GADITI chuyên Tư vấn giải pháp tường lửa, bảo mật dữ liệu doanh nghiệp. GADITI đang là đối tác của nhiều hãng Firewall lớn như Draytek, Fortinet, CheckPoint…
Firewall là gì?
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó. Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng. Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải có một hệ thống giải pháp tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển, cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng.
Các phân vùng mạng kết nối vào Firewall
- LAN hay Internal: là vùng mạng chỉ gồm máy tính của người dùng cuối, người quản trị… Vùng này thường được xem là vùng an toàn. Việc kết nối từ vùng này ra bên ngoài thường được tường lửa chấp nhận
- WAN hay External: là vùng mạng kết nối ra bên ngoài, ví dụ như kết nối đến các điểm mạng khác, hay kết nối ra Internet. Vùng này được xem là vùng nguy hiểm. Việc kết nối từ vùng này vào mạng LAN hay Internal mặc định bị tường lửa cấm.
- DMZ (Demilitarized zone) :được xem là một vùng trung gian, và chỉ có trong tường lửa hệ thống. Vùng này thường để đặt các máy chủ cung cấp các dịch vụ mạng. Người dùng có thể truy cập vào các máy chủ ở vùng này khi đi xuyên qua và chịu sự kiểm soát của tường lửa. Người dùng từ mạng LAN muốn truy cập vào vùng này cũng cần được sự cho phép của tường lửa.
Các tính năng mở rộng thường được tích hợp vào tường lửa
Các nhà sản xuất thường kết hợp thêm một vài tính năng mở rộng vào các sản phẩm tường lửa. Những tính năng đó bổ trợ và làm tăng khả năng bảo mật của tường lửa cũng như tính tiện dụng của chúng như:
- Phát hiện và chống tấn công: Tính năng này thường mệnh danh là hệ phát hiện tấn công (IDS-Intrusion Detection Systems),hệ bảo vệ chống tấn công (IPS – Intrusion Protection Systems), hay hệ phát hiện và ngăn ngừa tấn công (IDP – Intrusion Detection and Prevention). Những hệ này quan sát, phân tích toàn bộ các gói tin vào ra hệ thống mạng và phát hiện cũng như tìm cách chống trả lại các tấn công. Do cần phải đọc toàn bộ các gói tin, nên vị trí lắp đặt hệ thống này là trùng lắp với vị trí tường lửa. Vì thế, tích hợp tính năng này vào thiết bị tường lửa là hoàn toàn hợp lý.
- Mạng riêng ảo (VPN): Tường lửa nằm ở vị trí kết nối với mạng WAN, nên nó cũng phù hợp với vị trí của thiết bị máy chủ nhận kết nối mạng riêng ảo từ bên ngoài vào hệ thống. Sau khi hoàn tất kết nối, tường lửa cũng sẽ kiểm soát người dùng VPN được phép truy cập vào phân vùng mạng nào, cũng như cấm xâm nhập vào các phân vùng mạng khác.
- Bộ đệm web (Proxy): Các tường lửa dạng phần mềm, và sử dụng kỹ thuật dò trạng thái (Stateful inspection) như ISA chẳng hạn, thường tích hợp thêm tính năng bộ đệm nội dung web. Như vậy, ngoài khả năng lọc dữ liệu theo từng ứng dụng, nó còn hỗ trợ thêm việc làm bộ đệm và lọc nội dung web đối với người dùng trong mạng LAN.
Firewall được mua nhiều nhất: Fortigate FG-100F ; Fortigate FG-400E, Fortigate FG-600E ; Juniper SRX300-SYS-JB, Juniper SRX340-SYS-JB, DrayTek Vigor2915, DrayTek Vigor3910
Xem thêm: Fortinet đứng Top đầu về tường lửa dành cho mạng doanh nghiệp
Câu hỏi thường gặp
Tường lửa firewall có cung cấp GUI dễ sử dụng không? Tất cả các cài đặt có đủ dễ tìm không? Tính năng có được nhóm hợp lý với nhau không? Có đủ dễ dàng để di chuột từ một cuộc hội thoại này sang cuộc đối thoại khác không?
Bạn sẽ cảm thấy thoải mái với cách GUI (giao diện người dùng đồ họa) được thiết lập và nó được tổ chức hợp lý thành các phần. Ví dụ một phần được định nghĩa cho từng tính năng UTM, như trong lọc web, lọc spam, IPS, …
Một bản demo của sản phẩm vật lý hoặc phiên bản VMware sẽ là lý tưởng cho việc đánh giá. Bạn có thể tìm thấy khi đạt được các mục tiêu nhất định trên tường lửa yêu cầu một số bước và đòi hỏi nhiều nỗ lực. Vì vậy, điều quan trọng là để có được một cảm giác của tường lửa bạn sẽ được duy trì trên một cơ sở hàng ngày.
Làm thế nào để bạn cấu hình VPN? Nó có tích hợp tốt với phần còn lại của tường lửa không và nó có cung cấp bất kỳ trình thuật sĩ và mẹo nào để dễ dàng thiết lập không?
Các tính năng VPN được tích hợp trong tường lửa như thế nào? Khi một đường hầm VPN được thiết lập, tường lửa có tự động tạo các quy tắc trong chính sách cho tất cả lưu lượng VPN ra và vào không? Có bất kỳ trình hướng dẫn và công cụ VPN nào cho phép bạn thiết lập đường hầm VPN dễ dàng và nhanh chóng không? Họ có cung cấp bất kỳ lời khuyên hữu ích nào trong GUI cho phép bạn thực hiện các lựa chọn đúng không?
Hãy xem tính linh hoạt trong chức năng VPN. Bạn cần xem xét các thiết lập chi tiết để phân tích xem có thể dễ dàng thêm các mạng mới vào VPN hay không, linh hoạt để thực hiện các cấu hình VPN phức tạp, các cấu trúc VPN khác nhau, hỗ trợ VPN dựa trên chính sách và VPN dựa trên đường truyền, Dynamic VPN, v.v. không bị choáng ngợp với tất cả các tính năng này. Chỉ có bạn biết những gì tổ chức của bạn yêu cầu và có thể đơn giản như thiết lập một vài đường hầm VPN và đó là kết thúc của nó.
Ngoài ra hãy xem tường lửa và nhật ký VPN. Chúng có được tích hợp chặt chẽ với nhau để giúp bạn theo dõi và giải quyết các vấn đề VPN dễ dàng không? Đảm bảo chúng dễ theo dõi và có các chi tiết chi tiết mà bạn sẽ yêu cầu.
Sử dụng CLI (giao diện dòng lệnh) dễ dàng như thế nào?
Mặc dù bây giờ tất cả các nhà cung cấp đều hỗ trợ việc sử dụng giao diện điều khiển GUI, đôi khi bạn có thể cần truy cập CLI để khắc phục sự cố hoặc để thực hiện các thay đổi hiếm hoi không được hỗ trợ trong GUI. Bạn sẽ nhận được một cảm giác của CLI và chơi xung quanh với một số lệnh phổ biến. Hãy xem danh sách lệnh đầy đủ của CLI và khi bạn thực hiện thay đổi để xem liệu bạn có nhận được phản hồi mang tính thông tin trong CLI hay không. Hãy xem các tập tin trợ giúp CLI và tài liệu CLI, chúng có thông tin như thế nào? Bạn có thể tìm ra cách thực hiện các thay đổi đơn giản bằng cách sử dụng các tệp trợ giúp được cung cấp trong CLI không?
Xem thêm: Dịch vụ thi công mạng LAN chuyên nghiệp
Một số nhà cung cấp có giao diện CLI được xây dựng bên trong GUI. Vì vậy, thay vì sử dụng telnet, SSH hoặc serial bạn có thể đăng nhập vào GUI và sau đó truy cập vào giao diện CLI từ đó, có thể chứng minh được tính năng rất tiện dụng.
Thiết bị tường lửa có đi kèm với giao diện vật lý trên màn hình không? Việc đặt lại tường lửa dễ dàng như thế nào, bạn có thể đặt lại nó từ chính bản thân không?
Một số thiết bị tường lửa cho phép bạn định cấu hình các thay đổi cơ bản từ chính thiết bị vật lý. Màn hình đầu ra với một số nút cấu hình để xem phiên bản của thiết bị, để thực hiện các thay đổi cơ bản như thay đổi địa chỉ IP của công cụ, vv, có thể rất hữu ích.
Ngoài ra hầu hết các tường lửa đều cung cấp nút đặt lại vật lý trên phần cứng của thiết bị, điều này đơn giản như việc giữ nút trong 10 giây và khởi động lại thiết bị hoặc một quy trình tương tự.
Tuy nhiên trong thời gian gần đây một số nhà cung cấp cũng đã đưa tính năng này ra khỏi các thiết bị và đã giới thiệu một kết nối USB trực tiếp vào giao diện của họ, giúp ban đầu thiết lập thiết bị.
Việc quản lý tường lửa từ xa dễ dàng như thế nào?
Hãy xem những công cụ tường lửa hỗ trợ cho quản lý từ xa.
Các công cụ quản lý từ xa điển hình như sau. Đảm bảo tường lửa của bạn hỗ trợ ít nhất một số trong số này;
- SSL
- SSH
- Quản lý tập trung
- SYSLOG
- SNMP
- Kết nối trực tiếp với tường lửa GUI
Tường lửa có khả năng tích hợp với các nền tảng quản lý khác không?
Bạn có thể muốn tích hợp tường lửa của bạn với một máy chủ SNMP MIB, Syslog, NTP, do đó bạn sẽ cần phải xem xét cách tường lửa sẽ tích hợp với các công cụ quản lý khác và nếu nó được hỗ trợ.
Tường lửa có phong phú về các tính năng bạn yêu cầu không?
Lọc lớp ứng dụng cũng như kiểm tra gói trạng thái và lọc gói cơ bản hiện đã ở độ tuổi và đã trở thành tính phổ biến trong tất cả các tường lửa. Bạn cần phải tìm các tính năng bổ sung nâng cao, ghi nhật ký và báo cáo và các chức năng khác trong tường lửa. Nếu một trong các ưu tiên của tường lửa của bạn là có thể lọc spam, thì bạn có thể muốn xem các tính năng spam và xem xét mức độ linh hoạt của cài đặt spam.
Liên hệ tư vấn
CÔNG TY TNHH CÔNG NGHỆ GADITI – Thiết bị lưu trữ NAS
- Địa chỉ: 161E1 Trung Mỹ Tây 13A, Phường Trung Mỹ Tây, Quận 12, Thành phố Hồ Chí Minh
- Điện thoại: 039.8686.950 hoặc Zalo
- Mail: [email protected]