Là nhà tiên phong trong các hệ thống antivirus chạy trên ASIC, đảm bảo tính bảo vệ mạng theo thời gian thực Đứng đầu danh sách đánh giá của IDC và Gartner đối với dòng sản phẩm UTM
Trang 1Giải pháp bảo mật Fortinet
Chuẩn bị cho:
Lập bởi:
Techhorizon
Trang 22
Phần kiểm soát
Các thay đổi
Nguyễn Trung Công 0.1 Tạo tài liệu
Xem xét
Nhận tài liệu
Trang 3Mục Lục
MỤC LỤC 3
1 TỔNG QUAN CHUNG 4
1.1 Giới thiệu hãng bảo mật Fortinet 4
1.2 Quan điểm xây dựng chính sách bảo mật 6
1.3 Nguyên lý xây dựng chính sách bảo mật 6
2 ĐỀ XUẤT GIẢI PHÁP BẢO MẬT 7
2.1 Giới thiệu tính năng Firewall Fortigate 7
2.1.1 Các tính năng nổi bật của phần cứng 7
2.1.2 Các tính năng UTM 11
2.1.3 Các tính năng nổi bật của dịch vụ 14
2.2 Đề xuất giải pháp 15
2.2.1 Lớp bảo vệ ngoại vi – Phân hệ UTM 15
2.2.2 Lớp bảo vệ trung tâm dữ liệu: 17
2.2.3 Các dòng thiết bị bảo mật Fortigate 20
3 MÔ HÌNH GIẢI PHÁP TỔNG THỂ 21
Trang 4 Văn phòng chính ở Sunnyvale, CA
Số lượng nhân viên hiện tại trên 1,500 nhân viên kỹ thuật và nghiên cứu phát triển
Có trên 30 văn phòng ở các châu Mỹ, châu Á và châu Âu
Tập trung chính vào các giải pháp bảo mật
Là nhà tiên phong trong các hệ thống antivirus chạy trên ASIC, đảm bảo tính bảo vệ mạng theo thời gian thực
Đứng đầu danh sách đánh giá của IDC và Gartner đối với dòng sản phẩm UTM
Có năng lực tài chính mạnh, phát triển nhanh
Là công ty duy nhất đạt được 8 chứng nhận của ICSA Lab và 2 chứng chỉ NSS Lab
Các sản phẩm bảo mật của Fortinet gồm :
Fortigate Firewall : thiết bị bảo mật tường lửa + VPN, có thể tích hợp các tính năng
Antivirus, IPS, AntiSpam, Web filtering, Application Control, Data Leak Prevention …
FortiMail : thiết bị chuyên dùng để bảo vệ riêng hệ thống email khỏi
Antivirus/Worm/Spyware và AntiSpam
FortiAnalyzer : thiết bị ghi log tập trung và phân tích log, scan hệ thống để tìm ra lỗ
hỏng
FortiManager : thiết bị quản lý tập trung thiết bị Fortigate và FortiClient, cho phép
người quản trị quản lý, cấu hình, update và áp dụng chính sách bảo mật chung cho tất
tả các thiết bị Fortigate & FortiClient trong toàn hệ thống
FortiClient : phần mềm personal firewall + VPN cho người sử dụng di động Có thể mua thêm license để có thêm các tính năng Antivirus, AntiSpam & Web filtering
Fortiguard subscription service : license đăng ký sử dụng và update các tính năng Antivirus, IPS, AntiSpam và Wen filtering License có thể mua mới hàng năm hoặc nhiều năm
Forticare service : dịch vụ hỗ trợ kỹ thuật, gia tăng thời gian bảo hành của sản phẩm
cũng như update các OS/firmware mới nhất cho sản phẩm dịch vụ này có thể mua hàng năm hoặc nhiều năm
Trang 5Các Giải thưởng và Chứng nhận mà Fortinet đã đạt được
Một số khách hàng toàn cầu của Fortinet
Các khách hàng lớn của Fortinet tại Việt Nam
Fortinet đã giới thiệu sản phẩm bảo mật của mình vào Việt Nam từ những năm 2002
Trải qua thời gian gần 5 năm tại thị trường Việt Nam, Fortinet đã được nhiều tổ chức và doanh nghiệp lớn tại Việt Nam tin tưởng sử dụng Sau đây là khách hàng nổi bật của
Fortinet tại Việt Nam đã triển khai giải pháp VPN cho trụ sở chính và các chi nhánh trên
toàn quốc
Trang 66
Ngoài ra còn rất nhiều cơ quan chính phủ đang sử dụng và triển khai giải pháp
VPN của Fortinet như :UBND LẠNG SƠN, HÀ TĨNH, HẢI PHÒNG, BÌNH ĐỊNH,
PHÚ YÊN, QUẢNG NGÃI, THÔNG TẤN XÃ VIỆT NAM,…
1.2 Quan điểm xây dựng chính sách bảo mật
Quan điểm của chúng tôi trong vấn đề an ninh mạng là: An ninh mạng là một tiến trình
lặp đi lặp lại, bao gồm các bước xoay vòng như sau:
Xác định các đối tượng cần được bảo vệ (máy chủ, các tài nguyên, các ứng
dụng, các thiết bị mạng, máy trạm, người dùng, v.v.)
Xác định các hiểm họa có thể gây nên cho mạng và hệ thống
Thiết lập chính sách an ninh mạng tương ứng với các đối tượng như các nhà lãnh
đạo, quản lý và tin học, quản trị mạng và người dùng
Thiết lập các chính sách an ninh mạng bằng các phương pháp điện tử và hành
chính Các phương pháp điện tử bao gồm: thiết kế quy hoạch lại mạng, Firewall, VPN, IDP, bảo mật các lớp ứng dụng UTM (Antivirus, Antispam, Web Content Filtering, Intrusion Prevention System, Application control, Data leak prevention)
và quản trị an ninh mạng
Theo dõi an ninh mạng và phản ứng lại các biểu hiện bất thường
Kiểm tra lại chính sách an ninh và các thiết bị an ninh mạng để đáp ứng lại các
thay đổi
Tiếp tục theo dõi và quản lý an ninh mạng, thay đổi chính sách an ninh và cấu
hình các thiết bị an ninh mạng để phù hợp với ngữ cảnh an ninh mới
1.3 Nguyên lý xây dựng chính sách bảo mật
An ninh mạng phải dựa trên nguyên tắc như sau:
Trang 7 Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều
sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau Mỗi tầng và lớp
đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác
Sử dụng nhiều công nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh
hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDP làm công cụ “đánh hơi” và ngăn chặn, phòng ngừa các hình thức tấn công từ bên ngoài hệ thống Đồng thời, các công nghệ bắt buộc phải hỗ trợ các tính năng nâng cao UTM (Unified Threat Management) như Antivirus, AntiSpam, Email Content Filtering, Web Content Filtering, IPS, Data Leak Prevention (ngăn chặn rò rỉ dữ liệu), Application Control (các ứng dụng như Chat IAM, P2P, Remote Access, Proxy tool …) để ngăn chặn và phòng chống nhiều lớp ứng dụng bên trong bởi vì ngày nay các lớp ứng dụng này rất dễ bị các cuộc tấn công bên ngoài khai thác lỗ hỏng các lớp ứng dụng này bằng nhiều hình thức khác nhau
2 Đề xuất giải pháp bảo mật
2.1 Giới thiệu tính năng Firewall Fortigate
FortiASIC : Hệ thống FortiGate™ là thiết bị bức tường lửa chuyên dụng với chương
trình được thiết kế ngay trên phần cứng cho phép bảo vệ mạng theo thời gian thực Với
công nghệ mạch điện tử thiết kế theo ứng dụng (Application-specific integrated circuit -
ASIC), FortiASIC™ gồm 3 thành phần xử lý Network Processor, Content Processor,
Security Processor, nền tảng phần cứng FortiGate là hệ thống tường lửa và VPN có thể
phát hiện và loại bỏ virus/sâu, spyware, trojan, grayware, adware, DoS, các hàng động
tấn công và các đoạn mã nguy hiểm khác mà không làm giảm tốc độ hoạt động của
mạng – thậm chí đối với các ứng dụng theo thời gian thực như duyệt web Các công cụ
bảo mật này nằm trong hệ điều hành nhân của thiết bị Fortigate là FortiOS
Trang 88
Tính năng thành phần xử lý như sau:
FortiASIC Network Processor (NP): làm việc ở cấp độ
giao diện để hỗ trợ chuyển tiếp lưu lượng IPec offload
và giao thức unicast UDP/TCP Thông lượng(throughput)
tối đa và số lượng cổng giao tiếp tùy theo model
FortiASIC Content Processor (CP): làm việc ở cấp độ hệ
thống, đãm bảo chức năng cấp phát key SSL VPN và
tăng tốc xử lý các gói tin SSL, giải mã các thuật toán
bảo mật DES/3DES/MD5,SHA… Khả năng tùy theo
model của chip
Security Processor (SP-Hybrid): như modules ASM-CE4
và ADM-XE2, làm việc trên cấp độ giao diện và hệ
thống để tăng hiệu suất tổng thể thúc đẩy một số bảo
mật và xử lý các gói tin trên cổng giao tiếp SP còn đảm
nhiệm các ứng dụng điều khiển (application), IPS, flow based antivirus proctection,
Complete Content Protection : Fortigate không đơn thuần chỉ là thiết bị bảo mật
kiểm soát trạng thái (stateful inspection) mà bảo mật lớp ứng dụng và quét toàn diện nội dung gói tin (application level security and content protection) Bằng việc quét sâu gói tin và bảo mật lớp ứng dụng, Fortigate giúp người dùng ngăn chặn được các đe dọa
và nguy cơ tấn công vào hệ thống mà các cơ chế ngăn chặn truyền thống không thực
hiện được, loại bỏ các đoạn code nguy hiểm nằm sâu hoặc ngụy trang bên trong gói tin
Four score and seven years ago our forefathers brought forth upon this
BAD CONTENT a new liberty, and dedicated to the proposition
that all…
COMPLETE CONTENT PROTECTION
1 Reassemble packets into content
BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS
DISALLOWED CONTENT
http://www.freesurf.com/downloads/Gettysburg Four score and B A D C O N T E N T our forefathers brou ght forth upon this continent a new nation,
n liberty, and dedicated to the proposition that all
2 Compare against disallowed content and attack lists
Four score and seven years ago our forefathers brought forth upon this
BAD CONTENT a new liberty, and dedicated to the proposition
COMPLETE CONTENT PROTECTION
1 Reassemble packets into content
BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS
DISALLOWED CONTENT
BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS
BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS
DISALLOWED CONTENT
http://www.freesurf.com/downloads/Gettysburg Four score and B A D C O N T E N T our forefathers brou ght forth upon this continent a new nation,
n liberty, and dedicated to the proposition that all
2 Compare against disallowed content and attack lists
Four score and seven years ago our forefathers brought forth upon this
BAD CONTENT a new liberty, and dedicated to the proposition
that all…
COMPLETE CONTENT PROTECTION
1 Reassemble packets into content
BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS
DISALLOWED CONTENT
http://www.freesurf.com/downloads/Gettysburg Four score and B A D C O N T E N T our forefathers brou ght forth upon this continent a new nation,
n liberty, and dedicated to the proposition that all
2 Compare against disallowed content and attack lists
Four score and seven years ago our forefathers brought forth upon this
BAD CONTENT a new liberty, and dedicated to the proposition
COMPLETE CONTENT PROTECTION
1 Reassemble packets into content
BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS
DISALLOWED CONTENT
BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS
BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS
DISALLOWED CONTENT
http://www.freesurf.com/downloads/Gettysburg Four score and B A D C O N T E N T our forefathers brou ght forth upon this continent a new nation,
n liberty, and dedicated to the proposition that all
2 Compare against disallowed content and attack lists
Trang 9Virtual Domains and Security zones : Các dòng sản phẩm Fortigate cung cấp các chức năng VLAN, Virtual Domain (VDOM) giúp cho:
Các doanh nghiệp lớn có thể phân chia cấu hình các chính sách bảo mật cho hệ thống mạng của từng phòng ban
Các nhà cung cấp dịch vụ có thể cung cấp phân chia “firewall” của mình thành các “firewall” nhỏ hơn cho từng khách hàng
Các thiết bị Fortigate tích hợp sẵn từ 2 đến 10 VDOM, có thể nâng cấp lên 250 VDOM thông qua việc mua license
High Availability (HA) : Hỗ trợ 2 mode “Acitve-Active”, “Active-Passive” cho cả các
dòng sản phẩm dành cho SOHO Fortinet cho phép cấu hình hai hay nhiều thiết bị Fortigate hoạt động trong một hệ thống trở thành một thiết bị duy nhất Fortigate (HA cluster) Với HA cluster, khi một thiết bị Fortigate bị hư thì các thiết bị Fortigate còn lại
sẽ thay thế, đãm đương công việc của thiết bị bị hư Chức năng này giúp cho hệ thống khách hàng luôn luôn được bảo mật và hoạt động xuyên suốt
High concurrent sessions : Các thiết bị Fortigate có số kết nối đồng thời (concurrent
session) rất cao, tùy theo dòng sản phẩm mà số kết nối có thể từ 25.000 cho đến 132.000.000 và số kết nối mới trên giây lên đến 250.000 giúp đáp ứng nhu cầu cao của các doanh nghiệp hoạt động trong lĩnh vực dịch vụ Web, thương mại điện tử hoặc chạy
các ứng dụng ERP trên hệ thống WAN của doanh nghiệp
Trang 1010
VoIP aware gateway : Fortigate hỗ trợ các chuẩn về thoại như H.323 và SIP, giúp bảo mật các ứng dụng về thoại, thậm chí cả trong môi trường mà NAT được triển khai
Policy-based traffic shaping : Giúp người quản trị phân định mức độ ưu tiên băng
thông cho từng chính sách bảo mật và ứng dụng
Multi-Threat Security Appliance : Thiết bị Fortigate với các công nghệ bức tường lửa, cổng VPN, và có thể tích hợp ngay trên Fortigate các chức năng
Phòng chống vi-rút và chống spam tại gateway cho email
Phát hiện và ngăn chặn xâm nhập,
Lọc nội dung Web và kiểm soát băng thông
Chống mất mát dữ liệu và kiểm soát các ứng dụng truy cập internet
Tối ưu mạng WAN để tiết kiệm băng thông và giảm chi phí vận hành mạng
Trang 11VPN (IPSec, PPTP, SSL-VPN) : Giải pháp VPN của Fortinet đáp ứng các yêu cầu về
hiệu suất cũng như giá cả, thiết kế dạng ASIC Tích hợp chặt chẽ với tính năng bảo vệ ứng dụng, tường lửa, antivirus và IPS, Fortinet mang đến giải pháp VPN an toàn nhất trên thị trường hiện nay
WebUI (giao diện cấu hình và quản lý bằng Web) : Hầu hết các người sử dụng đều
đánh giá cao Fortinet về phương diện này Fortinet cung cấp cho người sử dụng một giao diện quản lý và cấu hình thật tiện lợi, trực giác và dễ hiểu bằng giao diện Web Bằng WebUI, người quản trị có thể cấu hình, quản lý các tính năng bảo mật nâng cao cũng như truy cập các chức năng logging và báo cáo nhanh chóng chỉ sau vài cú clik chuột Người quản trị không cần sử dụng đến các dòng lệnh (command line) mới cấu hình được
Antivirus: Phòng chống lên đến 60.000 loại vi-rút & tự động cập nhật (push update)
thông qua hệ thống khoảng 50 cụm server đặt khắp nơi trên toàn thế giới
Luôn luôn được bảo vệ trước các loại virút mới vì Fortinet có đội ngũ kỹ sư cao cấp nghiên cứu, update làm việc 24x7
Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user)
Tính năng Antivirus của Fortinet được chứng nhận bởi ICSALab, NSS và 100 Buletin Intrusion Prevention System (IPS) :
Chức năng IPS của Fortinet cung cấp một giải pháp toàn diện về ngăn chặn và phòng ngừa các hình thức tấn công vào các ứng dụng và dữ liệu quan trọng của doanh nghiệp, các hình thức tấn công có thể là các cuộc tấn công xuất phát từ bên ngoài và kể cả bên trong hệ thống mạng
Các tính năng nổi bật :
Khả năng nhận dạng trên 7000 hình thức tấn công & tự động cập nhật (push update) thông qua hệ thống khoảng 50 cụm server đặt khắp nơi trên toàn thế giới
Cho phép khách hàng khả năng tự định nghĩa hình thức tấn công
Kiểm tra được nội dung các gói dữ liệu đã mã hóa VPN (IPSec và SSL)
Hỗ trợ trên 50 loại protocol và ứng dụng
Cung cấp các khả năng phòng chống và ngăn chặn tấn công thông qua đội ngũ
kỹ sư nghiên cứu và phàt triển của Fortinet trên toàn cầu
Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user)
Tính năng IPS của Fortinet được chứng nhận bởi ICSALab, NSS
