Giải pháp bảo mật Fortinet Chuẩn bị cho:
Lập bởi:
Techhorizon Nhận tài liệu
Ngày
Tên và chức vụ 3
Mục Lục
MỤC LỤC 3
1. TỔNG QUAN CHUNG 4
1.1. Giới thiệu hãng bảo mật Fortinet 4
1.2. Quan điểm xây dựng chính sách bảo mật 6
1.3. Nguyên lý xây dựng chính sách bảo mật 6
2. ĐỀ XUẤT GIẢI PHÁP BẢO MẬT 7
2.1. Giới thiệu tính năng Firewall Fortigate 7
2.1.1. Các tính năng nổi bật của phần cứng 7
2.1.2. Các tính năng UTM 11
2.1.3. Các tính năng nổi bật của dịch vụ 14
2.2. Đề xuất giải pháp 15
2.2.1. Lớp bảo vệ ngoại vi – Phân hệ UTM 15
Có trên 30 văn phòng ở các châu Mỹ, châu Á và châu Âu
Tập trung chính vào các giải pháp bảo mật.
Là nhà tiên phong trong các hệ thống antivirus chạy trên ASIC, đảm bảo tính
bảo vệ mạng theo thời gian thực
Đứng đầu danh sách đánh giá của IDC và Gartner đối với dòng sản phẩm UTM
Có năng lực tài chính mạnh, phát triển nhanh.
Là công ty duy nhất đạt được 8 chứng nhận của ICSA Lab và 2 chứng chỉ NSS Lab
Các sản phẩm bảo mật của Fortinet gồm :
Fortigate Firewall : thiết bị bảo mật tường lửa + VPN, có thể tích hợp các tính năng
Antivirus, IPS, AntiSpam, Web filtering, Application Control, Data Leak Prevention …
FortiMail : thiết bị chuyên dùng để bảo vệ riêng hệ thống email khỏi
Antivirus/Worm/Spyware và AntiSpam
FortiAnalyzer : thiết bị ghi log tập trung và phân tích log, scan hệ thống để tìm ra lỗ
hỏng
FortiManager : thiết bị quản lý tập trung thiết bị Fortigate và FortiClient, cho phép
người quản trị quản lý, cấu hình, update và áp dụng chính sách bảo mật chung cho tất
tả các thiết bị Fortigate & FortiClient trong toàn hệ thống
FortiClient : phần mềm personal firewall + VPN cho người sử dụng di động. Có thể mua
thêm license để có thêm các tính năng Antivirus, AntiSpam & Web filtering
Fortiguard subscription service : license đăng ký sử dụng và update các tính năng
Antivirus, IPS, AntiSpam và Wen filtering. License có thể mua mới hàng năm hoặc nhiều
năm
Forticare service : dịch vụ hỗ trợ kỹ thuật, gia tăng thời gian bảo hành của sản phẩm
cũng như update các OS/firmware mới nhất cho sản phẩm. dịch vụ này có thể mua hàng
năm hoặc nhiều năm.
PHÚ YÊN, QUẢNG NGÃI, THÔNG TẤN XÃ VIỆT NAM,…
1.2. Quan điểm xây dựng chính sách bảo mật
Quan điểm của chúng tôi trong vấn đề an ninh mạng là: An ninh mạng là một tiến trình
lặp đi lặp lại, bao gồm các bước xoay vòng như sau:
Xác định các đối tượng cần được bảo vệ (máy chủ, các tài nguyên, các ứng
dụng, các thiết bị mạng, máy trạm, người dùng, .v.v.).
Xác định các hiểm họa có thể gây nên cho mạng và hệ thống.
Thiết lập chính sách an ninh mạng tương ứng với các đối tượng như các nhà lãnh
đạo, quản lý và tin học, quản trị mạng và người dùng.
Thiết lập các chính sách an ninh mạng bằng các phương pháp điện tử và hành
chính. Các phương pháp điện tử bao gồm: thiết kế quy hoạch lại mạng, Firewall,
VPN, IDP, bảo mật các lớp ứng dụng UTM (Antivirus, Antispam, Web Content
Filtering, Intrusion Prevention System, Application control, Data leak prevention)
và quản trị an ninh mạng.
Theo dõi an ninh mạng và phản ứng lại các biểu hiện bất thường.
Kiểm tra lại chính sách an ninh và các thiết bị an ninh mạng để đáp ứng lại các
thay đổi.
Tiếp tục theo dõi và quản lý an ninh mạng, thay đổi chính sách an ninh và cấu
hình các thiết bị an ninh mạng để phù hợp với ngữ cảnh an ninh mới.
1.3. Nguyên lý xây dựng chính sách bảo mật
An ninh mạng phải dựa trên nguyên tắc như sau: 7
Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều
sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp
đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt
khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì
xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh
Tính năng thành phần xử lý như sau:
FortiASIC Network Processor (NP): làm việc ở cấp độ
giao diện để hỗ trợ chuyển tiếp lưu lượng IPec offload
và giao thức unicast UDP/TCP. Thông lượng(throughput)
tối đa và số lượng cổng giao tiếp tùy theo model.
FortiASIC Content Processor (CP): làm việc ở cấp độ hệ
thống, đãm bảo chức năng cấp phát key SSL VPN và
tăng tốc xử lý các gói tin SSL, giải mã các thuật toán
bảo mật DES/3DES/MD5,SHA…. Khả năng tùy theo
model của chip.
Security Processor (SP-Hybrid): như modules ASM-CE4
và ADM-XE2, làm việc trên cấp độ giao diện và hệ
thống để tăng hiệu suất tổng thể thúc đẩy một số bảo
mật và xử lý các gói tin trên cổng giao tiếp. SP còn đảm
nhiệm các ứng dụng điều khiển (application), IPS, flow based antivirus proctection,
Complete Content Protection : Fortigate không đơn thuần chỉ là thiết bị bảo mật
kiểm soát trạng thái (stateful inspection) mà bảo mật lớp ứng dụng và quét toàn diện
nội dung gói tin (application level security and content protection). Bằng việc quét sâu
gói tin và bảo mật lớp ứng dụng, Fortigate giúp người dùng ngăn chặn được các đe dọa
và nguy cơ tấn công vào hệ thống mà các cơ chế ngăn chặn truyền thống không thực
hiện được, loại bỏ các đoạn code nguy hiểm nằm sâu hoặc ngụy trang bên trong gói tin.
Four score and seven years ago our
forefathers brought forth upon this
!!
!!
BAD CONTENT
BAD CONTENT
NASTY THINGS
NASTIER THINGS
DISALLOWED
CONTENT
BAD CONTENT
BAD CONTENT
NASTY THINGS
NASTIER THINGS
BAD CONTENT
BAD CONTENT
NASTY THINGS
NASTIER THINGS
DISALLOWED
CONTENT
Four score and B A D C O N T EN T our forefathers brou
ght forth upon this continent a new nation,
n liberty, and dedicated to the proposition that all
2. Compare against disallowed content and attack lists
Four score and seven years ago our
forefathers brought forth upon this
BAD CONTENT a new
liberty, and dedicated to the proposition
that all…
COMPLETE CONTENT PROTECTION
1. Reassemble packets into content
NASTIER THINGS
DISALLOWED
CONTENT
BAD CONTENT
BAD CONTENT
NASTY THINGS
NASTIER THINGS
BAD CONTENT
BAD CONTENT
NASTY THINGS
NASTIER THINGS
DISALLOWED
CONTENT
Four score and B A D C O N T EN T our forefathers brou
ght forth upon this continent a new nation,
n liberty, and dedicated to the proposition that all
2. Compare against disallowed content and attack lists9
Virtual Domains and Security zones : Các dòng sản phẩm Fortigate cung cấp các
chức năng VLAN, Virtual Domain (VDOM) giúp cho:
Các doanh nghiệp lớn có thể phân chia cấu hình các chính sách bảo mật cho hệ
thống mạng của từng phòng ban.
Các nhà cung cấp dịch vụ có thể cung cấp phân chia “firewall” của mình thành
các “firewall” nhỏ hơn cho từng khách hàng.
Các thiết bị Fortigate tích hợp sẵn từ 2 đến 10 VDOM, có thể nâng cấp lên 250
VDOM thông qua việc mua license.
Multi-Threat Security Appliance : Thiết bị Fortigate với các công nghệ bức tường lửa,
cổng VPN, và có thể tích hợp ngay trên Fortigate các chức năng
Phòng chống vi-rút và chống spam tại gateway cho email
Phát hiện và ngăn chặn xâm nhập,
Lọc nội dung Web và kiểm soát băng thông.
Chống mất mát dữ liệu và kiểm soát các ứng dụng truy cập internet.
Tối ưu mạng WAN để tiết kiệm băng thông và giảm chi phí vận hành mạng
11
VPN (IPSec, PPTP, SSL-VPN) : Giải pháp VPN của Fortinet đáp ứng các yêu cầu về
hiệu suất cũng như giá cả, thiết kế dạng ASIC. Tích hợp chặt chẽ với tính năng bảo vệ
ứng dụng, tường lửa, antivirus và IPS, Fortinet mang đến giải pháp VPN an toàn nhất
trên thị trường hiện nay. WebUI (giao diện cấu hình và quản lý bằng Web) : Hầu hết các người sử dụng đều
đánh giá cao Fortinet về phương diện này. Fortinet cung cấp cho người sử dụng một giao
diện quản lý và cấu hình thật tiện lợi, trực giác và dễ hiểu bằng giao diện Web. Bằng
WebUI, người quản trị có thể cấu hình, quản lý các tính năng bảo mật nâng cao cũng
như truy cập các chức năng logging và báo cáo nhanh chóng chỉ sau vài cú clik chuột.
Người quản trị không cần sử dụng đến các dòng lệnh (command line) mới cấu hình được.
2.1.2. Các tính năng UTM
Antivirus: Phòng chống lên đến 60.000 loại vi-rút & tự động cập nhật (push update)
chống spam là một phần thiết yếu củamọi chiến lược bảo vệ an ninh mạng. Spam làm
tiêu tốn thời gian của người sử dụng (user) và gây hại đến các tài nguyên mạng
(network resources).
Chức năng AntiSpam của Fortinet cho phép bảo vệ hệ thống khỏi spam và phishing ở
cấp độ gateway và như thế khách hàng không phải bận tâm cài đặt hay update các phần
mềm chống spam cho từng desktop nữa.
Các tính năng nổi bật :
Quét dò tìm “thư rác” thông qua danh sách địa chỉ IP, dò tìm địa chỉ email, kiểm
tra NIME header, kiểm tra cả nội dung email để xác nhận email có phải là spam
không.
Tỉ lệ phát hiện spam cao nhất (trên 97,4%) nhờ công nghệ lọc Bayesian,
Heuristics, hỗ trợ RBL, ORDB, dò tìm DNS, lọc theo theo “từ khóa hay cụm từ”,
Sai sót thấp nhất nhờ tính năng cập nhật danh sách “black/white”,….
Database server của Fortinet xử lý khoảng 500 triệu yêu cầu về “thư rác” hàng
tuần
Cung cấp các khả năng phòng chống và ngăn chặn thư rác tiên tiến nhất thông
qua đội ngũ kỹ sư nghiên cứu và phát triển của Fortinet trên toàn cầu.
Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box)
chứ không tính license theo người dùng (license per user)
Web content filtering : Ngày nay, lướt và truy cập internet để tra cứu và tìm kiếm
thông tin trở thành yếu tố rất quan trọng trong hoạt động hàng ngày của doanh nghiệp,
có thể đóng góp vào sự thành công của doanh nghiệp. Tuy nhiên, hành động truy cập
các trang web xấu, đen đã làm giảm năng suất hoạt động của doanh nghiệp, tiêu tốn
thời gian của nhân viên, tiền bạc và tài nguyên mạng của doanh nghiệp, và có thể vi
phạm các quy định của pháp luật về chính trị, đạo đức,…Chức năng Web content filtering
sẽ giúp quy định và kiểm soát được việc truy cập web của người dùng tuân thủ theo quy
định của pháp luật và chính sách sử dụng internet của doanh nghiệp
WAN Optimization (tối ưu mạng WAN)
Làm tăng hiệu suất mạng bằng việc làm giảm số lượng dữ liệu được truyền qua
mạng WAN.
Làm giảm các yêu cầu băng thông và nguồn tài nguyên Server.
Hỗ trợ các dịch vụ như: CIFS, FTP hoặc giao thức HTTP cũng như các traffic TCP
Hỗ trợ Byte caching, web caching, web proxy …
Hỗ trợ cho các kết nối VPN site-to-site, client to site …
Push Update : Hiện tại Fortinet áp dụng một cơ chế cập nhật tự động thông qua “công
nghệ đẩy”(Push Update) cho chức năng Antivirus, IPS và AntiSpam. Với cơ chế này,
Fortinet sẽ giúp các hệ thống bảo mật do Fortinet cung cấp được cập nhật các hình thức
tấn công, virus/spyware, Trojans, Spam… mới trong vòng vài phút, 24 giờ/ngày và trên
toàn thế giới. Đặc biệt các tính năng Antivirus, IPS, AntiSpam và Web filtering sẽ :
The FortiGuard Distribution Server
Network
Fast Response to Emerging
Threats
FortiGuard keeps your assets
continuously protected against threats
The FortiGuard Distribution Server
Network
Fast Response to Emerging
Threats
FortiGuard keeps your assets
continuously protected against threats
tài liệu kỹ thuật, các hình mẫu về cấu hình, xử lý sự cố.
Fortinet có nhiều gói dịch vụ cho khách hàng lựa chọn. 15 License subscription : Hiện tại Fortinet áp dụng một cớ chế tính thời gian đăng ký các
dịch vụ Fortiguard và Forticare hết sức “dễ chịu” :
Fortinet cho người sử dụng có khoảng thời gian là 365 ngày (tính từ ngày license
được phát hành) để đăng ký các license Fortiguard và Forticare với Fortinet. Nếu
quá thời gian là 365 ngày mà người sử dụng không đăng ký thì license sẽ không
còn hiệu lực.
Thời gian tính license bắt đầu từ lúc khách hàng hoàn tất thành công việc đăng
ký. Fortinet cũng không trừ lùi thời gian hiệu lức của license trong trường hợp
license cũ của khách hàng đã hết hạn trước thời gian thực hiện đăng ký mới.
Nếu license cũ của khách hàng vẫn còn hiệu lực thì Fortinet sẽ cộng dồn thời
gian hiệu lựclicense cho khách hàng.
2.2. Đề xuất giải pháp
2.2.1. Lớp bảo vệ ngoại vi – Phân hệ UTM
Các thiết bị firewall vùng ngoại vi phải tích hợp sẵn các tính năng an ninh mạng để đáp
ứng các yêu cầu giải pháp như sau:
Bảo vệ mạng nội bộ của Customer với các mạng bên ngoài và Internet.
Khi số lượng users hiện tại là khoảng …………và tăng lên hàng năm hay số lượng
các chi nhánh tăng lên trong khoảng từ 3 đến 5 năm thì năng lực xử lý firewall
phải đáp ứng lớn hơn … Gbps bởi vì số lượng session bên ngoài truy cập vào
vùng DMZ server farm rất nhiều. Đồng thời, số lượng session bên trong cũng đi
qua thiết bị này.
Lọc nội dung thông tin web khi các users truy cập ra bên ngoài Internet để hạn
APAC TAC
Japan
APAC TAC
Malaysia16
Ngăn chặn và phòng chống thư rác (spam email) thông qua địa chỉ IP, dò tìm địa
chỉ email khi các cuộc tấn công bên ngoài internet truy cập vào Server Farm
DMZ.
Do vùng ngoại vi này số lượng phiên kết nối đi qua firewall lớn (bao gồm bên
ngoài, bên trong và vùng DMZ truy cập vào và ra) cho nên yêu cầu số lượng
phiên kết nối đồng thời trên thiết bị này phải tối thiểu trên ………và số lượng
phiên kết nối thiết lập mới tối thiểu trên …………
Các kết nối từ chi nhánh của các văn phòng tại quận huyện hay các đối tác truy
cập vào hệ thống phải bằng kết nối VPN dùng IPSEC để mã hóa dữ liệu với các
chuẩn mã hóa DES (3DES) và AES (128-bit, 192-bit và 256-bit). Vì vậy, hiệu
suất kết nối VPN trên firewall phải đạt tối thiểu trên 6Gbps và hỗ trợ kết nối SSL
trên ……… User.
Các users bên ngoài Internet vẫn có thể truy cập vào hệ thống trung tâm dữ liệu
bằng web portal (hỗ trợ tất cả các trình duyệt web trên tất cả các hệ điều hành)
hoặc phần mềm chuyên dụng cài đặt trên PC/Laptop/Tablet/Smartphone với các
phương thức mã hóa dữ liệu (IPSEC). Thiết bị vùng này phải hỗ trợ tính năng
SSL VPN với số lượng trên 800 users hoặc các users bên ngoài Internet kết nối
về trung tâm dữ liệu bằng VPN dùng IPSEC với số lượng hỗ trợ trên ……… users.
Kiểm soát và nhận dạng các thiết bị di động (Device Manager) dựa trên các nên
tảng di động phổ biến hiện nay như Android, IOS, Windowphone… với các thiết
bị như Tablet hay Smartphone, cho phép thực thi các chính sách cho từng loại
thiết bị, đem lại khả năng bảo mật cao nhất cho hệ thống.
cứu và đưa ra nhiều giải pháp tốt nhất để tích hợp vào thiết bị
IPSs.
Tính năng Client Reputation cho phép thống kê và giám sát từng
hành vi người dùng, từ đó có cơ sở để cách ly các mối đe dọa
nguy hại nghi ngờ.
o Hệ thống IPS có thể cảnh báo và phân tích cho người dùng cách
phản ứng tốt nhất đối với các mối nguy hiểm cũng như các cuộc
tấn công.
Cung cấp kiến thức sâu rộng đối với các cuộc tấn công và tính
toán theo thời gian thực những mối nguy hiểm theo từng biến
cố. Nó có thể ghi lại các biến cố vào các file để người quản trị
tiện theo dõi và xử lý về sau.
Tập hợp nhiều nhất các phản ứng và tác vụ phức tạp theo các
chính sách yêu cầu. Ta có thể cấu hình từng chính sách theo
từng mạng riêng rẻ theo yêu cầu như – xóa bỏ các gói tin, các
phiên kết nối ở xa, giới hạn dùng hay làm chủ các cuộc tấn công
và bảo vệ các ứng dụng trong mạng.
Có thể bảo vệ các biến cố có thể gây nguy hại cho hệ thống
mạng cao. Có thể đưa ra các xác lập ưu tiên cho các mối nguy
hiểm cần xử lý.
Ghi các thông tin cho mỗi cảnh báo và cách giải quyết các vấn
đề đó từ trước, trong và sau khi vấn đề được giải quyết xong.
Thiết bị firewall phải hỗ trợ tính năng HA (Active/Active, Active/Passive), khả
năng mở rộng hệ thống và hỗ trợ khe cấm mở rộng.
2.2.2. Lớp bảo vệ trung tâm dữ liệu:
Thiết bị firewall vùng này phải tích hợp sẵn các tính năng an ninh mạng để đáp ứng nhu
cầu giải pháp như sau:
nguy hại nghi ngờ.
o Hệ thống IPS có thể cảnh báo và phân tích cho người dùng cách
phản ứng tốt nhất đối với các mối nguy hiểm cũng như các cuộc
tấn công.
Cung cấp kiến thức sâu rộng đối với các cuộc tấn công và tính
toán theo thời gian thực những mối nguy hiểm theo từng biến
cố. Nó có thể ghi lại các biến cố vào các file để người quản trị
tiện theo dõi và xử lý về sau.
Tập hợp nhiều nhất các phản ứng và tác vụ phức tạp theo các
chính sách yêu cầu. Ta có thể cấu hình từng chính sách theo 19
từng mạng riêng rẻ theo yêu cầu như – xóa bỏ các gói tin, các
phiên kết nối ở xa, giới hạn dùng hay làm chủ các cuộc tấn công
và bảo vệ các ứng dụng trong mạng.
Có thể bảo vệ các biến cố có thể gây nguy hại cho hệ thống
mạng cao. Có thể đưa ra các xác lập ưu tiên cho các mối nguy
hiểm cần xử lý.
Ghi các thông tin cho mỗi cảnh báo và cách giải quyết các vấn
đề đó từ trước, trong và sau khi vấn đề được giải quyết xong.
Dựa trên thông tin có sẵn về nhận dạng tấn công (Signature-
based): Các dấu hiệu về tấn công được nhập vào CSDL của IPS
và cập nhật định kỳ từ nhà sản xuất. Khi IPS nhận thấy luồng dữ
liệu chạy qua Router có dấu hiệu giống với những dấu hiệu tấn
công mà nó đang có, nó sẽ phản ứng lại bằng cách ngắt kết nối
của kẻ tấn công, chặn IP của kẻ đó và gửi cảnh báo đến nhà
quản trị đồng thời ghi lại toàn bộ quá trình tấn công để điều tra
về sau.
Ngăn chặn các dữ liệu nhạy cảm bị rò rỉ từ bên trong hệ thống mạng ra bên
ngoài Internet.
2.2.3. Các dòng thiết bị bảo mật Fortigate
21 3. Mô hình giải pháp tổng thể
Giải pháp tổng thể đề xuất cho một hệ thống bảo mật với các thiết bị Fortigate được mô
tả như sau :
Copyright: Tài liệu đại học ©