Next Generation Firewall
Những điều cần xem xét khi lựa chọn một NGFW
Hội thảo bắt đầu lúc 10h15’
Minh Trinh
Ph.D, CISSP, CyberSecurity Specialist
25/03/2020


1.

2.

Agenda

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Confidential

3.

Những vấn đề chính
của ATTT
Vai trò NGFW trong
bài toán ATTT?

Vấn đề cần xem xét
khi lựa chọn một
NGFW

4.

3 câu đố

5.

Q&A (>15p)


Thực thi ATTT là gì trong 2 từ
1. Chia hệ thống (người dùng, ứng
dụng, mạng…) thành các vùng an
ninh (vùng có cùng độ tin cậy) và
2. Kiểm soát truy cập giữa các vùng
Ví dụ:
• Xây dựng Security domain: triển phân
hoạch mạng (segmentation), chia nhóm
các ứng dụng…
• Kiểm soát truy cập: Kiểm tra định danh để
ghép người dùng vào một nhóm và cấp
quyền truy cập tương ứng tới ứng dụng.
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential


Mục tiêu của quản lý truy cập là gì trong 2 từ
1. Là quản lý rủi ro, hay giảm rủi ro xuống mức độ
chấp nhận được
2. Firewall là một biện pháp làm giảm thiểu rủi ro cho
tổ chức.

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential



Vai trò của tường lửa trong thực thi ATTT
1. Thực thi chính sách ATTT trên biên các vùng an ninh để thực thi
kiểm soát truy cập.
Ví dụ: chỉ mở một số cổng dịch vụ để thực thi chính sách cho phép cung ứng
một
số dịch vụ; kiểm tra các tập tin chuyển qua để thực thi chính sách ngăn
mã độc
xâm nhập…

2. Qua đó, giảm mức độ rủi ro của tổ chức xuống mức chấp nhận
được.
Ví dụ: giảm mức độ lây nhiễm mã độc do chỉ còn một số mã độc mới có thể lọt qua…

3. ATTT sẽ ra sao nếu không có firewall?
•
•
•

Chung cư không có bảo vệ
Nhà nhiều phòng nhưng không có cửa
Chính phủ đưa ra chính sách “cách ly cộng đồng” nhưng không được thực hiện
bởi người dân vì “cứ ra đường, có sao đâu”


Lịch sử Tường lửa (Firewall)
•

1989: Firewall được đưa ra bởi Digital Equipment Corp (DEC) với chức năng chính là
lọc gói tin IP đơn lẻ.


•

199x: UTM (Unified Threat Management) được đưa ra với khả năng lọc thông tin, lọc
mã độc trên cả các dòng dữ liệu … Mặt trái của UTM là khả năng xử lý nhỏ và độ trễ
lớn.

•

2010: Next Gen Firewall (NGFW): được Palo Alto Networks với chức năng bổ sung là
nhận biết và kiểm soát các ứng dụng (không phục thuộc vào cổng của dòng dữ liệu).

•

Gần đây: New Next Gen Firewall (NNGFW) được đề cập bởi một số tổ chức (VD
Gartner)

•

Một số hãng vẫn triển khai giải pháp IPS chuyên dụng với một số tính năng căn bản
của Firewall và không nên đặt thiết bị này vào chung chủng loại với NGFW.


(N)NGFW là gì?
•

Có các tính năng lọc gói tin
(packet filtering)

•


Nhận biết và kiểm soát được ứng
dụng (AVC)

•

Tích hợp tính năng IPS

•

Khả năng cập nhật thông tin từ
trung tâm tình báo và thay đổi
trong thời gian thực khả năng
kiểm soát.

Firewall

NGFW


Băng thông, khả năng xử lý NGFW
•

Khả năng của FW

•

Khả năng FW + AVC

•


Khả năng FW + AVC + IPS

•

Khả năng FW + AVC + IPS + Malware

•

Khả năng giám sát SSL qua giải mã
•

Giải mã bằng phần mềm

•

Giải mã bằng phần cứng chuyên dụng


Cần chú ý gì sau những con số Mbps?
•

Kích cỡ gói tin: gói càng nhỏ (VD một nửa), hiệu năng
càng thấp (cần gấp 4)

•

Tỷ lệ https (SSL/TLS): càng nhiều SSL hiệu năng càng
thấp (giảm một nửa khi có SSL decyption)

•


Khả năng tối đa thực tế: tối đa không xảy ra đồng thời
(bang thông, số cổng…)


Ảnh hưởng của IPS tới ứng dụng
•

IPS làm tăng độ trễ của ứng dụng

•

Xem xét khả năng giám sát, phát hiện và ngăn chặn với
độ trễ cho phép:
Số lượng rule
• Khả năng chống kỹ thuật lẩn tránh của hacker.
• Chế độ fail-to-wire
• IDS thay cho IPS (slide sau)
•


Hiệu năng NGFW khi kỹ thuật lẩn tránh (Evasion)
được áp dụng

=>

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential


Chọn IDS hay IPS?

•

IDS có thể điều tra sâu vào lường dữ liệu và không làm
ảnh hưởng ứng dụng nhưng không ngăn chặn được tấn
công.

•

IPS chặn được tấn công, nhưng làm tăng độ trễ của mạng
và làm ảnh hưởng ứng dụng

•

IDS với khả năng kiểm soát qua công cụ khác như
Network Access Control là một lựa chọn nên xem xét.


Nên trang bị FW và IPS riêng hay chung?
•

Nên triển khai FW trước IPS trong một
dòng dữ liệu

•

Rất khó tối ưu khi 2 thiết bị rời nhau.

•

FW và IPS trong một thiết bị đảm bảo dòng

dữ liệu được kiểm soát bởi FW trước IPS.


Khả năng lọc mã độc của NGFW
•

Tải tập tin thường đi qua NGFW nên NGFW cần có khả năng chặn
mã độc

•

NGFW cần có khả năng hồi tố tập tin “lọt lưới”:
Mã độc vào từ lúc nào?
• Đã đến máy tính nào đầu tiên?
• Đã lây đến máy tính nào?
•

•

Được sandbox hỗ trợ là quan trọng


Độ chính xác của cảnh báo của NGFW
•

Giảm cảnh báo sai (faul positive và faul negative) là mục tiêu của
mọi IPS

•


“Biết” các hệ thống mà mình cần bảo vệ để cảnh báo chính xác
hơn, cũng như đánh giá được mức nguy hại của tấn công.

•

Đề xuất bộ rule IPS cần thiết để giảm thiểu công việc của admin và
nâng cao độ chính xác.


Threat Intelligence sau từng NGFW
•

NGFW nào cũng có Threat Intelligent.

•

Chất lượng của Threat Intelligent quyết định khả năng phát hiện tấn
công của NGFW (chứ không phải device ta nhìn thấy on-prem).

•

Số lượng thông tin đầu vào (số lượng mã độc, domain, email…) và
khả năng “tiêu hóa” thông tin thành tri thức (như số lượng người
toàn thời gian) là 2 tham số quan trọng để đánh giá Threat
Intelligent

•

Hãy thử kết nối và hỏi các Threat Intelligent để tự đánh giá.



Khả năng hỗ trợ điều tra và xử lý sự cố của NGFW
•

Khi có sự cố, NGFW giúp trả lời các câu hỏi sau như thế nào?
•

•
•
•
•
•

•

Sự cố xảy ra từ lúc nào?
Có đi qua NGFW hay không?
Những hệ thống nào liên quan tới sự cố?
Ai là nguồn tấn công?
Ai là victim?
Ngăn chặn trên NGFW như thế nào?

Trả lời các câu hỏi trên dễ hay khó, có nhanh không?


Khả năng tích hợp NGFW với các sản phẩm khác
•

NGFW chỉ giám sát và kiểm soát dòng dữ liệu qua nó


•

NGFW nhìn chung là signature-based

•

Vì vậy, NGFW phải liên kết với hệ thống khác để có hiệu quả
•
•

•
•
•

•

Hệ thống quản lý người dùng để có thông tin về người dùng kết nối.
Hệ thống chống mã độc + AV
Hệ thống SIEM
Hệ thống điều tra
Hạ tầng mạng trong mô hình Software Defined
Hệ thống kiểm soát (enforcement)


Cần làm gì khi tham khảo đánh giá 3rd?
•

Nhiều tổ chức đánh giá độc lập: Gartner, IDC, Forrester, NSS LAB,
NetSecOPEN…


•

Cần đọc phần Summary/Strengths/Cautions.

•

Ví dụ:
Các sản phẩm khác của hãng đó trong phần đầu nhận xét của từng
hãng.
• Nội dung “Cautions” có nằm trong yêu cầu chính của tổ chức hay không?
(VD dùng để triển khai SDWAN, nhưng thiết bị này lại yếu phần SDWAN,
muốn dùng cho Cloud nhưng FW lại yếu phần cho cloud).
•


Chọn một hay nhiều loại FW khác nhau?

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential


Doanh nghiệp nào cần 2 loại NGFW trở lên?
1.

Yêu cầu mang tính chất chính sách công ty

2.

Có đủ con người được đào tạo để chống lại tấn công hiện đại.

3.


Phát sinh yêu cầu về NGFW khi tổ chức chuyển qua Software
Defined Network. Có nhu cầu quản lý (micosegmentation) dòng
dữ liệu ngang (est-west).

1.

Chiến lược chuyển về 01 loại NGFW:
•

Từ DMZ => chi nhánh => cloud và SDN => giảm giá cho tổng đơn
hàng


Summary
•

Chọn NGFW là một công việc đòi hỏi xem xét kỹ lưỡng để có sản
phẩm phù hợp với doanh nghiệp mình.

•

Cần cân bằng giữa thiết kế, cấu hình NGFW với chọn mua sản
phẩm tốt.

•

Luôn nhớ NGFW chỉ là một thành phần trong kiến trúc chung về
ATTT với nhiều thành phần khác nhau


•

NGFW sẽ có lỗi trong quá trình sử dụng. Hãy tham dự Webminar
09h00-12h30 ngày 26/3/2020 về “Approach Firepower like TAC” để
tham khảo Cisco TAC làm thế nào để tìm và giải quyết lỗi.


Our contacts:
Sơn Phan:
Duyên Trần:
Minh Trịnh:


Q&A
1.

Câu nào miêu tả đúng nhất ý kiến của Gartner về chọ 1 hay 2 hãng FW khác nhau?
A. NGFW để lọt lưới vì có lỗi khi sản xuất là chính cho nên khuyến cáo cần 2 hệ thống NGFW
từ 2 hãng khác nhau
B. NGFW để lọt lưới vì cấu hình NGFW bị sai sót. Sai sót thường do cấu hình NGFW phức tạp và nắm
được cấu hình của 2 loại NGFW khác nhau lại càng phức tạp và có thể có lỗi dẫn tới bị xâm nhập.
C. NGFW lọt lưới vì không nhận biết được các Phương thức lẩn tránh của tin tặc.

2. Câu nào đúng nhất về IPS:
A. Nên kích hoạt tất cả các qui tắc để IPS có khả năng phát hiện tấn công tốt nhất.
B. IPS thường cảnh báo chính xác các xâm nhập
C. Khi cấu hình IPS càn cân nhắc giữ khả năng phát hiện tấn công và độ trễ hoạt dộng mạng do
IPS sinh ra
D. Fail to wire là tính năng các IPS đều có
3. Câu nào đúng nhất về chức năng chống mã độc của NGFW:

A. Các NGFW đều có chống mã độc mặc định
B. Phần mềm chống mã độc trên IPS có khả năng quét hết mã độc đi qua NGFW
C. NGFW không có khả năng biết mã độc lây nhiêm giữa các máy PC
D. NGFW có khả năng bỏ sót mã độc. Quan trọng hơn là phải lưu lại thông tin để truy cứu
© 2019 Cisco and/or
its affiliates.
All rights
reserved.
Cisco Confidential
lại mã
độc
“lọt
lưới”.