riêng trong các hệ thống lớn (ISP chẳng hạn). DC FW cũng có tính chất giống giống Dist Edge, ở điểm performance rất quan trọng, nhưng cũng đặt vấn đề Security lên hàng đầu, vừa phải bảo đảm mọi người có thể truy cập vào bình thường, nhưng vẩn phải bảo đảm an ninh cho nó. DC FW thì mình chỉ đề nghị dùng Check Point SUN, hoặc FWSM + NAM Module trên Catalyst 6500.

        Vài ý kiến
        -------------------------------------------------------
        Yamaha R6 Rider
        Tôi là Yuna_admirer.

        Comment


        • #5
          Re: Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

          Có rất nhiều lý do để chọn Firewall phải không các bạn sau đây mình có thể đưa ra lựa chọn theo doanh nghiệp của Cisco và CheckPoint như sau

          - Đối với doanh nghiệp nhỏ
          Checkpoint: Dòng thiết bị safe@office, Có thể là CheckPoint Express nếu doanh nghiệp cần tính linh động hơn trong chính sách của Firewall
          Cisco: Pix 201, PIX 506E, PIX 515E
          Đối với doanh nghiệp Trung Bình
          Checkpoint:
          CheckPoint Express cài trên thiết bị Celestix FV930, FV940 Nokia 330, Nokia 350, Nokia 380, Sun iForce v60x. Tuy nhiên trong trường hợp này CheckPoint có thể linh hoạt cài trên các máy chủ hệ điều hành Windows, Linux, Solaris, SecurePlatform(Hệ điều hành do cehckPoint phát triển.
          Cisco: PIX 515E, PIX525
          -Đối với các doanh nghiệp lớn/ISP
          CheckPoint: CheckPoint Enterprise/CheckPoint Enterprise Pro chạy HA và LoadSharing cài trên các thiết bị Resilience DX4000, Hay trên Nokia IP530, Nokia IP710, Nokia IP740, Sun iForce V65x.

          Đối với các ISP có thể sử dụng CheckPoint VSX

          Nokia: PIX 535
          Tuy nhiên tùy thuộc vào nhiều yếu tố của các doanh nghiệp này hay các ISP mình có thể đưa ra giải pháp như TGA nêu ra ở trên.
          Proventia M là dòng sản phẩm Firewall/VPN kết hợp với IDS/IPS/AV/Content filtering chủ yếu phục vụ các doanh nghiệp lớn với gái thành thấp, dòng sản phẩm FW của ISS mới đưa ra chưa được kiểm nghiệm trên thị trường, Tuy nhiên dựa vào uy tín của ISS thì có thể đây là một giải pháp tốt cho người sử dụng vì nhiều tính năng tích hợp trên Gateway.
          Tuy nhiên còn nhiều lý do để chọn Firewall
          Các bạn xem và góp ý thêm

          Comment


          • #6
            xin chào ! mọi người, tui có sơ đồ mãng như sau:
            +một router adsl , kết nối internet.
            +một firewall cisco pix 501.
            +phía dưới là khoảng 50 máy pc nội bộ cty,

            cần: cấu hình cisco pix 501 làm firewall, tất cả các máy đều đi net (hoặc có một số máy ko cho đi net), cấm tất cả các dịch vụ từ ngoài vào mạng nội bộ cty.

            Ai có cấu hình tham khảo cho xin xem thử ! cám ơn.
            Đinh Minh Quới
            CCNA, LPI102
            web Site: www.serveroffline.org
            diển đàn chuyên cung cấp server game offline miển phí
            Email : minhquoi2002@yahoo.com
            VnPro - The way to get knowledge
            YIM: trinhhuy2002
            Mobile: +84 909 053134

            Comment


            • #7
              Cấu hình thì chắc mở thread khác đi.

              Doanh nghiệm nhỏ chừng 20 máy, nếu không vướng các vấn để về Liscense cho Check Point thì dùng Nokia IP 130 cũng tốt, vừa làm FW, vừa có làm VPN Concetrator cũng được. Thường thì tớ kô favor cho PIX lắm.
              -------------------------------------------------------
              Yamaha R6 Rider
              Tôi là Yuna_admirer.

              Comment


              • #8
                Theo quan điểm cá nhân, tôi thích dùng các Software firewall hơn

                - Processor nhanh hơn
                - Chạy nhiều layer hơn, thời buổi bi giờ virus và hack nhiều như SPAM ý, Hard Fw e chưa ổn.

                còn Statefull Inspection thì hãng nào cũng có, tuy nhiên mỗi hãng là một kiểu khác nhau, bạn nghĩ mà xem nếu Firewall chỉ chạy tầng Transport và Network thì làm được những việc gì. Ngày nay các firewall cứng cũng dễ mở rộng việc này khi có các plug-in bên ngoài chạy tầng cao hơn, tuy nhiên làm giảm nhiều về performance của hệ thống.

                đôi chút suy nghĩ, mong được trao đổi thêm.

                tuanevnit
                Mai Anh Tuấn:)

                Comment


                • #9
                  Hi Tuấn,
                  Mình có một số ý kiến về hardware fw và software FW như sau
                  - Nếu chọn software firewall có lẽ bạn chọn CheckPoint hoặc một số phần mềm khác
                  - Giải pháp này mang tính linh động và tích hợp với các OS, software về IDS, Gateway AV.
                  - Giải pháp FW của ISS tích hợp tất cả mọi thứ như FW/VPN/AV/IDS/IPS và Content filtering.
                  -Tuy nhiên khi thiết kế các Appliance của CheckPoint như Nokia... hay PIX FW thì nhà thiết kế đã đảm bảo tốc độ xử lý của FW cho từng trường hợp cụ thể mình không phải lo nó không đảm bảo tốc độ. Tuy nhiên cũng nhiều người e ngại về tốc độ xử lý của các thiết bị này. Tuy nhiên bạn cũng có thể tích hợp như Nokia tích hợp IDS của Internet Security System. Và có lẽ tới đây các hãng như Cisco, Nokia cũng sẽ có sản phẩm tích hợp AV for Gateway không chừng.
                  - Nếu lo lằng về tốc độ CPU mình cũng có thể dùng Sun iForce, đây là dòng thiết bị của SUN có tốc độ CPU, RAM khá cao.
                  Nếu bạn lo lằng về những nguy cơ như AV, SPAM bạn cũng có khả năng dùng CVP, UFP... của CheckPoint để chuyển dòng thông tin qua các máychủ cài các thành phần AV for Gateway để xử lý.
                  Nếu dùng PIX Firewall trong trường hợp này có vẻ khó khăn hơn đối với CheckPoint.

                  Đây là một số ý kiến của minh các bạn cho thêm ý kiến khác

                  :D :)

                  Comment


                  • #10
                    Mình đã chọn Checkpoint, không biết có thằng Soft nào hay hơn không?

                    Hard thì có lẽ PIX và Nokia đang khá nổi.
                    Mai Anh Tuấn:)

                    Comment


                    • #11
                      Re: Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

                      Tại sao các bạn không tìm hiểu Firewall Fortinet , theo mình được biết một số ngân hàng tại Việt Nam đã dùng Fortinet firewall bảo vệ cho hệ thống của mình

                      Comment


                      • #12
                        Ngân hàng dùng không có nghĩa là tốt :) :D.

                        Bạn định nghĩa thế nào là softfire ? thế nào là HardFire ?

                        Làm thế nào bạn thuyết phục được 1 người là : CheckPoint tốt hơn PIX ?
                        -------------------------------------------------------
                        Yamaha R6 Rider
                        Tôi là Yuna_admirer.

                        Comment


                        • #13
                          TGA hỏi ai thế nhỉ?

                          tui thấy PIX thua đứt đuôi các sản phẩm khác ở chỗ giá thành.

                          nếu tiền vô biên thì có lẽ tui mới liếc mắt đến nó.

                          hì.
                          Mai Anh Tuấn:)

                          Comment


                          • #14
                            Còn CP thì quá tệ về mặt customer support, nếu bạn đảm bảo rằng hoàn toàn làm chủ được nó thì cũng hay đấy, vì lúc đó không còn đau đầu về hàng chục kiểu License khác nhau và việc đổi tên license như thay áo.

                            được cái rẻ và có người crack được (!!! ưu điểm hay vượt trội CISCO SECURE PIX)
                            Mai Anh Tuấn:)

                            Comment


                            • #15
                              Hi,

                              Trong đợt thầu gần đây nhất cho thấy PlatForm CrossBeam Firewall vượt trội các vendor khác về ưu điểm kỹ thuật.

                              Giá cả là do nhiều yếu tố quyết định, cũng tương đối chính xác nếu nói PIX mắc. Có một vấn đề nửa là PIX không thể tạo Virtual Firewall được. Tuan có vẻ có kinh nghiệm về việc nhiêu khê của license check point nhỉ ? :D , đúng thật là nó SH!T lắm á.
                              -------------------------------------------------------
                              Yamaha R6 Rider
                              Tôi là Yuna_admirer.

                              Comment

                              Working...
                              X