Hi,
Một câu hỏi quá chung chung, nếu bạn đưa ra yêu cầu cụ thể của khách hàng thì có thể dễ trả lời hơn. :shock:
Các sản phẩm điều có thế mạnh riêng rất khó so sánh, hơn nữa nếu dựa vào thông tin nhà sản xuất cung cấp thì có lẻ cũng chẳng so sánh được.

Chào!
Mình cũng nghĩ như vậy!
Thật ra,các FW đều đáp ứng được hầu hết các yêu cầu mà caonguyen đưa ra.Khả năng tích hợp vào hệ thống tất nhiên phải thỏa,nên mình nghĩ k nên đưa yếu tố này vào.
Vấn đề cốt lõi là số tính năng được tích hợp trong FW là bao nhiêu?có đủ những cái thiết yếu chưa?Và giá tiền cho thiết bị.
Sẽ có 2 quan điểm trái ngược nhau:
-Một hướng cho rằng tích hợp all-in-one sẽ ưu thế hơn về số tính năng,chi phí đầu tư và dễ quảnlý hơn nhờ tập trung
-Một hứong khác lại cho rằng all-in-one thì mỗi one sẽ không hoạt động với hiệu quả cao nhất do phải phụ thuộc vào khả năng tổng thể của thiết bị.Nên để các tính năng riêng do các thiết bị khác nhau đảm trách.Tuy nhiên,việc này đòi hỏi một kiến thức tổng quát của ADMIN.
Nói tóm lại,có thằng FW nào xuất hiện ở VN thì chúng ta cùng nhau phân tích hết,nhưng chọn FW nào còn tùy thuộc mình đang làm đại lý cho hãng nào nữa.
Chắc chắn không thể kết luận FW nào là tốt nhất.
Mến

Bạn chọn firewall ... thì.. thực ra chọn FW phụ thuộc vào kinh nghiệm nhiều :).

Tớ chọn Firewall theo kiểu thế này :

Trước tiên xác định Firewall này dùng để làm gì. Chổ nào cũng có thể đặt firewall được hết, nhưng thường thì có 3 chổ :

Edge Network : Nơi giao tiếp giữa trusted và untrusted network. Tức là Internet Edge cũa bạn đó. Yêu cầu firewall ở nơi này là : Dedicated Firewall Features, có hổ trợ nhiều Interface (dành cho DMZ) nếu có thể. Có thể tích hợp được với IDS. Hổ trợ Fail-Over trong trường hợp bị sự cố. Thường thấy nhất ở khu vực này là CheckPoint (mình chạy trên nền Nokia và sau đó tới Sun). Có nhiều Interface khác nhau, cho inside, outside, DMZ và cả Management nữa :). Các option khác ở đây có thể là PIX535 mặc dù ít người dùng. Các loại firewall khác tớ chưa dùng thì chưa biết tới, vì cơ bản Check Point Nokia SUN là một kết hợp tương đối tốt (Stability, Security and Performance).

Core Firewall : Firewall đặt ngay Distribution Edge của Network, dùng để kiểm soát policy, traffic và security cho cùng một Autonomous System. Yêu cầu lớn nhất của firewall trong vùng này là bạn vừa bảo đảm security, nhưng đảm bảo performance và tốc độ chuyễn mạch cao. Thường thì 1 Firewall Service Module và 1 IDS Service Module trên dòng Catalyst 6500 ở khu vực Core / Distribution Edge là kết hợp thường thấy nhất. FWSM không ảnh hưởng đến Performance của lưu lượng traffic flow :), điều này làm cho nó là lựa chọn thix hợp nhất nếu bạn sữ dụng sản phẩm Cisco :). Có thể các vendor khác cũng có chức năng tương tự, nhưng một lần nữa, tớ chưa dùng chưa dám có ý kiến :D hhehehe.

Datacenter Firewall : Thực sự thì Datacenter Firewall đôi khi được tích hợp vào cả Distribution Edge firewall, nhưng muh đôi khi, lại đôi khi, để riêng trong các hệ thống lớn (ISP chẳng hạn). DC FW cũng có tính chất giống giống Dist Edge, ở điểm performance rất quan trọng, nhưng cũng đặt vấn đề Security lên hàng đầu, vừa phải bảo đảm mọi người có thể truy cập vào bình thường, nhưng vẩn phải bảo đảm an ninh cho nó. DC FW thì mình chỉ đề nghị dùng Check Point SUN, hoặc FWSM + NAM Module trên Catalyst 6500.

Vài ý kiến

Re: Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

Có rất nhiều lý do để chọn Firewall phải không các bạn sau đây mình có thể đưa ra lựa chọn theo doanh nghiệp của Cisco và CheckPoint như sau

- Đối với doanh nghiệp nhỏ
Checkpoint: Dòng thiết bị safe@office, Có thể là CheckPoint Express nếu doanh nghiệp cần tính linh động hơn trong chính sách của Firewall
Cisco: Pix 201, PIX 506E, PIX 515E
Đối với doanh nghiệp Trung Bình
Checkpoint:
CheckPoint Express cài trên thiết bị Celestix FV930, FV940 Nokia 330, Nokia 350, Nokia 380, Sun iForce v60x. Tuy nhiên trong trường hợp này CheckPoint có thể linh hoạt cài trên các máy chủ hệ điều hành Windows, Linux, Solaris, SecurePlatform(Hệ điều hành do cehckPoint phát triển.
Cisco: PIX 515E, PIX525
-Đối với các doanh nghiệp lớn/ISP
CheckPoint: CheckPoint Enterprise/CheckPoint Enterprise Pro chạy HA và LoadSharing cài trên các thiết bị Resilience DX4000, Hay trên Nokia IP530, Nokia IP710, Nokia IP740, Sun iForce V65x.

Đối với các ISP có thể sử dụng CheckPoint VSX

Nokia: PIX 535
Tuy nhiên tùy thuộc vào nhiều yếu tố của các doanh nghiệp này hay các ISP mình có thể đưa ra giải pháp như TGA nêu ra ở trên.
Proventia M là dòng sản phẩm Firewall/VPN kết hợp với IDS/IPS/AV/Content filtering chủ yếu phục vụ các doanh nghiệp lớn với gái thành thấp, dòng sản phẩm FW của ISS mới đưa ra chưa được kiểm nghiệm trên thị trường, Tuy nhiên dựa vào uy tín của ISS thì có thể đây là một giải pháp tốt cho người sử dụng vì nhiều tính năng tích hợp trên Gateway.
Tuy nhiên còn nhiều lý do để chọn Firewall
Các bạn xem và góp ý thêm

xin chào ! mọi người, tui có sơ đồ mãng như sau:
+một router adsl , kết nối internet.
+một firewall cisco pix 501.
+phía dưới là khoảng 50 máy pc nội bộ cty,

cần: cấu hình cisco pix 501 làm firewall, tất cả các máy đều đi net (hoặc có một số máy ko cho đi net), cấm tất cả các dịch vụ từ ngoài vào mạng nội bộ cty.

Ai có cấu hình tham khảo cho xin xem thử ! cám ơn.

Cấu hình thì chắc mở thread khác đi.

Doanh nghiệm nhỏ chừng 20 máy, nếu không vướng các vấn để về Liscense cho Check Point thì dùng Nokia IP 130 cũng tốt, vừa làm FW, vừa có làm VPN Concetrator cũng được. Thường thì tớ kô favor cho PIX lắm.

Theo quan điểm cá nhân, tôi thích dùng các Software firewall hơn

- Processor nhanh hơn
- Chạy nhiều layer hơn, thời buổi bi giờ virus và hack nhiều như SPAM ý, Hard Fw e chưa ổn.

còn Statefull Inspection thì hãng nào cũng có, tuy nhiên mỗi hãng là một kiểu khác nhau, bạn nghĩ mà xem nếu Firewall chỉ chạy tầng Transport và Network thì làm được những việc gì. Ngày nay các firewall cứng cũng dễ mở rộng việc này khi có các plug-in bên ngoài chạy tầng cao hơn, tuy nhiên làm giảm nhiều về performance của hệ thống.

đôi chút suy nghĩ, mong được trao đổi thêm.

tuanevnit

Hi Tuấn,
Mình có một số ý kiến về hardware fw và software FW như sau
- Nếu chọn software firewall có lẽ bạn chọn CheckPoint hoặc một số phần mềm khác
- Giải pháp này mang tính linh động và tích hợp với các OS, software về IDS, Gateway AV.
- Giải pháp FW của ISS tích hợp tất cả mọi thứ như FW/VPN/AV/IDS/IPS và Content filtering.
-Tuy nhiên khi thiết kế các Appliance của CheckPoint như Nokia... hay PIX FW thì nhà thiết kế đã đảm bảo tốc độ xử lý của FW cho từng trường hợp cụ thể mình không phải lo nó không đảm bảo tốc độ. Tuy nhiên cũng nhiều người e ngại về tốc độ xử lý của các thiết bị này. Tuy nhiên bạn cũng có thể tích hợp như Nokia tích hợp IDS của Internet Security System. Và có lẽ tới đây các hãng như Cisco, Nokia cũng sẽ có sản phẩm tích hợp AV for Gateway không chừng.
- Nếu lo lằng về tốc độ CPU mình cũng có thể dùng Sun iForce, đây là dòng thiết bị của SUN có tốc độ CPU, RAM khá cao.
Nếu bạn lo lằng về những nguy cơ như AV, SPAM bạn cũng có khả năng dùng CVP, UFP... của CheckPoint để chuyển dòng thông tin qua các máychủ cài các thành phần AV for Gateway để xử lý.
Nếu dùng PIX Firewall trong trường hợp này có vẻ khó khăn hơn đối với CheckPoint.

Đây là một số ý kiến của minh các bạn cho thêm ý kiến khác

:D :)

Mình đã chọn Checkpoint, không biết có thằng Soft nào hay hơn không?

Hard thì có lẽ PIX và Nokia đang khá nổi.

Re: Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

Tại sao các bạn không tìm hiểu Firewall Fortinet , theo mình được biết một số ngân hàng tại Việt Nam đã dùng Fortinet firewall bảo vệ cho hệ thống của mình

Ngân hàng dùng không có nghĩa là tốt :) :D.

Bạn định nghĩa thế nào là softfire ? thế nào là HardFire ?

Làm thế nào bạn thuyết phục được 1 người là : CheckPoint tốt hơn PIX ?

TGA hỏi ai thế nhỉ?

tui thấy PIX thua đứt đuôi các sản phẩm khác ở chỗ giá thành.

nếu tiền vô biên thì có lẽ tui mới liếc mắt đến nó.

hì.

Còn CP thì quá tệ về mặt customer support, nếu bạn đảm bảo rằng hoàn toàn làm chủ được nó thì cũng hay đấy, vì lúc đó không còn đau đầu về hàng chục kiểu License khác nhau và việc đổi tên license như thay áo.

được cái rẻ và có người crack được (!!! ưu điểm hay vượt trội CISCO SECURE PIX)

Hi,

Trong đợt thầu gần đây nhất cho thấy PlatForm CrossBeam Firewall vượt trội các vendor khác về ưu điểm kỹ thuật.

Giá cả là do nhiều yếu tố quyết định, cũng tương đối chính xác nếu nói PIX mắc. Có một vấn đề nửa là PIX không thể tạo Virtual Firewall được. Tuan có vẻ có kinh nghiệm về việc nhiêu khê của license check point nhỉ ? :D , đúng thật là nó SH!T lắm á.