Giới thiệu Firewall phổ biến: Cisco, Checkpoint, Sidewinder G2

0

Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các hệ điều hành Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các Router,  Firewall dựa trên thiết bị phần cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống với yêu cầu về khả năng hoạt động mạnh,  bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai.

ICTROI giới thiệu giải pháp Firewall có tốc độ và độ an tòan cao của ba hãng cung cấp giải phá Firewall mạnh nhất hiện nay sau:

Firewall-pho-bien-Cisco-Checkpoint-Sidewinder

1   Giới thiệu công nghệ Firewall của Cisco

Để đáp ứng được yêu cầu đặt ra đối với thiết bị firewall lớp ngòai và với mục đích xây dựng mạng an toàn tốc độ chuyển mạch tốt nhất, giới thiệu các dòng sản phẩm Firewall mạnh  hiện nay của Cisco là dòng PIX với khả năng cung cấp khả năng an ninh, bảo mật cũng như khả năng hoạt động và độ ổn định cao cho hệ thống, hỗ trợ mạng riêng ảo – Ipsec VPN…

Độ bảo mật cao : So với các hình thức bảo mật hiện nay như Proxy-based firewall chạy ở lớp ứng dụng có, thì PIX là sản phẩm có khả năng hoạt động rất mạnh mẽ, mức độ an toàn cao.

CiscoSecure PIX Firewall là một thiết bị phần cứng đã được tích hợp sẵn software bên trong và hoạt động một cách độc lập không phụ thuộc vào các yếu tố về nền tảng ứng dụng như yêu cầu về cấu hình phần cứng, môi trường hệ điều hành (Windows NT, Unix…) vì thế làm đơn giản hoá hệ thống và quản trị thiết bị được dễ dàng hơn, đồng thời nâng cao khả năng bảo mật so với các hệ thống bảo mật chạy trên các hệ thống bảo mật khác (Check point, Gardian…)

Dễ dàng quản trị và phân cấp mức độ an ninh cho hệ thống mạng bên trong nhờ yếu tố sử dụng các giao tiếp vật lý (ports) để nối đến các mạng cấp thấp, cho phép mở rộng thêm cổng giao tiếp vật lý bất kỳ lúc nào khi có nhu cầu trong tương lai. Một điểm nữa cũng khá quan trọng cần được đề cập đến là khả năng mở rộng cao và mức độ đầu tư thấp.

 

Hỗ trợ các thủ tục DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2, Database, SIP, H323.

Hỗ trợ cho các ứng dụng và các giao thức sau: Internet Protocol (IP), Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP), Generic Route Encapsulation (GRE), Address Resolution Protocol (ARP), Domain Name System (DNS), Simple Network Management Protocol 2(SNMP2), Boot Protocol, HyperText Transport Protocol (HTTP), Secure hypertext transport protocol (HTTPS),  File Transfer protocol (FTP), Trivial File Transfer protocol (TFTP), Archie, Gopher, Telnet,POP,  NetBIOS over IP (Microsoft Networking), Point-to-Point Tunneling Protocol (PPTP), SQL*Net (Oracle client/server protocol), Sun Remote Procedure Call (RPC) services, including Network File System (NFS), Berkeley Standard Distribution (BSD)-Rcmds,AAA Server Groups.

Hỗ trợ cho các ứng dụng Multimedia, bao gồm: Microsoft NetShow, White Pine CU-SeeMe, RealNetworks RealAudio and RealVideo, Xing StreamWorks, VDOnet VDOLive, VXtreme WebTheater, VocalTec Internet Phone theo chuẩn SIP và H.323.

Hỗ trợ cho các ứng dụng Videoconferencing (H.323): Microsoft NetMeeting, Intel Internet Video Phone, White Pine Meeting Point .

Khả năng chống lại các dạng tấn công thông thường, khả năng tự bịt các lỗ hổng an ninh.

Hỗ trợ phát hiện và chống tấn công: Phát hiện các loại tấn công theo kiểu Denial Of Service, chống lại các hình thức tấn công như sync flooding, port scans, làm hỏng, thay đổi nội dung các gói dữ liệu.

Hỗ trợ Intrusion Detection System (IDS): hệ thống lưu giữ và xác định các mẫu tấn công từ đó phát hiện và đối phó với các hình thức tấn công này. Tự động phát hiện và bịt các lỗ hổng an ninh

Để tăng cường bảo mật, khả năng an ninh, PIX còn hỗ trợ các phương thức xác thực phổ biến như RADIUS và TACACS+ tích hợp với các hệ thống phần mềm khác như WebSENSE để quản lý, truy nhập các địa chỉ Internet dựa trên cơ sở dữ liệu URL, đảm bảo các kết nối vào hệ thống cần phải được xác thực trước, tăng cường khả năng xử lý đối phó với các tấn công thông thường như thăm dò, phát hiện lỗ hổng và tận dụng các lỗ hổng sẵn có để phá huỷ hệ thống.

Hỗ trợ VPN sử dụng IPSec: Phối hợp hoạt động với VPN: Khả năng điều khiển trạng thái đầy đủ (stateful control), thực hiện chức năng firewall cho các dịch vụ VPN, với dịch vụ VPN các người dùng truy nhập từ xa hoặc các văn phòng chi nhánh có thể truy nhập vào mạng của công ty qua mạng công cộng (internet) nhưng vẫn đảm bảo bảo mật và giảm chi phí kết nối, giảm tiền đầu tư thiết bị. Cisco PIX cho phép bảo mật các kết nối qua internet bằng cách tích hợp các tính năng chính của VPN như công nghệ đường hầm, mã hoá dữ liệu, bảo mật, và firewall – cung cấp một môi trường tích hợp vừa đảm bảo an ninh thông tin vừa đảm bảo tính hiệu quả cho các kết nối từ xa, các văn phòng xa, các kết nối ra mạng ngoài thông qua môi trường Internet. PIX  hỗ trợ mã hoá cho IPSec – DES, 3DES. Chúng tôi khuyến nghị đối với đối tượng khách hàng, người dùng truy nhập vào mạng nội bộ qua đường kết nối quay số (đường Internet hoặc Extranet) cần thiết phải sử dụng công nghệ kênh riêng ảo (VPN) để đảm bảo tính bảo mật, toàn vẹn và xác thực của thông tin – các kết nối VPN này sẽ kết thúc tại các firewall  đối với truy nhập từ Internet vào cũng như đối với những kết nối từ mạng Extranet vào

Hỗ trợ NAT và PAT:

Nguyên lý hoạt động của PIX Firewall theo hai dạng NAT và PAT. NAT (Network Address Translation) dùng để chuyển đổi một địa chỉ Internet thành một địa chỉ riêng (Private) theo dạng địa chỉ tĩnh (static) với ánh xạ 1-1, ngoài ra cho phép đổi n địa chỉ Internet thành m địa chỉ Private dưới dạng địa chỉ động (dynamic) với n<m. PAT (Port Address Translation) dùng để chuyển đổi một địa chỉ Internet thành nhiều địa chỉ Private (kết hợp với NAT – ánh xạ 1- n). nguyên lý hoạt động này rất thích hợp cho việc sử dụng nhiều giao tiếp kết nối trên PIX Firewall.

Với khả năng cho phép chuyển đổi tự động địa chỉ như thế rất hữu ích cho nhiều người dùng mà không cần thiết phải quan tâm đến việc cấp địa chỉ Internet. Đối với các host của hệ thống mạng khu vực cũng không cần thiết đăng ký với NIC (Network Information Center) vẫn có thể dùng TCP/IP để truy cập trực tiếp vào Internet bằng cách mở chế độ chuyển đổi bên trong PIX Firewall. Cách này cho phép hệ thống mở rộng dịch vụ cung cấp truy cập từ xa kết nối qua hệ thống truy cập vào Internet trong tương lai.

Hoạt động với mức độ hoạt động sẵn sàng cao nhất:

Mức độ ổn định: khả năng làm việc cực kỳ ổn định với mean time between failure (MTB) lớn hơn 60000 giờ.

Ngoài ra CiscoSecure PIX Firewall software giới hạn mức độ người dùng cùng lúc thông qua các cổng giao tiếp vật lý của nó, tránh được tình trạng xử lý quá tải làm tắt nghẽn hệ thống truy cập Internet chung cho toàn hệ thống.

Trong tương lai khi có khả năng nâng cấp lên chạy dự phòng 2 thiết bị PIX – có thể sử dụng chức năng dự phòng tiên tiến của sản phẩm PIX – Stateful failover cho phép cung cấp khả năng dự phòng thay thế nóng giữa 2 thiết bị PIX – UR hoặc giữa 1 thiết bị PIX-UR và một thiết bị PIX-FO, khi một thiết bị gặp sự cố thì thiết bị còn lại sẽ thay thế thiết bị đó để tiếp nhận và xử lý các yêu cầu đang tồn tại cũng như các yêu cầu mới, do vậy việc một trong hai thiết bị gặp sự cố không ảnh hưởng gì đến các dịch vụ đang chạy trên mạng.

Hỗ trợ giao diện quản lý qua WEB:

Hỗ trợ bới tính năng Cisco PIX Device manager (PDM): Hệ thống quản trị thiết bị PIX riêng lẻ, sử dụng Java applet để chứng thực và Secure Hypertext Transfer Protocol để bảo mật thông tin giữa PDM và PIX firewall. PDM cung cấp các chức năng sau:

+ Hỗ trợ cấu hình PIX firewall qua WEB, mà không cần sử dụng các giao diện dòng lệnh PIX firewall Command-line Interface (CLI)

+ Hỗ trợ các bước cấu hình sử dụng các wizard (start-up Wizard, VPN Wizard)

+ Cho phép quản lý PIX với các lưu đồ và  dữ liệu thời gian thực, bao gồm các kết nối, IDS, thông tin về băng thông. Cho phép theo dõi thông số trong vòng 5 ngày trở lại.

+ Quản trị và cấu hình PIX tách biệt , nhưng có thể sử dụng nhiều browser trên cùng một trạm để cấu hình nhiều PIX khác nhau.

2   Giải pháp Firewall của Checkpoint

Checkpoint hiện là một trong những công ty hàng đầu trong công nghệ Firewall. Checkpoint chiếm ưu thế trong thị trường firewall với sản phẩm cùng tên.

Phần mềm Checkpoint với ưu thế cạnh tranh, là sản phẩm đáng tín cậy cho bất kỳ  cơ quan nào. Bộ sản phẩm của CheckPoint gồm nhiều Module kết hợp tạo nên một giải pháp Firewall an ninh hiệu quả cho các hình thức mạng khác nhau

FireWall:

Sử dụng công nghệ “Stateful Inspection” bảo vệ được từ mức network đến mức ứng dụng trong mô hình OSI

Kỹ thuật phòng chống thông minh “SmartDefense” cho phép bảo vệ tấn công ở mức ứng dụng

SmartDefense cho phép dễ dàng cập nhật và cấu hình các phương pháp tấn công mới

Hỗ trợ phân quyền theo nhiều yếu tố host, dịch vụ hay người truy cập

Hỗ trợ phân tích log :

Quản lý tập trung cho phép quản lý nhiều firewall trên một máy tính

Quản lý thiết lập chính sách dễ dàng bằng các công cụ trực quan GUI

Hỗ trợ việc xác thực người sử dụng bằng nhiều phương pháp S/key, SecurID, OS password, RADIUS, TACACS hay những phương pháp chứng thực khác

VPN:

VPN hỗ trợ thuật toán mã hóa 3DES, AES. VPN hỗ trợ site- to site đảm bảo kênh truyền an toàn giữa các mạng Lan và an toàn giữa các mạng Lan và client –to site tạo kênh truyền an toàn giữa các máy truy cập từ xa và trung tâm. Module Secure Client cho phép bảo vệ máy truy cập từ xa tránh trường hợp tạo “backdoors” cho hacker xâm nhập vào hệ thống

Chính sách VPN và Firewall tích hợp định hướng chính sách firewall và VPN

Hỗ trợ truy cập VPN qua SSL hay Microsoft Windows L2TP/
IPSec VPN Client

Tính năng quản lý(SmartCenter và GUI Client):

Quản lý tập trung với người quản trị bằng một giao diện đồ họa duy nhất

Tất cả dữ liệu log sẽ được quản lý tập trung dễ dàng phân tích và theo dõi bởi người quản trị hệ thống

Khả năng quản lý nhiều firewall trên một giao diện đồ họa duy nhất

Tính năng quản lý log:

Log sẽ được định hướng đến server chuyên dụng xử lý log

Log được cảnh báo khi ổ đĩa cứng trống còn thấp và sẽ reset lại log theo những thông số do người quản trị định nghĩa

Đặt thời gian chuyển file log đến server xử lý log theo chu kỳ

Thông tin log bao gồm người sử dụng dịch vụ, thời gian kết nối, đích đến, độ dài phiên kết nối, hành động …

Người quản trị có thể lọc file log để định những sự kiện lưu tâm đến bảo mật của hệ thống

Tính linh động và liên tác:

Người sử dụng có thể chọn lựa giải pháp của Checkpoint linh động dựa trên hệ điều hành như WinNT, Linux, Solaris hay những thiết bị phần cứng chuyên dụng của Celestix, Resilience, Nokia ..

Hỗ trợ cơ cấu mở ( OPSEC ) cho phép liên kết giải pháp CheckPoint với những ứng dụng an ninh khác như ISS, TrendMicro. Raibow, RSA, Websense…

Giới thiệu phần mềm đảm bảo tính sẵn sàng cao Rainfinity RainWall dành cho hệ thống Checkpoint

–          Raiwall là phần mềm đảm bảo tính sẵn sàng cao của hệ thống ứng dụng bảo mật trên Gateway được phát triển dựa trên chuẩn  OPSEC của CheckPoint.

–          Tích hợp với phần mềm CheckPoint VPN-1/FireWall-1 và các ứng dụng bảo mật trên Gateway như Antivirus và các phần mềm bảo mật nội dung khác

–          Tích hợp tính cân bằng tải cho hệ thống bảo mật

–          Tăng hiệu suất thực thi của FireWall và VPN

–          Tích hợp dễ dàng với bất kỳ kiến trúc nào của hệ thống bảo mật

–          Kỹ thuật thông minh để xử lý lỗi xảy ra cho firewall và VPN gateway đảm bảo hệ thống hoạt động trong suốt

–          Quản lý tập trung cho hệ thống bảo mật

3    Giải pháp firewall Sidewinder G2 của SecureComputing

Sản phẩm Firewall Sidewinder của công ty Secure Computing được biết đến là một trong 4 sản phẩm Firewall phổ biến nhất hiện nay là : Pix firewall của Cisco, Checkpoint, Sonicwall, Sidewinder G2.

Khác với hệ thống firewall Pix và Sonicwall thông thường sử dụng cho các cổng kết nối mạng tốc độ cao, Checkpoint là dòng Firewall có thể tác động và hoạt động bảo mật cho lớp ứng dụng thì Sidewinder là sản phẩm được thiết kế có tất cả các khả năng giống các sản phẩm trên.

Hệ thống Firewall Sidewinder G2 là sản phẩm được ưa chuộng nhất hiện nay khu vực Châu Mỹ với lịch sử lâu đời về thành tích bảo vệ các hệ thống mạng có độ tin cậy cao của các tổ chức lớn tại Mỹ như:US Bank, Federal Reserve Bank, Goldman Sachs, Amgen, Southwestern Bell ,Bank of Missouri, Bank One Leasing, New York Stock Exchange, Securities Exchange Commission, Northwest Airlines, United Airlines

CERT @ CarnegieMellonUniversity, Government: GAO, DFAS, CIA, NSA, FBI, USAF, US Army, SPAWAR

Các tổ chức quốc tế đang sử dụng Sidewinder là :Credit-Suisse-First-Boston, Deutsche Bank, Sanwa Bank, Safra Bank, Banamex,Redbank across South America, Mexican Government (the tax division) , Japan  widely deployed in organizations/government

Schroders, Swedish Government , France Telecom,Alcatel, Cap Gemini E&Y, World Health Organization…

Hệ thống Frewall Sidewinder sử dụng công nghệ lọc và ngăn chặn  Hybrid khác với công nghệ  Stateful Inspection mà Checkpoint, Pix đang sử dụng hiện nay. Công nghệ Hybrid là tích hợp của 5 thành phần : Packet Filter, Stateful inspection(Công nghệ tương tự Checkpoint và Pix), Generic Proxy, application proxy  (khả năng bảo đảm an tòan cho lớp ứng dụng)và splitserver (Công nghệ phân tải cho firewall).

Sidewinder G2 gồm các phiên bản 25,100,250,1000,2000 và 4000. Hệ thống Sidewinder có thể triển khai dễ dàng với sản phẩm phần mềm cài lên các thiết bị máy chủ như Checkpoint hoặc cũng có thể sử dụng thiết bị bảo mật tích hợp sẳn với sản phầm SecureOS phát triển từ nền tảng Unix. Hệ thống có khả năng cung cấp dịch vụ cung lúc cho 1.000.000 kết nối cùng lúc với băng thống tối đa là 1Gb.

Sidewinder hỗ trợ các giao thức (SNMP, OSPF, RIP, NTP, ICMP, PING, etc.).và dễ dàng quản lý tập trung với các phần mềm quản lý chuyên dụng như Tivoli, Webtrend.

Hệ thống Sidewinder G2 dễ dàng triển khai so với các hệ thống Firewall khác với công nghệ Power-It-On đơn giản. Hệ thống bảo mật nội tại được thiết kế giảm thiểu tối đa chi phí quản trị và cập nhật vá lỗi.

Dễ dàng thiết lập các cơ chế tạo VPN. Cung cấp sẳn hệ thống Strikeback® intrusion detection system bên trong sản phẩm.Cung cấp giải pháp tích hợp quản trị truy cập SmartFilter tương tư giải pháp Websense.Dễ dàng thiết lập chế độ dự phòng nóng cho các thiết bị phần cứng cũng như phần mềm lõi. Đảm bảo giải pháp quản trị dễ dàng từ xa với giao diện đồ họa trên nền Windows.

Đến thời diểm hiện nay Sidewinder G2 đã được Hiệp hội bảo mật quốc tế ICSA (www.icsalabs.com) công nhận là sản phẩm bảo mật có nhiều tính năng và đảm bảo nhất  với chứng chỉ mức độ : EAL 4+ mạnh nhất hiện nay.

 

Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.