Chào các bạn,

Khi xây dựng giải pháp an toàn, an ninh mạng bạn phải chọn firewall như thế nào khi trên thị trường Việt Nam.

- CheckPoint Firewall mang tính linh hoạt có khả năng cài trên tất cả các platform như Windows, Linux, Solaris. Về chuyên nghiệp có thể sử dụng trên các thiết bị chuyên dụng như Nokia, Celestix, Resilience, Sun iForce. Tích hợp khá tốt với các sản phẩm bảo mật trên gateway với 350 nhà sản xuất phần mềm bảo mật, thiết bị theo chuẩn OPSEC như phần mềm AV, Websense...

- Pix Firewall được tích hợp khá tốt với kiến trúc mạng của Cisco. Bước đầu đã quan tâm đến bảo mật trên gateway như liên kết với Trend Micro để tích hợp vào FW và AV trên gateway

- Sonic wall, Netsreen Firewall, Sonic Wall hay fortinet...

- Proventia M series cua Internet security System đây là công nghệ tích hợp tất cả Firewall/VPN, IDS, IPS, AV, Content filtering.

Tất cả sản phẩm firewall trên đều bảo vệ khá tốt với công nghệ "statefull inspection".
Hỗ trợ Static NAT, Dynamic NAT.
xác thực user.
Bảo mật ứng dụng.
Hỗ trợ VPN...

Thật đau đầu cho người sử dụng khi lựa chọn firewall phải không các bạn? Khó có thể phân biệt được ưu điểm hay khuyết điểm của từng sản phẩm firewall.

Trên diễn đàn này mình muốn nói đến trên quan điểm lựa chọn FW bạn sẽ lựa chọn giải pháp nào để tối ưu cho người sử dụng.

Theo mình thì lựa chọn FW theo những tiêu chuẩn sau đây
- Khả năng bảo vệ mạng tốt nhất.
- Uy tín của hãng sản xuất Firewall.
- Khả năng tích hợp vào hệ thống.
- Khả năng đáp ứng những yếu tố như tốc độ xử lý Firewall, VPN.
....
- Điều quan trọng không kém đó là giá thành sản phẩm


Bạn nào có những so sánh hay tối ưu sản phẩm FW, giúp mọi người nhìn rõ hơn về tính năng từng sản phẩm cụ thể?

Hi,
Một câu hỏi quá chung chung, nếu bạn đưa ra yêu cầu cụ thể của khách hàng thì có thể dễ trả lời hơn. :shock:
Các sản phẩm điều có thế mạnh riêng rất khó so sánh, hơn nữa nếu dựa vào thông tin nhà sản xuất cung cấp thì có lẻ cũng chẳng so sánh được.

Chào!
Mình cũng nghĩ như vậy!
Thật ra,các FW đều đáp ứng được hầu hết các yêu cầu mà caonguyen đưa ra.Khả năng tích hợp vào hệ thống tất nhiên phải thỏa,nên mình nghĩ k nên đưa yếu tố này vào.
Vấn đề cốt lõi là số tính năng được tích hợp trong FW là bao nhiêu?có đủ những cái thiết yếu chưa?Và giá tiền cho thiết bị.
Sẽ có 2 quan điểm trái ngược nhau:
-Một hướng cho rằng tích hợp all-in-one sẽ ưu thế hơn về số tính năng,chi phí đầu tư và dễ quảnlý hơn nhờ tập trung
-Một hứong khác lại cho rằng all-in-one thì mỗi one sẽ không hoạt động với hiệu quả cao nhất do phải phụ thuộc vào khả năng tổng thể của thiết bị.Nên để các tính năng riêng do các thiết bị khác nhau đảm trách.Tuy nhiên,việc này đòi hỏi một kiến thức tổng quát của ADMIN.
Nói tóm lại,có thằng FW nào xuất hiện ở VN thì chúng ta cùng nhau phân tích hết,nhưng chọn FW nào còn tùy thuộc mình đang làm đại lý cho hãng nào nữa.
Chắc chắn không thể kết luận FW nào là tốt nhất.
Mến

Bạn chọn firewall ... thì.. thực ra chọn FW phụ thuộc vào kinh nghiệm nhiều :).

Tớ chọn Firewall theo kiểu thế này :

Trước tiên xác định Firewall này dùng để làm gì. Chổ nào cũng có thể đặt firewall được hết, nhưng thường thì có 3 chổ :

Edge Network : Nơi giao tiếp giữa trusted và untrusted network. Tức là Internet Edge cũa bạn đó. Yêu cầu firewall ở nơi này là : Dedicated Firewall Features, có hổ trợ nhiều Interface (dành cho DMZ) nếu có thể. Có thể tích hợp được với IDS. Hổ trợ Fail-Over trong trường hợp bị sự cố. Thường thấy nhất ở khu vực này là CheckPoint (mình chạy trên nền Nokia và sau đó tới Sun). Có nhiều Interface khác nhau, cho inside, outside, DMZ và cả Management nữa :). Các option khác ở đây có thể là PIX535 mặc dù ít người dùng. Các loại firewall khác tớ chưa dùng thì chưa biết tới, vì cơ bản Check Point Nokia SUN là một kết hợp tương đối tốt (Stability, Security and Performance).

Core Firewall : Firewall đặt ngay Distribution Edge của Network, dùng để kiểm soát policy, traffic và security cho cùng một Autonomous System. Yêu cầu lớn nhất của firewall trong vùng này là bạn vừa bảo đảm security, nhưng đảm bảo performance và tốc độ chuyễn mạch cao. Thường thì 1 Firewall Service Module và 1 IDS Service Module trên dòng Catalyst 6500 ở khu vực Core / Distribution Edge là kết hợp thường thấy nhất. FWSM không ảnh hưởng đến Performance của lưu lượng traffic flow :), điều này làm cho nó là lựa chọn thix hợp nhất nếu bạn sữ dụng sản phẩm Cisco :). Có thể các vendor khác cũng có chức năng tương tự, nhưng một lần nữa, tớ chưa dùng chưa dám có ý kiến :D hhehehe.

Datacenter Firewall : Thực sự thì Datacenter Firewall đôi khi được tích hợp vào cả Distribution Edge firewall, nhưng muh đôi khi, lại đôi khi, để riêng trong các hệ thống lớn (ISP chẳng hạn). DC FW cũng có tính chất giống giống Dist Edge, ở điểm performance rất quan trọng, nhưng cũng đặt vấn đề Security lên hàng đầu, vừa phải bảo đảm mọi người có thể truy cập vào bình thường, nhưng vẩn phải bảo đảm an ninh cho nó. DC FW thì mình chỉ đề nghị dùng Check Point SUN, hoặc FWSM + NAM Module trên Catalyst 6500.

Vài ý kiến

Có rất nhiều lý do để chọn Firewall phải không các bạn sau đây mình có thể đưa ra lựa chọn theo doanh nghiệp của Cisco và CheckPoint như sau

- Đối với doanh nghiệp nhỏ
Checkpoint: Dòng thiết bị safe@office, Có thể là CheckPoint Express nếu doanh nghiệp cần tính linh động hơn trong chính sách của Firewall
Cisco: Pix 201, PIX 506E, PIX 515E
Đối với doanh nghiệp Trung Bình
Checkpoint:
CheckPoint Express cài trên thiết bị Celestix FV930, FV940 Nokia 330, Nokia 350, Nokia 380, Sun iForce v60x. Tuy nhiên trong trường hợp này CheckPoint có thể linh hoạt cài trên các máy chủ hệ điều hành Windows, Linux, Solaris, SecurePlatform(Hệ điều hành do cehckPoint phát triển.
Cisco: PIX 515E, PIX525
-Đối với các doanh nghiệp lớn/ISP
CheckPoint: CheckPoint Enterprise/CheckPoint Enterprise Pro chạy HA và LoadSharing cài trên các thiết bị Resilience DX4000, Hay trên Nokia IP530, Nokia IP710, Nokia IP740, Sun iForce V65x.

Đối với các ISP có thể sử dụng CheckPoint VSX

Nokia: PIX 535
Tuy nhiên tùy thuộc vào nhiều yếu tố của các doanh nghiệp này hay các ISP mình có thể đưa ra giải pháp như TGA nêu ra ở trên.
Proventia M là dòng sản phẩm Firewall/VPN kết hợp với IDS/IPS/AV/Content filtering chủ yếu phục vụ các doanh nghiệp lớn với gái thành thấp, dòng sản phẩm FW của ISS mới đưa ra chưa được kiểm nghiệm trên thị trường, Tuy nhiên dựa vào uy tín của ISS thì có thể đây là một giải pháp tốt cho người sử dụng vì nhiều tính năng tích hợp trên Gateway.
Tuy nhiên còn nhiều lý do để chọn Firewall
Các bạn xem và góp ý thêm

xin chào ! mọi người, tui có sơ đồ mãng như sau:
+một router adsl , kết nối internet.
+một firewall cisco pix 501.
+phía dưới là khoảng 50 máy pc nội bộ cty,

cần: cấu hình cisco pix 501 làm firewall, tất cả các máy đều đi net (hoặc có một số máy ko cho đi net), cấm tất cả các dịch vụ từ ngoài vào mạng nội bộ cty.

Ai có cấu hình tham khảo cho xin xem thử ! cám ơn.

Cấu hình thì chắc mở thread khác đi.

Doanh nghiệm nhỏ chừng 20 máy, nếu không vướng các vấn để về Liscense cho Check Point thì dùng Nokia IP 130 cũng tốt, vừa làm FW, vừa có làm VPN Concetrator cũng được. Thường thì tớ kô favor cho PIX lắm.

Theo quan điểm cá nhân, tôi thích dùng các Software firewall hơn

- Processor nhanh hơn
- Chạy nhiều layer hơn, thời buổi bi giờ virus và hack nhiều như SPAM ý, Hard Fw e chưa ổn.

còn Statefull Inspection thì hãng nào cũng có, tuy nhiên mỗi hãng là một kiểu khác nhau, bạn nghĩ mà xem nếu Firewall chỉ chạy tầng Transport và Network thì làm được những việc gì. Ngày nay các firewall cứng cũng dễ mở rộng việc này khi có các plug-in bên ngoài chạy tầng cao hơn, tuy nhiên làm giảm nhiều về performance của hệ thống.

đôi chút suy nghĩ, mong được trao đổi thêm.

tuanevnit

Hi Tuấn,
Mình có một số ý kiến về hardware fw và software FW như sau
- Nếu chọn software firewall có lẽ bạn chọn CheckPoint hoặc một số phần mềm khác
- Giải pháp này mang tính linh động và tích hợp với các OS, software về IDS, Gateway AV.
- Giải pháp FW của ISS tích hợp tất cả mọi thứ như FW/VPN/AV/IDS/IPS và Content filtering.
-Tuy nhiên khi thiết kế các Appliance của CheckPoint như Nokia... hay PIX FW thì nhà thiết kế đã đảm bảo tốc độ xử lý của FW cho từng trường hợp cụ thể mình không phải lo nó không đảm bảo tốc độ. Tuy nhiên cũng nhiều người e ngại về tốc độ xử lý của các thiết bị này. Tuy nhiên bạn cũng có thể tích hợp như Nokia tích hợp IDS của Internet Security System. Và có lẽ tới đây các hãng như Cisco, Nokia cũng sẽ có sản phẩm tích hợp AV for Gateway không chừng.
- Nếu lo lằng về tốc độ CPU mình cũng có thể dùng Sun iForce, đây là dòng thiết bị của SUN có tốc độ CPU, RAM khá cao.
Nếu bạn lo lằng về những nguy cơ như AV, SPAM bạn cũng có khả năng dùng CVP, UFP... của CheckPoint để chuyển dòng thông tin qua các máychủ cài các thành phần AV for Gateway để xử lý.
Nếu dùng PIX Firewall trong trường hợp này có vẻ khó khăn hơn đối với CheckPoint.

Đây là một số ý kiến của minh các bạn cho thêm ý kiến khác

:D :)

Mình đã chọn Checkpoint, không biết có thằng Soft nào hay hơn không?

Hard thì có lẽ PIX và Nokia đang khá nổi.

Tại sao các bạn không tìm hiểu Firewall Fortinet , theo mình được biết một số ngân hàng tại Việt Nam đã dùng Fortinet firewall bảo vệ cho hệ thống của mình

Ngân hàng dùng không có nghĩa là tốt :) :D.

Bạn định nghĩa thế nào là softfire ? thế nào là HardFire ?

Làm thế nào bạn thuyết phục được 1 người là : CheckPoint tốt hơn PIX ?

TGA hỏi ai thế nhỉ?

tui thấy PIX thua đứt đuôi các sản phẩm khác ở chỗ giá thành.

nếu tiền vô biên thì có lẽ tui mới liếc mắt đến nó.

hì.

Còn CP thì quá tệ về mặt customer support, nếu bạn đảm bảo rằng hoàn toàn làm chủ được nó thì cũng hay đấy, vì lúc đó không còn đau đầu về hàng chục kiểu License khác nhau và việc đổi tên license như thay áo.

được cái rẻ và có người crack được (!!! ưu điểm hay vượt trội CISCO SECURE PIX)

Hi,

Trong đợt thầu gần đây nhất cho thấy PlatForm CrossBeam Firewall vượt trội các vendor khác về ưu điểm kỹ thuật.

Giá cả là do nhiều yếu tố quyết định, cũng tương đối chính xác nếu nói PIX mắc. Có một vấn đề nửa là PIX không thể tạo Virtual Firewall được. Tuan có vẻ có kinh nghiệm về việc nhiêu khê của license check point nhỉ ? :D , đúng thật là nó SH!T lắm á.

Tôi xin đóng góp thêm về Virtual Firewall cho Cisco PIX ,dòng 6500.
Cisco đã có Beta version 2.1 cho Pix Plade, ở version nầy Cisco support 255 Virtual FireWall cho 1 Blade. Final release dự trù vào tháng 5/04.

Giải pháp nầy thích hợp cho ISP

- Một ít ý kiến .

Xin hỏi Virtual Firewall là cái gì vậy? các bạn cho một số khái niệm và đặc điểm được không?

thanks.

Hi

Hiện tại theo thông tin mình được confirm, thì VF chỉ có ở Firewall Service Module cũa Catalyst 6500 mà thôi. Chưa có một feature nào trên PIX có thể được cho là equivalent với VF hết.

Đúng là có nghe nói về kế hoạch phát triển FW trên PIX Software, và ngày release cũng gần đây thôi, nhằm đưa PIX lên thành một Telco level Firewall, nhưng chưa có vẩn là chưa có. Anyway, it's good to know lah.

Firewall On Demand TuanEvit.
Có thể xem 1 phần ứng dụng cũa VF là FOD.

Thanks for your comment

Hi all,
Chuyện bàn về tiêu chuẩn lựa chọn FW thật là khó nói, nhiều lúc các đặc điểm kỹ thuật lại không phải là yếu tố quyết định. Với tuỳ loai khách hàng mà các lực chọn về FW khác nhau. Với các ISP hoặc các cty lớn khác thì các dòng FW của checkpoint, PIX là các loại được để mắt tới hàng đầu. Loại khách hàng này thuộc loại "nhiều tiền", có các đội chuyên về mảng này để quản trị. Tuy nhiên, bên cạnh đó thị trường VN cũng tồn tại 1 mảng khách hàng khá lớn thuộc loại low-end. Đó là các doanh nghiệp có khoảng vài chục máy đến trăm máy, kết nối ADSL...(như của bác Minhquoi2002). Với các doanh nghiệp kiểu này, yếu tố lựa chọn FW đặt lên hàng đầu lại là giá thành, khả năng dễ quản lý và đặc điểm all-in-one lại được ưa thích hơn. Riêng về 2 yếu tố này, nêu là người đã sử dụng FW thì 2 loại Checkpoint và PIX bị loại đầu tiên.
Mình chưa sử dụng FW của fortinet, nhưng dòng sp cho mức low-end/medium thi Sonicwall thực sự là phù hợp, giá cả phù hợp và giao diện cũng dễ sử dụng.
Còn lựa chọn sp cho các ISP, enterprise thì PIX và checkpoint là hàng đầu. Netscreen đã và đang nhảy vào VN cũng là sp đáng để nói.
Đó là một vài ý kiến của mình.

Về VF( Vitual Firewall ) Mình có một số ý kiến về VF như sau
- VF được tạo để bảo vệ cho từng VLAN,
Đối với CheckPoint sản phẩm sử dụng là CheckPoint VSX, Được quản lý với Provider-1
Provider -1 phân định chính sách theo nhiều yếu tố. Tuy nhiên nó đưa ra chính sách toàn cục chung cho toàn bộ hệ thống mạng, chính sách cục bộ được thiết lập cho từng VLAN.

Thích hợp cho các ISP và Data Center.

VF được Cisco phát triển cho các Module PIX Firewall được config trên các Catalyst của Cisco. Nó có thể phân các chính sách dựa trên các VLAN được config trên các Catalyst đó.

Mong được tham khảo thêm từ các bạn quan tâm về Firewall
:lol:

Không vị nào nói đến một giải pháp firewall có giá thành cực thấp, nhưng tính năng/hiệu năng tương đương với các firewall thương mại đắt tiền. Đó là firewall dựa trên nền Linux.
VnPro???

đó là firewall như thế nào? thương mại hay đi kèm với OS?

nếu đi kèm OS thì bạn có thể cho biết một số tính năng được không?

Cả hai! Rất nhiều phương án lựa chọn nếu bạn muốn quan tâm. Linux có một số firewall tích hợp sẵn, chuyên chỉ cho mục đích firewall và tất nhiên là mất tiền. Hoặc bạn tự tích hợp các thành phần mã nguồn mở với nhau để tạo thành firewall cho mục đích riêng. Bản thân OS cũng tích hợp sẵn khả năng lọc gói vào nhân, do đó với đa số công ty và người dùng, như thế đã là quá đủ.
Tất nhiên, nếu so với các firewall thương mại khác rất đắt tiền như CheckPoint chẳng hạn, giải pháp Linux sẽ không có tất cả các tính năng cao cấp. Nhưng so sánh tính năng/chi phí thì không firewall nào có thể bì được. Đơn cử, một ISP lớn ở VN là FPT đã và đang sử dụng squid-cache để tăng tốc truy nhập Web cho tất cả các khách hàng của mình, chắc chắn là giải pháp đó có chi phí thấp hơn mọi giải pháp khác với tính năng/hiệu năng tương tự.
Bởi vì Linux phát triển theo hướng tuỳ biến cao: cái gì Linux có sẵn mà thấy tốt rồi thì dùng, cái gì chưa tốt hoặc không có, không đáp ứng được thì từ mã mở đó, tự bạn phát triển thêm.
Trong bài viết này tôi thấy toàn nói đến giải pháp, do đó xin mạn phép không đưa ra tính năng kỹ thuật, xin tham khảo thêm các tài liệu trên Internet khác.

Rất hay,
hoá ra từ trước đến nay VNN và FPT dùng Firewall có sẵn của Linux à?

Hi,

Có một Website để tham khảo trước khi chọn firewall nào, mặc dù nó chưa đầy đủ lắm : http://www.firewallcomparison.com

Hi,

Có một Website để tham khảo trước khi chọn firewall nào, mặc dù nó chưa đầy đủ lắm : http://www.firewallcomparison.com

Hoá ra squid-cache cũng là một firewall, bây giờ mới được biết. Nhân nói về firewall xin mạn đàm một chút về firewall trên GNU để hy vọng trả lời phần nào câu hỏi của Tuanevnit...,

A. Thế mạnh:
*Kết hợp chặt chẽ với hệ điều hành, mà HĐH mở thì sức mạnh là theo bạn.
*Không kén phần cứng, thích hợp cho các doanh nghiệp vừa và nhỏ
*Kết hợp chặt chẽ Stateful Inspection và IDS

Chức năng:

1. VPN, Multiple IPSec Tunnels
2. Multiple Public IPs
3. Web Content Filter (objective and none ralated filtering)
4. Filter by protocol (IRC, MUSIC...)
5. (QoS) Band limitation, Traffic prioritisation. Nếu thích chọc ngoáy thì dùng CBQ/HTB cho yêu cầu này.
6. Schedule Times
7. Reporting
8. Web management
...

Đó là những thứ không mất tiền mua, dĩ nhiên những cái mất tiền cũng chạy trên Linux được đấy. Cái này thì Netnam là ứng dụng số một, chứ không phải FPT đâu Myquartz ạ...

B. Nhược điểm
*Độ ổn định phục thuộc OS, không chuyên biệt....
*Mất nhiều công, tiền vẫn thế...
*Cấu hình cực nhọc

C. Ai nên dùng
*Nếu là internet nhà mình thì nên dùng, không nên áp dụng ngoài nhà mình kẻo support mệt nghỉ...
*Budget ít, mà yêu cầu chất lượng tốt hơn
*IT mới, muốn chứng tỏ khả năng

Vài chức năng, nếu thiếu mong các bác bổ xung giúp cho, vì đang bận ăn mỳ tôm...!!!

Many thanks,

Bạn diendan là người rất có kinh nghiệm trong thế giới Linux/UNIX. Các đóng góp của bạn khỏi cần bổ xung. Linux dành cho những người chăm chỉ, chăm chỉ tìm kiếm trên hàng chục link từ google, đọc hàng tá tài liệu và kiên nhẫn hàng đêm. :lol:
Squid-cache là firewall đấy chứ, là loại Firewall mức Application.

lão diendan này thật, vậy mà hỏi riêng thì lão chẳng bảo cho mình biết, cứ âm thầm post bài thế này thôi. Nhân tiện buồn bã tìm được Choose Best Firewall (http://www.sans.org/rr/papers/index.php?id=951), mới các bác xem thử. Nói chung thì nó cũng đã bao gồm nhiều với các ý tưởng của các bác nêu ra nhưng xem thử "hàng ngoại" khác "hàng nội" ra sao. :lol: (Xem = Adobe)

Phải nói đây là một chủ đề rất hay có thể bàn thảo bất tận, và bài toán này cũng có vô số lời giải, tôi đã đi tìm giải pháp bảo mật cho đơn vị mình từ rất lâu mà vẫn chưa thoả mãn nhưng tôi cũng muốn chia sẻ chút thông tin với các bạn.
Theo Kết quả khảo sát và thăm dò của FBI kết hợp với CSI ở 538 tổ chức bao gồm các tổ chức chính phủ, các trường đại học, các tập đoàn, các công ty,... cho thấy thống kê về mức độ phổ biến của các nguy cơ an ninh từ kết quả khảo sát:
+ Nguy cơ Virus: 76%
+ Nguy cơ tấn công từ nội bộ: 42%
+ Tấn công từ bên ngoài: 25%
+ Lỗi không cố ý: 70%
+ Gián điệp công nghiệp: 10%
Điều rút ra là theo các con đường tấn công trên trên là mọi sự tấn công đều có thể xẩy ra từ hai phía nội bộ và thế giới bên ngoài. Nguyên tắc trước tiên là chỗ nào cần bảo mật thì chỗ đó cần đặt firewall, như vậy phải phân nhóm các đại điểm cần bảo mật nếu có đặc điểm bảo mật chung. Tiếp đó xác định các đường truy cập đến các địa điểm bảo mật và các đối tượng có khả năng truy cập cần quản lý khi bảo mật, sau đó mới tính đến lựa chọn giải pháp cho từng đối tượng, và nguyên tắc là áp dụng càng nhiều hình thức bảo mật cho một hệ thống càng tốt, điều này dễ hiểu như và bạn phòng chống trộm cắp bằng nhiều kiểu khoá khác nhau, như vậy đòi hỏi skill leven của người truy cập trái phép càng cao ----> càng hiếm...

Ví dụ như bạn có thể phân nhóm người có thể truy cập như: user nội bộ, văn phòng chi nhánh, partner, khách vãng lai. Phân nhóm các tài nguyên cần bảo mật như: Tài nguyên nội bộ, tài nguyên chia sẻ cho các chi nhánh, tài nguyên chia sẻ cho partner, tài nguyên public,
như vậy, sau khi phân loại được các vùng cần bảo mật và đối tượng thì bắt đầu chọn sản phẩm tuỳ theo túi tiền và mức độ ưu tiên cho từng vùng và đối tượng người sử dụng -> chọn cứng hoặc mềm tuỳ thích.

Như ở cơ quan mình mình đang lựa chọn cả PIX và Netsceen, tổng chi phí khoảng 30.000$, dùng để chặn đường từ các đối tượng như: từ ngoài Internet, từ các đơn vị Ngân hàng đến, từ các đơn vị cấp dưới và từ các cá nhân nội bộ

Mô hình cơ bản như Sau

----------------Partner
--------------------||
--------------------||
Internet======(*)==PIX==ISA=(*)=Netscreen =====| LAN
-----------------------------------------||
-----------------------------------------||
-----------------------------------------||
Chi nhánh

Nếu có gì không hay, xin các bạn chỉ giáo

Bạn có thể cho mình xem cái sơ đồ rõ hơn được không? sao mà nhiều Firewall thế? sao bạn không mua con Firewall xịn có vài interface để dễ quản lý hơn không? <--cũng là một ý kiến

Mình cũng đã tham khảo ý kiến dùng thiết bị của Nokia + Checkpoint nhưng nhận thấy thiết bị này tương đối đắt, vì với số tiền trên mình không mua đủ cho giải pháp của mình, thứ hai là mình áp dụng nhiều hình thức firewall là để giải quyết các bài toán khác nhau, thực ra trên đó chỉ có hai con cứng là PIX và NETscreen và một con mềm ISA để quản lý truy cập Internet từ nội bộ thôi. Và mình quan niệm một cách nông dân là phá 2 con thì khó phá hơn một con và con PIX 515 có đủ số cổng để giải quyết bìa toán của mình

xin góp vài ý kiến nhỏ trong chủ đề này. Để có được 1 giải pháp bảo mật hoàn hảo chúng ta cần chú ý đến các tính năng sau:

1/ Firewall - đương nhiên rồi - để ngăn chận các truy cập trái phép vào hệ thống.
2/ Anti-virus/worm (AV) : ngăn ngừa virus từ ngoài vào qua email, download...
3/ Intrusion Detection System : kiểm tra các signature attacks trong nội bộ và các
truy cập vào server mà không được phép.
4/ VPN : mã hoá các dữ liệu đến các chi nhánh qua đường Internet
5/ Content filtering : lọc và ngăn các truy cập lên các web sites bất hợp pháp
6/ Traffic shaping : cho phép ưu tiên các traffics cần thiết qua đường băng thông
hạn chế, thí dụ chỉ có 256k.
7/ Log report : cho phép theo dõi các traffics qua lại trong hệ thống mạng.
8/ Real time traffic : có nghĩa là dữ liệu qua hệ thống bảo mật ở thời gian thật -
không mất nhiều thời gian để kiểm tra virus.

Bạn xem thử thiết bị bảo mật của Fortinet : www.fortinet.com. Thiết bị này tích hợp tất cả tính năng nói trên và chỉ bắng 1/2 giá dự định đầu tư 30,000 USD của bạn. Mình đang sử dụng thiết bị này ở cơ quan của mình, ngân hàng, tại TP HCM. Chúc bạn thành công.

Hi GameBoy,

Nói đến một giải pháp bảo mật HOÀN HẢO thì có nhiều việc phải làm và xem xét lắm, nhưng theo mình nghĩ chắc khó có giải pháp nào hoàn hảo vì bản thân suy nghĩ của con người làm gì có hoàn hảo phải không bạn hehehhehe... Nếu nói về Firewall Fortinet với các tính như vậy thì chưa thấy hết khả năng của nó và bạn có thử các Firewall khác chưa để so sánh thế nào??? Theo mình thấy thì Fortinet nổi trội các tính năng sao :
- VPN : hổ trợ IPSEC, PPTP, L2TP, CA và đặt biệt là có thể làm NAS (rất phù hợp với điều kiện ở VN)
- AntiVirus : được support quá tốt, update liên tục (vì có trả tiền mà hehhehehhe....) chắc là ngân hàng bạn yên tâm về vấn đề Virus
- Content Filter : cho bạn có thể làm ảo thuật gia trên các service : HTTP, MAIL, IMAP, POP3, SMTP mình chưa thấy thằng nào làm tốt hơn thằng này (hôm nào bạn thử cho toàn ngân hàng của bạn chỉ duyệt web, check mail... nhưng không cho download hay upload file với bất hình thức nào, thậm chí download một file hình nào trên trang web mình đang xem nó cũng chả cho nữa, vậy mới CÚ mấy anh chàng quản trị chứ).

Nhưng bạn đừng tưởng các thiết bị tích hợp hết những chức năng đó vào một CỤC thì bạn chỉ cần mua một CỤC đó về là ngon đâu, không phải chỉ cần mua một thiết bị Firewall HOÀN HẢO là có thể ăn no ngủ kỹ, mà một hệ thống tốt khi mọi thứ xung quang nó cũng phải được tổ chức tốt, quan trọng người quản lý nó phải biết có tận dụng những cái gì mình có và khai thác có hiệu quả. Ví dụ như tính năng AntiVirus và IDS (Intrusion Detection) của Fortinet chỉ hổ trợ Network-Base chắc chắn là nó sẽ có ưu và khuyết điểm gì so với Host-Base??? Cái đó tùy mổi người đánh giá và chọn giải pháp thích hợp!

Hi Kid_of_God_2003,

Quan niệm của bạn PHÁ 2 CON THÌ KHÓ HƠN PHÁ 1 CON (câu này mà nói với bạn gái thì coi như TOI) là hoàn toàn sai lầm vì mỗi thiết bị trong hệ thống đều có một mục đích sử dụng của nó và ảnh hưỡng qua lại với nhau, nếu tôi phá được con này thì chắc chắn con kia cũng ảnh hưỡng lúc đó nó sống cũng chẳng có tác dụng gì, ĐÚNG KHÔNG???

Vài lời thảo luận, mong trao đổi thêm!

Tớ đồng ý với Crazy. một con nhiều Interface giá vẫn không quá đắt như bạn Kid_of_God_2003 nói đâu. NetScreen cũng có loại 5 int đó (viettel đang xài)

chúc các bạn vui.

Để chọn Firewall loại để đảm bảo an ninh mạng của bạn và phù hợp với dự án đầu tư là cả một vấn đề rất khó (nếu như các thiết bị bạn định mua lại vượt quá số tiền cho dự án đó thì sao???). Bạn nên đưa ra giải pháp lâu dài:
-Firewall có phù hợp với yêu cầu tốc độ, VPN cho dự định nâng cấp không và cả tính năng ổn định nữa.
-Support có tốt không (bảo trì và nâng cấp phần cứng có nhanh chóng không và cả update Smart-Defense nữa).
- Nếu muốn có HA thì tính giá thành như thế nào

Còn rất nhiều yếu tố nữa để chọn Firewall cho giải pháp của mình nhưng: theo sự so sánh của GBX thì mình sẽ chọn phần mềm firewall CheckPoint và Module (Nokia, Resilience, Celestix, Sun..) vì: cấu hình trên PIX phức tạp hơn trên CheckPoint rất nhiều, tạo policy rất đơn giản vì GUI của CP là thân thiện với User. CP tích hợp với các phần mềm secure khác rất nhiều ví dụ như: Trend, ISS, RSA.. do vậy CP chiếm phần thị phần Firewall lớn nhất toàn cầu.
Đây là một số ý kiến của GBX, và cũng là nguyên nhân để GBX chọn giải pháp CP cho công ty của mình. Hiên giờ mình đang sử dung CP-NG-FP3 chạy trên Celestix FV930

hi GBX,

nếu muốn HA thì cần mua những License nào của CP? kèm theo module nào?
theo bạn có nên dùng NAT trên CP không?

- Nếu bạn muốn dùng HA thì phải mua thêm một License CP và một Module nữa giống như bạn đang sử dụng vì HA là phải có 2 License và 2 Module giống nhau. Như trường hợp ở công ty mình thì phải mua thêm 1 License và 1 firewall FV930 nữa.
- CP-NG có 2 kiểu NAT (Static và Dynamic), dùng NAT nào thì còn phụ thuộc vào hệ thống mạng của bạn. Hiện giờ mình đang sử dụng rất nhiều NAT static và chưa gặp vấn đề gì cả.

GBX xin đính chính lại câu trả lời ở trên:
- HA cho firewall: nếu đang sử dụng License CP cho quản lý 1 site (Gateway) thì mới phải mua nâng cấp License CP từ 1lên 3 site, còn nếu đang sử dụng License CP cho 3 site thì không phải mua thêm License CP nữa.
-HA cho Management: nếu muốn làm HA cho management thì phải mua thêm 1 License CP như ỏ trên nữa.

Vào tháng 2 năm 2004, WatchGuard tung ra các sản phẩm bảo mật Firebox. Có bốn model Firebox X500, X700, X1000 và X2500. Các sản phẩm này có chung phần cứng và sự khác biệt nằm ỏ phần mềm và license. Bảng dưới đây so sánh các model này.

Các model này không sử dụng các mạch phần cứng ASIC. Sản phẩm firewall này không có các tính năng như network-based antivirus. Phần antivirus dùng McAfee client là chiến lược của WatchGuard.

Về giá cả, một Firebox có giá từ 1,900$ đến 6,000$.

(còn tiếp)

còn đây là một so sánh khác giữa CheckPoint FW-I và Fortigate. Tài liệu từ nguồn của Fortigate nên dễ đàng đoán được bên nào sẽ được thiên vị hơn. Dù sao, các tiêu chí được đưa ra để so sánh cũng đáng để chúng ta tham khảo:

Một so sánh khác giữa hai loại firewall Fortinet và Netscreen.

còn đây là một so sánh khác giữa CheckPoint FW-I và Fortigate. Tài liệu từ nguồn của Fortigate nên dễ đàng đoán được bên nào sẽ được thiên vị hơn. Dù sao, các tiêu chí được đưa ra để so sánh cũng đáng để chúng ta tham khảo:

Tính năng AI của CheckPoint được giới thiệu năm 2003 với mục tiêu là phát hiện và ngăn ngừa những kiểu tấn công mức ứng dụng. Tương tự với những công cụ phát hiện xâm nhập và ngăn ngừa, tính năng này có thể nhận dạng các kiểu tấn công như bufer overflow, SQL slammer, các virus code red, kiểu tấn công man-in-the-middle, sql slammer. Tuy nhiên tính năng AI không chỉ ra mối nguy hiểm từ virus.

Các sản phẩm CheckPoint có giá khá cao. Khi nâng cấp thêm từng module phần mềm như VPN hay mgmt thì phải tốn thêm tiền.CheckPoint có thể không phù hợp cho các công ty vừa và nhỏ.

Các yêu cầu giải pháp kỹ thuật của hệ thống firewall


Tính sẵn sàng cao, khả năng hoạt động liên tục

Hệ thống Firewall Gateway được đầu tư cần đảm bảo tính sẵn sàng cao, khả năng hoạt động liên tục và phải đảm bảo năng lực hoạt động ngay cả khi tải lưu lượng cao hoặc tăng đột biến. Ngoài ra, hệ thống cần hỗ trợ chế độ hoạt động song song, chia tải để đảm bảo tính mềm dẻo trong khai thác, sử dụng. Đặc biệt cần lưu ý khả năng hỗ trợ cơ chế cân bằng tải theo chế độ active-active với điều kiện vẫn phải đảm bảo thông số kỹ thuật tối thiểu khi một đơn thể gặp sự cố.

Để đảm bảo điều kiện hoạt động liên tục, hệ thống Firewall Gateway quốc tế tại mỗi điểm còn cần phải có khả năng dự phòng, bao gồm cả dự phòng các thành phần thiết bị lẫn dự phòng thiết bị.

Đối với dự phòng các thành phần thiết bị, mỗi thiết bị cần lưu ý đến các yêu cầu sau:

Dự phòng và thay nóng ở thành phần chuyển mạch, điều khiển
Dự phòng và thay nóng ở thành phần giao diện
Dự phòng và thay nóng ở nguồn nuôi, hệ thống làm mát
Đối với dự phòng thiết bị trong mỗi hệ thống, cần lưu ý đến việc đáp ứng các cấu hình kỹ thuật sau:

Hỗ trợ hoạt động ở chế độ sẵn sàng cao (HA) với giao tiếp Gigabit
Hỗ trợ HA hoạt động ở chế độ Active-Passive Full Synchronization
Hỗ trợ HA hoạt động ở chế độ Active-Active Full-Mesh
Hỗ trợ đấu nối nhiều thiết bị firewall với nhau để tăng năng lực hệ thống theo cấu hình multi-firewall
Khả năng nâng cấp và mở rộng

Để đáp ứng yêu cầu chủ động trong hoạt động và bảo vệ đầu tư của hệ thống, hệ thống firewall cần hỗ trợ các tính năng mở rộng:

Mở rộng số lượng đơn thể trong một hệ thống với cấu hình các đơn thể vận hành song song hoặc chia tải. Việc thêm các đơn thể này phải không thay đổi cấu hình với các thiết bị sẵn có. Đặc biệt lưu ý khả năng mở rộng số lượng đơn thể mà không phải thêm các thiết bị mở rộng.

Hệ thống cần có tính mở, hỗ trợ kết nối tới nhiều loại thiết bị firewall của các hãng khác nhau đảm bảo hệ thống hoạt động hiệu quả với năng lực bằng tổng năng lực của các thiết bị firewall thành phần.

Khả năng tăng cường của thiết bị firewall cần thể hiện rõ qua các thông số về năng lực của CPU, bộ nhớ trong, bộ nhớ ngoài, khả năng nâng cấp phần mềm; cũng như các giải pháp đấu nối, giao diện đấu nối và các khuyến nghị về chế độ hoạt động của hệ thống.

Khả năng trong suốt với các dịch vụ khác nhau
Do sự phát triển của các giao tiếp đa phương tiện trên môi trường Internet, yêu cầu của các thuê bao đối với nhà cung cấp dịch vụ như ISP đòi hỏi hệ thống Firewall Gateway quốc tế phải đáp ứng hỗ trợ các dịch vụ voice, data, video một cách trong suốt.

Khả năng tương thích với hệ thống mạng hiện tại
Các hệ thống Firewall Gateway quốc tế khi đưa vào hoạt động phải không ảnh hưởng đến hoạt động và kiến trúc vĩ mô của mạng hiện có, hệ thống phải độc lập, trọn gói để không cần đầu tư thêm thiết bị phụ trợ để kết nối.

Giải pháp đấu nối
Hệ thống mạng VNN sử dụng các giao diện đấu nối Gigabit Ethernet, do đó các hệ thống Firewall Gateway quốc tế đang được đề cập phải có khả năng tích hợp hoàn toàn với hệ thống mạng hiện có.

Hệ thống phải hỗ trợ các kết nối ở lớp 2 (bridging), lớp 3 (routing) và chuyển mạch lớp 4.

Các yêu cầu đối với các thiết bị khác hiện có để có thể tích hợp hoàn toàn như đã nói ở trên cần phải được lưu ý một cách chi tiết để đảm bảo hiệu suất tối ưu của hệ thống mạng sau khi tích hợp:

Tính ổn định của hệ thống trong thực tế

Các hệ thống cần đáp ứng yêu cầu có tính ổn định trong điều kiện đưa vào khai thác thực tế, có độ suy giảm nhỏ so với các yêu cầu bắt buộc đã được đưa ra trong các tình huống như kích thước gói tin nhỏ, xử lý đồng thời các gói tin có kích thước khác nhau…

Giải pháp an ninh

Các hệ thống Firewall Gateway phải là các hệ thống hiện đại đáp ứng mục tiêu bảo vệ trong môi trường Internet phát triển cực kỳ nhanh chóng.

Do đó, các nhà tích hợp hệ thống cần lưu ý đến việc cung cấp các giải pháp an ninh tổng thể có được từ các nhà sản xuất cũng như có được từ quá trình nghiên cứu của bản thân mình cho VDC, bao gồm:

Các loại lỗ hổng bảo mật và các kiểu tấn công vào an ninh mạng đã và đang phổ biến hoặc mới được phát triển gần đây
Giải pháp kỹ thuật để đạt hiệu quả an ninh cao nhất
Các giải pháp kiểm soát truy cập, an toàn mạng
Các giải pháp quản lý rủi ro, an toàn trong vận hành
Các chính sách, các chuẩn an toàn thông tin
Tính năng kỹ thuật chung của các hệ thống Firewall
Các hệ thống Firewall đang đề cập cần đảm bảo các yêu cầu cơ bản sau:

Hỗ trợ công nghệ kiểm tra trạng thái gói tin. Các hệ thống firewall cần phải được nhà cung cấp mô tả rõ việc ứng dụng công nghệ này, các thông tin nào được phân tích sử dụng và các thông tin nào có thể báo cáo lại:

Khi nào, trong ngữ cảnh nào firewall sẽ áp dụng công nghệ này
Các loại thông tin trong phần tiêu đề (header) của gói được kiểm tra
Các thông tin về trạng thái cổng kết nối
Dữ liệu phân mảnh các gói IP (số thứ tự, số mảnh)
Thông tin lắp ráp gói, loại ứng dụng
Liên hệ giữa các giao diện đi và đến của firewall
Thông tin lớp 2, ngày giờ đi và đến của gói tin
Hỗ trợ các phương thức xác thực theo luật, nhóm luật để tạo điều kiện kiểm soát và hỗ trợ khách hàng tốt nhất.

Hỗ trợ tạo luật theo nguyên tắc mở toàn bộ, cấm theo yêu cầu

Hỗ trợ các dịch vụ TCP và UDP bất kỳ, có thể định danh các nhóm giao thức để sử dụng theo yêu cầu thực tế ngoài các nhóm giao thức chuẩn hoặc đã được hệ thống định nghĩa sẵn.

Hỗ trợ kiến trúc DMZ

Hỗ trợ các giao tiếp Ethernet tốc độ cao như FastEthernet, Gigabit Ethetnet, hỗ trợ Trunking

Phát hiện, ngăn chặn và cảnh báo các kiểu tấn công thông dụng như DoS, DDoS, PortScan, IP Spoofing,...

Hỗ trợ các kiểu lọc URL:

Websense Server
N2H2
SmartFilter
Khả năng lọc URL có sẵn trong bản thân hệ thống firewall
Dữ liệu truyền qua các giao tiếp Gigabit HA phải được mã hóa

Tính năng QoS, Traffic Management

Cần có khả năng lọc lệnh ứng dụng (command blocking). Cần nêu biện pháp tích hợp với các hệ thống anti-virus (hoặc qua các plug-in).

Hỗ trợ tính năng VPN

Phương thức hỗ trợ tạo firewall ảo

Hỗ trợ tính năng kiểm tra các ứng dụng:

GPRS/GTP (General Packet Radio Services/GPRS Transport Protocol)
MGCP (Media Gateway Control Protocol)
RTSP (Real-Time Streaming Protocol)
H.323 (chuẩn ITU cho hội thảo điện thoại/video qua môi trường Internet bao gồm các chuẩn video H.264, H.263; các chuẩn audio G.723.1, G.728, G.729; các chuẩn data H.239, T.120 và các chuẩn control H.225, H.245).
Hỗ trợ các tính năng chuyển đổi địa chỉ mạng:

Dynamic NAT
Static NAT
PAT
PAT dùng địa chỉ của giao diện
Inbound Port Redirection
Kết nối Inbound sử dụng địa chỉ của giao diện
Các phương thức NAT/PAT có thể sử dụng khác
Các giao thức hệ thống firewall cần hỗ trợ
Các giao thức IP:

TCP/IP v4
TCP/IP v6
ARP
UDP
ICMP
HTTP
HTTPS
FTP
DNS
MD5 Routing Authentication
VLAN 802.1q
Các phương thức định tuyến động:

RIP
RIP v2
OSPF
IS-IS
BGP
Các phương thức quản trị:

SSH
TFTP (Client)
Telnet
SNMP
SNMP v2
SNMP v3
Giao diện GUI
Giao diện Web
Các phương thức mã hóa:

IPSec (IP ESP, IP AH)
SHA-1
GRE
DES
3DES
AES
IKE
SSH v2
SSL/TLS
Khả năng xác thực bằng user/password:

RADIUS
TACACS
TACACS+
Cơ sở dữ liệu cục bộ trên hệ thống firewall
Hỗ trợ ghi logfile:

Ghi được các thông tin bao gồm địa chỉ IP nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức sử dụng, số hiệu cổng dịch vụ. Cần lưu ý khả năng ghi lại các URL với các dịch vụ HTTP, ghi lại thời gian và các thông tin tương ứng của người sử dụng đối với các luật có sử dụng tính năng xác thực
Cho phép theo dõi logfile trực tuyến
Hỗ trợ các giao thức multicast:

IGMP v2
Stub Multicast Routing
Static mRoutes
NAT và PAT trên địa chỉ multicast nguồn
Các ứng dụng ACL trong lưu thông multicast


Hỗ trợ các giao thức VoIP:

SIP
SCCP (Skinny)
H.323 v4
Hỗ trợ các phương thức quản trị:

SSH
SNMP
Telnet
Console
HTTPS
Web-based GUI
VPN Tunnel
Lưu ý trong trường hợp sử dụng các giao thức dùng riêng (proprietary)

Nếu các thiết bị cần phải sử dụng các giao thức độc quyền của hãng sản xuất để hoạt động thì nhà cung cấp dịch vụ ISP cần phải nắm được một cách chi tiết phương thức làm việc của các giao thức này và khả năng tương tác, chuyển đổi cần sử dụng khi liên lạc với các thiết bị khác trong hệ thống mạng.

Các yêu cầu về vấn đề quản trị

Mỗi hệ thống Firewall phải có khả năng quản lý tập trung bởi một hệ thống quản trị thống nhất với giao diện đồ họa thân thiện, linh hoạt, và bảo mật tốt.
Hệ thống quản trị này phải đảm nhiệm được các nhiệm vụ quản trị thiết bị, quản lý dịch vụ; đồng thời phải có khả năng phát hiện nhanh chóng và chính xác các lỗi xảy ra trên thiết bị.
Hơn nữa, hệ thống quản trị còn phải có khả năng cảnh báo cho người quản trị về các lỗi thiết bị cũng như về hoạt động của firewall (bị tấn công gây ảnh hưởng đến hiệu năng,...). Các cơ chế cảnh báo này cần phải được mô tả chi tiết, bao gồm cả các yêu cầu để tích hợp với hệ thống firewall.
Ngoài ra, hệ thống quản trị còn phải có khả năng phân cấp quyền quản trị theo các mức khác nhau: quản trị gốc, quản trị và chỉ đọc.
Cần phải nêu biện pháp khắc phục các hỏng hóc, như, khi không thực hiện được thao tác khởi động lại tại chỗ thì quản trị viên có thể khởi động được từ mạng (net-booted) hoặc thực hiện thao tác khác để khắc phục.

Các đặc tính, giao diện, phương thức truy cập, cấu hình, các thông số điều khiển và các chuẩn quốc tế cần tuân thủ của phần mềm quản trị thiết bị firewall cần phải được mô tả chi tiết.

Tới thời điểm, nếu tiếp tục thảo luận đề tài này sẽ hấp dẫn hơn nhiều vì trên thị trường hiện nay có nhiều sản phẩm phần cứng phần mềm khác nhau.

Không hẳn chỉ có Pix và Checkpoint là tốt nhất đâu.

Ngoài những gì đã liệt kê, xin list thêm vài chú:

1/ Astaro
2/ Side Winder G2
3/ Watchguard
4/ SSG
5/ ...

Nếu có thể các bác có thể bàn xem con nào, dòng nào có công nghệ độc nhất?

Bây giờ mới xem lại kỹ cái bài này; hình như TGA_Cert có nhắc đến dòng CrossBeam.

thực ra cách đây khoảng 1 năm mới được dùng đến cái này.

Nó được misoft quảng cáo cực tốt (tôi chỉ xem nhưng số liệu thống kê); sau khi mua, cài, chạy thử - hiện nay CPU khoảng 70% và không thể chạy them SmartView.

đã ai gặp trường hợp này chưa nhỉ? Con X45 của bên tớ cũng to khỏe lắm; nhưng chạy chưa được như mong đợi.