Báo cáo an toàn thông tin
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (17.14 MB, 41 trang )
TRUONG DAI HOC GIAO THONG VAN TAI THANH PHO HO CHI MINH
KHOA CONG NGHE THONG TIN
UNIVERSITY
OF TRANSPORT
HOCHIMINH CITY
BAO CAO DE TAI
An Toan Thong Tin
TRIEN KHAI FIREWALL FORTIGATE
Sinh vién thuc hién:
Giảng viên hướng dân:
CHO DOANH NGHIEP SMB
Nguyén Van A
Nguyên Văn B
Tp.HCM, 2023
MUC LUC
¡18 8 0 2
DANH MỤC HÌNH ẢNH. . . . . . . . . . . . .
5 5S ỀE
DANH MỤC TỪ VIT TẮT . . . . . . . . . . . .
E1 EE1111 11 111 111111 1111111111111 E111
ke i
¿5 S6 SE EEEE2EEEEEEEEEE E111 1111111111711111111111
11.111. ii
098006) 000010188... -..uLđ—-.".-Ƒc.
iv
CHUONG 1: VAITRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
(6177
80:1... .................
1-1-1...
1.
Khái niệm về firewallL.........................
2.
Cac load firewall...
K00
4.
ï0 00 00
-- -- «+ s 3111111111
TH 1H H111
...((iai
6/0 2/001
1
1
1
44...
..........
3
Nguyên lý hoạt động của firewalÌ........................- - - - -G G1322 911v 11H v1 ng 2221111 re 3
4.1 Các thành phần và cơ chế hoạt động của firewall........................
--¿-- 5-5 St ctxrxerrrerkrrrkrrrkes 4
5.
Firewall và an tồn thơng tỉn của doanh nghiệp. ..........................-- - --< << << <<<++<
5.2 Ứng dụng của firewall trong mơ hình an tồn thơng tin của doanh nghiệp SMB ................. 11
CHƯƠNG 2: GIỚI THIỆU CÁC SẢN PHẨM BẢO MẬT CỦA HÃNG EFORTINET....................... 15
1.
Tổng quan về giải pháp bảo mật cúa Eortinet.........................- - + s+s+E+Eeeseerererees 15
2.
Các sản phẩm bảo mật của Fortinet...
3.
Giới thiệu Eirewall Fortigate của hãng Fortinet..............................- 555cc.
CHƯƠNG 3:
CẤU HÌNH
FIREWALL
ccc
5-5 SE SE
ckevEErEeserrrrsree 17
18
FORTIGA'TE-1(E.........................
G5 3S ES+E+EeEeEerkrkexerererkred 24
1.
M6 hinh mang co bản và cấu hình thiết bị..................................- G2 5 3xx xxx sxcxei 24
2.
Chính sách bảo mật cân có cho firewall và cách cầu hình...............................-5s: 25
TÀI LIỆU THAM KHẢO......................
-- 5-5: 5c S555 SESxEEEEEEEEEEEEEKEEEEEEEEETEEEEEEE
11111111111 111111 11. Tx 38
DANH MUC HINH ANH
Hình I.I Miêu tả tường lửỬa ......................... . 2c 111v
TT
HH0 012 12g. 1
Hinh 1.2 Firwall dat 6 gitta mang riêng và mạng công CỘNE ....................--- c3 11s rrrsvrs 3
Hình 1.3 Anh minh hoa firewall EOFti/a(C......................--¿- - 5 SE S333 SE E1 1112111111111 11 1e 2
Hình 1.4 Mơ hình mạng thứ nhất ..........................---+ + 2% S+ESEE+E9EEE£E#E£EEEEEEEEEEEEEEEEEEEEEEEEEEEEETEEEEErrkrree 10
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hinh
Hình
1.5
2.1
2.2
2.3
2.4
2.5
2.6
3.1
3.2
Mơ
Giải
Giải
Giải
Giải
Giải
Các
M6
Cau
hình mạng cơ bản thứỨ haI. . . . . . . .
..-- - c5 22 2118833383118 3333189511131 15851 11111 8811111 re.
pháp bảo mật Zero Trust Network ACC€S§S.................
L che
pháp bảo mật Security-driven NetWOTKInE.......................
- che.
pháp bảo mật Dynamic Cloud S€CUTIEY .........................- S1
ng
re.
pháp AlI-driven Secur1Ity D€TAfIOTNS.....................
-- . - LH
ng
re
pháp Fabric Managemenf C €TnIf©T. . . . . . . . . . . .
--- -- - - - + + 1111319919129 1111 ng
vn re
tính năng UTÌ M. . . . . . . . . . . . ..-110222111 312111 311911 18 1111 111 1H 1
HT
ng kg
fink mang ne...
——.....
.......Ố.Ố.Ố....
hinh Web Filter .....c.c.ccccccccscsccscscsesscscsscscscscsececscscsscsnscsesscsnscsesscsnsssessvsvseesssvsnssseans
lšinipcsie 0000): 0.00 0ì
NT .......................
Hình 3.4 Câu hình DNS Eilt€T. . . . . . . . . . .
Hình 3.5 Câu hình Application ContrOl...................-
in i8. Te
0s. 0) 1117...
-
10
15
16
16
17
17
19
24
26
27
5252 E223 SE 5 1235151511 215157511 1111111111 1111511101E1E 11T. 1X. 28
¿2+ +52 +sE+EEE+E+E£EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEErkrkrkee 29
.......................
Hình 3.7 Câu hình Proxy OptiOIS ....................-Hinh 3.8 Cau hinh SSL/SSH Inspection...................Hình 3.9 Tạo Vlan và đặt Ip ....................... -- - - - -
5c St 31 9E E TT 11111 111111111111. 1111111111111 1x
--¿-¿- + SE
EEEEEEEEE TK 1115111111111 11011.
0110112221111 111 8311111118311 11110 111 HT gen
30
31
32
33
n9 0WE.00) 0/0900.
00/1000)0002... ............... 33
Hình 3.11 Tạo rule Vlan10 đến VianÏ [ .................--c:-55:22+t22xt2£x2ExtEEktrrrtrrrtrtrrtrrrrrrrrrrrrrrrrrred 34
Hình 3.12 Tạo chặn Facebook,
Y outube..........................
. ---- -- + + c + + c s31 11 211v v cv nh cv,
35
Hình 3.13 Câu hình Vlan10 đi Irnterntet ........................ -- + +2 255 2E2E£SE2E£EEE£EEEEEEEEEEE2E
21221221211. xe 36
Hình 3.14 Câu hình Vlan11 đi IrnternIet ...................... ---- +2 25 2S2E£SE2E£E2E£EEEE£EEEEEEEEEEEEEEEEEEErEerrrkr 37
DANH MUC TU VIET TAT
NIC
Network Interface Card
LAN
Local Area Network
WAN
Wide Area Network
DMZ
Demiulitarized Zone
VPN
Virtual Private Network
IPS
Intrusion Prevention System
SSL
Secure Sockets Layer
IPSEC
Internet Protocol Security
DNS
Domain Name System
FTP
File Transfer Protocol
HTTP
HyperText Transfer Protocol
SD-WAN
Software-defined Wide Area Network
NAT
Network address translation
GAN
Global Area Network
DLP
Data Leak Prevention
LOI MO DAU
Ngày nay công nghệ thông tin phát triển nhanh chóng, nắm giữ vai trị rất quan
trọng trong việc thúc đây sự tăng trưởng kinh tế với sự ra đời nhiều công nghệ mới, các
dịch vụ công nghệ thông tin đáp ứng nhu cầu của người dùng cũng như là của các doanh
nghiệp. Nhưng để một doanh nghiệp duy trì hệ thống mạng nội bộ ơn định, nhanh chóng,
an tồn và đáng tin cậy đang là vẫn đề tơ chức và doanh nghiệp đặc biệt quan tâm. Trong
đó, yêu tố an tồn mạng ln được đặt lên hàng đầu. Nắm bắt được nhu cầu của các tổ
chức, doanh nghiệp như vậy một số tập tồn cơng nghệ thơng tin và truyền thông hàng
đầu thế giới đã đưa ra nhiều giải pháp bảo mật như các Firewall ( cả phần cứng và phần
mềm) đề bảo vệ thông tin của doanh nghiệp tơ chức một cách an tồn.
Hiện nay, các tơ chức và doanh nghiệp chọn cho mình các bảo vệ hệ thống mạng của họ
bằng
nhiều cách khác nhau như sử dụng firewall của nhiều hãng như Cisco, Fortinet,
Juniper, Sophos... Chinh vi diéu dé nén em chon dé tai” Trién khai Firewall Fortigate cho
doanh nghiệp”
để tìm hiểu rõ hơn về cách vận hành,
quản tri firewall của một doanh
nghiệp và giám sát những tính năng mà firewall có thể làm được trong mơ hình mạng
thực tiễn. Đề tài gồm 4 phân chính:
Chương |: Vai tro cua firewall trong bao mat thong tin cua doanh nghiép SMB.
Chương 2: Giới thiệu các sản phẩm bao mat cua hing Fortinet.
Chương 3: Câu hình firewall fortigate-100E.
Tuy nhiên do điêu kiện tìm hiều trong thời gian ngăn cũng như khả năng còn hạn chê nên
bài báo cáo cịn nhiêu sai sót kính mong Thây và các bạn cho nhóm em nhận xét, góp ý
kiên đề bài báo cáo được hồn thiện hơn.
Nhóm em Xin Chan Thanh Cam On Thay va cdc ban!
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
CHUONG 1: VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA
DOANH NGHIEP SMB.
1. Khái niém vé firewall.
Thuật ngữ Eirewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn,
hạn chế hỏa hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào
hệ thơng mạng để chống lại sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ
và hạn chế xâm nhập không mong muốn vào hệ thống. Firewall được miêu tả như là hệ
thống phòng thủ bao quanh với các chốt để kiểm soát luồng lưu thơng nhập xuất, có thể
theo dõi và khóa truy cập của những thiết bị đó.
2
=
~
internet
y=
+>
Firewall
|
Home
or
Business
Network
Hinh 1.1 Miéu tả tường lửa.
Các mạng riêng kết nối với internet thường bị đe dọa bởi những kẻ tấn công. Để bảo
vệ dữ liệu bên trong người ta thường dùng firewall. Firewall có cách nào đó cho phép
người dùng hợp lệ đi qua và chặn những người dùng khơng hợp lệ lại. Firewall có thể là
thiết bị phần cứng hoặc phần mềm chạy trên host để đảm bảo hoặc kết hợp cả hai lại.
Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một mạng cho firewall bảo
vệ, một mạng cho bên ngồi. Eirewall có thể là gateway hoặc điểm nối liền giữa hai
mạng.
2. Các loại firewall.
Firewall phần cứng cung cấp mức độ bảo mật cao hơn so với firewall phần mém va dé
bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài
nguyên hệ thống trên máy tính như firewall phần mềm. Firewall phần cứng là một sự lựa
chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những cơng ty có chia sẻ kết nối
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIỆP SMB _
internet. Có thê kêt hợp firewall và một bộ định tuyên trên cùng một hệ thông phân cứng
và sử dụng hệ thong nay để bảo vệ toàn bộ mạng.
Đặc điểm của firewall cứng:
“
Không được linh hoạt như firewall mềm.
=
Firewall ctmg hoạt động ở tầng thấp hon firewall mềm ( tầng network và
=
transport).
Firewall ctmg co thé vi nhu mét router.
=.
“
Có thể quản lý tập trung.
Đơn giản, dễ lắp đặt, cấu hình, quản lý.
-_
ronreer
at
=
=
Baw
2
=
“| |
ee
Hinh 1.2 Anh minh hoa firewall Fortigate.
Firewall mềm có rất nhiều nhà cung cấp tường lửa phần mềm mà bạn có thể sử
dụng nếu bạn dùng các bản Windown trước đây. So với firewall phần cứng, firewall phần
mềm cho phép linh động hơn. nhất là khi cần đặt lại thiết bị các hệ thống cho phù hợp hơn
với nhu câu riêng của từng công ty. Chúng có thê hoạt động tốt trên nhiều hệ thơng khác
nhau, khác với firewall phần cứng tích hợp với bộ định tuyến chỉ làm tốt trong mạng có
sẵn qui mơ.
Ưu điểm:
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
a
".
Không yêu cầu phần cứng bô sung.
=
Mot lua chon tét cho cac may tinh don le.
“
Không yêu cầu chạy thêm dây máy tính.
Nhược điểm:
=
Chi phi thém hau hét các tường lửa phân mêm tơn chi phí.
"
Việc cài đặt và câu hình có thê cân băt đâu.
=
Can mot ban sao riêng cho mơi máy tính.
3. Mục đích của firewall.
Với firewall người sử dụng có thê yên tâm đang thực thi quyền giám sát dữ liệu truyền
giữa các máy tính của họ với các máy tính khác. Có thể xem firewall là một người bảo vệ
có nhiệm vụ kiểm tra bất kì các gói dữ liệu nào đi vào máy tính hoặc đi ra khỏi máy tính
của người sử dụng và chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ các gói dữ
liệu khơng hợp lệ.
Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử
dụng bên ngoài đoạt qun kiểm sốt đối với máy tính. Chức năng kiểm soát dữ liệu đi ra
của firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái phép cây những
virus có hại vào máy tính để phát động các cuộc tấn công cửa sau tới những máy tính
khác trên mạng Internet.
Firewall
Hinh 1.3 Firwall dat ở giữa mạng riêng và mạng công cộng.
4. Nguyên lý hoạt động cúa firewall.
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật
toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
các dịch vụ chạy trên các giao thức ( Telnet, SMTP, DNS, SMNP, NFS...) thành các gói
dữ liệu(data packets) roi gan cho cac packet nay cac dia chỉ có thé nhan dang duoc, tai lap
lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và
những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó
nhận được. Các luật lệ lọc packet này dựa trên các thông tin bao gồm mỗi đầu packet
dùng để truyền các packet đó ở trên mạng. Bao gồm:
=
Dia chi noi xuat phat ( Source).
=
Pia chi noi nhan (Destination).
=
Cong TCP/UDP noi xuat phat.
»
Dang thong bao ICMP.
=
=
Giao dién packet dén.
Giao dién packet di.
=
=
Nhiing thu tuc truyén tin (TCP, UDP, ICMP...).
(Cong TCP/UDP noi nhan.
4.1 Các thành phân và cơ chế hoạt động của firewall.
4.1.1 Bộ lọc gói (Packet Filtering).
Nguyên lý hoạt động:
Khi nói đến việc lưu thơng dữ liệu giữa các mạng với nhau thơng qua Firewall thì
điều đó có nghĩa răng firewall hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức này
làm việc theo thuật tốn chia nhỏ
dữ liệu nhận được từ các ứng dụng trên mạng, hay nói
chính xác hơn là các dịch vụ chạy trên các giao thức ( Telnet, SMTP,
DNS,
SMNP...)
thành các gói dữ liệu rồi gắn cho các packet này những địa chỉ có thể nhận dạng, tái lập ở
đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều các packet và những con
số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được.Các luật lệ lọc
packet này dựa trên các thông tin bao gồm mỗi đầu packet dùng để truyền các packet đó ở
trên mạng. Đó là:
=
Dia chi noi xuat phat ( Source).
=
Pia chi noi nhan (Destination).
=
Cong TCP/UDP noi xuat phat.
#
Dang thong bao ICMP.
=
=
Nhiing thu tuc truyén tin (TCP, UDP, ICMP...).
(Cong TCP/UDP noi nhan.
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
=
=
Giao dién packet dén.
Giao dién packet di.
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển
qua firewall. Nếu
không packet sẽ bị bỏ đi. Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào các
máy chủ hoặc mạng nào đó được xác định, hoặc khố việc truy cập vào hệ thống mạng
nội bộ từ những địa chỉ khơng cho phép. Hơn nữa, việc kiểm sốt các cơng làm cho
firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào
đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, F TP...) được phép mới chạy được
trên hệ thống mạng cục bộ.
Ưu điểm:
“
“
Chi phí thấp vì cơ chế lọc packet đã bao gồm trong méi phan mém router.
Ngoài ra bộ lọc packet là trong suốt đối với các người sử dụng và các ứng
dụng.
Nhược điểm:
"_
Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, địi hỏi người
quản trỊ mạng
cần có hiểu biết chi tiết về các dịch vụ internet, các dạng
packet header, va cdc giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi
về sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để
quản lý và điều khiến.
=
Do lam viéc dua trén header cua cac packet, ro rang là bộ loc packet khong
kiểm sốt được nơi dung thơng tin của packet. Cac packet chuyén qua van
có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại
của kẻ xấu.
4.1.2 Công ứng dụng ( Application-Level Gateway).
Nguyên lý hoạt động:
Đây là một loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại
dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó
dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên
gateway cho timg ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một
ứng dụng nào đó, dịch vụ tương ứng sẽ khơng được cung cấp và do đó khơng thé chun
thơng tin qua firewall. Ngồi ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
so dac diém trong ung dung ma nguoi quan tri mang cho la chap nhan dugc trong khi tt
chối những đặc điểm khác.
Một công ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó
được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an
ninh của một bastion host là:
Bastion host luôn chạy các version an toàn của các phần mềm hệ thống. Các
version an toàn này được thiết kế chuyên cho mục
đích chồng
lai su tan
cong vao Operating System, cling nhu la dam bao su tich hgp firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài
đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ khơng được cài đặt,
nó khơng thể bị tấn cơng. Thơng thường, chỉ một số giới hạn các ứng dụng
cho cac dich vu Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt
trén bastion host.
Bastion host c6 thé yéu cầu nhiều mức
độ xác thực khác nhau, ví dụ như
user password hay smart card.
Mỗi proxy được đặt câu hình để cho phép truy nhập chỉ một số các máy chủ
nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi
proxy chỉ đúng với một số máy chủ trên tồn hệ thống.
Mỗi proxy duy trì một quyền nhật ký ghi chép lại tồn bộ chi tiết của giao
thơng qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có
ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi proxy đều độc lập với các proxy khác trên bastion host. Điều này cho
phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ mơt proxy đang
có vẫn đề.
Ưu điểm:
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ
nào có thể truy nhập được bởi các dịch vụ.
Cho phép người quản trị mạng hoàn toàn điều khiến được những dịch vụ
nào cho phép, bởi vì sự văng mặt của các proxy cho các dịch vụ tương ứng
có nghĩa là các dịch vụ ay bi khoa.
Công ứng dung cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi
chép lại thông tin về truy nhập hệ thống.
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
m
-
Luật lệ lọc filltering cho công ứng dụng là dê dàng câu hình và kiêm tra
hơn so với bộ lọc packet.
Nhược điểm:
“
Yêu cầu các users thay đối thao tác, hoặc thay đối phần mẻm đã cài đặt trên
máy client cho truy nhập vào các dich vu proxy. Chang han, Telnet truy
nhập qua cong ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không
phải là một bước thơi. Tuy nhiên, cũng đã có một số phần mềm client cho
phép ứng dụng trên công ứng dụng là trong suốt, băng cách cho phép user
chỉ ra máy đích chứ khơng phải cổng ứng dụng trên lệnh Telnet.
4.1.3 Cơng vịng (cireuit-Level Gateway).
Ngun lý hoạt động:
Cơng
vịng là một chức năng đặc biệt có thể thực hiện được bởi một cơng
ứng
dụng. Cơng vòng đơn giản chỉ chuyền tiếp các kết nối TCP mà khơng thực hiện được bất
kì một hành động xử lý hay lọc packet nào cả. Cổng vòng thường được sử dụng cho
những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên
trong.
5. Firewall va an toan thong tin cua doanh nghiệp.
Firewall sé bao dam an tồn thơng tin cho doanh nghiệp bảo vệ dữ liệu,theo dõi luồng
dữ liệu mạng giữa Internet và Intranet. Những thông tin cần được bảo vệ do những yêu
cầu sau của doanh nghiệp:
“
Bảo mật: một số chức năng của firewall là có thé cất giấu thơng tin mạng tin
cậy và nội bộ với mạng không đáng tin cậy và các mạng khác bên ngoài.
Firewall cũng cung cấp một mũi nhọn trung tâm để đảm bảo sự quản lý, rất
có lợi khi nguồn
nhân lực và tài chính của một tổ chức, một doanh nghiệp
có hạn.
“
“
Tính tồn vẹn: tài ngun của hệ thơng đảm bảo an tồn.
Tính kịp thời: danh tiếng của các công ty sở hữu các thông tin cần bảo vệ.
Firewall sẽ chống lại những vấn đề sau đề đảm bảo an toàn dữ liệu của một doanh nghiệp:
"Chống lại việc hacking: hacker là những người hiểu biết và sử dụng máy
tính rất thành thạo và là người lập trình rất giỏi. Khi phân tích và khám phá
các lỗ hỏng của một hệ thong nào đó, sẽ tìm ra những cách thích hợp để truy
cập và tấn cơng hệ thống. Có thể sử dụng các kỹ năng khác nhau để tấn
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
.
.
cơng hệ thơng máy tính. Ví dụ có thê truy cập vào hệ thông mà không được
phép truy cập và tạo thông tin giả, lấy cắp thông tin. Nhiều công ty đang lo
ngại về việc dữ liệu bảo mật bị đánh cắp bởi các hacker. Vì vậy để tìm ra
các phương pháp để bảo vệ dữ liệu thi firewall có thể làm được điều này.
=
Chong lai việc sửa đối mã: khả năng này xảy ra khi một kẻ tấn cơng sửa đối,
xóa hoặc thay thế tính xác thực của các đoạn mã bằng cách sử dụng virus và
những chương trình có chủ tâm. Khi tải file trên internet có thể dẫn đến tải
xuống các đoạn mã dã tâm, thiếu kiến thức về bảo mật máy tính, những file
download có thể thực thi những quyền theo mục đích của những người dùng
“
trên một số website.
Từ chối những dịch vụ đính kèm: từ chối dịch vụ là một loại ngắt hoạt động
của sự tấn cơng. Lời đe dọa tới tính liên tục của hệ thống mạng là kết quả từ
=
nhiều phương thức tấn công giống nhau làm tràn ngập thông tin hay là sự
sửa đôi đường đi không được phép. Một kẻ tấn cơng có thể ngăm nhằm phá
hoại hệ thống máy tính và thêm vào phần mềm dã tâm mà phan mềm này sẽ
tân công hệ thống theo thời gian xác định trước.
Tan cOng trực tiếp: cách thứ nhất là dùng phương pháp dị mật khẩu trực
tiếp. Thơng qua các chương trình dị tìm mật khẩu với một số thơng tin
người sử dụng máy tính như ngày sinh, ti, địa chỉ, số điện thoại... và kết
hợp với thư viện do người tạo ra, kẻ tan cơng có thé dị được mật khẩu.
Trong một số trường hợp khả năng thành công có thể lên tới 30%. Cách thứ
hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành
đã được sử dụng từ những vụ tan cong đầu tiên và vẫn được dé chiếm lây
“
=
quyền truy cập (có được quyền của người quản trị hệ thống).
Nghe trộm: có thể biết được tên, mật khẩu, các thơng tin truyền qua mạng
thơng qua các chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ
nhận toàn bộ các thơng tin lưu truyền qua mạng.
V6 hiéu hóa các chức năng của hệ thống ( Deny service): Đây là kiểu tấn
cơng nhằm làm tê liệt tồn bộ hệ thống khơng cho nó thực hiện các chức
năng mà nó được thiết kế. Kiểu tấn công này không thể ngăn chặn được do
những phương tiện tơ chức tấn cơng cũng chính là các phương tiện để làm
việc và truy nhập thông tin trên mạng.
“_
Lỗi người quản trị hệ thống: Ngày nay, trình độ của các hacker ngày càng
giỏi hơn, trong khi đó các hệ thơng mạng vẫn cịn chậm chạp trong việc xử
lý các lỗ hồng của mình. Điều này địi hỏi người quản trị mạng phải có kiến
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
thức tốt về bảo mật mạng để có thể giữ vững an tồn cho thơng tin của hệ
thống. Đối với người dùng cá nhân, họ không thể biết hết các thủ thuật để tự
xây dựng cho mình một firewall, nhưng cũng nên hiểu rõ tầm quan trọng
của bảo mật thơng tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số
cách phòng tránh những sự tấn công đơn giản của các hacker. Vấn đề là ý
thức, khi đã có ý thức để phịng tránh thì khả năng an tồn sẽ cao hơn.
Yếu tơ con người: với những tính cách chủ quan và khơng hiểu rõ lắm về
tầm quan trọng bảo mật hệ thống nên dễ dàng lộ các thơng tin quan trọng
cho hacker. Ngồi ra thì còn dùng firewall để chồng lại sử giả mạo địa chỉ
IP.
5.1 Mơ hình kiến trúc hạ tầng an tồn thơng tin của doanh nghiệp SMB.
Một mơ hình mạng bảo mật rất cần thiết cho mỗi tổ chức, doanh nghiệp để phân
biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an tồn thơng
tin riêng cho mỗi vùng mạng tùy theo yêu cầu thực tế. Các thành phần trong mơ hình
mạng bảo mật, các thành phần bao gồm như sau:
Vùng mạng nội bộ còn gọi là mạng LAN
( Local Area Network) là nơi đặt
các thiết bị mạng, máy trạm và máy chủ thuộc nội bộ của đơn vị.
Vung mang DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng
internet là nơi chứa các thông tin cho phép người dùng từ internet truy xuất
vào và chấp nhận rủi ro tấn công từ internet.
Vùng mạng Server (Server Farm) là nơi đặt các máy chủ không trực tiếp
cung cấp dịch vụ cho mạng internet. Các máy chủ triển khai ở vùng mạng
nay thuong la database server, LDAP server...
Vùng mạng internet cịn gọi là mạng ngồi, kết nỗi mạng với internet tồn
cầu. Việc tổ chức mơ hình mạng bảo mật đảm bảo bảo mật có ảnh hưởng
lớn đến sự an toàn cho các hệ thống mạng
và các công thông tin điện tử.
Đây là cơ sở đầu tiên cho việc xây dựng các hệ thơng phịng thủ và bảo vệ.
Ngồi ra việc tơ chức mơ hình mạng bảo mật có thé han chế được các tấn
cơng từ bên trong và bên ngoài một cách hiệu quả.
Một số mơ hình mạng phơ biến:
Mơ hình mạng thứ nhất: trong mơ hình mang này vùng internet, vùng mạng nội bộ
va vung mạng DMZ. được đặt tách biệt nhau. Ngoài ra ta đặt một firewall giữa các vùng
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
mang dé nham kiêm sốt lng thơng tin giữa các vùng mạng với nhau va bảo vệ các
vùng mạng khỏi các cuộc tắn công trái phép.
—
Ss
wiewer
AA
HM 90)
sẽ
+ 3
T
&;
ery
1804
Ane. Cen
>S
a
%è %àè @
MA v 1®@4
curse
””
neon
=
“™
Wee
&tt &
#
ete
8
“haw
Ø8
4
aman
Hinh 1.4 M6 hinh mang thtr nhat.
Mơ hình mạng thứ hai trong mơ hình này ta đặt một firewall giữa vùng mạng
internet va vung mang DMZ va m6ot firewall gitta ving mang DMZ va vung mang noi bo.
Như vậy vùng mạng nội bộ năm sâu bên trong và cách vùng mạng internet bằng hai lớp
firewall.
¿
._ò`
wa
s.#
=
+
=
wees
“-
“
—
=
Fs #
a
3
`
—
‹
8W
<=:.
%Q@
S&S]
Hinh 1.5 M6 hinh mang co ban thw hai.
10
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
.
-
Trên đây là hai mơ hình mạng cơ bản đê tham khảo và tùy theo yêu câu của hệ thông môi
công ty khác nhau nên chúng ta phải thiết kế, thiết lập phù hợp với những yêu cầu của hệ
thống công ty đề ra.
5.2 Ứng dụng của firewall trong mơ hình an tồn thơng tin của doanh nghiệp SMB
Ứng dụng của firewall trong mơ hình an tồn thơng tin của doanh nghiệp: giúp
kiểm sốt luỗơng thơng tin giữa intranet và internet, phát hiện và xử lý những hành vi được
truy cập và không được truy cập vào bên trong hệ thông của doanh nghiệp, đảm bảo tối đa
sự an tồn thơng tin cho doanh nghiệp, giúp cho doanh nghiệp bảo vệ thơng tin một cách
an tồn nhất. Và những tính năng của firewall như sau:
Cho phép hoặc vơ hiệu hóa các dịch vụ truy cập ra bên ngồi, đảm bảo
thơng tin chỉ có trong mạng nội bộ.
Cho phép hoặc vơ hiệu hóa các dịch vụ bên ngồi truy cập vào trong.
Phát hiện và ngăn chặn các cuộc tấn công từ bên ngồi.
Hỗ
trợ kiểm
sốt địa chỉ truy cập (bạn có thể đặt lệnh cắm hoặc là cho
phép).
Kiểm soát truy cập của người dùng.
Quản lý và kiểm sốt luỗơng dữ liệu trên mạng.
Xác thực quyên truy cập.
Hỗ trợ kiểm soát nội dung thơng tin và gói tin lưu chuyền trên hệ thống
mạng.
Lọc các gói tin dựa vào địa chỉ nguồn,
địa chỉ đích và số Port ( hay cịn
cơng), giao thức mạng.
Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ
thống mạng.
Firewall hoạt động như một Proxy trung gian.
Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
Cân băng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc,
việc chia tải sẽ giúp đường truyên internet ôn định hơn rất nhiễu.
Và tùy theo mỗi công ty họ sẽ yêu cầu firewall đó như thế nào và nhà thi công thiết
kế sẽ làm theo yêu cầu của họ và trên firewall chúng ta có thể mua lieense để phù hợp cho
xây dựng một hệ thống an tồn thơng tin cho doanh nghiệp đó ví dụ như những license
như sau:
Web Server Protection: WAF, AV, Rev, Proxy.
11
VAI TRO CUA FIREWALL TRONG BAO MAT THONG TIN CUA DOANH
NGHIEP SMB
#
Email Protection: AntiSpam, AV, SPX, DLP.
#"
Network Protection: IPS, RED/HTMLS,
=
Web
Protection:
ATP, Security Heartbeat.
URL,
AV,
AppCtrl.
12
GIOI THIEU CAC SAN PHAM BAO MAT CUA HANG FORTINET
CHUONG 2: GIOI THIEU CAC SAN PHAM BAO MAT CUA HANG FORTINET.
1. Tổng quan về giải pháp bao mat cua Fortinet.
Nền tảng Fortinet Security Fabric cung cấp khả năng tích hợp và tự động hóa thực sự
trên cơ sở hạ tang, bảo mật của tổ chức, mang lại khả năng bảo vệ và khả năng hiển thị vô
song song cho mọi phân đoạn mạng và thiết bị, cho đù là ảo, trên đám mây hay tại chỗ.
Giải pháp Zero-Trust của Fortinet thúc đây một tập hợp các giải pháp bảo mật được
tích hợp chặt chẽ, cho phép các tổ chức xác định và phân loại tất cả người dùng và thiết
bị, đánh giá trạng thái tuân thủ các chính sách bảo mật nội bộ của họ và tự động đưa
chúng vào các vùng kiểm soát .Giải pháp truy cập Zero Trust Network (ZTNA) của
Fortinet mở rộng chức năng này với công nghệ đám mây, bảo mật truy cập vào các ứng
dụng quan trọng cho dù người dùng đang kết nối với hệ thống hay khơng. Và có những
tính năng như hình bên dưới:
Zero
Trust
a
|) oe Pe
p¬
=
Lo
Network
—
ae
meee
ee
ge
ee
te
Access
Tg
ee
ae ee -
Hinh 2.1 Giai phap bao mat Zero Trust Network Access.
FortiNAC: là giải pháp kiểm soát truy cập mang Fortinet. Gitip nang cao tong thé Fortinet
Security Fabric với khả năng hiển thị, kiểm soát và phản hồi tự động cho mọi thứ kết nối
VỚI mạng...
FortiClient là một phần khơng thể thiếu của Fortinet Security Eabric. Nó kết nỗi các điểm
đầu cuối với Security Fabric và cung cấp khả năng hiển thị điểm cuối, kiểm soát tuân thủ,
quản lý lỗ hỏng và tự động hóa.
Giải phap Security-driven Networking cho phép đối tác cung cấp cho khách hàng của
họ một mức độ bảo vệ cao hơn. Băng cách cung cấp hướng dẫn giải quyết các vẫn đề về
công nghệ thông tin hỗn hợp, việc giúp khách hàng thiết lập security-driven networking
cũng là một cách để đối tác chứng minh giá trị của họ. Có một số lý do để áp dụng đề xuất
phương pháp tiếp cận kết hợp security và networking, ưu tiên cơ sở hạ tầng kết hợp, tính
linh hoạt và hiệu suất. Các cơng ty ngày nay dựa vào đám mây và các trung tâm dữ liệu
để tiến hành kinh doanh... Ngay cả khi khách hàng tập trung vào đám mây (cloud-
focused) họ vẫn phải có endpoint được bảo vệ, đặc biệt là việc áp dụng cơng việc từ xa
trên quy mơ rộng. Và có những tính năng như hình bên dưới:
15
GIOI THIEU CAC SAN PHAM BAO MAT CUA HANG FORTINET
Security
—Cdrivem
Netwrorkimdgd
NPT
=
ee
Forts
a
at
Swrtcth
eg
a
oe
ee
E-8
Hinh 2.2 Giai phap bao mat Security-driven Networking.
ForiAP là hệ thống Wireless tích hợp bởi Fortinet. FortiAP của hãng Fortinet với hệ
thống mạng không dây Wireless Lan sẽ cho phép doanh nghiệp, cơng ty có thể triển khai
hệ thống mạng đơn giản và đặc biệt FortiAP là giải pháp tối ưu trong việc kết nối của
Fortigate.
SD-Branch 1a giai phap bao mat cho mang WAN va mạng Biên truy cập.
SD-WAN là cân bằng tải các đường truyền internet bởi WAN, hỗ trợ cho cân bằng tải của
đường truyền.
Giai phap Dynamic Cloud Security:
cho phép các tổ chức phát triển cơ sở hạ tầng kinh
doanh dựa trên nhiều hạ tang đám mây mà không ảnh hưởng đến việc bảo vệ đữ liệu và
tài nguyên người dùng kết nối..
các giải pháp bảo mật trên đám
minh để theo dõi hoạt động và
qua các loại đám mây khác nhau
Fortinet đã đưa ra giải pháp Security Fabrie để liên kết
mây với nhau giúp doanh nghiệp quản lý đám mây của
cấu hình tài nguyên đám mây giúp kết nối mạng an tồn
trong khi vẫn bảo vệ tính bảo mật thơng tin liên lạc.
EDvtrtcarr:ĩC
<—©fÍ<>tx1#
Security
Hinh 2.3 Giai phap bao mat Dynamic Cloud Security.
Giải phap AI-driven Security Operations: Dé bat kip voi quy m6, mirc dé tinh vi va téc
độ của các môi đe dọa mạng ngày nay, các tô chức cân các hoạt động bảo mật có thê hoạt
16
GIOI THIEU CAC SAN PHAM BAO MAT CUA HANG FORTINET
động với tơc độ máy. Băng cách áp dụng trí tuệ nhân tạo cũng như tích hợp và tự động
hóa, các tơ chức có thê giám sát rủi ro và nâng cao hiệu quả.
L U/)/2/0-1200/))/49)00 221004
CRE) |
@
By
&
Rh
aR) aa
RE
at
Fortilnsight +
FortiClient
FortiEDR
Hình 2.4 Giai phap Al-driven Security Operations.
Giải pháp Fabric Management Center: dùng để giám sát, quản lý hoạt động của các
thiết bị của những cơng ty và những tính năng như hình sau:
Fabric Management Center
K1
Fabric Connectors
El
ForfiManager
G
FortinelOne
IN
FortiGate Cloud
E]
a
aya
Hinh 2.5 Giai phap Fabric Management Center.
2. Các san pham bao mat cia Fortinet.
Fortinet Firewall: thiét bị tường lửa với VPN, có thể tích hợp các tính năng Antivirus,
IPS, Web filtering, Application Control, Data Leak Prevention...
FortiMail: thiét bi chuyén dting dé bao vé hé théng mail khoi Antivirus/Worm/Spyware
va AntiSpam.
FortiAnalyzer: thiét bi ghi log tap trung va phan tich log, scan hé thống để tìm ra lỗ
hong.
FortiManager: thiét bi quan ly tap trung thiét bi Fortigate va ForClient, cho phép toan
bộ người quản trị quản lý, cấu hình, update và áp dụng chính sách bảo mật chung cho. tất
cả các thiết bị Fortigate và FortiClient trong toàn hệ thống.
FortiClient: phần mềm personal firewall voi VPN cho người sử dụng di động. Có thể
mua thém license dé c6 thém cac tinh nang nhu Antivirus, Antispam va Web filtering.
Fortiguard subscription service: license dang ky su dung va update cac tinh nang nhu
Antivirus, IPS, Antispam va Web filtering. License c6 thé mua moi hang nam hoặc nhiều
nam.
Forticare service: dich vu h6 trợ kỹ thuật, gia tăng thời gian bảo hành của sản phẩm
cũng như update các OS/firmware mới nhất cho sản phẩm. Dịch vụ này có thể mua theo
từng năm hoặc nhiều năm.
17
