Thứ Tư, 23 tháng 12, 2015

Giải pháp hệ thống Firewall/VPN ALCATEL-LUCENT và Cyberoam

Nhu cầu ngày càng tăng về việc truyền tải dữ liệu an toàn trong một tổ chức dẫn đến sự bùng nổ thị trường các giải pháp mạng riêng ảo VPN (Virtual Private Network). Thêm vào đó, khuynh hướng phi tập trung các phương tiện sản xuất và sự phát triển lực lượng lao động di động cũng làm gia tăng sự cần thiết cho việc truy cập tài nguyên thông tin của doanh nghiệp.

Theo nghiên cứu của  Tập đoàn dữ liệu quốc tế IDG, thị trường VPN kể cả dịch vụ đi kèm sẽ tăng từ  5 tỉ USD vào năm 2001 lên 9.7 tỉ USD vào năm 2005, tỉ lệ tăng trưởng hàng năm là 18%. Do đó, các doanh nghiệp triễn khai hệ thống VPN là nhu cầu rất lớn trong tương lai, với hệ thống Brick VPN của hãng Alcatel-Lucent thì việc đưa ra giải pháp VPN tốt nhất đáp ứng nhu cầu xử lý cũng như tốc độ thực thi băng thông. Khả năng bảo mật đáp ứng tốt nhu cầu của một doanh nghiệp lớn.
TỔNG QUAN GIẢI PHÁP VPN-BRICK : ALCATEL-LUCENT

Brick VPN

Giải pháp Alcatel-Lucent VPN firewall cung cấp hệ thống bảo mật lớn cho doanh nghiệp, tổ chức thương mại, bảo mật đa lớp đến các ứng dụng IP người dùng dịch vụ hệ thống mạng như các chi nhánh văn phòng, các đối tác cũng như nhiều khách hàng khác.
Alcatel-Lucent VPN giúp mở rộng hệ thống nhưng vẫn giữ tính bảo mật và tiết kiệm được ngân sách của doanh nghiệp, nhưng khả năng thực thi cao. Thực tế, chi phí cho công nghệ sẽ giảm nhiều trong thời gian gần, cũng như khả năng linh động triễn khai trong tương lai. Với Alcatel-Lucent VPN firewall bao gồm nhiều ứng dụng, quản lý triễn khai như: 
  • Các dịch vụ bảo mật nâng cao
  • Dịch vụ VPN site-to-site hoặc truy cập từ xa (remote access)
  • Khả năng quản lý các băng thông (bandwidth)
  • Bảo vệ dữ liệu Web trung tâm và các ứng dụng ở host
  • Giải pháp bảo vệ mạng trung tâm
  • Bảo mật dữ liệu di động (Mobile data)
  • Packet Data Gateway và Data Interworking Funtions cho Dual-Mode Wireless/Wi-Fi VPN VoIP/Data Security 
Hệ thống bảo mật Alcatel-Lucent VPN bao gồm 3 phần khác nhau:
VPN Firewall Brick® platforms : là thiết bị tường lửa (firewall), phát hiện (inspection) với khả năng VPN theo yêu cầu từ nhỏ đến lớn (Data Center).
Alcatel-Lucent Security Management Server (SMS) : là phần mềm quản lý các ứng dụng firewall, VPN, các dịch vụ các lớp (layer), VLAN, và chính sách quản lý tường lửa ảo (virtual firewall).
Alcatel-Lucent IPSec Client : là phần mềm cung cấp các dịch vụ VPN khả năng truy cập từ xa (remote access) cho vùng làm việc di động.
HỆ THỐNG BẢO MẬT MẠNG CÓ DÂY

VPN Firewall Brick® được xây dựng là một thiết bị bảo mật đặc biệt. Nó được xem là một thiết bị router cơ bản trong hệ thống mạng, chúng được mở rộng và là cầu nối lớp mạng Ethernet mà các hacker sẽ nhận thấy là ảo trong hệ thống mạng, nó hoàn toàn cách biệt với các xử lý của routing, do đó các ứng dụng sẽ được bảo vệ trước các cuộc tấn công bằng giao thức động (dynamic protocol). Trong một khoảng cách nhất định, chúng ta không thể nhận biết một số thiết bị và phân vùng mạng, sẽ bảo vệ các ứng dụng ở cấp độ cao nhất.
Ngoài ra, với phần mềm được phát triển từ Bell-Labs đã làm tăng khả năng hệ thống bảo mật, quản lý theo kiểu thời gian thực (real-time). Chúng ta có thể dễ dàng sửa đổi các cấu hình bảo mật trong hệ thống một cách nhanh chóng và dễ dàng. Với hệ thống VPN Firewall Brick® sẽ có tính bảo mật lối đi vào hệ thống rất cao (ví dụ như : các hacker không thể Telnet, FTP, HTTP, hoặc các phương thức truy cập khác có thể làm thay đổi hệ thống) chỉ có thể truy cập bằng quản lý bảo mật, mã hóa bằng Alcatel-Lucent SMS Software.
Alcatel-Lucent SMS Software cung cấp khả năng giới hạn, bảo vệ an toàn các địa chỉ IP riêng biệt, dò/phát hiện các cuộc tấn công từ chối dịch vụ (DoS). Chứng thực dịch vụ VPN, ngăn chặn các virus, các link URL có nguy cơ đối với hệ thống mạng.

CÔNG CỤ XỬ LÝ CÁC GÓI TIN, THỰC THI TỐC ĐỘ CAO TRONG HỆ THỐNG.

VPN Firewall Brick® sẽ thực thi các ứng dụng nhanh chóng và tối ưu hóa đường truyền, cung cấp bảo mật đến sự sống còn hệ thống mạng và dịch vụ VPN cho nhiều người dùng (users) trong tổ chức hoặc doanh nghiệp. Khả năng xử lý các gói tin, tăng hiệu suất cao nhất cho người dùng và cung cấp tới 1.7Gbps cho đường truyền VPN và đường truyền cho firewall đầy đủ là 4.75Gbps.
Thêm vào đó, khả năng nhu cầu mở rộng người sử dụng được đáp ứng và làm giảm đi chi phí rất nhiều cho việc triễn khai trong tương lai. Một thiết bị VPN Firewall Brick ® có thể hỗ trợ lên đến 4 triệu phiên làm việc đồng thời cùng lúc, và trên 20.000 đường VPN đồng thời. Nó làm nâng cao việc mở rộng hệ thống, khả năng xử lý bằng bộ nhớ nên phiên làm việc cũng như chính sách quản lý được nâng cao.

TRIỄN KHAI, QUẢN LÝ, CẤU HÌNH FIREWALL

VPN Firewall Brick® có thể triễn khai cài đặt trên hệ thống mạng nội bộ một cách dễ dàng. Tính linh hoạt cầu nối của bức tường lửa làm tăng nhanh khả năng kết nối hệ thống tường lửa vào hệ thống mạng. Khả năng downtime và khả năng chờ kết nối với hệ thống mới sẽ được hướng (directed) đến một gateway mới. Lúc này Alcatel-Lucent SMS Software sẽ cung cấp khả năng sau:
Quản lý các dịch vụ IP với chi phí quản lý bảo mật thấp nhất,dễ dàng triễn khai quản lý bảo mật và duy trì kết nối liên tục bằng phần mềm VPN Brick firewall Client.
Khả năng tạo dự phòng nhanh chóng  lên đến 20.000 VPN và 500.000 IPSect Client đi vào,           
Sự thống nhất các đường firewall, VPN, quản lý băng thông, Virtual LAN (VLAN) và chính sách quản lý đường firewall ảo – quản lý theo dõi bằng thời gian thực (realtime), truy cập vào hệ thống nhanh chóng, tối ưu hóa khả năng phân tích các sự kiện.
Bảo vệ các dịch vụ từ chối  (IDS- Integrated Denial of Service), ngăn ngừa các cuộc tấn công xâm nhập (Intrusion Detection/Prevention) từ bên ngoài hệ thống mạng được phát triển từ công nghệ của Bell-Labs – phát triển khả năng quản lý bộ đệm thông minh cực đại, rút ngắn thời gian làm việc ngắn nhất nhằm làm giảm nhẹ các cuộc tấn mạng.
CƠ CẤU QUẢN LÝ CHẤT LƯỢNG DỊCH VỤ CÁC BĂNG THÔNG
VPN Firewall Brick® làm tăng khả năng an toàn quản lý cả hai lớp mạng, xuyên qua các dịch vụ quản lý băng thông. Chúng có thể hợp nhất, thi hành linh hoạt tạo hàng đợi cho các lớp bằng công nghệ CBQ (Class Base- Queing). Điều khiển các băng thông và các hướng truyền dữ liệu, giới hạn các băng thông nhằm tránh khả năng tấn công làm “ngập lụt”, bảo đảm việc tăng cường các băng thông cho thiết bị người dùng cuối. Đường truyền có thể phân loại giao diện vật lý, tường lửa, thiết lập chính sách cho các phiên (session), quy định (rule) thực thi an toàn cho các chính sách đó.
SẴN SÀNG BẢO VỆ KHẢ NĂNG CÁC LỚP TRƯỚC CÁC CUỘC TẤN CÔNG.
Kiến trúc khả năng nâng cao được tích hợp trong mọi thành phần của Alcatel-Lucent VPN Brick Firewall. Nhằm đưa ra giải pháp an toàn cho các lỗ hổng nếu sảy ra. Tất cả các thiết bị VPN Firewall Brick® đều hỗ trợ khả năng khi một thiết bị bị lỗi (failover) thì sẽ được hướng tới một thiết bị dự phòng khác. Do đó, trong điều kiện thiết bị có khả năng lỗi, vẫn duy trì được khả năng hoạt động liên tục. Khả năng quản lý các băng thông giúp chắc chắn rằng việc truyền các gói không bị mất hay lạc trong quá trình truyền đến hệ thống mạng khác. Thêm vào đó, việc quản lý bằng phần mềm SMS Alcatel-Lucent có thể xuyên qua nhiều hệ thống mạng phân tán, được quản lý theo active/active. Cho phép phục hồi lại các thảm họ khi hệ thống mạng bị tấn công.

LỢI ÍCH CỦA GIẢI PHÁP ALCATEL-LUCENT BRICK® VPN
  1. Đơn giản hóa việc quản lý: Được thiết kế theo kiểu tập trung client/server; theo dõi theo thời gian thực, quản lý tập trung các VPN, an toàn chất lượng dịch vụ.
  2. Tính tương thích cao: cho phép phòng thủ và tương thích với các thiết bị định tuyến truyền thống.
  3. Nâng cao bảo mật: ngăn ngừa các cuộc tấn công từ chối dịch vụ, bảo vệ các lưu lượng tốc độ cao, đánh giá các chứng thực dịch vụ, báo cáo các biến cố trong hệ thống mạng khi bị tấn công, không có cửa sau (no backdoors)
  4. Quản lý các băng thông : nâng cao chất lượng dịch vụ các lớp trên nền tảng tạo hàng đợi (công nghệ CBQ). Bảo đảm và giới hạn mức độ người dùng và cấp độ các dịch vụ.
  5. An toàn trong các cấp độ: tính sẳn sàng cao, đảm bảo an toàn khắc phục sự cố khi có lổ hổng
  6. Thiết lập định tuyến nền tảng : thiết lập định tuyến các gói tới một proxy server, tối ưu hóa đường truyền và một số thiết bị khác bằng một phần mềm hãng thứ 3, thực thi khả năng lọc nội dung cũng như chức năng khóa, lọc URL, virus tiềm ẩn…cho phép tương tác trong suốt với phần mềm thiết bị hãng khác.
  7. Hiệu suất xử lý các gói nâng cao : những sự hỗ trợ lên trên tới 4 triệu phiên làm việc đồng thời, 1100 tường lửa, tạo 20,000 đường VPN tới người dùng
  8. Hệ thống bảo mật cao : thực tế không thể xuyên qua được đối với sự tấn công từ các hacker; giải phóng bộ nhớ cho sự xử lý gói, quản lý chính sách rất chặt chẽ.
  9. Hỗ trợ VLAN và Tường lửa ảo : thi hành các chính sách bảo mật, thay đổi chính sách nhóm người dùng.
  10. Triễn khai dễ dàng : thực thi an toàn các ứng dụng cao, cấu hình lại hệ thống mạng nhanh chóng
  11. Chi phí thấp : đặc tính là không cần mua licence, dễ dàng cài đặt, quản lý, nâng cấp… Giảm bớt nhu cầu mua thiết bị bổ sung.

Giải pháp bảo mật với firewall – load blancing Cyberoam

1. Giới thiệu về Firewall Cyberoam
Firewall Cyberoam là thiết bị UTM (Unified Threat Management) Level 5. Firewall Cyberoam là một thiết bị bảo mật dựa trên cơ sở xác thực người sử dụng, cung cấp khả năng bảo vệ trong thời gian thực (Real-time network protection) đối với những dạng tấn công và những mối đe dọa đối với an ninh mạng.
Cyberoam_01
Các doanh nghiệp lớn bao gồm nhiều chi nhánh đang phải đối mặt với sự tấn công trên mạng từ bên ngoài vào nhưng lại triển khai mô hình bảo mật rất hạn chế. Giải pháp bảo mật của Cyberoam là tối ưu, tiết kiệm chị phí và rất dễ quản lý. Firewall Cyberoam cung cấp giải pháp bảo mật toàn diện cho các doanh nghiệp với công nghệ Stateful Inspection Firewall (một kỹ thuật sử dụng bảng trạng thái để theo dõi các trạng thái và hành vi của các gói tin, kết nối đi qua thiết bị, đảm bảo an toàn trước và sau khi thiết lập các kênh thông tin), tích hợp các tính năng VPN, Gateway Anti-virus, Anti-Spyware, Gateway Anti-spam, hệ thống phòng chống thâm nhập trái phép (Intrusion Prevention System - IPS), lọc nội dung (Content Filtering), quản lý băng thông (Bandwidth Management), quản lý đa kết nối (Multiple Link Management), hệ thống báo cáo toàn diện trên một thiết bị duy nhất và có thể được quản lý tập trung sử dụng thiết bị Cyberoam Center Console.
2. Các tính năng chính của Firewall Cyberoam
2.1. Stateful Inspection Firewall
- Sử dụng bảng trạng thái kiểm soát các gói tin.
- Ngăn chặn dịch vụ (DoS ) và tấn công dồn dập từ các nguồn bên ngoài vào và bên trong ra.
- Nhận dạng người sử dụng & kiểm soát các ứng dụng (P2P, IM).
Cyberoam_02
2.2. Cổng kết nối mạng riêng ảo (VPN)
- Hỗ trợ IPSec, L2TP, PPTP VPN
- Độ sẵn sàng cao cho các kết nối VPN IPSec, L2TP
- Dual VPNC Certifications - Basic and AES Interop
2.3. Bộ lọc nội dung và lọc ứng dụng (Content & Application Filter)
- Tự động hóa phân loại web theo nhóm, các nhóm bao gồm hàng triệu các trang web được phân loại sẵn trong 82 nhóm nội dung .
- Bộ lọc URL được sử dụng cho các ứng dụng HTTP & HTTPS.
- Phân cấp chính sách theo nhóm, phòng ban, người sử dụng, thời gian sử dụng,
- Kiểm soát download streaming media, gaming, tickers etc...
- Hỗ trợ tiêu chuẩn CIPA được sử dụng cho các trường học, thư viện
- Tính năng này cho phép người quản trị ngăn chặn tấn công từ bên ngoài và khóa việc truy cập vào những website trái phép hoặc không an toàn.
Cyberoam_03
2.4. Quản lý băng thông (Bandwidth Management)
- Đảm bảo băng thông tối thiểu và tối đa bằng việc phân cấp theo phòng ban, nhóm người sử dụng hoặc theo từng cá nhân riêng lẻ, theo ứng dụng hoặc giao thức sử dụng.
- Mục tiêu chính của chính sách QoS là ngăn ngừa tắc nghẽn băng thông và đặt mức độ ưu tiên cho những ứng dụng quan trọng.
Cyberoam_04
2.5. Gateway Anti-Virus & Anti-Spyware
- Theo dõi các luồng HTTP, FTP, IMAP, POP3 và SMTP.
- Phát hiện và loại bỏ viruses, worms, Trojans.
- Kiểm soát các email vào ra hệ thống bằng chính sách.
- Kiểm soát các file trao đổi dựa trên từ khóa
- Nhận dạng người dùng tức thời trong trường hợp bị tấn công
Cyberoam_05
2.6. Gateway Anti-Spam
- Theo dõi và nhận dạng tấn công spam qua cổng SMTP, POP3 và IMAP cách ly hoặc đính kèm nội dung dựa trên chính sách (Policy) hoặc các danh sách (black list & white list).
- Bảo vệ khỏi sự bùng nổ lây nhiêm virus.
- Bảo vệ khỏi các hình thức spam bao gồm spam ảnh (image-spam) bằng việc sử dung công nghệ dò tìm mẫu (Recurrent Pattern Detection RPD).
- Việc cập nhật tức thời tránh lây nhiễm của mối đe dọa mới.
- Hỗ trợ đa ngôn ngữ, đa cấu trúc trong việc nhận dạng tấn công spam.
2.7. Intrusion Prevention System (IPS)
- Cơ sở dữ liệu bao gồm hơn 3000 signatures.
- Hỗ trợ khả năng đa chính sách dựa trên signature.
- Nhận dạng và phòng chống thâm nhập sử dụng dấu hiệu do người sử dụng thiết lập dựa trên hành vi .
- Phòng chống thâm nhập dựa trên phương pháp thử sai (Attempts), từ chối dịch vụ (DoS), attacks, chèn mã độc (malicious code), backdoor, và các dạng tấn công trên lớp mạng, kiểm soát sử dụng proxy mạo danh bằng HTTP signatures, khả năng khóa các hoạt động "phone home".
2.8. Quản lý đa kết nối (Multiple Link Management)
- Bảo mật thông qua việc quản lý đa kết nối (multiple ISP links) trên một thiết bị đơn.
- Cân bằng tải dựa trên việc đánh giá luồng (Weighted round robin distribution).
- Tự động chuyển mạch khi có lỗi xảy ra trên cổng kết nối (Link Failover).
- Tối ưu hóa việc sử dụng các đường truyền đảm bảo tính liên tục, tránh việc tắc ngẽn đường truyền thông qua đa kết nối.
Cyberoam_06
2.9. Hệ thống báo cáo tích hợp (On-Appliance Reporting)
- Hệ thống báo cáo hoàn thiện có sẵn trên thiết bị
- Báo cáo theo thời gian thực các lưu lượng
- Báo cáo theo người dùng
- Các mẫu báo cáo rõ ràng, đầy đủ và tức thời
- Nhận dạng nạn nhân và attakers tức thời bên trong mạng.
Cyberoam_07

3. Các giải pháp Firewall – Load Balancing Cyberoam
- Giải pháp Firewall cho các doanh nghiệp có 1 chi nhánh.
- Giải pháp Firewall cho các doanh nghiệp có nhiều chi nhánh.
- Giải pháp Firewall chạy HA cho các doanh nghiệp có nhiều chi nhánh.

0 nhận xét:

Đăng nhận xét