lão diendan này thật, vậy mà hỏi riêng thì lão chẳng bảo cho mình biết, cứ âm thầm post bài thế này thôi. Nhân tiện buồn bã tìm được Choose Best Firewall, mới các bác xem thử. Nói chung thì nó cũng đã bao gồm nhiều với các ý tưởng của các bác nêu ra nhưng xem thử "hàng ngoại" khác "hàng nội" ra sao. :lol: (Xem = Adobe)

Phải nói đây là một chủ đề rất hay có thể bàn thảo bất tận, và bài toán này cũng có vô số lời giải, tôi đã đi tìm giải pháp bảo mật cho đơn vị mình từ rất lâu mà vẫn chưa thoả mãn nhưng tôi cũng muốn chia sẻ chút thông tin với các bạn.
Theo Kết quả khảo sát và thăm dò của FBI kết hợp với CSI ở 538 tổ chức bao gồm các tổ chức chính phủ, các trường đại học, các tập đoàn, các công ty,... cho thấy thống kê về mức độ phổ biến của các nguy cơ an ninh từ kết quả khảo sát:
+ Nguy cơ Virus: 76%
+ Nguy cơ tấn công từ nội bộ: 42%
+ Tấn công từ bên ngoài: 25%
+ Lỗi không cố ý: 70%
+ Gián điệp công nghiệp: 10%
Điều rút ra là theo các con đường tấn công trên trên là mọi sự tấn công đều có thể xẩy ra từ hai phía nội bộ và thế giới bên ngoài. Nguyên tắc trước tiên là chỗ nào cần bảo mật thì chỗ đó cần đặt firewall, như vậy phải phân nhóm các đại điểm cần bảo mật nếu có đặc điểm bảo mật chung. Tiếp đó xác định các đường truy cập đến các địa điểm bảo mật và các đối tượng có khả năng truy cập cần quản lý khi bảo mật, sau đó mới tính đến lựa chọn giải pháp cho từng đối tượng, và nguyên tắc là áp dụng càng nhiều hình thức bảo mật cho một hệ thống càng tốt, điều này dễ hiểu như và bạn phòng chống trộm cắp bằng nhiều kiểu khoá khác nhau, như vậy đòi hỏi skill leven của người truy cập trái phép càng cao ----> càng hiếm...

Ví dụ như bạn có thể phân nhóm người có thể truy cập như: user nội bộ, văn phòng chi nhánh, partner, khách vãng lai. Phân nhóm các tài nguyên cần bảo mật như: Tài nguyên nội bộ, tài nguyên chia sẻ cho các chi nhánh, tài nguyên chia sẻ cho partner, tài nguyên public,
như vậy, sau khi phân loại được các vùng cần bảo mật và đối tượng thì bắt đầu chọn sản phẩm tuỳ theo túi tiền và mức độ ưu tiên cho từng vùng và đối tượng người sử dụng -> chọn cứng hoặc mềm tuỳ thích.

Như ở cơ quan mình mình đang lựa chọn cả PIX và Netsceen, tổng chi phí khoảng 30.000$, dùng để chặn đường từ các đối tượng như: từ ngoài Internet, từ các đơn vị Ngân hàng đến, từ các đơn vị cấp dưới và từ các cá nhân nội bộ

Mô hình cơ bản như Sau

----------------Partner
--------------------||
--------------------||
Internet======(*)==PIX==ISA=(*)=Netscreen =====| LAN
-----------------------------------------||
-----------------------------------------||
-----------------------------------------||
Chi nhánh

Nếu có gì không hay, xin các bạn chỉ giáo

Bạn có thể cho mình xem cái sơ đồ rõ hơn được không? sao mà nhiều Firewall thế? sao bạn không mua con Firewall xịn có vài interface để dễ quản lý hơn không? <--cũng là một ý kiến

Mình cũng đã tham khảo ý kiến dùng thiết bị của Nokia + Checkpoint nhưng nhận thấy thiết bị này tương đối đắt, vì với số tiền trên mình không mua đủ cho giải pháp của mình, thứ hai là mình áp dụng nhiều hình thức firewall là để giải quyết các bài toán khác nhau, thực ra trên đó chỉ có hai con cứng là PIX và NETscreen và một con mềm ISA để quản lý truy cập Internet từ nội bộ thôi. Và mình quan niệm một cách nông dân là phá 2 con thì khó phá hơn một con và con PIX 515 có đủ số cổng để giải quyết bìa toán của mình

xin góp vài ý kiến nhỏ trong chủ đề này. Để có được 1 giải pháp bảo mật hoàn hảo chúng ta cần chú ý đến các tính năng sau:

1/ Firewall - đương nhiên rồi - để ngăn chận các truy cập trái phép vào hệ thống.
2/ Anti-virus/worm (AV) : ngăn ngừa virus từ ngoài vào qua email, download...
3/ Intrusion Detection System : kiểm tra các signature attacks trong nội bộ và các
truy cập vào server mà không được phép.
4/ VPN : mã hoá các dữ liệu đến các chi nhánh qua đường Internet
5/ Content filtering : lọc và ngăn các truy cập lên các web sites bất hợp pháp
6/ Traffic shaping : cho phép ưu tiên các traffics cần thiết qua đường băng thông
hạn chế, thí dụ chỉ có 256k.
7/ Log report : cho phép theo dõi các traffics qua lại trong hệ thống mạng.
8/ Real time traffic : có nghĩa là dữ liệu qua hệ thống bảo mật ở thời gian thật -
không mất nhiều thời gian để kiểm tra virus.

Bạn xem thử thiết bị bảo mật của Fortinet : www.fortinet.com. Thiết bị này tích hợp tất cả tính năng nói trên và chỉ bắng 1/2 giá dự định đầu tư 30,000 USD của bạn. Mình đang sử dụng thiết bị này ở cơ quan của mình, ngân hàng, tại TP HCM. Chúc bạn thành công.

Re: Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

Hi GameBoy,

Nói đến một giải pháp bảo mật HOÀN HẢO thì có nhiều việc phải làm và xem xét lắm, nhưng theo mình nghĩ chắc khó có giải pháp nào hoàn hảo vì bản thân suy nghĩ của con người làm gì có hoàn hảo phải không bạn hehehhehe... Nếu nói về Firewall Fortinet với các tính như vậy thì chưa thấy hết khả năng của nó và bạn có thử các Firewall khác chưa để so sánh thế nào??? Theo mình thấy thì Fortinet nổi trội các tính năng sao :
- VPN : hổ trợ IPSEC, PPTP, L2TP, CA và đặt biệt là có thể làm NAS (rất phù hợp với điều kiện ở VN)
- AntiVirus : được support quá tốt, update liên tục (vì có trả tiền mà hehhehehhe....) chắc là ngân hàng bạn yên tâm về vấn đề Virus
- Content Filter : cho bạn có thể làm ảo thuật gia trên các service : HTTP, MAIL, IMAP, POP3, SMTP mình chưa thấy thằng nào làm tốt hơn thằng này (hôm nào bạn thử cho toàn ngân hàng của bạn chỉ duyệt web, check mail... nhưng không cho download hay upload file với bất hình thức nào, thậm chí download một file hình nào trên trang web mình đang xem nó cũng chả cho nữa, vậy mới CÚ mấy anh chàng quản trị chứ).

Nhưng bạn đừng tưởng các thiết bị tích hợp hết những chức năng đó vào một CỤC thì bạn chỉ cần mua một CỤC đó về là ngon đâu, không phải chỉ cần mua một thiết bị Firewall HOÀN HẢO là có thể ăn no ngủ kỹ, mà một hệ thống tốt khi mọi thứ xung quang nó cũng phải được tổ chức tốt, quan trọng người quản lý nó phải biết có tận dụng những cái gì mình có và khai thác có hiệu quả. Ví dụ như tính năng AntiVirus và IDS (Intrusion Detection) của Fortinet chỉ hổ trợ Network-Base chắc chắn là nó sẽ có ưu và khuyết điểm gì so với Host-Base??? Cái đó tùy mổi người đánh giá và chọn giải pháp thích hợp!

Hi Kid_of_God_2003,

Quan niệm của bạn PHÁ 2 CON THÌ KHÓ HƠN PHÁ 1 CON (câu này mà nói với bạn gái thì coi như TOI) là hoàn toàn sai lầm vì mỗi thiết bị trong hệ thống đều có một mục đích sử dụng của nó và ảnh hưỡng qua lại với nhau, nếu tôi phá được con này thì chắc chắn con kia cũng ảnh hưỡng lúc đó nó sống cũng chẳng có tác dụng gì, ĐÚNG KHÔNG???

Vài lời thảo luận, mong trao đổi thêm!

Tớ đồng ý với Crazy. một con nhiều Interface giá vẫn không quá đắt như bạn Kid_of_God_2003 nói đâu. NetScreen cũng có loại 5 int đó (viettel đang xài)

chúc các bạn vui.

Để chọn Firewall loại để đảm bảo an ninh mạng của bạn và phù hợp với dự án đầu tư là cả một vấn đề rất khó (nếu như các thiết bị bạn định mua lại vượt quá số tiền cho dự án đó thì sao???). Bạn nên đưa ra giải pháp lâu dài:
-Firewall có phù hợp với yêu cầu tốc độ, VPN cho dự định nâng cấp không và cả tính năng ổn định nữa.
-Support có tốt không (bảo trì và nâng cấp phần cứng có nhanh chóng không và cả update Smart-Defense nữa).
- Nếu muốn có HA thì tính giá thành như thế nào

Còn rất nhiều yếu tố nữa để chọn Firewall cho giải pháp của mình nhưng: theo sự so sánh của GBX thì mình sẽ chọn phần mềm firewall CheckPoint và Module (Nokia, Resilience, Celestix, Sun..) vì: cấu hình trên PIX phức tạp hơn trên CheckPoint rất nhiều, tạo policy rất đơn giản vì GUI của CP là thân thiện với User. CP tích hợp với các phần mềm secure khác rất nhiều ví dụ như: Trend, ISS, RSA.. do vậy CP chiếm phần thị phần Firewall lớn nhất toàn cầu.
Đây là một số ý kiến của GBX, và cũng là nguyên nhân để GBX chọn giải pháp CP cho công ty của mình. Hiên giờ mình đang sử dung CP-NG-FP3 chạy trên Celestix FV930

hi GBX,

nếu muốn HA thì cần mua những License nào của CP? kèm theo module nào?
theo bạn có nên dùng NAT trên CP không?

- Nếu bạn muốn dùng HA thì phải mua thêm một License CP và một Module nữa giống như bạn đang sử dụng vì HA là phải có 2 License và 2 Module giống nhau. Như trường hợp ở công ty mình thì phải mua thêm 1 License và 1 firewall FV930 nữa.
- CP-NG có 2 kiểu NAT (Static và Dynamic), dùng NAT nào thì còn phụ thuộc vào hệ thống mạng của bạn. Hiện giờ mình đang sử dụng rất nhiều NAT static và chưa gặp vấn đề gì cả.

GBX xin đính chính lại câu trả lời ở trên:
- HA cho firewall: nếu đang sử dụng License CP cho quản lý 1 site (Gateway) thì mới phải mua nâng cấp License CP từ 1lên 3 site, còn nếu đang sử dụng License CP cho 3 site thì không phải mua thêm License CP nữa.
-HA cho Management: nếu muốn làm HA cho management thì phải mua thêm 1 License CP như ỏ trên nữa.

RE: Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

Vào tháng 2 năm 2004, WatchGuard tung ra các sản phẩm bảo mật Firebox. Có bốn model Firebox X500, X700, X1000 và X2500. Các sản phẩm này có chung phần cứng và sự khác biệt nằm ỏ phần mềm và license. Bảng dưới đây so sánh các model này.

Các model này không sử dụng các mạch phần cứng ASIC. Sản phẩm firewall này không có các tính năng như network-based antivirus. Phần antivirus dùng McAfee client là chiến lược của WatchGuard.

Về giá cả, một Firebox có giá từ 1,900$ đến 6,000$.

(còn tiếp)

RE: Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

còn đây là một so sánh khác giữa CheckPoint FW-I và Fortigate. Tài liệu từ nguồn của Fortigate nên dễ đàng đoán được bên nào sẽ được thiên vị hơn. Dù sao, các tiêu chí được đưa ra để so sánh cũng đáng để chúng ta tham khảo:

RE: Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

Một so sánh khác giữa hai loại firewall Fortinet và Netscreen.

Re: RE: Làm sao để chọn Firewall hiệu quả bảo vệ mạng?

Tính năng AI của CheckPoint được giới thiệu năm 2003 với mục tiêu là phát hiện và ngăn ngừa những kiểu tấn công mức ứng dụng. Tương tự với những công cụ phát hiện xâm nhập và ngăn ngừa, tính năng này có thể nhận dạng các kiểu tấn công như bufer overflow, SQL slammer, các virus code red, kiểu tấn công man-in-the-middle, sql slammer. Tuy nhiên tính năng AI không chỉ ra mối nguy hiểm từ virus.

Các sản phẩm CheckPoint có giá khá cao. Khi nâng cấp thêm từng module phần mềm như VPN hay mgmt thì phải tốn thêm tiền.CheckPoint có thể không phù hợp cho các công ty vừa và nhỏ.