Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • #46
    Các yêu cầu giải pháp kỹ thuật của hệ thống firewall


    Tính sẵn sàng cao, khả năng hoạt động liên tục

    Hệ thống Firewall Gateway được đầu tư cần đảm bảo tính sẵn sàng cao, khả năng hoạt động liên tục và phải đảm bảo năng lực hoạt động ngay cả khi tải lưu lượng cao hoặc tăng đột biến. Ngoài ra, hệ thống cần hỗ trợ chế độ hoạt động song song, chia tải để đảm bảo tính mềm dẻo trong khai thác, sử dụng. Đặc biệt cần lưu ý khả năng hỗ trợ cơ chế cân bằng tải theo chế độ active-active với điều kiện vẫn phải đảm bảo thông số kỹ thuật tối thiểu khi một đơn thể gặp sự cố.

    Để đảm bảo điều kiện hoạt động liên tục, hệ thống Firewall Gateway quốc tế tại mỗi điểm còn cần phải có khả năng dự phòng, bao gồm cả dự phòng các thành phần thiết bị lẫn dự phòng thiết bị.

    Đối với dự phòng các thành phần thiết bị, mỗi thiết bị cần lưu ý đến các yêu cầu sau:

    Dự phòng và thay nóng ở thành phần chuyển mạch, điều khiển
    Dự phòng và thay nóng ở thành phần giao diện
    Dự phòng và thay nóng ở nguồn nuôi, hệ thống làm mát
    Đối với dự phòng thiết bị trong mỗi hệ thống, cần lưu ý đến việc đáp ứng các cấu hình kỹ thuật sau:

    Hỗ trợ hoạt động ở chế độ sẵn sàng cao (HA) với giao tiếp Gigabit
    Hỗ trợ HA hoạt động ở chế độ Active-Passive Full Synchronization
    Hỗ trợ HA hoạt động ở chế độ Active-Active Full-Mesh
    Hỗ trợ đấu nối nhiều thiết bị firewall với nhau để tăng năng lực hệ thống theo cấu hình multi-firewall
    Khả năng nâng cấp và mở rộng

    Để đáp ứng yêu cầu chủ động trong hoạt động và bảo vệ đầu tư của hệ thống, hệ thống firewall cần hỗ trợ các tính năng mở rộng:

    Mở rộng số lượng đơn thể trong một hệ thống với cấu hình các đơn thể vận hành song song hoặc chia tải. Việc thêm các đơn thể này phải không thay đổi cấu hình với các thiết bị sẵn có. Đặc biệt lưu ý khả năng mở rộng số lượng đơn thể mà không phải thêm các thiết bị mở rộng.

    Hệ thống cần có tính mở, hỗ trợ kết nối tới nhiều loại thiết bị firewall của các hãng khác nhau đảm bảo hệ thống hoạt động hiệu quả với năng lực bằng tổng năng lực của các thiết bị firewall thành phần.

    Khả năng tăng cường của thiết bị firewall cần thể hiện rõ qua các thông số về năng lực của CPU, bộ nhớ trong, bộ nhớ ngoài, khả năng nâng cấp phần mềm; cũng như các giải pháp đấu nối, giao diện đấu nối và các khuyến nghị về chế độ hoạt động của hệ thống.

    Khả năng trong suốt với các dịch vụ khác nhau
    Do sự phát triển của các giao tiếp đa phương tiện trên môi trường Internet, yêu cầu của các thuê bao đối với nhà cung cấp dịch vụ như ISP đòi hỏi hệ thống Firewall Gateway quốc tế phải đáp ứng hỗ trợ các dịch vụ voice, data, video một cách trong suốt.

    Khả năng tương thích với hệ thống mạng hiện tại
    Các hệ thống Firewall Gateway quốc tế khi đưa vào hoạt động phải không ảnh hưởng đến hoạt động và kiến trúc vĩ mô của mạng hiện có, hệ thống phải độc lập, trọn gói để không cần đầu tư thêm thiết bị phụ trợ để kết nối.

    Giải pháp đấu nối
    Hệ thống mạng VNN sử dụng các giao diện đấu nối Gigabit Ethernet, do đó các hệ thống Firewall Gateway quốc tế đang được đề cập phải có khả năng tích hợp hoàn toàn với hệ thống mạng hiện có.

    Hệ thống phải hỗ trợ các kết nối ở lớp 2 (bridging), lớp 3 (routing) và chuyển mạch lớp 4.

    Các yêu cầu đối với các thiết bị khác hiện có để có thể tích hợp hoàn toàn như đã nói ở trên cần phải được lưu ý một cách chi tiết để đảm bảo hiệu suất tối ưu của hệ thống mạng sau khi tích hợp:

    Tính ổn định của hệ thống trong thực tế

    Các hệ thống cần đáp ứng yêu cầu có tính ổn định trong điều kiện đưa vào khai thác thực tế, có độ suy giảm nhỏ so với các yêu cầu bắt buộc đã được đưa ra trong các tình huống như kích thước gói tin nhỏ, xử lý đồng thời các gói tin có kích thước khác nhau…

    Giải pháp an ninh

    Các hệ thống Firewall Gateway phải là các hệ thống hiện đại đáp ứng mục tiêu bảo vệ trong môi trường Internet phát triển cực kỳ nhanh chóng.

    Do đó, các nhà tích hợp hệ thống cần lưu ý đến việc cung cấp các giải pháp an ninh tổng thể có được từ các nhà sản xuất cũng như có được từ quá trình nghiên cứu của bản thân mình cho VDC, bao gồm:

    Các loại lỗ hổng bảo mật và các kiểu tấn công vào an ninh mạng đã và đang phổ biến hoặc mới được phát triển gần đây
    Giải pháp kỹ thuật để đạt hiệu quả an ninh cao nhất
    Các giải pháp kiểm soát truy cập, an toàn mạng
    Các giải pháp quản lý rủi ro, an toàn trong vận hành
    Các chính sách, các chuẩn an toàn thông tin
    Tính năng kỹ thuật chung của các hệ thống Firewall
    Các hệ thống Firewall đang đề cập cần đảm bảo các yêu cầu cơ bản sau:

    Hỗ trợ công nghệ kiểm tra trạng thái gói tin. Các hệ thống firewall cần phải được nhà cung cấp mô tả rõ việc ứng dụng công nghệ này, các thông tin nào được phân tích sử dụng và các thông tin nào có thể báo cáo lại:

    Khi nào, trong ngữ cảnh nào firewall sẽ áp dụng công nghệ này
    Các loại thông tin trong phần tiêu đề (header) của gói được kiểm tra
    Các thông tin về trạng thái cổng kết nối
    Dữ liệu phân mảnh các gói IP (số thứ tự, số mảnh)
    Thông tin lắp ráp gói, loại ứng dụng
    Liên hệ giữa các giao diện đi và đến của firewall
    Thông tin lớp 2, ngày giờ đi và đến của gói tin
    Hỗ trợ các phương thức xác thực theo luật, nhóm luật để tạo điều kiện kiểm soát và hỗ trợ khách hàng tốt nhất.

    Hỗ trợ tạo luật theo nguyên tắc mở toàn bộ, cấm theo yêu cầu

    Hỗ trợ các dịch vụ TCP và UDP bất kỳ, có thể định danh các nhóm giao thức để sử dụng theo yêu cầu thực tế ngoài các nhóm giao thức chuẩn hoặc đã được hệ thống định nghĩa sẵn.

    Hỗ trợ kiến trúc DMZ

    Hỗ trợ các giao tiếp Ethernet tốc độ cao như FastEthernet, Gigabit Ethetnet, hỗ trợ Trunking

    Phát hiện, ngăn chặn và cảnh báo các kiểu tấn công thông dụng như DoS, DDoS, PortScan, IP Spoofing,...

    Hỗ trợ các kiểu lọc URL:

    Websense Server
    N2H2
    SmartFilter
    Khả năng lọc URL có sẵn trong bản thân hệ thống firewall
    Dữ liệu truyền qua các giao tiếp Gigabit HA phải được mã hóa

    Tính năng QoS, Traffic Management

    Cần có khả năng lọc lệnh ứng dụng (command blocking). Cần nêu biện pháp tích hợp với các hệ thống anti-virus (hoặc qua các plug-in).

    Hỗ trợ tính năng VPN

    Phương thức hỗ trợ tạo firewall ảo

    Hỗ trợ tính năng kiểm tra các ứng dụng:

    GPRS/GTP (General Packet Radio Services/GPRS Transport Protocol)
    MGCP (Media Gateway Control Protocol)
    RTSP (Real-Time Streaming Protocol)
    H.323 (chuẩn ITU cho hội thảo điện thoại/video qua môi trường Internet bao gồm các chuẩn video H.264, H.263; các chuẩn audio G.723.1, G.728, G.729; các chuẩn data H.239, T.120 và các chuẩn control H.225, H.245).
    Hỗ trợ các tính năng chuyển đổi địa chỉ mạng:

    Dynamic NAT
    Static NAT
    PAT
    PAT dùng địa chỉ của giao diện
    Inbound Port Redirection
    Kết nối Inbound sử dụng địa chỉ của giao diện
    Các phương thức NAT/PAT có thể sử dụng khác
    Các giao thức hệ thống firewall cần hỗ trợ
    Các giao thức IP:

    TCP/IP v4
    TCP/IP v6
    ARP
    UDP
    ICMP
    HTTP
    HTTPS
    FTP
    DNS
    MD5 Routing Authentication
    VLAN 802.1q
    Các phương thức định tuyến động:

    RIP
    RIP v2
    OSPF
    IS-IS
    BGP
    Các phương thức quản trị:

    SSH
    TFTP (Client)
    Telnet
    SNMP
    SNMP v2
    SNMP v3
    Giao diện GUI
    Giao diện Web
    Các phương thức mã hóa:

    IPSec (IP ESP, IP AH)
    SHA-1
    GRE
    DES
    3DES
    AES
    IKE
    SSH v2
    SSL/TLS
    Khả năng xác thực bằng user/password:

    RADIUS
    TACACS
    TACACS+
    Cơ sở dữ liệu cục bộ trên hệ thống firewall
    Hỗ trợ ghi logfile:

    Ghi được các thông tin bao gồm địa chỉ IP nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức sử dụng, số hiệu cổng dịch vụ. Cần lưu ý khả năng ghi lại các URL với các dịch vụ HTTP, ghi lại thời gian và các thông tin tương ứng của người sử dụng đối với các luật có sử dụng tính năng xác thực
    Cho phép theo dõi logfile trực tuyến
    Hỗ trợ các giao thức multicast:

    IGMP v2
    Stub Multicast Routing
    Static mRoutes
    NAT và PAT trên địa chỉ multicast nguồn
    Các ứng dụng ACL trong lưu thông multicast


    Hỗ trợ các giao thức VoIP:

    SIP
    SCCP (Skinny)
    H.323 v4
    Hỗ trợ các phương thức quản trị:

    SSH
    SNMP
    Telnet
    Console
    HTTPS
    Web-based GUI
    VPN Tunnel
    Lưu ý trong trường hợp sử dụng các giao thức dùng riêng (proprietary)

    Nếu các thiết bị cần phải sử dụng các giao thức độc quyền của hãng sản xuất để hoạt động thì nhà cung cấp dịch vụ ISP cần phải nắm được một cách chi tiết phương thức làm việc của các giao thức này và khả năng tương tác, chuyển đổi cần sử dụng khi liên lạc với các thiết bị khác trong hệ thống mạng.

    Các yêu cầu về vấn đề quản trị

    Mỗi hệ thống Firewall phải có khả năng quản lý tập trung bởi một hệ thống quản trị thống nhất với giao diện đồ họa thân thiện, linh hoạt, và bảo mật tốt.
    Hệ thống quản trị này phải đảm nhiệm được các nhiệm vụ quản trị thiết bị, quản lý dịch vụ; đồng thời phải có khả năng phát hiện nhanh chóng và chính xác các lỗi xảy ra trên thiết bị.
    Hơn nữa, hệ thống quản trị còn phải có khả năng cảnh báo cho người quản trị về các lỗi thiết bị cũng như về hoạt động của firewall (bị tấn công gây ảnh hưởng đến hiệu năng,...). Các cơ chế cảnh báo này cần phải được mô tả chi tiết, bao gồm cả các yêu cầu để tích hợp với hệ thống firewall.
    Ngoài ra, hệ thống quản trị còn phải có khả năng phân cấp quyền quản trị theo các mức khác nhau: quản trị gốc, quản trị và chỉ đọc.
    Cần phải nêu biện pháp khắc phục các hỏng hóc, như, khi không thực hiện được thao tác khởi động lại tại chỗ thì quản trị viên có thể khởi động được từ mạng (net-booted) hoặc thực hiện thao tác khác để khắc phục.

    Các đặc tính, giao diện, phương thức truy cập, cấu hình, các thông số điều khiển và các chuẩn quốc tế cần tuân thủ của phần mềm quản trị thiết bị firewall cần phải được mô tả chi tiết.
    Long Nguyen

    Comment


    • #47
      Tới thời điểm, nếu tiếp tục thảo luận đề tài này sẽ hấp dẫn hơn nhiều vì trên thị trường hiện nay có nhiều sản phẩm phần cứng phần mềm khác nhau.

      Không hẳn chỉ có Pix và Checkpoint là tốt nhất đâu.

      Ngoài những gì đã liệt kê, xin list thêm vài chú:

      1/ Astaro
      2/ Side Winder G2
      3/ Watchguard
      4/ SSG
      5/ ...

      Nếu có thể các bác có thể bàn xem con nào, dòng nào có công nghệ độc nhất?

      Comment


      • #48
        Bây giờ mới xem lại kỹ cái bài này; hình như TGA_Cert có nhắc đến dòng CrossBeam.

        thực ra cách đây khoảng 1 năm mới được dùng đến cái này.

        Nó được misoft quảng cáo cực tốt (tôi chỉ xem nhưng số liệu thống kê); sau khi mua, cài, chạy thử - hiện nay CPU khoảng 70% và không thể chạy them SmartView.

        đã ai gặp trường hợp này chưa nhỉ? Con X45 của bên tớ cũng to khỏe lắm; nhưng chạy chưa được như mong đợi.
        Mai Anh Tuấn:)

        Comment

        Working...
        X