Tìm hiểu về lớp bảo vệ ngoại vi - Phân hệ UTM của thiết bị Fortigate

Các thiết bị firewall vùng ngoại vi phải tích hợp sẵn các tính năng an ninh mạng để đáp ứng các yêu cầu giải pháp như sau:

• Bảo vệ mạng nội bộ của Customer với các mạng bên ngoài và Internet.
• Khi số lượng users hiện tại là khoảng… và tăng lên hàng năm hay số lượng các chi nhánh tăng lên trong khoảng từ 3 đến 5 năm thì năng lực xử lý firewall phải đáp ứng lớn hơn … Gbps bởi vì số lượng session bên ngoài truy cập vào vùng DMZ server farm rất nhiều. Đồng thời, số lượng session bên trong cũng đi qua thiết bị này.
• Lọc nội dung thông tin web khi các users truy cập ra bên ngoài Internet để hạn chế và kiểm soát các users theo quy định sử dụng Internet của doanh nghiệp.
• Xây dựng hệ thống phòng chống virus cho toàn hệ thống mạng khi các máy chủ và máy trạm truy cập ra bên ngoài Internet. Vì vậy, hiệu xuất quét virus trên firewall phải đạt tối thiểu trên …Mbps
• Ngăn chặn và phòng chống thư rác (spam email) thông qua địa chỉ IP, dò tìm địa chỉ email khi các cuộc tấn công bên ngoài internet truy cập vào Server Farm DMZ.
• Do vùng ngoại vi này số lượng phiên kết nối đi qua firewall lớn (bao gồm bên ngoài, bên trong và vùng DMZ truy cập vào và ra) cho nên yêu cầu số lượng phiên kết nối đồng thời trên thiết bị này phải tối thiểu trên …và số lượng phiên kết nối thiết lập mới tối thiểu trên …
• Các kết nối từ chi nhánh của các văn phòng tại quận huyện hay các đối tác truy cập vào hệ thống phải bằng kết nối VPN dùng IPSEC để mã hóa dữ liệu với các chuẩn mã hóa DES (3DES) và AES (128-bit, 192-bit và 256-bit). Vì vậy, hiệu suất kết nối VPN trên firewall phải đạt tối thiểu trên 6Gbps và hỗ trợ kết nối SSL trên ... User.
• Các users bên ngoài Internet vẫn có thể truy cập vào hệ thống trung tâm dữ liệu bằng web portal (hỗ trợ tất cả các trình duyệt web trên tất cả các hệ điều hành) hoặc phần mềm chuyên dụng cài đặt trên PC/Laptop/Tablet/Smartphone với các phương thức mã hóa dữ liệu (IPSEC). Thiết bị vùng này phải hỗ trợ tính năng SSL VPN với số lượng trên 800 users hoặc các users bên ngoài Internet kết nối về trung tâm dữ liệu bằng VPN dùng IPSEC với số lượng hỗ trợ trên …users.
• Kiểm soát và nhận dạng các thiết bị di động (Device Manager) dựa trên các nên tảng di động phổ biến hiện nay như Android, IOS, Windowphone… với các thiết bị như Tablet hay Smartphone, cho phép thực thi các chính sách cho từng loại thiết bị, đem lại khả năng bảo mật cao nhất cho hệ thống.
• Ngăn chặn các dữ liệu nhạy cảm bị rò rỉ từ bên trong hệ thống mạng ra bên ngoài Internet (DLP).
• Kiểm soát và ngăn chặn một số ứng dụng (như Instant Message, P2P, ứng dụng download, các chương trình remote access …) khi các users cục bộ truy cập ra bên ngoài Internet.
• Ngăn chặn và phát hiện tấn công từ hệ thống bên ngoài vào (Intrusion Prevention System) và năng lực xử lý IPS tại vùng này phải đáp ứng tối thiểu lớn hơn ……..Gbps (do tấn công từ internet vào Server Farm DMZ và vùng mạng bên ngoài rất lớn). Hệ thống IPS gồm có các đặc điểm như sau:

       * Hệ thống IPS nhận diện được những mối nguy hiểm tiềm ẩn trước khi nó thật sự tấn công vào bên trong như:

1. Ngăn chặn những mã độc hại, bao gồm sâu, tấn công trực tiếp, tấn công theo kiểu từ chối dịch vụ, và tấn công theo các ứng dụng.
2. Xây dựng và mở rộng bảo mật an ninh mạng có khả năng kiểm tra và ngăn chặn các mối nguy hiểm trong toàn bộ mạng, từ các ứng dụng cho đến giao thức phân hoạch địa chỉ (ARP). Kỹ thuật mở rộng của Firewall phải cung cấp giải pháp tối ưu về chính sách bảo mật cho hệthống an ninh mạng.
3. Hệ thống IPS cung cấp các cơ chế bảo mật khác, theo từng nhóm hay từng cá nhân tấn công riêng rẽ. 
4. Ví dụ như tấn công theo kiểu ngày zero, hệ thống IPSs có khả năng học trên mạng, kiểm tra những phản ứng của người quản trị và sau đó cập nhật phương pháp bảo vệ cho mạng đó.
5. Kỹ thuật và dịch vụ của IPSs được phát triển bởi nhóm chuyên gia về bảo mật trên toàn cầu. Các chuyên gia này liên tục nghiên cứu và đưa ra nhiều giải pháp tốt nhất để tích hợp vào thiết bị IPSs.
6. Tính năng Client Reputation cho phép thống kê và giám sát từng hành vi người dùng, từ đó có cơ sở để cách ly các mối đe dọa nguy hại nghi ngờ.

       * Hệ thống IPS có thể cảnh báo và phân tích cho người dùng cách phản ứng tốt nhất đối với các mối nguy hiểm cũng như các cuộc tấn công.

1. Cung cấp kiến thức sâu rộng đối với các cuộc tấn công và tính toán theo thời gian thực những mối nguy hiểm theo từng biến cố. Nó có thể ghi lại các biến cố vào các file để người quản trị tiện theo dõi và xử lý về sau.
2. Tập hợp nhiều nhất các phản ứng và tác vụ phức tạp theo các chính sách yêu cầu. Ta có thể cấu hình từng chính sách theo từng mạng riêng rẻ theo yêu cầu như – xóa bỏ các gói tin, các phiên kết nối ở xa, giới hạn dùng hay làm chủ các cuộc tấn công và bảo vệ các ứng dụng trong mạng.
3. Có thể bảo vệ các biến cố có thể gây nguy hại cho hệ thống mạng cao. Có thể đưa ra các xác lập ưu tiên cho các mối nguy hiểm cần xử lý.
4. Ghi các thông tin cho mỗi cảnh báo và cách giải quyết các vấn đề đó từ trước, trong và sau khi vấn đề được giải quyết xong.

• Thiết bị firewall phải hỗ trợ tính năng HA (Active/Active, Active/Passive), khả năng mở rộng hệ thống và hỗ trợ khe cắm mở rộng.

Phía trên mình đã giới thiệu tới các bạn phân hệ UTM, một trong những lớp bảo vệ ngoại vi của thiết bị Fortigate.

Ưu đãi Khi mua hàng tại Công ty TNHH tư vấn giải pháp và đào tạo Công nghệ thông tin DIPT:

- Thiết bị đều chính hãng mới 100%, CA, CQ đầy đủ

- Bảo hành đầy đủ theo chính sách của hãng

- Xuất hóa đơn VAT cho công ty, khách hàng

- Hỗ trợ cấu hình và lắp đặt khi khách hàng có nhu cầu

- Hỗ trợ giao hàng miễn phí tại nội thành Hà Nội.

Thông tin Liên hệ: Mss Phương

Công ty TNHH tư vấn giải pháp và đào tạo Công nghệ thông tin DIPT

Website: http://www.dipt.com.vn/

Sđt: (04) 6664.2066 | Fax: (04) 6684.6379 | Dđ: 0973.5555.20

Email: phuongll@dipt.com.vn | Skype: dipt_phuongll | Yahoo: dipt_phuongll

Office: Tầng 1, Lô 26-TT25, Khu đô thị Văn Phú, Hà Đông, Hà Nội

Chúng tôi chuyên cung cấp các thiết bị hệ thống máy chủ, hệ điều hành mạng, thiết bị quản trị hệ thống, cung cấp các thiết bị và giải pháp trong lĩnh vực mạng, thiết bị hệ thống, và viễn thông, cung cấp và triển khai các phần mềm phục vụ cơ quan, doanh nghiệp, phục vụ cho nhu cầu quản trị và phát triển của doanh nghiệp.

Các sản phẩm như:  thiết bị cisco router, thiết bị cisco switch, thiết bị cisco firewalls security, thiết bị cisco wireless ap, thiết bị cisco ip phones voip, thiết bị cisco modules cards, thiết bị load balancing, thiết bị fortinet networks, ...

Ngoài ra chúng tôi còn phân phối các sản phẩm phần mềm bản quyền của các hãng nổi tiếng như: Microsoft, adobe, autodesk, corel, kaspersky, symantec, winzip... (phần mềm microsoft, microsoft windows 10, windows server 2012, microsoft office 2016, office 365 bản quyền, phần mềm mdaemon, phần mềm sql server, phần mềm exchange server, phần mềm lync server, phần mềm kaspersky, phần mềm trend micro, phần mềm symantec, phần mềm adobe, phần mềm corel, phần mềm autocad, phần mềm winzip ...).