Giải pháp bảo mật Fortinet Chuẩn bị cho: Lập bởi: Techhorizon 2 Phần kiểm soát Các thay đổi Ngày Người thực hiện Version Nội dung Nguyễn Trung Công 0.1 Tạo tài liệu Xem xét Ngày Tên và chức vụ Nhận tài liệu Ngày Tên và chức vụ 3 Mục Lục MỤC LỤC 3 1. TỔNG QUAN CHUNG 4 1.1. Giới thiệu hãng bảo mật Fortinet 4 1.2. Quan điểm xây dựng chính sách bảo mật 6 1.3. Nguyên lý xây dựng chính sách bảo mật 6 2. ĐỀ XUẤT GIẢI PHÁP BẢO MẬT 7 2.1. Giới thiệu tính năng Firewall Fortigate 7 2.1.1. Các tính năng nổi bật của phần cứng 7 2.1.2. Các tính năng UTM 11 2.1.3. Các tính năng nổi bật của dịch vụ 14 2.2. Đề xuất giải pháp 15 2.2.1. Lớp bảo vệ ngoại vi – Phân hệ UTM 15 2.2.2. Lớp bảo vệ trung tâm dữ liệu: 17 2.2.3. Các dòng thiết bị bảo mật Fortigate 20 3. MÔ HÌNH GIẢI PHÁP TỔNG THỂ 21 4 1. Tổng quan chung 1.1. Giới thiệu hãng bảo mật Fortinet Tổng quan về Fortinet Fortinet được thành lập trong năm 2000 bởi Ken Xie – Trước đây, ông Ken Xie là sáng lập viên, đồng chủ tịch và CEO của hãng bảo mật nổi tiếng NetScreen  Văn phòng chính ở Sunnyvale, CA.  Số lượng nhân viên hiện tại trên 1,500 nhân viên kỹ thuật và nghiên cứu phát triển  Có trên 30 văn phòng ở các châu Mỹ, châu Á và châu Âu  Tập trung chính vào các giải pháp bảo mật.  Là nhà tiên phong trong các hệ thống antivirus chạy trên ASIC, đảm bảo tính bảo vệ mạng theo thời gian thực  Đứng đầu danh sách đánh giá của IDC và Gartner đối với dòng sản phẩm UTM  Có năng lực tài chính mạnh, phát triển nhanh. Là công ty duy nhất đạt được 8 chứng nhận của ICSA Lab và 2 chứng chỉ NSS Lab Các sản phẩm bảo mật của Fortinet gồm : Fortigate Firewall : thiết bị bảo mật tường lửa + VPN, có thể tích hợp các tính năng Antivirus, IPS, AntiSpam, Web filtering, Application Control, Data Leak Prevention … FortiMail : thiết bị chuyên dùng để bảo vệ riêng hệ thống email khỏi Antivirus/Worm/Spyware và AntiSpam FortiAnalyzer : thiết bị ghi log tập trung và phân tích log, scan hệ thống để tìm ra lỗ hỏng FortiManager : thiết bị quản lý tập trung thiết bị Fortigate và FortiClient, cho phép người quản trị quản lý, cấu hình, update và áp dụng chính sách bảo mật chung cho tất tả các thiết bị Fortigate & FortiClient trong toàn hệ thống FortiClient : phần mềm personal firewall + VPN cho người sử dụng di động. Có thể mua thêm license để có thêm các tính năng Antivirus, AntiSpam & Web filtering Fortiguard subscription service : license đăng ký sử dụng và update các tính năng Antivirus, IPS, AntiSpam và Wen filtering. License có thể mua mới hàng năm hoặc nhiều năm Forticare service : dịch vụ hỗ trợ kỹ thuật, gia tăng thời gian bảo hành của sản phẩm cũng như update các OS/firmware mới nhất cho sản phẩm. dịch vụ này có thể mua hàng năm hoặc nhiều năm. 5 Các Giải thưởng và Chứng nhận mà Fortinet đã đạt được Một số khách hàng toàn cầu của Fortinet Các khách hàng lớn của Fortinet tại Việt Nam Fortinet đã giới thiệu sản phẩm bảo mật của mình vào Việt Nam từ những năm 2002. Trải qua thời gian gần 5 năm tại thị trường Việt Nam, Fortinet đã được nhiều tổ chức và doanh nghiệp lớn tại Việt Nam tin tưởng sử dụng. Sau đây là khách hàng nổi bật của Fortinet tại Việt Nam đã triển khai giải pháp VPN cho trụ sở chính và các chi nhánh trên toàn quốc. 6 Ngoài ra còn rất nhiều cơ quan chính phủ đang sử dụng và triển khai giải pháp VPN của Fortinet như : UBND LẠNG SƠN, HÀ TĨNH, HẢI PHÒNG, BÌNH ĐỊNH, PHÚ YÊN, QUẢNG NGÃI, THÔNG TẤN XÃ VIỆT NAM,… 1.2. Quan điểm xây dựng chính sách bảo mật Quan điểm của chúng tôi trong vấn đề an ninh mạng là: An ninh mạng là một tiến trình lặp đi lặp lại, bao gồm các bước xoay vòng như sau:  Xác định các đối tượng cần được bảo vệ (máy chủ, các tài nguyên, các ứng dụng, các thiết bị mạng, máy trạm, người dùng, .v.v.).  Xác định các hiểm họa có thể gây nên cho mạng và hệ thống.  Thiết lập chính sách an ninh mạng tương ứng với các đối tượng như các nhà lãnh đạo, quản lý và tin học, quản trị mạng và người dùng.  Thiết lập các chính sách an ninh mạng bằng các phương pháp điện tử và hành chính. Các phương pháp điện tử bao gồm: thiết kế quy hoạch lại mạng, Firewall, VPN, IDP, bảo mật các lớp ứng dụng UTM (Antivirus, Antispam, Web Content Filtering, Intrusion Prevention System, Application control, Data leak prevention) và quản trị an ninh mạng.  Theo dõi an ninh mạng và phản ứng lại các biểu hiện bất thường.  Kiểm tra lại chính sách an ninh và các thiết bị an ninh mạng để đáp ứng lại các thay đổi.  Tiếp tục theo dõi và quản lý an ninh mạng, thay đổi chính sách an ninh và cấu hình các thiết bị an ninh mạng để phù hợp với ngữ cảnh an ninh mới. 1.3. Nguyên lý xây dựng chính sách bảo mật An ninh mạng phải dựa trên nguyên tắc như sau: 7  Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh hưởng sang các tầng hay lớp khác.  Sử dụng nhiều công nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDP làm công cụ “đánh hơi” và ngăn chặn, phòng ngừa các hình thức tấn công từ bên ngoài hệ thống. Đồng thời, các công nghệ bắt buộc phải hỗ trợ các tính năng nâng cao UTM (Unified Threat Management) như Antivirus, AntiSpam, Email Content Filtering, Web Content Filtering, IPS, Data Leak Prevention (ngăn chặn rò rỉ dữ liệu), Application Control (các ứng dụng như Chat IAM, P2P, Remote Access, Proxy tool …) để ngăn chặn và phòng chống nhiều lớp ứng dụng bên trong bởi vì ngày nay các lớp ứng dụng này rất dễ bị các cuộc tấn công bên ngoài khai thác lỗ hỏng các lớp ứng dụng này bằng nhiều hình thức khác nhau. 2. Đề xuất giải pháp bảo mật 2.1. Giới thiệu tính năng Firewall Fortigate 2.1.1. Các tính năng nổi bật của phần cứng FortiASIC : Hệ thống FortiGate™ là thiết bị bức tường lửa chuyên dụng với chương trình được thiết kế ngay trên phần cứng cho phép bảo vệ mạng theo thời gian thực. Với công nghệ mạch điện tử thiết kế theo ứng dụng (Application-specific integrated circuit - ASIC), FortiASIC™ gồm 3 thành phần xử lý Network Processor, Content Processor, Security Processor, nền tảng phần cứng FortiGate là hệ thống tường lửa và VPN có thể phát hiện và loại bỏ virus/sâu, spyware, trojan, grayware, adware, DoS, các hàng động tấn công và các đoạn mã nguy hiểm khác mà không làm giảm tốc độ hoạt động của mạng – thậm chí đối với các ứng dụng theo thời gian thực như duyệt web. Các công cụ bảo mật này nằm trong hệ điều hành nhân của thiết bị Fortigate là FortiOS. 8 Tính năng thành phần xử lý như sau: FortiASIC Network Processor (NP): làm việc ở cấp độ giao diện để hỗ trợ chuyển tiếp lưu lượng IPec offload và giao thức unicast UDP/TCP. Thông lượng(throughput) tối đa và số lượng cổng giao tiếp tùy theo model. FortiASIC Content Processor (CP): làm việc ở cấp độ hệ thống, đãm bảo chức năng cấp phát key SSL VPN và tăng tốc xử lý các gói tin SSL, giải mã các thuật toán bảo mật DES/3DES/MD5,SHA…. Khả năng tùy theo model của chip. Security Processor (SP-Hybrid): như modules ASM-CE4 và ADM-XE2, làm việc trên cấp độ giao diện và hệ thống để tăng hiệu suất tổng thể thúc đẩy một số bảo mật và xử lý các gói tin trên cổng giao tiếp. SP còn đảm nhiệm các ứng dụng điều khiển (application), IPS, flow based antivirus proctection, Complete Content Protection : Fortigate không đơn thuần chỉ là thiết bị bảo mật kiểm soát trạng thái (stateful inspection) mà bảo mật lớp ứng dụng và quét toàn diện nội dung gói tin (application level security and content protection). Bằng việc quét sâu gói tin và bảo mật lớp ứng dụng, Fortigate giúp người dùng ngăn chặn được các đe dọa và nguy cơ tấn công vào hệ thống mà các cơ chế ngăn chặn truyền thống không thực hiện được, loại bỏ các đoạn code nguy hiểm nằm sâu hoặc ngụy trang bên trong gói tin. Four score and seven years ago our forefathers brought forth upon this BAD CONTENT a new liberty, and dedicated to the proposition that all… COMPLETE CONTENT PROTECTION 1. Reassemble packets into content !! !! BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS DISALLOWED CONTENT http://www.freesurf.com/downloads/Gettysburg Four score and B A D C O N T EN T our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all 2. Compare against disallowed content and attack lists Four score and seven years ago our forefathers brought forth upon this BAD CONTENT a new liberty, and dedicated to the proposition that all… Four score and seven years ago our forefathers brought forth upon this BAD CONTENT a new liberty, and dedicated to the proposition that all… COMPLETE CONTENT PROTECTION 1. Reassemble packets into content !! !! BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS DISALLOWED CONTENT BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS DISALLOWED CONTENT http://www.freesurf.com/downloads/Gettysburg Four score and B A D C O N T EN T our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all 2. Compare against disallowed content and attack lists Four score and seven years ago our forefathers brought forth upon this BAD CONTENT a new liberty, and dedicated to the proposition that all… COMPLETE CONTENT PROTECTION 1. Reassemble packets into content !! !! BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS DISALLOWED CONTENT http://www.freesurf.com/downloads/Gettysburg Four score and B A D C O N T EN T our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all 2. Compare against disallowed content and attack lists Four score and seven years ago our forefathers brought forth upon this BAD CONTENT a new liberty, and dedicated to the proposition that all… Four score and seven years ago our forefathers brought forth upon this BAD CONTENT a new liberty, and dedicated to the proposition that all… COMPLETE CONTENT PROTECTION 1. Reassemble packets into content !! !! BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS DISALLOWED CONTENT BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS DISALLOWED CONTENT http://www.freesurf.com/downloads/Gettysburg Four score and B A D C O N T EN T our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all 2. Compare against disallowed content and attack lists 9 Virtual Domains and Security zones : Các dòng sản phẩm Fortigate cung cấp các chức năng VLAN, Virtual Domain (VDOM) giúp cho:  Các doanh nghiệp lớn có thể phân chia cấu hình các chính sách bảo mật cho hệ thống mạng của từng phòng ban.  Các nhà cung cấp dịch vụ có thể cung cấp phân chia “firewall” của mình thành các “firewall” nhỏ hơn cho từng khách hàng.  Các thiết bị Fortigate tích hợp sẵn từ 2 đến 10 VDOM, có thể nâng cấp lên 250 VDOM thông qua việc mua license. High Availability (HA) : Hỗ trợ 2 mode “Acitve-Active”, “Active-Passive” cho cả các dòng sản phẩm dành cho SOHO. Fortinet cho phép cấu hình hai hay nhiều thiết bị Fortigate hoạt động trong một hệ thống trở thành một thiết bị duy nhất Fortigate (HA cluster). Với HA cluster, khi một thiết bị Fortigate bị hư thì các thiết bị Fortigate còn lại sẽ thay thế, đãm đương công việc của thiết bị bị hư. Chức năng này giúp cho hệ thống khách hàng luôn luôn được bảo mật và hoạt động xuyên suốt. High concurrent sessions : Các thiết bị Fortigate có số kết nối đồng thời (concurrent session) rất cao, tùy theo dòng sản phẩm mà số kết nối có thể từ 25.000 cho đến 132.000.000 và số kết nối mới trên giây lên đến 250.000 giúp đáp ứng nhu cầu cao của các doanh nghiệp hoạt động trong lĩnh vực dịch vụ Web, thương mại điện tử hoặc chạy các ứng dụng ERP trên hệ thống WAN của doanh nghiệp. 10 VoIP aware gateway : Fortigate hỗ trợ các chuẩn về thoại như H.323 và SIP, giúp bảo mật các ứng dụng về thoại, thậm chí cả trong môi trường mà NAT được triển khai. Policy-based traffic shaping : Giúp người quản trị phân định mức độ ưu tiên băng thông cho từng chính sách bảo mật và ứng dụng. Multi-Threat Security Appliance : Thiết bị Fortigate với các công nghệ bức tường lửa, cổng VPN, và có thể tích hợp ngay trên Fortigate các chức năng  Phòng chống vi-rút và chống spam tại gateway cho email  Phát hiện và ngăn chặn xâm nhập,  Lọc nội dung Web và kiểm soát băng thông.  Chống mất mát dữ liệu và kiểm soát các ứng dụng truy cập internet.  Tối ưu mạng WAN để tiết kiệm băng thông và giảm chi phí vận hành mạng [...]... PPTP, SSL-VPN) : Giải pháp VPN của Fortinet đáp ứng các yêu cầu về hiệu suất cũng như giá cả, thiết kế dạng ASIC Tích hợp chặt chẽ với tính năng bảo vệ ứng dụng, tường lửa, antivirus và IPS, Fortinet mang đến giải pháp VPN an toàn nhất trên thị trường hiện nay WebUI (giao diện cấu hình và quản lý bằng Web) : Hầu hết các người sử dụng đều đánh giá cao Fortinet về phương diện này Fortinet cung cấp cho... tấn công theo các ứng dụng  Xây dựng và mở rộng bảo mật an ninh mạng có khả năng kiểm tra và ngăn chặn các mối nguy hiểm trong toàn bộ mạng, từ các 16 ứng dụng cho đến giao thức phân hoạch địa chỉ (ARP) Kỹ thuật mở rộng của Firewall phải cung cấp giải pháp tối ưu vể chính sách bảo mật cho hệ thống an ninh mạng  Hệ thống IPS cung cấp các cơ chế bảo mật khác, theo từng nhóm hay từng cá nhân tấn công... và tấn công theo các ứng dụng  Xây dựng và mở rộng bảo mật an ninh mạng có khả năng kiểm tra và ngăn chặn các mối nguy hiểm trong toàn bộ mạng, từ các ứng dụng cho đến giao thức phân hoạch địa chỉ (ARP) Kỹ thuật mở rộng của Firewall phải cung cấp giải pháp tối ưu vể chính sách bảo mật cho hệ thống an ninh mạng  Hệ thống IPS cung cấp các cơ chế bảo mật khác, theo từng nhóm hay từng cá nhân tấn công... khe cấm mở rộng  Thiết bị firewall phải tích hợp vào hệ thống Active Directory, xác thực LDAP, RADIUS RSA …  Ngăn chặn các dữ liệu nhạy cảm bị rò rỉ từ bên trong hệ thống mạng ra bên ngoài Internet 2.2.3 Các dòng thiết bị bảo mật Fortigate 20 3 Mô hình giải pháp tổng thể Giải pháp tổng thể đề xuất cho một hệ thống bảo mật với các thiết bị Fortigate được mô tả như sau : 21 ... hàng còn nhận được sự hỗ trợ tích cực của Fortinet và hệ thống của đại lý của Fortinet trên toàn cầu thêo các hình thức sau :  Hỗ trợ qua web/ email 24x7  Hỗ trợ qua điện thoại 8x5 từ Fortinet hoặc các đại lý của Fortinet  Được phép truy cập vào các trang web của Fortinet để tìm kiếm và download các tài liệu kỹ thuật, các hình mẫu về cấu hình, xử lý sự cố  Fortinet có nhiều gói dịch vụ cho khách... phương pháp bảo vệ cho mạng đó  Kỹ thuật và dịch vụ của IPSs được phát triển bởi nhóm chuyên gia về bảo mật trên toàn cầu Các chuyên gia này liên tục nghiên cứu và đưa ra nhiều giải pháp tốt nhất để tích hợp vào thiết bị IPSs  Tính năng Client Reputation cho phép thống kê và giám sát từng hành vi người dùng, từ đó có cơ sở để cách ly các mối đe dọa nguy hại nghi ngờ o Hệ thống IPS có thể cảnh báo và... phương pháp bảo vệ cho mạng đó  Kỹ thuật và dịch vụ của IPSs được phát triển bởi nhóm chuyên gia về bảo mật trên toàn cầu Các chuyên gia này liên tục nghiên cứu và đưa ra nhiều giải pháp tốt nhất để tích hợp vào thiết bị IPSs  Tính năng Client Reputation cho phép thống kê và giám sát từng hành vi người dùng, từ đó có cơ sở để cách ly các mối đe dọa nguy hại nghi ngờ o Hệ thống IPS có thể cảnh báo và... loại virút mới vì Fortinet có đội ngũ kỹ sư cao cấp nghiên cứu, update làm việc 24x7 Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user) Tính năng Antivirus của Fortinet được chứng nhận bởi ICSALab, NSS và 100 Buletin Intrusion Prevention System (IPS) : Chức năng IPS của Fortinet cung cấp một giải pháp toàn diện về... chặn tấn công thông qua đội ngũ kỹ sư nghiên cứu và phàt triển của Fortinet trên toàn cầu  Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ không tính license theo người dùng (license per user)  Tính năng IPS của Fortinet được chứng nhận bởi ICSALab, NSS 11 AntiSpam : Fortinet cung cấp khả năng bảo vệ máy tính khỏi spam và phishing ở cấp độ gateway Với một lượng... caching, web caching, web proxy …  Hỗ trợ cho các kết nối VPN site-to-site, client to site … Push Update : Hiện tại Fortinet áp dụng một cơ chế cập nhật tự động thông qua “công nghệ đẩy”(Push Update) cho chức năng Antivirus, IPS và AntiSpam Với cơ chế này, Fortinet sẽ giúp các hệ thống bảo mật do Fortinet cung cấp được cập nhật các hình thức tấn công, virus/spyware, Trojans, Spam… mới trong vòng vài phút, . CHUNG 4 1.1. Giới thiệu hãng bảo mật Fortinet 4 1.2. Quan điểm xây dựng chính sách bảo mật 6 1.3. Nguyên lý xây dựng chính sách bảo mật 6 2. ĐỀ XUẤT GIẢI PHÁP BẢO MẬT 7 2.1. Giới thiệu tính. thiệu hãng bảo mật Fortinet Tổng quan về Fortinet Fortinet được thành lập trong năm 2000 bởi Ken Xie – Trước đây, ông Ken Xie là sáng lập viên, đồng chủ tịch và CEO của hãng bảo mật nổi tiếng. 2.2. Đề xuất giải pháp 15 2.2.1. Lớp bảo vệ ngoại vi – Phân hệ UTM 15 2.2.2. Lớp bảo vệ trung tâm dữ liệu: 17 2.2.3. Các dòng thiết bị bảo mật Fortigate 20 3. MÔ HÌNH GIẢI PHÁP TỔNG THỂ 21