Xem Nhiều 1/2023 #️ Giải Pháp Tường Lửa Dành Cho Doanh Nghiệp Vừa Và Nhỏ # Top 5 Trend | Theindochinaproject.com

Xem Nhiều 1/2023 # Giải Pháp Tường Lửa Dành Cho Doanh Nghiệp Vừa Và Nhỏ # Top 5 Trend

Cập nhật thông tin chi tiết về Giải Pháp Tường Lửa Dành Cho Doanh Nghiệp Vừa Và Nhỏ mới nhất trên website Theindochinaproject.com. Hy vọng nội dung bài viết sẽ đáp ứng được nhu cầu của bạn, chúng tôi sẽ thường xuyên cập nhật mới nội dung để bạn nhận được thông tin nhanh chóng và chính xác nhất.

Liệu các thiết bị tường lửa ‘Tất cả trong một’ có đáp ứng yêu cầu của các tổ chức – doanh nghiệp vừa và nhỏ?Đối với những ai chịu trách nhiệm quản lý hệ thống mạng máy tính cho tổ chức – doanh nghiệp trong môi trường kinh doanh hiện nay thì có lẽ bảo mật – an toàn dữ liệu là vấn đề hàng đầu trong mọi tình huống.

Một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng tường lửa (fire wall) nhằm kiểm soát sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/vào mạng. Tuy nhiên, đầu tư cho một tường lửa khá tốn kém, nhất là đối với các tổ chức – doanh nghiệp vừa và nhỏ. Trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất. Thiết bị bảo mật ‘Tất cả trong một’ này phải đáp ứng yêu cầu về bảo mật – an toàn dữ liệu của tổ chức – doanh nghiệp một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp, cộng thêm một nhân viên chuyên trách. Điều này quả thật rất cần thiết trong tình trạng Internet hiện nay đầy rẫy các mối đe dọa như sâu máy tính, chương trình phá hoại và ăn cắp thông tin, lỗ hổng bảo mật của các hệ điều hành và ứng dụng.

Bài viết trình bày đánh giá thiết bị tường lửa mới nhất của ba nhà cung cấp đang có sản phẩm tại Việt Nam: Safe@Office của Check Point, Juniper Netscreen-5GT Enhanced và SonicWALL Pro 2040.

Thử nghiệm cho thấy các nhà sản xuất không chỉ có những định nghĩa khác nhau xung quanh vấn đề bảo mật mà họ còn có những ý kiến rất khác nhau về định nghĩa thế nào là ‘Thiết bị’.

Check Point SAFE@OFFICE 225

Thuộc dòng sản phẩm bảo mật đắt tiền và chạy các hệ điều hành phức tạp, Safe@Office của Check Point chỉ trừ cái tên khó gọi ra còn đây là một đấu thủ xuất sắc trên ‘sàn đấu’ tường lửa dành cho văn phòng nhỏ và gia đình (SOHO – Small Office/Home Office).

Kết nối VPN gồm 2 giai đoạn, mỗi giai đoạn thiết lập giao thức mã hóa và xác thực riêng. Giai đoạn 1 thiết lập một kênh IKE (Internet Key Exchange). Giai đoạn 2 là các kênh IPSec, đóng vai trò như những chiếc xe bọc thép chạy dọc theo con đường đã được bảo vệ ma giai đoạn 1 đã thiết lập. Giai đoạn 2 gửi dữ liệu, bảo vệ dữ liệu dưới 2 lớp mã hóa riêng biệt. Khi giai đoạn 1 hoàn tất thì phần việc nặng nhất xem như đã xong, có tăng thêm số kênh ở giai đoạn 2 cũng chỉ làm tăng thêm tải không đáng kể cho tường lửa.

Thực tế cho thấy nó dễ thiết lập cấu hình nhất trong sáu sản phẩm, ấn tượng hơn nữa khi bạn khám phá ra nó chạy Firewall 1, một nền tảng rất mạnh và đắt hàng nhất của Check Point. Mặc dù chạy Firewall 1 bên trong, nhưng quản lý Safe@Office lại không phức tạp, nhờ giao diện web được thiết kế hợp lý. Thẻ ‘Services’ tập trung hầu hết tính năng cần quản trị của Safe@Office, bao gồm DNS động, VPN động và chống virus trong e-mail. Những tính năng này được kết nối qua Internet đến các máy chủ của Check Point để tự động cập nhật và giúp đỡ thiết lập.

Mặc dù thiết bị này đủ mạnh để bảo vệ hệ thống mạng doanh nghiệp cỡ lớn, nhưng nó chỉ thuộc dòng sản phẩm SOHO. Check Point giới hạn 10 kết nối cùng lúc (thiết bị thử nghiệm); và 10 kết nối VPN, tính cả hai loại kết nối từ LAN-đến-LAN và từ máy khách-đến-LAN. Với qui mô SOHO, Safe@Office giúp việc quản trị an toàn mạng trở nên dễ dàng.

Nét đặc trưng của Check Point là các kết nối rất ổn định. Chuẩn của kết nối VPN có thể là IPSec – tải miễn phí từ Check Point – hay PPTP (Point to Point Tunneling Protocol), nghĩa là nó hỗ trợ VPN của Microsoft. Ngoài ra, máy khách có thể được chứng thực dựa vào cơ sở dữ liệu nội bộ hay máy chủ RADIUS. Thiết bị này còn cho phép định tuyến tĩnh, có nghĩa là bạn có thể có nhiều mạng con phía sau tường lửa cũng làm chức năng định tuyến.

Quá trình thử nghiệm cho thấy Safe@Office quả thật là một tường lửa rất hiệu quả. Nó ngăn cản các cuộc tấn công giả lập và đẩy lùi tất cả các lệnh ping ‘lén lút’ từ WAN tới DMZ hay LAN.

Safe@Office có cách phòng chống virus riêng. Thiết bị này chuyển các email tới một máy chủ của Check Point để quét virus, rồi mới chuyển chúng đến các địa chỉ đích. Điều này lý giải tại sao một CPU nhỏ lại có thể thực hiện được nhiều dịch vụ cùng một lúc, nhưng điều này cũng có nghĩa là Safe@Office không thể kiểm tra các virus đã được tải xuống trước khi lắp thiết bị này.

Kết luận cuối cùng? Check Point đã ‘rút xương’ của sản phẩm Firewall 1 tiếng tăm của mình để xây dựng Safe@Office. Với giao diện người dùng thân thiện và tập trung xử lý các tính năng cao cấp như chống virus, lọc web và DNS động tại các máy chủ của Check Point, Safe@Office có nhiều tính năng phức tạp mà giá thành thấp, bù lại người dùng phải phụ thuộc vào các dịch vụ của Check Point.

Juniper Netscreen – 5GT Enhanced

Chiếc hộp nhỏ bé NetScreen-5GT Enhanced đã tạo ấn tượng tốt nhờ được tích hợp mọi tính năng mà người dùng đòi hỏi ở một thiết bị bảo mật, bao gồm: tường lửa, VPN, phát hiện xâm nhập và chống virus. Vậy mà giá của nó lại rất hấp dẫn, 495USD (giá ở Mỹ) cho 10 kết nối VPN.

Giao diện chính của NetScreen-5GT Enhanced được thiết kế rất hợp lý, bạn không cần phải ‘đào bới’ gì bên trong nếu như chỉ cần xem trạng thái hoạt động của tường lửa và thiết bị có khả năng phản ứng trong các tình huống khẩn cấp. So với các thiết bị tương tự, ngoài những chức năng cơ bản, NetScreen còn có khả năng phòng chống các cách thức tấn công thông thường, bao gồm WinNuke, ICMP/UDP và SYN, các phần mềm phá hoại dạng Java/ActiveX và nhiều thứ khác nữa.

Thiết bị này hiển thị đáp ứng trước các cuộc tấn công ở dạng trình đơn, bạn có thể thiết lập để nó chỉ cần phát âm thanh báo động hoặc bắt đầu loại bỏ các gói tin phá hoại, ở chế độ này thiết bị ngăn cản được tất cả các cuộc tấn công thông thường trong quá trình thử nghiệm.

Khả năng chống virus của thiết bị này cũng rất ấn tượng. Tương tự Safe@Office của Check Point, NetScreen xử lý chống virus bằng hình thức đăng ký dịch vụ và đối tác của Juniper là TrendMicro. Thiết bị này phân biệt rõ thiết lập chống virus cho dịch vụ e-mail webmail và POP3/SMTP, nhưng nó không hỗ trợ chống virus cho người dùng IMAP.

Tương tự như thiết bị được đánh giá tốt nhất lần này, tính năng VPN của NetScreen đã vượt qua thử nghiệm rất suôn sẻ, nó xử lý tất cả 20 kênh VPN không gặp bất cứ trở ngại nào.

NetScreen hoàn toàn có khả năng bảo vệ hệ thống mạng SOHO hoặc doanh nghiệp vừa và nhỏ, khoảng 50 máy. Thiết bị này không chỉ hỗ trợ kết nối đến nhiều ISP để dự phòng mà còn có thể quay số kết nối trong trường hợp kết nối WAN bị gián đoạn. Một ví dụ khác là tính năng lọc nội dung web cho phép NetScreen truy cập dịch vụ đăng ký của hãng WebSense để tạo danh sách các website cấm hoặc cho phép truy cập (có thu phí).

CÁCH THỨC THỬ NGHIÊM TƯỜNG LỬA CỦA TEST CENTER – INFOWORLD

Mặc dù các nhà sản xuất tích hợp các tính năng khác nhau trong thiết bị tường lửa ‘Tất cả trong một’ của họ, nhưng thử nghiệm chỉ tập trung vào 3 lĩnh vực cốt lõi: hiệu suất hoạt động của VPN, khả năng phòng chống các cuộc tấn công và virus.Đánh giá hiệu suất hoạt động của VPN: Thiết bị nào thực hiện tốt nhất việc phân dữ liệu thành các gói tin, mã hóa và gửi đi qua kênh VPN. Thử nghiệm sử dụng bộ công cụ TeraVPN phiên bản 4.0 của hãng Spirent Communications cài lên SmartBits 600 (SMB-600) được lắp 2 card giao tiếp TeraMetrics XD, mỗi card có 1 cổng tốc độ 10/100Mbps. * Đầu tiên, chỉ chạy một kênh VPN để đảm bảo VPN hoạt động, sau đó mới tăng lên đến 20 kênh. Một doanh nghiệp vừa hoặc nhỏ có từ 100-200 nhân viên thường chỉ cần tối đa 20 kết nối VPN đồng thời. Trước tiên, tạo 20 kênh giai đoạn 1 (IKE), sau đó trong mỗi kênh tạo một kênh giai đoạn 2 (IPSec). Lần đầu, giữ cố định các gói tin có dung lượng 1024byte, các lần tiếp theo thay đổi dung lượng các gói tin từ 64byte đến 1350byte, mỗi bước thực hiện 50000 lần. * Đánh giá chức năng cơ bản của tường lửa: Dùng phần mềm Avalanche/Reflector của Spirent cài trên SMB-600 để tạo các cuộc tấn công. Đầu tiên, mở các kiểu tấn công DDoS nhỏ vào mỗi tường lửa để xem liệu chúng có phát hiện ra và phản ứng lại hay không, ít nhất là phát âm thanh báo động. EdgeForce Plus, NetScreen và Safe@Office hoạt động rất tốt, chúng không chỉ cảnh báo mà còn bắt đầu loại bỏ các gói tin tấn công. Sau đó, tiếp tục sử dụng hình thức tấn công lén, làm sao để có thể ping được qua tường lửa. Kết luận: miễn là người dùng thiết lập đúng thì các tường lửa có thể phòng chống được các đợt tấn công thông thường.* Đánh giá khả năng chống virus: Thiết lập một máy chủ Linux chạy Sendmail bên ngoài tường lửa để gửi các gói tin virus tới hàng loạt máy tính chạy phía sau tường lửa. Tất cả virus đều ở dạng mã mô phỏng do Viện Nghiên Cứu Chống Virus Máy Tính Châu Âu cung cấp. Tất cả các thiết bị đều vượt qua vòng kiểm tra này rất suôn sẻ, nhưng không phải tất cả đều phòng chống virus cho người dùng sử dụng giao thức IMAP.

Tính năng duy nhất không tìm thấy được ở các thiết bị khác là khả năng định tuyến nguồn của NetScreen. Tất cả thiết bị được thử nghiệm đều cho phép thêm định tuyến tĩnh, nhưng chỉ có NetScreen là có thể thêm các khai báo ‘định tuyến nguồn’, nhờ thế mà người dùng biết được lộ trình xuất phát từ đâu và nguồn xuất phát từ OSPF (Open Shortest Path First), RIP (Routing Information Protocol), BGP (Boundary Gateway Protocol) hay định tuyến tĩnh. Đây thật sự là chức năng của tường lửa cao cấp được tích hợp vào một thiết bị dễ sử dụng.

Tường lửa dành cho doanh nghiệp loại vừa này có thể đáp ứng mọi yêu cầu, bạn dễ dàng nhận ra ngay điều này khi lấy thiết bị ra khỏi hộp, có thể đặt nó trên bàn, trên kệ tủ, hoặc lắp vào rack 1U đều được cả. SonicWALL Pro 2040 kết hợp hệ điều hành mở rộng SonicOS thế hệ mới của SonicWALL và một kiến trúc phần cứng có khả năng chịu tải tốt, miễn là bạn cấu hình đúng, tất nhiên là không đơn giản.

Bảo mật hiện đang là vấn đề ‘nóng’ ở nước ta, vì vậy nếu bạn quan tâm có thể tìm hiểu thông tin sản phẩm của những hãng đã chính thức có mặt ở Việt Nam qua các nhà phân phối.Check Point: MISOFT (08-844 3027, 04-933 1613); Juniper: Juniper Networks Vietnam; SonicWALL: ITC JSC (04-943 0724, 08-925 3304). Chúng tôi đã cố gắng liên hệ các nhà phân phối này để hỏi giá bán tại Việt Nam. Tuy nhiên, cho đến lúc bài này đem in, thông tin sản phẩm chỉ có của Check Point: Safe@Office 105: 614 USD, Safe@Office 110: 1.071 USD, Safe@Office 225: 1.887 USD, Safe@Office 225U: 2.980 USD. (thông tin do MISOFT cung cấp). Giá chưa bao gồm thuế VAT, phí cài đặt và triển khai. Khách hàng được hỗ trợ kỹ thuật trong quá trình sử dụng sản phẩm.

Khi sử dụng, người dùng phải cài đặt OS mở rộng của SonicWALL mới khai thác được nhiều tính năng cao cấp như kết nối đến nhiều ISP để dự phòng, cân bằng tải với các Pro 2040 khác, thiết lập NAT dựa theo chính sách và kết nối WAN dự phòng.

Mặc dù có thể vận hành Pro 2040 mà không cần hệ điều hành SonicOS Enhanced, nhưng bạn phải cài HĐH này thì mới có thể kích hoạt cổng giao tiếp thứ tư của thiết bị. Cổng này có chức năng của một cổng WAN, LAN, hay DMZ, hoặc nối sang một thiết bị Pro 2040 khác để dự phòng. SonicWall không hề thua kém các đối thủ, nó cũng tích hợp chức năng phòng chống virus và lọc nội dung.

Pro 2040 hoàn toàn làm bạn vừa lòng, chẳng hạn, nó được trang bị một bộ xử lý chỉ làm mỗi nhiệm vụ mã hóa cho nên hiệu suất chẳng có gì khác biệt khi dùng chế độ mã hóa AES-256 hay 3DES. Hàng loạt cuộc tấn công giả lập cũng như ngăn chặn virus khi thử đều bị ngăn cản bởi tường lửa này. Tuy nhiên, với giá 1995 USD (giá tại Mỹ), đáng lẽ Pro 2040 phải có thêm tính năng hấp dẫn hơn NetScreen-5GT, giá chỉ có 495 USD

Một Số Giải Pháp Tường Lửa Cho Doanh Nghiệp Vừa Và Nhỏ

Đây là một trong số những giải pháp tường lửa phù hợp cho các doanh nghiệp vừa và nhỏ tại Việt Nam. Tùy thuộc vào nhu cầu thực tế, các đơn vị có thể lựa chọn phương thức và sản phẩm cụ thể.

Ngày nay việc sử dụng Internet đã phổ biến gần trong doanh nghiệp. Đối với những người chịu trách nhiệm quản lý hệ thống mạng máy tính cho tổ chức – doanh nghiệp trong môi trường kinh doanh hiện nay thì có lẽ bảo mật – an toàn dữ liệu là vấn đề hàng đầu.

Một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng tường lửa (Fire wall) nhằm kiểm soát sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/vào mạng. Tuy nhiên, đầu tư cho một tường lửa khá tốn kém, nhất là đối với tổ chức – doanh nghiệp vừa và nhỏ.

Trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất. Thiết bị bảo mật “tất cả trong một” này phải đáp ứng yêu cầu về bảo mật – an toàn dữ liệu của tổ chức – doanh nghiệp một cách hiệu quả mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp, cộng thêm một nhân viên chuyên trách.

Điều này quả thật rất cần thiết trong tình trạng Internet hiện nay đầy rẫy mối đe dọa như sâu máy tính, chương trình phá hoại và ăn cắp thông tin, lỗ hổng bảo mật của các hệ điều hành và ứng dụng.

Để đảm bảo an toàn thông tin cho doanh nghiệp nhỏ, Sonicwall PRO 2040 là một giải pháp phù hợp. Firewall này có thể đáp ứng mọi yêu cầu, dễ dàng nhận ra ngay điều này khi lấy thiết bị ra khỏi hộp, có thể đặt nó trên bàn, trên kệ tủ hoặc lắp vào rack 1U đều được cả. SonicWALL Pro 2040 kết hợp hệ điều hành mở rộng SonicOS thế hệ mới của SonicWALL và một kiến trúc phần cứng có khả năng chịu tải tốt, miễn là cấu hình đúng, tất nhiên là không đơn giản.

Khi sử dụng, người dùng phải cài đặt OS mở rộng của SonicWALL mới khai thác được nhiều tính năng cao cấp như kết nối đến nhiều ISP để dự phòng, cân bằng tải với các Pro 2040 khác, thiết lập NAT dựa theo chính sách và kết nối WAN dự phòng.

Mặc dù có thể vận hành Pro 2040 mà không cần hệ điều hành SonicOS Enhanced, nhưng phải cài hệ điều hành này thì mới có thể kích hoạt cổng giao tiếp thứ tư của thiết bị. Cổng này có chức năng của một cổng WAN, LAN hay DMZ hoặc nối sang một thiết bị Pro 2040 khác để dự phòng. SonicWall không hề thua kém các đối thủ, nó cũng tích hợp chức năng phòng chống virus và lọc nội dung.

Pro 2040 được trang bị một bộ xử lý chỉ làm mỗi nhiệm vụ mã hóa cho nên hiệu suất chẳng có gì khác biệt khi dùng chế độ mã hóa AES-256 hay 3DES. Hàng loạt cuộc tấn công giả lập cũng như ngăn chặn virus khi thử đều bị ngăn cản bởi Firewall này.

Ngoài ra, trong số những sản phẩm tường lửa (firewall) trên thị trường hiện nay thì ISA Server 2004 hoặc ISA Server 2006 của Microsoft được nhiều người yêu thích do khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt. Firewall này có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau.

Phiên bản Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Với phiên bản này có thể xây dựng Firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp.

Bên cạnh đó còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với công ty có những hệ thống máy chủ quan trọng như Mail Server, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì bản Standard này cho phép triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống.

Ngoài các tính năng bảo mật thông tin trên, bản này còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Chính vì lý do đó mà sản phẩm Firewall trên có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet).

Với ISA Server 2004/2006 Enterprise, thường được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên bản Standard, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).

Vpn Router Dành Cho Doanh Nghiệp Vừa Và Nhỏ ( Phần 1 )

Đối với những doanh nghiệp vừa và nhỏ, khi lựa chọn VPN router họ thường có xu hướng muốn tìm một thiết bị vừa hỗ trợ giao thức VPN, vừa có mức giá dễ chịu phù hợp với ngân sách, dễ dàng sử dụng và có tài liệu hướng dẫn cụ thể.

Baotrimang.vn xin đề xuất những thiết bị đến từ những nhà cung cấp có tiếng trên thị trường : Cisco, D-Link, Draytek, Mikrotik và ZyXel. Đánh giá về từng thiết bị sẽ dựa trên giá, tính năng, và mức độ dễ sử dụng.

Cisco RV345P :

Thiết bị đến từ nhà cung cấp giải pháp mạng nổi tiếng Cisco, có giá xuất xưởng rơi vào khoảng 600$, và có giá bán online rẻ hơn, dao động từ 300-400$. Ngoài những chức năng cơ bản điển hình như định tuyến và VPN, Cisco RV345P còn hỗ trợ lọc nội dung.

Router có 16 cổng Lan, hỗ trợ truyền tải PoE lên đến 30W mỗi cổng, lượng điện năng này đủ để cho 2 access point khác hoạt động. Và cuối cùng là một lỗ nhỏ dùng để reset hoàn toàn thiết bị.

Ở bên trái là một cổng USB 2.0 khác dùng để kết nối thiết bị lưu trữ hoặc kết nối mạng di động 3G/4G. Thiếu sót lớn nhất có lẽ là không có cổng USB nào cho phép gắm máy in và chia sẻ trong hệ thống mạng nội bộ. Sau lưng của Router là lỗ cắm dây nguồn, nút power, 1 cổng Ethernet để kết nối Console.

Bộ phụ kiện đi cùng với Router gồm dây nguồn, cáp mạng Ethernet, cáp mạng Ethernet ra Serial, tích kê và một bộ guide hướng dẫn sử dụng. Bộ thiết bị cũng đi kèm với một hướng dẫn đăng ký, để người dùng có thể kích hoạt được chức năng lọc nội dung.

Thiết bị Cisco RV345P hoạt động với firmware 1.0.01.18. Sau khi đăng nhập vào giao diện quản trị nền Web, bạn sẽ được đưa đến trang Getting Started, với những đường dẫn đến Wizards, nhiều thiết lập khác và các thông số cấu hình.

Bảng cấu hình hệ thống cũng chứa nhiều thiết lập cấu hình khác, như tùy chỉnh hostname, thời gian logging vào router, cảnh báo cấu hình. Thiết bị cũng có chức năng automatic update, nhưng tùy thuộc vào Firmware mà sẽ có thiết bị có hoặc không. Thiết bị sẽ gửi Email đến cho bạn khi có bất kì bản update nào khả dụng.

Ở menu Lan, người dùng có thể cấu hình các cổng, PoE, VLan, DHCP, và thiết lập 802.1X… Không giống các thiết bị khác, router của hãng Cisco cho phép Enable chứng thực 802.1X trên cổng Lan. Ở menu Routing, là bảng cấu hình proxy IGMP, RIP và Static Route. Ở menu Firewall, sẽ gồm những cấu hình Firewall quen thuộc, như Remote Access, Rule, Nat, Port Forwarding…

VPN menu cho phép người dùng thiết lập kết nối VPN Site to site. Router cũng đã hỗ trợ cấu hình sẵn IPSec với những chứng chỉ uy tín của Amazon và Microsoft. Bạn cũng có thể cấu hình VPN Client-to-site. Ngoài ra còn có các kiểu kết nối khác như PPTP, L2TP, SSL…

Trong những mục Setting đã nêu trên, đều thiếu vắng mục Help. Điều này có thể gây đôi chút bất tiện với người dùng khi cần hỗ trợ. Mục Help đã được di chuyển lên đầu trang, khi bấm vào sẽ link đến hướng dẫn sử dụng.

D-Link DSR-1000AC:

D-Link có giá thành khoảng 630$, trong đó giá online rơi vào khoảng 400-500$. Nó có thể để bàn hoặc gắn vào những rack với bộ tích kê đi cùng. Ngoài chức năng VPN và routing cơ bản, thiết bị này còn được tích hợp phát Wifi 802.11ac. Giống như những thiết bị router khác, D-Link DSR-1000AC cũng hỗ trợ lọc nội dung.

Phụ kiện đi kèm của Router gồm có dây nguồn AC, tích kê và hướng dẫn sử dụng. Thiết bị cũng đi kèm với hướng dẫn đăng ký, để bạn có thể sử dụng được chức năng lọc nội dung.

D-Link DSR-1000AC sử dụng Firmware 3.12. Sau khi đăng nhập vào giao diện quản trị nền Web, người dùng sẽ được dẫn đến Dashboard. Tại đây sẽ có biểu đồ, thông số hiển thị lưu lượng mạng, băng thông, trạng thái cổng Wan, VPN, mức độ sử dụng CPU hiện tại.

Tại menu Network, có các tùy chỉnh Lan, Wan, Vlan, và những cấu hình mạng tổng quát. Ở mục QoS, có khá nhiều chức năng độc quyền thú vị như : session limiting, cho phép người dùng giới hạn phiên sử dụng Internet trên mỗi Client.

Menu Maintaince, sẽ có các mục General System, thiết bị và cấu hình Admin. Một chức năng tiện lợi và độc nhất đó là SMS Logging, cho phép người dùng nhận được cảnh báo tin nhắn mỗi khi Router bị rớt mạng, mất kết nối VPN, CPU hoạt động quá tải…

Mỗi page đều có mô tả chung về chức năng và cách cấu hình cho riêng từng page. Hơn nữa, bạn cũng có thể bấm vào icon dấu hỏi trên đầu bên phải của mỗi trang, dẫn đến tài liệu hướng dẫn, giúp người dùng tìm được thông tin thắc mắc nhanh hơn.

DrayTek Vigor 2926

Thiết bị DrayTek Vigor 2926 có giá bán khá dễ chịu, khoảng 200-300$ khi mua online. Đây là thiết bị để bàn và không có rãnh để bắt vào các rack. Ở bài viết này, baotrimang chỉ review thiết bị cơ bản, với dòng này DrayTek còn mang đến nhiều chức năng cao hơn như là Wifi hoặc thậm chí là VoIP Server. Tất cả các thiết bị của dòng này đều cho phép lọc nội dung, quản lý tập trung cùng với những chức năng VPN và Routing cơ bản. Chức năng content filtering yêu cầu đăng kí dịch vụ Cyren Web Content Filtering theo hàng năm, nhưng Router vẫn cho phép dùng thử 30 ngày.

Ở mặt trước của thiết bị, là đèn Led báo tình trạng hệ thống, các Port và chức năng. Mặt trước cũng có 1 lỗ để reset thiết bị về trạng thái xuất xưởng. Có 2 cổng Usb để kết nối thiết bị lưu trữ, máy in với mục đích sharing, modem viễn thông dùng cấu hình Failover. Thiết bị này cũng có 2 cổng Ethernet để Load Balancing và Failover. Cuối cùng, là 4 cổng kết nối Lan, DMZ, và kết nối Wan bổ sung. Sau lưng Router là cổng nguồn và nút Power.

Đi kèm với thiết bị, là bộ phụ kiện bao gồm dây nguồn, dây cáp, tích kê và 1 cuốn hướng dẫn sử dụng.

Vigor2926 sử dụng Firmware 3.8.9. Login vào giao diện Web để đến Dashboard. Đây là trang tổng quan về Router, hệ thống và các thông tin, thông số về mạng. Tại đây cũng có một mô hình mô phỏng lại modem, với trạng thái của các port, giúp người quản trị dễ dàng hơn trong việc dò lỗi.

Ngoài những chức năng Wan cơ bản, chúng ta thấy rằng router cũng có một chức năng quản lý Wan rất hay, cho phép giới hạn lưu lượng sử dụng, rất hữu dụng khi sử dụng kết nối 4G. Ở cấu hình Firewall, có các chức năng chống Ddos và giả mạo. Ngoài ra, firewall cũng có khả năng phân tích đường đi của gói tin trong cả mạng Lan và Wan.

Gần phía dưới menu là bảng điều khiển trung tâm. Tuy thiết bị không phát sóng Wifi, nhưng nó cho phép bạn quản lý tập trung các kết nối VPN từ nhiều địa điểm khác nhau.

Ở phần 2 chúng ta sẽ đến với các giải pháp VPN Router của các hãng Mikrotik và ZyXel.

Lựa Chọn Giải Pháp Tường Lửa Cho Doanh Nghiệp

Tường lửa (firewall) là một trong những giải pháp đảm bảo an toàn thông tin phổ biến trong các đơn vị/tổ chức. Tuy nhiên, việc lựa chọn sao cho phù hợp và hiệu quả nhất là một vấn đề mà không phải đơn vị/tổ chức nào cũng nắm được. Bài báo này đưa ra những hướng dẫn để lựa chọn những giải pháp tường lửa thích hợp, nhằm đảm bảo an toàn thông tin một cách tốt nhất cho đơn vị/tổ chức và cung cấp danh sách các rủi ro phải đánh giá trước khi quyết định sử dụng giải pháp tường lửa nào đi kèm.

Xác định người vận hành tường lửa

Việc xác định xem ai là người chịu trách nhiệm quản lý và vận hành hệ thống tường lửa là rất quan trọng. Thông thường, trong đơn vị/tổ chức vừa và nhỏ, việc vận hành các giải pháp an toàn thông tin nói chung và quản trị tường lửa nói riêng đều do bộ phận IT phụ trách kiêm nhiệm. Rất hiếm các công ty có bộ phận chuyên trách về an toàn thông tin riêng biệt phụ trách việc tạo ra các thiết kế, chính sách, quy trình bảo mật thông tin và xác định các điều kiện an toàn thông tin dựa trên các tiêu chuẩn đã đề ra.

Tùy điều kiện về nhân lực vận hành mà yêu cầu đối với các giải pháp an toàn thông tin nói chung và tường lửa nói riêng sẽ khác nhau. Khi nguồn nhân lực của tổ chức không đáp ứng được yêu cầu của việc sử dụng và quản trị tường lửa, thì cần sử dụng những giải pháp tường lửa tự động, càng dễ sử dụng càng tốt. Nếu tổ chức có đội ngũ chuyên gia, thì việc sử dụng lại yêu cầu những tường lửa có tính mềm dẻo và tùy biến cao, nhằm đáp ứng những yêu cầu đặc biệt.

Các nguy cơ đối với hệ thống

Xác định được các nguy cơ có thể xẩy ra đối với hệ thống mạng giúp cho việc lựa chọn giải pháp tường lửa phù hợp và hiệu quả hơn. Khi xem xét việc triển khai công nghệ tường lửa, chúng ta cần phải quan tâm đến các nguy cơ an toàn thông tin: một điểm thiếu an toàn trong hệ thống, các chính sách an toàn thông tin lỏng lẻo, hạn chế của công nghệ, thiếu nhận thức về tầm quan trọng của an toàn thông tin, mã hóa yếu, độ trễ.

Để đánh giá các nguy cơ cần trả lời được các câu hỏi sau:

– Nguy cơ có thể xảy ra đối với hệ thống là gì? Tấn công từ ngoài mạng hay các tấn công nội gián?

– Mức độ nguy hại của các nguy cơ này là gì?

– Nguy cơ này ảnh hưởng như thế nào? Có thể gây ra những đe dọa gì với hệ thống?

– Khả năng nguy cơ xảy ra có cao không?

Các tính chất của tường lửa cần xem xét

Từ các nguy cơ trên, các tính chất hay tiêu chí của tường lửa cần xem xét để lựa chọn giải pháp phù hợp như sau:

– Kiến trúc mở: Đây là tính chất cần thiết khi muốn phát triển và xây dựng chính sách, công nghệ bổ sung, phù hợp cho các tổ chức có nguồn nhân lực đảm bảo an toàn thông tin tốt.

– Giải pháp lọc gói tin: Các hệ thống có yêu cầu thời gian thực thì cần sử dụng các tường lửa có cơ chế lọc gói tin hiệu quả và tốc độ cao. Đối với các hệ thống yêu cầu tính an toàn rất cao thì cần các công nghệ lọc gói tin sâu và kỹ lưỡng hơn.

– Khả năng kiểm tra: Cho phép kiểm tra tính hiệu quả của tường lửa và chính sách an ninh. Tính chất này yêu cầu tổ chức cần có đội ngũ chuyên gia an toàn thông tin tốt để thực hiện việc kiểm tra hiệu quả.

– Điều khiển truy cập: Các hệ thống cần có cơ chế điều khiển truy cập phù hợp, cho phép dễ quản lý, cấu hình, nhưng vẫn cần đảm bảo tính an toàn cần thiết.

– Khả năng ghi nhật ký: Cho phép ghi lại các hoạt động của tường lửa nhằm mục đích hỗ trợ phân tích và giám sát an toàn mạng.

– Phát hiện xâm nhập: Một số hệ thống tường lửa cung cấp tính năng phát hiện xâm nhập nhằm ngăn chặn ngay các tấn công tại tường lửa. Giải pháp này phù hợp với doanh nghiệp không có nhiều nhân lực chuyên trách an toàn thông tin.

– Xác thực người dùng: nhằm đảm bảo tính an toàn cho việc quản trị tường lửa.

– Mạng con an toàn: cho phép cách li và quản lý mạng hiệu quả.

– Mã hóa mạnh: nhằm đảm bảo an toàn đường truyền và thông tin nhật ký trên tường lửa.

– Quản lý hiệu quả: Đây là điều kiện cần thiết cho các hệ thống của tổ chức có nhân lực hạn chế.

– Tính năng sao lưu an toàn cho phép sao lưu, khôi phục cấu hình và thông tin tường lửa khi gặp sự cố.

– Hệ thống giám sát lưu lượng và cảnh báo thời gian thực.

– Một số tính năng nâng cao: Quản lý thiết bị, Kênh truyền an toàn, Phân tích gói tin tầng ứng dụng.

Một số lưu ý khi lựa chọn giải pháp

Để lựa chọn giải pháp an toàn tối ưu nhất, việc đầu tiên là cần xem xét các chức năng của tường lửa. Các tường lửa thường dùng đa phần hầu hết đều có các tính năng gần như tương đương nhau, cho phép lọc gói tin và vận hành các tính năng bảo vệ cơ bản. Một trong những khác biệt quan trọng nhất của các giải pháp tường lửa là việc cho phép thực hiện lọc các gói tin tầng ứng dụng. Rất nhiều tường lửa không có chức năng này, trong khi một số khác chỉ có ở mức đơn giản (chẳng hạn lọc URL). Một số sản phẩm như tường lừa Sidewinder G2 của công ty an toàn thông tin Secure Computing (Mỹ) và BIG-IP Application Security Manager của công ty dịch vụ mạng F5 Networks (Mỹ) có chức năng phân tích sâu gói tin tầng ứng dụng. Các dạng này của tường lửa cho phép thiết lập các luật phức tạp tầng ứng dụng nhằm tăng cường tính an toàn cho kết nối vào hệ thống và giảm thiểu các tấn công phức tạp ở tầng ứng dụng. Chẳng hạn, có thể hạn chế chỉ cho phép các truy vấn HTTP dạng GET từ Internet hoặc cho phép người dùng nội bộ gửi đi các truy vấn dạng POST. Chức năng này cho phép bảo vệ hệ thống mạng khỏi các tấn công tầng ứng dụng cũng như các tấn công tầng mạng.

Cuối cùng, vấn đề tài chính chỉ là một phần, nhân sự quản trị và vận hành mới là yếu tố then chốt ảnh hưởng trực tiếp đến khả năng hoạt động và tính hiệu quả của tường lửa. Người quản trị vận hành đóng vai trò hiệu chỉnh các luật và chính sách cho từng trường hợp cụ thể tùy với nhu cầu của tổ chức. Nhìn chung, các luật là không giống nhau đối với từng hệ thống khác nhau. Việc chuyển đổi nền tảng sẽ yêu cầu những sự thay đổi về mặt nhân sự tương ứng. Do đó, việc lựa chọn nhà cung cấp cần phải được xem xét cẩn thận để đảm bảo tính ổn định và ngân sách phù hợp.

Bạn đang xem bài viết Giải Pháp Tường Lửa Dành Cho Doanh Nghiệp Vừa Và Nhỏ trên website Theindochinaproject.com. Hy vọng những thông tin mà chúng tôi đã chia sẻ là hữu ích với bạn. Nếu nội dung hay, ý nghĩa bạn hãy chia sẻ với bạn bè của mình và luôn theo dõi, ủng hộ chúng tôi để cập nhật những thông tin mới nhất. Chúc bạn một ngày tốt lành!