Tổng quan về hệ thống mạng doanh nghiệp và các lỗ hổng trong hệ thống mạng. Các loại firewall, chức năng, những hạn chế, công nghệ firewall hiện tại mang lại. Mô phỏng hệ thống mạng với hệ thống bảo mật firewall giải quyết các vấn đề.
AN NINH MẠNG DOANH NGHIỆP
Tổng quan về An ninh mạng doanh nghiệp
1.1.1 Tình hình an ninh mạng trên Thế giới và Việt Nam những năm gần đây
Một số thông tin an ninh trong nước những năm gần đây:
Trong Quý I/2016, Nitol đã dẫn đầu trong hoạt động của các mạng botnet, với tỷ lệ tăng từ 33.3% lên 44.4%, chủ yếu do sự gia tăng hoạt động botnet tại Hàn Quốc Biến thể Generic!BT đã được sử dụng trong các cuộc tấn công từ 7,756 địa chỉ IP ở 52 quốc gia, tập trung chủ yếu ở Đông Âu Đáng chú ý, phần lớn hoạt động này xuất phát từ Nga (52.6%) và Ukraine (26.6%) – theo thông tin từ securitydaily.net.
Hình 1.1: Cảnh báo hàng năm Cisco 2010-2013
Hình 1.2: Cuộc khảo sát thực tế về các mối đe doạ từ bên ngoài Thông tin lấy từ “Cisco 2016 Annual
CHƯƠNG I: AN NINH MẠNG DOANH NGHIỆP
Hình 1.3: Các cuộc tấn công thành công trên các nền tảng mã hóa 2017-2018
Theo Kaspersky Lab, đã có hơn 7.000 loại phần mềm độc hại nhắm vào thiết bị thông minh, với hơn một nửa số này xuất hiện chỉ trong năm 2017 Khi có hơn 6 tỷ thiết bị thông minh đang được sử dụng trên toàn cầu, người dùng ngày càng phải đối mặt với nguy cơ từ các loại phần mềm độc hại này.
Hình 1.4: Số lượng malware gây ảnh hưởng đến các thiết bị IoT tăng chóng mặt theo thời gian
Theo Báo cáo an ninh website Q3/2018 của CyStack, trong quý 3 năm 2018, toàn cầu ghi nhận 129.722 website bị tin tặc tấn công và chiếm quyền điều khiển, trong đó Việt Nam đứng thứ
Trong báo cáo an ninh website quý do CyStack thực hiện, có 19 trong số 1.183 website bị tấn công Báo cáo này cung cấp thống kê và phân tích tình hình tấn công website toàn cầu, với dữ liệu được lấy từ hệ thống CyStack Attack Map (attacks.cystack.net) do CyStack nghiên cứu và phát triển.
Hệ thống giám sát virus của Bkav vừa phát hiện mã độc gián điệp nguy hiểm có tên BrowserSpy, có khả năng theo dõi người dùng và đánh cắp thông tin cá nhân, tài khoản ngân hàng, cũng như mật khẩu Gmail và Facebook Tại Việt Nam, đã có hơn 560.000 máy tính bị theo dõi bởi BrowserSpy, và con số này đang gia tăng nhanh chóng Bên cạnh đó, Bkav cũng cảnh báo rằng hơn 735.000 máy tính tại Việt Nam đã bị nhiễm virus đào tiền ảo W32.CoinMiner.
1.1.2 Mục tiêu và yêu cầu an ninh mạng
An ninh mạng bao gồm các phương pháp và chính sách nhằm bảo vệ máy tính và hệ thống mạng khỏi sự xâm nhập, đánh cắp thông tin và phá hoại mà không có sự cho phép Sự phát triển nhanh chóng của Internet mang lại nhiều tiện ích, nhưng cũng tiềm ẩn nhiều nguy cơ từ các hacker Mục tiêu hàng đầu của an ninh mạng là đảm bảo an toàn cho người dùng khi làm việc trực tuyến.
+ Bảo đảm mạng nội bộ không bị xâm nhập trái phép
+ Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mất
Các dịch vụ được cung cấp nhanh chóng, không bị trì hoãn, đảm bảo sự hài lòng của khách hàng Các giao dịch trực tuyến được thực hiện đúng theo yêu cầu của người dùng, mang lại trải nghiệm mua sắm thuận lợi và hiệu quả.
+ Người dùng làm việc trên mạng không bị mạo danh, lừa đảo
Hiện nay, các biện pháp tấn công ngày càng trở nên nguy hiểm và tinh vi, đe dọa an toàn thông tin từ nhiều nguồn và hình thức khác nhau Để bảo vệ an toàn thông tin, cần thiết phải có những yêu cầu cụ thể và hiệu quả.
− Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng
− Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn
− Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách
− Tính chính xác: Thông tin phải chính xác, tin cậy
− Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin
CHƯƠNG I: AN NINH MẠNG DOANH NGHIỆP
1.1.3 Các tính chất trong an toàn thông tin mạng
Năm 2002, Donn Parker đã giới thiệu mô hình 6 nhân tố cơ bản của thông tin, tương đồng với tam giác CIA Các nhân tố này bao gồm bí mật (confidentiality), sở hữu (possession), toàn vẹn (integrity), xác thực (authenticity), sẵn sàng (availability) và tiện ích (utility).
Một hệ thống mạng được đảm bảo an ninh hạ tầng tốt hơn khi hội tụ đủ ba yếu tố của tam giác CIA Dưới đây sẽ trình bày chi tiết về từng khía cạnh của tam giác này cùng với một số tính chất quan trọng khác trong an toàn thông tin mạng.
1.1.3.1 Tính bí mật của thông tin (Confidentiality)
Thông tin chỉ có giá trị khi nó được giới hạn cho một đối tượng cụ thể và không phổ biến cho những đối tượng khác Tính bí mật của thông tin phụ thuộc vào việc xác định ai có quyền truy cập vào nó Đối tượng truy cập có thể là con người, máy tính hoặc phần mềm, bao gồm cả các phần mềm độc hại như virus, worm và spyware.
Thông tin liên quan đến chính trị và quân sự được coi là nhạy cảm nhất và thường được bảo mật ở mức cao nhất Bên cạnh đó, các thông tin về hoạt động và chiến lược kinh doanh của doanh nghiệp, cũng như thông tin cá nhân, đều cần được bảo vệ với mức độ bí mật khác nhau.
1.1.3.2 Tính toàn vẹn thông tin (Intergrity) Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm Tính toàn vẹn được xét trên 2 khía cạnh: toàn vẹn về nội dung và toàn vẹn về nguồn gốc
Khi một tờ báo đưa tin về sự kiện tại một cơ quan chính phủ và ghi chú nguồn tin từ người phát ngôn, nhưng thông tin thực tế lại không phải do người phát ngôn cung cấp, thì nguồn gốc thông tin đã bị vi phạm Điều này xảy ra bất kể nội dung thông tin có chính xác hay không, dẫn đến việc không bảo toàn tính xác thực của nguồn tin.
1.1.3.3 Tính khả dụng của thông tin (Availability)
Tính khả dụng là một yếu tố thiết yếu của hệ thống, vì nếu một hệ thống có mặt nhưng không sẵn sàng để sử dụng, thì nó cũng không khác gì một hệ thống thông tin không tồn tại.
Các lỗ hỏng và tác nhân, phương thức đe dọa An ninh mạng
1.2.1 Các lỗ hỏng an ninh tạo điều kiện cho các cuộc tấn công trên mạng
Trong bối cảnh công nghệ phát triển nhanh chóng, không có hệ thống nào đảm bảo an toàn tuyệt đối, đặc biệt là trong môi trường doanh nghiệp Việc thường xuyên tìm kiếm, trao đổi thông tin qua Internet và lưu trữ tài liệu nội bộ bí mật khiến mạng doanh nghiệp trở thành mục tiêu dễ bị tấn công Dưới đây là một số lỗ hổng bảo mật thường bị khai thác trong hệ thống mạng doanh nghiệp.
1.2.1.1 Lỗ hỏng do xây dựng hệ thống chƣa tối ƣu
Lỗ hổng trong hệ thống mạng thường xuất phát từ việc thiết kế không lường trước các rủi ro liên quan đến tuổi thọ và công suất của thiết bị phần cứng, cũng như thiếu các chính sách an toàn cần thiết Điều này dẫn đến việc hệ thống dễ bị xâm nhập và tấn công, như việc không có chế độ giám sát và cảnh báo, gây ra mất mát dữ liệu kéo dài mà người quản lý không hay biết Hơn nữa, việc cấu hình máy chủ không chặt chẽ cũng làm tăng nguy cơ rò rỉ thông tin nhạy cảm Để giảm thiểu rủi ro, cần thiết lập bảo mật đa tầng, phân quyền truy cập dữ liệu cho từng bộ phận, thiết lập chế độ giám sát và cảnh báo kịp thời, đồng thời đảm bảo hiệu quả hoạt động của hệ thống.
CHƯƠNG I: AN NINH MẠNG DOANH NGHIỆP và vấn đề bảo mật dữ liệu để có thể duy trì và phát triển hệ thống một cách bền vững
1.2.1.2 Lỗ hỏng từ các phần mềm và ứng dụng
Các phần mềm và ứng dụng phiên bản cũ thường chứa lỗ hổng đã được phát hiện và sửa chữa, tạo cơ hội cho kẻ tấn công nếu người dùng không nâng cấp Nguy hiểm hơn, phần mềm từ nguồn không đáng tin cậy có thể chứa lỗ hổng sẵn có hoặc phần mềm độc hại, đe dọa an ninh hệ thống mạng.
Việc sử dụng và quá tin tưởng vào phần mềm chống virus phiên bản cũ có thể tạo cơ hội cho kẻ tấn công Mặc dù phần mềm chống virus là nền tảng quan trọng cho hệ thống bảo mật của doanh nghiệp, nhưng không nên coi thường khả năng của nó trong việc ngăn chặn mọi rủi ro Các mối đe dọa ngày nay rất đa dạng, và việc phụ thuộc hoàn toàn vào phần mềm chống virus giống như trốn tránh vũ khí hiện đại sau hàng rào thép gai Ngay cả những phần mềm chống virus tốt nhất cũng không thể đảm bảo an toàn trước các lỗ hổng zero-day, tấn công hệ thống, gian lận trực tuyến và tấn công dò mật khẩu, cũng như nhiều mối đe dọa khác.
Việc sử dụng phần mềm và ứng dụng bản quyền, cùng với việc thường xuyên cập nhật thông tin và nâng cấp phiên bản cũ, là rất quan trọng để đảm bảo hiệu suất và bảo mật.
1.2.1.3 Lổ hỏng từ việc kết nối Internet và dịch vụ đám mây
Kết nối Internet tiềm ẩn nhiều nguy cơ cho hệ thống mạng, khi phần mềm độc hại có thể tự động lây nhiễm qua các liên kết trong email giả mạo hoặc file dữ liệu không an toàn Kẻ tấn công có khả năng đánh cắp tài khoản và dữ liệu bằng cách lừa người dùng cung cấp thông tin trên trang web giả Điều này cho phép chúng chiếm quyền điều khiển hệ thống hoặc truy cập từ xa để lấy cắp thông tin của doanh nghiệp.
Việc sử dụng dịch vụ điện toán đám mây chưa xác thực cũng tồn tại nhiều rủi ro Các
Dịch vụ đám mây mang lại cảm giác an toàn nhờ khả năng phòng thủ mạnh mẽ của nhà cung cấp, nhưng vẫn tồn tại những vấn đề tiềm ẩn Đầu tiên, không ai có thể xác định chính xác các biện pháp an ninh mà nhà cung cấp sử dụng, và người dùng không có quyền kiểm soát toàn bộ dữ liệu khi dựa vào hạ tầng bên ngoài Thêm vào đó, một nguy cơ đáng lo ngại là phần mềm độc hại từ hạ tầng đám mây có thể xâm nhập vào hệ thống mạng của doanh nghiệp.
1.2.1.4 Lỗ hổng từ việc truy cập thiết bị từ xa
Với sự phát triển của Internet băng thông rộng và thiết bị cá nhân, người lao động có thể làm việc từ bất kỳ đâu như nhà, khách sạn, sân bay hay quán cafe vào bất kỳ thời gian nào Phương thức làm việc linh hoạt này không chỉ nâng cao hiệu suất làm việc mà còn giúp giảm chi phí cho doanh nghiệp Tuy nhiên, các tổ chức cần chú ý đến nguy cơ thất thoát thông tin và bảo mật hệ thống.
Các thiết bị truy cập cá nhân thường thiếu sự giám sát từ chuyên gia CNTT, dẫn đến cấu hình không an toàn trong việc chia sẻ file và in ấn, gây nguy cơ lộ thông tin nhạy cảm Người làm việc từ xa thường sử dụng hệ điều hành và ứng dụng chưa được cập nhật, bao gồm cả phần mềm diệt virus, khiến thiết bị dễ bị nhiễm virus và phần mềm độc hại hơn so với thiết bị trong công ty Việc phát hiện và làm sạch các mối đe dọa này thường tốn nhiều thời gian.
1.2.1.5 Lỗ hỏng từ các thiết bị di động
Ngày nay, thiết bị di động cá nhân ngày càng trở nên phổ biến, không chỉ phục vụ cho việc nghe gọi mà còn tích hợp nhiều chức năng khác như ứng dụng, tài liệu và thông tin được lưu trữ.
Hình 1.7: Lỗ hổng từ việc truy cập từ xa
CHƯƠNG I: AN NINH MẠNG DOANH NGHIỆP trữ, hình ảnh, sở thích, email và hầu hết những thứ này đều cho phép truy cập không hạn chế
Do đó, các thiết bị di động này rất dễ bị những kẻ tấn công truy cập trái phép, sử dụng và sửa đổi dữ liệu
Nguy cơ đầu tiên là người dùng khó nhận biết ứng dụng bản quyền chính hãng và ứng dụng giả mạo Việc sử dụng nhiều ứng dụng không được kiểm soát trên thiết bị di động gây khó khăn trong việc đảm bảo an toàn thông tin Thông thường, iOS và Android chỉ cho phép cài đặt ứng dụng từ Apple Store hoặc Google Play để bảo vệ người dùng Tuy nhiên, trên thiết bị iOS, người dùng thường thực hiện Jailbreak để cài đặt ứng dụng không rõ nguồn gốc, trong khi trên Android, việc cài đặt ứng dụng từ nguồn khác dễ dàng hơn thông qua việc thay đổi cấu hình trong phần thiết lập.
Nguy cơ từ việc thiết bị di động luôn tìm kiếm và kết nối Internet mà không tắt chế độ Wifi sau mỗi lần sử dụng là rất cao Nếu không có sự can thiệp từ người dùng, thiết bị sẽ tự động kết nối tới các mạng Internet đã biết, tạo cơ hội cho kẻ tấn công giả mạo mạng Wifi của quán cafe hay khách sạn nổi tiếng Khi đó, người dùng có thể bị dẫn đến các trang web giả mạo để đánh cắp thông tin hoặc trang web chứa mã độc nhằm cài đặt phần mềm độc hại lên thiết bị của họ.
1.2.1.6 Lỗ hỏng từ người sử dụng
Kẻ tấn công có thể giả mạo người dùng để liên lạc với quản trị hệ thống, yêu cầu thay đổi mật khẩu hoặc quyền truy cập, nhằm thực hiện các cuộc tấn công khác Không có thiết bị nào có thể ngăn chặn hiệu quả kiểu tấn công này; do đó, việc giáo dục người dùng về các yêu cầu bảo mật và nâng cao cảnh giác với những hiện tượng đáng ngờ là rất quan trọng.
Đặt mật khẩu dễ dàng, vô hiệu hóa tính năng bảo mật khi cài đặt phần mềm mới và công khai dữ liệu cá nhân trên mạng xã hội đều là những yếu tố tạo điều kiện cho các cuộc tấn công mạng.
Yếu tố con người thường là điểm yếu trong mọi hệ thống bảo vệ Để nâng cao độ an toàn của hệ thống, cần có sự giáo dục và tinh thần hợp tác từ phía người sử dụng.
1.2.2 Các chương trình và phần mềm phá hoại (Malwares)
TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN
Tổng quan về Firewall
Tường lửa (Firewall) là thiết bị hoặc phần mềm có chức năng lọc thông tin vào và ra khỏi hệ thống mạng hoặc máy tính, dựa trên các quy định đã được cài đặt, nhằm bảo vệ mạng máy tính khỏi sự truy cập trái phép từ các mạng khác Tường lửa bao gồm các cơ cấu thiết yếu để đảm bảo an ninh mạng.
+ Ngăn chặn truy nhập bất hợp pháp
+ Cho phép truy nhập sau khi đó kiểm tra tính xác thực của thực thể yêu cầu truy nhập
+ Quản lý thiết bị người dùng
Firewall thường được đặt giữa mạng nội bộ (Intranet) của doanh nghiệp, tổ chức hoặc quốc gia và Internet Chức năng chính của nó là bảo vệ thông tin, ngăn chặn truy cập không mong muốn từ bên ngoài và cấm truy cập từ nội bộ tới một số địa chỉ nhất định trên Internet.
Nhìn chung bức tường lửa có những thuộc tính sau:
+ Thông tin giao lưu được theo hai chiều
+ Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi qua
+ Bản thân bức tường lửa không đòi hỏi quá trình thâm nhập
2.1.2 Mục đích của việc tạo ra bức tường lửa:
Khi máy tính không có tường lửa bảo vệ, mọi lưu lượng truy cập Internet đều được cho phép, tạo cơ hội cho hacker, trojan và virus xâm nhập và đánh cắp thông tin cá nhân của người dùng.
Hình 2.1: Mô hình cơ bản về việc sử dụng Firewall trong mạng
Mục tiêu chính của việc sử dụng tường lửa là thiết lập các kết nối an toàn từ mạng nội bộ ra bên ngoài, đồng thời ngăn chặn truy cập trái phép từ bên ngoài vào các máy chủ và thiết bị trong hệ thống mạng.
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet
Cho phép hoặc cấm các dịch vụ truy cập từ Intranet ra Internet, cũng như từ Internet vào Intranet, là rất quan trọng để đảm bảo an ninh mạng và kiểm soát thông tin Việc quản lý này giúp bảo vệ dữ liệu nhạy cảm và ngăn chặn các mối đe dọa từ bên ngoài.
+ Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
+ Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
+ Kiểm soát người sử dụng và việc truy nhập của người sử dụng
+ Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng
Xác thực quyền truy cập
Firewall có khả năng xác thực quyền truy cập thông qua nhiều phương thức khác nhau Đầu tiên, Firewall yêu cầu người dùng cung cấp Username và Password (được gọi là Extended Authentication hay XAUTH) để xác thực Sau khi xác thực thành công, người dùng có thể thiết lập kết nối mà không cần nhập lại thông tin đăng nhập cho các lần truy cập sau, thời gian yêu cầu lại thông tin này phụ thuộc vào cấu hình của quản trị viên Thứ hai, Firewall có thể sử dụng Certificates và Public key để xác thực người dùng Cuối cùng, Firewall cũng có thể áp dụng Pre-shared keys (PSKs) như một phương thức xác thực.
Hoạt động nhƣ một thiết bị trung gian
Khi người dùng kết nối trực tiếp ra bên ngoài, họ sẽ phải đối mặt với nhiều nguy cơ bảo mật như virus và mã độc Do đó, việc sử dụng một thiết bị trung gian để đại diện cho người dùng trong kết nối này là rất cần thiết để đảm bảo an toàn Firewall được cấu hình để thực hiện chức năng này và có thể được ví như một proxy trung gian, giúp bảo vệ người dùng khỏi các mối đe dọa từ internet.
Nhiệm vụ chính của Firewall là bảo vệ tài nguyên khỏi các mối đe dọa bảo mật thông qua việc áp dụng quy tắc kiểm soát truy cập, kiểm tra trạng thái gói tin và sử dụng application proxies Mặc dù Firewall đóng vai trò quan trọng trong việc ngăn chặn truy cập bất hợp pháp và lạm dụng tài nguyên, nhưng nó không phải là giải pháp toàn diện cho việc bảo vệ tài nguyên của chúng ta.
Ghi nhận và báo cáo các sự kiện
Các sự kiện của Firewall có thể được ghi nhận qua nhiều phương pháp, nhưng chủ yếu sử dụng hai hình thức chính là syslog và định dạng ghi log riêng Việc áp dụng một trong hai phương pháp này giúp chúng ta dễ dàng báo cáo các sự kiện xảy ra trong hệ thống mạng.
CHƯƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN FIREWALL
Phân loại Firewall
2.2.1 Firewall phần cứng Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính hoặc mạng và cáp hoặc modem DSL Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa Tường lửa phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho một máy tính đơn Nếu chúng ta chỉ có một máy tính phía sau tường lửa, hoặc nếu chúng ta chắc chắn rằng tất cả các máy tính khác trên mạng được cập nhật các bản vá miễn phí về virus, worm và các mã nguy hiểm khác thì chúng ta không cần mở rộng sự bảo vệ của một phần mềm tường lửa Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điều hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.Một số loại Firewall cứng như: Cisco, Fortinet, SonicWALL, ASA, Juniper…
Đặc điểm của Firewall cứng:
Hoạt động ở tầng Network và tầng Transport
Khả năng nâng cấp thấp
Không kiểm tra được nội dung gói tin
Hiện nay, nhiều loại Firewall cứng không chỉ thực hiện chức năng bảo mật mà còn tích hợp nhiều tính năng khác như Routing và VPN, mang lại sự linh hoạt và hiệu quả trong việc quản lý mạng.
Hình 2.2: Mô hình Firewall cứng
Nếu bạn không muốn chi tiền cho Firewall phần cứng, Firewall phần mềm là một lựa chọn tiết kiệm hơn Giá của Firewall phần mềm thường thấp hơn và có nhiều phần mềm miễn phí như Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0 và ZoneAlarm Firewall 7.1 có sẵn để tải về từ Internet.
Nhiều hệ điều hành hiện nay đi kèm với tường lửa, nhưng nếu hệ điều hành của bạn không có, bạn có thể dễ dàng tìm mua từ các cửa hàng máy tính, nhà sản xuất phần mềm hoặc nhà cung cấp dịch vụ Internet Một số phần mềm tường lửa phổ biến bao gồm ISA Server, Zone Alarm, Norton và ForFront Firewall.
Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng
Có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
Chức năng và hạn chế của Firewall
Tóm lại, dù là Firewall phần cứng hay Firewall phần mềm chúng đề có những chức năng như nhau và luôn tồn tại những hạn chế nhất định
Kiểm soát luồng thông tin giữa Intranet và Internet
Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet Cụ thể là:
Trong quản lý mạng, việc cho phép hoặc cấm các dịch vụ truy cập giữa Intranet và Internet là rất quan trọng Điều này bao gồm việc thiết lập các quy tắc để kiểm soát dịch vụ truy cập từ Intranet ra Internet và ngược lại, từ Internet vào Intranet.
Hình 2.3: Mô hình Firewall mềm
CHƯƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN FIREWALL
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
Kiểm soát người sử dụng và việc truy nhập của người sử dụng
Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng
2.3.2 Những hạn chế của Firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó
Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ
Firewall không bảo vệ được các tấn công đi vòng qua nó Ví dụ như thiết bị modems, tổ chức tin cậy, dịch vụ tin cậy (SSL/SSH)
Firewall không thể ngăn chặn các cuộc tấn công dựa trên dữ liệu Khi một số chương trình được gửi qua email, chúng có thể vượt qua Firewall và xâm nhập vào mạng được bảo vệ, sau đó bắt đầu hoạt động.
Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc file nhiễm virus.
Kiến trúc chung của Firewall
Hình 2.4: Mô tả luồng dữ liệu vào ra giữa internet và intranet
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
Vùng mạng nội bộ (Inside network) nằm sau Firewall và có mức bảo mật cao nhất Các host trong vùng này thường được phép truy cập vào tất cả các host ở các vùng khác như Outside và DMZ, do Firewall mặc định cho phép gói tin di chuyển từ vùng có bảo mật cao đến vùng có bảo mật thấp hơn.
Ngoài mạng nội bộ, vùng ngoài mạng (Outside network) có mức độ bảo mật thấp nhất Thông thường, các máy chủ trong vùng này không thể truy cập vào vùng có mức bảo mật cao hơn, như vùng bên trong (Inside), trừ khi có sự cho phép từ Firewall.
DMZ (vùng phi quân sự) là một khu vực mạng trung lập giữa mạng nội bộ và internet, nơi chứa các tài nguyên công khai như Web Server và FTP Server Để bảo vệ tài nguyên này, chúng ta có thể đặt chúng vào một mạng riêng biệt phía sau Firewall, giúp giới hạn quyền truy cập Vùng DMZ chỉ bao gồm các máy chủ công cộng, nên nếu xảy ra tấn công, chỉ có các máy chủ này bị ảnh hưởng mà không làm tổn hại đến mạng nội bộ.
+ DMZ là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từ internet
+ Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP + Có hai cách thiết lập vùng DMZ:
- Đặt DMZ giữa 2 Firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các luồng thông tin vào mạng cục bộ
- Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạng cục bộ
+ Mục đích khi thiết lập một vùng DMZ là né sự tấn công từ bên ngoài và từ trong mạng nội bộ
Mức độ bảo mật (Security Level) được gán cho các giao diện (interfaces) trên thiết bị, với giá trị từ 0-100, chỉ ra mức độ tin cậy của một giao diện so với giao diện khác Giao diện có mức độ bảo mật cao hơn được coi là đáng tin cậy hơn, và do đó, các mạng kết nối phía sau nó cũng được đánh giá cao hơn Mỗi giao diện của Firewall đại diện cho một mạng hoặc khu vực an ninh cụ thể, cho phép chúng ta xác định mức độ tin cậy của khu vực an ninh đó Quy tắc chính về mức độ bảo mật quy định rằng giao diện với mức độ bảo mật cao hơn có thể truy cập vào giao diện có mức độ bảo mật thấp hơn, trong khi giao diện với mức độ bảo mật thấp hơn không thể truy cập vào giao diện có mức độ bảo mật cao hơn mà không có sự cho phép rõ ràng từ quy tắc bảo mật (Access Control List - ACL).
Một số mức độ bảo mật điển hình:
CHƯƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN FIREWALL
Mức độ bảo mật 0 là mức độ thấp nhất và được gán mặc định cho interface bên ngoài của Firewall, thể hiện sự không tin cậy cao nhất Mức độ này nên được chỉ định cho các mạng mà chúng ta không muốn cho phép truy cập vào mạng nội bộ Thông thường, nó được áp dụng cho interface kết nối với Internet, đảm bảo rằng tất cả thiết bị kết nối Internet không có quyền truy cập vào mạng phía sau Firewall, trừ khi có quy tắc ACL rõ ràng cho phép.
− Security Level 1 đến 99: Những mức độ bảo mật có thể được khu vực bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quản lý, )
Mức độ bảo mật 100 là cấp độ cao nhất và được gán mặc định cho interface bên trong của tường lửa Đây là mức độ bảo mật đáng tin cậy nhất, thường được áp dụng cho mạng mà chúng ta muốn bảo vệ nhiều nhất trước các mối đe dọa từ thiết bị an ninh Thông thường, mức độ này được gán cho interface kết nối mạng nội bộ của công ty.
Các công nghệ trên Firewall
2.5.1 Kiểm tra trạng thái gói tin (Statefull Packet Inspection-SPI)
Tường lửa hoạt động tại tầng vận chuyển của mô hình OSI, thực hiện việc lọc và kiểm tra luồng dữ liệu bằng cách phân tích các gói tin IP Nó so sánh các gói tin này với các quy tắc được xác định trong danh sách điều khiển truy cập (ACL) để đảm bảo an ninh mạng.
Hình 2.6: Công nghệ kiểm tra trạng thái gói tin (SPI)
Nó kiểm tra những thành phần sau của gói tin:
+ Địa chỉ Ip nguồn (Source IP Address)
+ Địa chỉ Ip đích (Destination IP Address)
Tường lửa lọc gói thực hiện việc đọc toàn bộ thông tin trong tiêu đề của các gói dữ liệu IP khi chúng di chuyển qua, từ đó đưa ra quyết định chấp nhận hoặc loại bỏ các gói dữ liệu này.
Tường lửa lọc gói chỉ có khả năng phân tích tiêu đề của gói IP mà không xem xét nội dung bên trong, điều này dẫn đến việc không thể ngăn chặn truy xuất dựa trên nội dung dữ liệu.
Tường lửa lọc gói là công cụ hữu ích để ngăn chặn các cổng, địa chỉ IP hoặc giao thức cụ thể, như ICMP Thực tế cho thấy, các cuộc tấn công xâm nhập thường diễn ra qua các cổng khác ngoài những cổng dịch vụ phổ biến như SSH (cổng 22), Telnet (cổng 23), FTP (cổng 21) và SNMP (cổng 161).
Hình 2.7: Quá trình kiểm tra trạng thái gói tin sử dụng SPI
Các mối nguy hiểm tiến hóa ngày càng đa dạng và nguy hiểm hơn Firewall và SPI truyền thống chỉ có thể:
CHƯƠNG II: TỔNG QUAN VỀ FIREWALL VÀ CÁC CÔNG NGHỆ TRÊN
Hình 2.8: Quá trình lọc Stateful Packet Inspection
Hoạt động độc lập và trong suất với người dùng, ít ảnh hưởng đến hiệu năng của mạng
Bảo mật hơn, kiểm soát được các giao thức ở tầng ứng dụng
Khả năng ghi nhật ký (loging) tốt hơn so với công nghệ lọc gói tin
Bảo vệ ở mức độ port và các giao thức
Tốn kém trong triển khai và quản lý
Không thể phát hiện và chặn malware
Không thể nhận dạng traffic của user
Không phát hiện khi được mã hóa SSL
Giảm năng suất hệ thống
Nhận thấy nhiều nhược điểm của công nghệ cũ, tường lửa đã được cải tiến với nhiều tính năng mới, bao gồm phân tích sâu các gói (Deep Packet Inspection - DPI), phát hiện xâm nhập, và khả năng ngăn chặn cũng như kiểm tra lưu lượng được mã hóa Kiểm tra gói sâu (DPI) là một phương pháp tiên tiến cho phép phân tích và quản lý lưu lượng mạng hiệu quả hơn, bằng cách xác định, phân loại, định tuyến lại hoặc chặn các gói dữ liệu cụ thể, điều mà các phương pháp lọc gói truyền thống không thể thực hiện chỉ bằng cách kiểm tra các tiêu đề gói.
Kiểm tra gói sâu cho phép phân tích nội dung tin nhắn và xác định ứng dụng hoặc dịch vụ mà nó thuộc về Bên cạnh đó, các bộ lọc có thể được lập trình để tìm kiếm và định tuyến lại lưu lượng mạng từ một dải địa chỉ IP cụ thể hoặc từ các dịch vụ trực tuyến như Facebook.
Tuy nhiên nó cũng tồn tại một số hạn chế như:
DPI có khả năng bảo vệ chống lại các lỗ hổng hiện có và các tấn công như tràn bộ đệm, tấn công từ chối dịch vụ (DoS) và một số phần mềm độc hại Tuy nhiên, nó cũng có thể tạo ra các lỗ hổng mới và bị khai thác để thực hiện các cuộc tấn công tương tự.
Kiểm tra gói sâu góp phần làm tăng tính phức tạp và khó sử dụng của các tường lửa và phần mềm bảo mật hiện tại Để duy trì hiệu quả tối ưu, kiểm tra gói sâu cần có các bản cập nhật và sửa đổi định kỳ.
Thứ ba, DPI có thể giảm tốc độ mạng vì nó làm tăng gánh nặng cho bộ vi xử lý tường lửa
Mặc dù gặp phải một số hạn chế, nhiều quản trị viên mạng đã áp dụng công nghệ kiểm tra gói sâu để ứng phó với sự gia tăng nhận thức về sự phức tạp và tính chất lan rộng của các mối đe dọa trên internet.
Và Next-Generation Firewall (NGFW) của hãng SonicWALL là tường lửa thế hệ mới tích hợp nhưng tính năng tiên tiến này.
SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXT-
Tổng quan về SonicWALL
3.1.1 Giới thiệu chung về SonicWALL
SonicWALL, một hãng bảo mật của Mỹ được thành lập vào năm 1991 và có trụ sở tại San Jose, California, đã được Dell mua lại vào ngày 9 tháng 5 năm 2012, sở hữu 130 bằng sáng chế và 950 nhân viên Vào ngày 20 tháng 6 năm 2016, Dell đã bán SonicWALL cho công ty cổ phần tư nhân Francisco Partners và Elliott Management.
Hình 3.2: Quá trình hình thành và phát triển SonicWALL
3.1.2 Tính năng và Giải pháp
Hiện nay, SonicWALL đang cung cấp các tính năng, giải pháp chính bao gồm:
● Network Security: chống Malware, kiểm soát ứng dụng, quản lý bang thông
● Email Security: chống spam mail, chống phishing, Malware…
● Secure Remote Access: VPN (Ipsec, SSL VPN), kiểm soát Endpoint, bảo mật thiết bị di động cho IOS & Android
● Quản lý danh tính người dung và kiểm soát quyền truy cập
Firewall thế hệ mới của SonicWALL (Next-Generation Firewall Firewall SonicWALL-NGFW)
SonicWALL cung cấp một loạt các dòng Firewall đa dạng, đáp ứng nhu cầu bảo mật cho mọi loại hình và quy mô khách hàng, từ SOHO, SMB đến Enterprise và ISP Với nền tảng phần cứng mạnh mẽ và khả năng mở rộng dễ dàng, các sản phẩm của SonicWALL được phân loại dựa trên số lượng người dùng, đảm bảo hiệu suất tối ưu khi hoạt động với đầy đủ tính năng bảo mật đã được kiểm nghiệm thực tế.
CHƯƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXT-
Nhận thấy những hạn chế của dòng Firewall truyền thống, SonicWALL đã giới thiệu dòng Firewall thế hệ mới (NGFW) với nhiều dịch vụ và tính năng nâng cao, nhằm tăng cường khả năng bảo vệ hệ thống trước các mối đe dọa Các dịch vụ này không chỉ giúp cải thiện khả năng bảo vệ mà còn đảm bảo an ninh mạng hiệu quả hơn cho người dùng.
Hình 3.5: Công nghệ trên Firewall thế hệ mới SonicWALL (NGFW)
3.2.1.1 Tính năng ngăn ngừa xâm nhập (Intrusion Prevention Service-IPS)
IPS được tích hợp trong NGFW nhằm ngăn chặn các mối đe dọa xâm nhập vào hệ thống Bên cạnh việc kiểm tra các cổng và giao thức, IPS còn thực hiện phân tích sâu vào dữ liệu của gói tin để phát hiện những nguy cơ tiềm ẩn.
Hệ thống phát hiện xâm nhập (IDS) là một công cụ quan trọng trong việc bảo vệ mạng, giúp phát hiện và ngăn chặn các hành động tấn công nhằm vào hệ thống IDS không chỉ nhận diện các hành vi bất thường mà còn cảnh báo cho quản trị viên mạng về các kết nối đang tấn công Ngoài ra, IDS còn có khả năng phân biệt giữa các tấn công nội bộ từ nhân viên hoặc khách hàng và các tấn công bên ngoài từ hacker, từ đó nâng cao hiệu quả bảo mật cho tổ chức.
Hình 3.6: Quá trình lọc gói tin của IPS
3.2.1.2 Gateway Anti-Virus và Anti-Spyware
Giống như IPS, Gateway Anti-Virus và Anti-Spyware thực hiện việc quét sâu vào gói tin để phát hiện virus và phần mềm spyware có thể xâm nhập vào hệ thống.
Hình 3.7: Quá trình Anti-Virus
CHƯƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXT-
Hình 3 8: Quá trình Anti-Spyware
3.2.1.3 Lọc nội dung (Content Filtering Service -CFS)
Một trong những tính năng nổi bật của NGFW là khả năng lọc và chặn truy cập vào các trang web mà người quản trị đã chỉ định, như Facebook, Twitter và các trang mạng xã hội khác.
Firewall SonicWALL hỗ trợ người dung chặn Web theo 2 hình thức:
Chặn thủ công theo tên từng trang web: Người dùng nhập tên trang web, tên miền…
Sử dụng chính sách CFS Policy của SonicWALL Firewall cho phép tham chiếu chéo tất cả các trang web với cơ sở dữ liệu của SonicWALL, đồng thời so sánh với chính sách lọc nội dung do quản trị viên thiết lập Khi một trang web bị chặn, thiết bị bảo mật SonicWALL sẽ thông báo cho người dùng rằng trang web đó không được phép truy cập CFS Policy của SonicWALL thường có hai loại chính.
Chặn theo 12 Category với dòng Standard chạy trên SonicOS Standard 2.0
SonicWALL CFS cho phép chặn theo 56 danh mục với dòng Premium trên SonicOS Standard 2.1, mang lại sự đơn giản trong triển khai và sử dụng nhờ vào giao diện quản lý dựa trên web Không cần phần cứng máy chủ hay hệ điều hành phụ thuộc, SonicWALL CFS giúp loại bỏ các vấn đề quản lý và bảo trì máy chủ.
3.2.1.4 Kiểm tra gói sâu miễn phí Reassembly-Free (Reassembly-Free Deep
Packet Inspection-RFDPI) – Kiến trúc đa lõi (Multi-Core Architecture)
CHƯƠNG III: SONICWALL VÀ FIREWALL THẾ HỆ MỚI: NEXT-
Tường lửa thế hệ mới SonicWall (NGFW) vượt qua những hạn chế của tường lửa truyền thống, khi mà chúng không thể ngăn chặn hiệu quả các cuộc tấn công vào hệ thống mạng Công nghệ kiểm tra gói tin sâu (SPI) chỉ quét các tiêu đề thông thường, bỏ qua nhiều mối nguy hiểm tiềm ẩn trong dữ liệu gói tin Để bảo vệ toàn diện trước các mối đe dọa từ bên ngoài và bên trong, cần quét tất cả lưu lượng truy cập trên mọi giao thức và cổng SonicWall đã phát triển công nghệ kiểm tra gói tin sâu theo thời gian thực, được cấp bằng sáng chế, mang tên Reassembly-Free Deep Packet Inspection (RFDPI), nhằm vượt qua rào cản tốc độ của DPI.
Hình 3.11: Kiểm tra gói tin với RFDPI
Công nghệ RFDPI, trái tim cốt lõi của SonicWALL Firewall và đã được cấp bằng sáng chế, tích hợp nhiều giải pháp bảo mật vào một công nghệ duy nhất, cho phép quét tất cả file từ mạng nội bộ, từ xa hoặc từ thiết bị di động RFDPI kiểm tra từng byte của gói dữ liệu để xác định các ứng dụng và người sử dụng chúng, giúp người quản trị đưa ra các chính sách quản lý và điều khiển tài nguyên mạng hiệu quả Bên cạnh đó, công nghệ này còn hỗ trợ người quản trị trong việc quản lý hệ thống, tiết kiệm chi phí và thời gian.
Để duy trì hiệu suất tối ưu và giảm độ trễ trong việc quét tất cả các gói tin, NGFW của Dell SonicWALL được trang bị kiến trúc nhiều vi xử lý (Multi-Core Architecture), với khả năng hỗ trợ lên tới 96 vi xử lý trên các thiết bị cao cấp nhất.
Hình 3.12: Kiến trúc đa lõi Multi-Core Architecture)
Mô tả kiến trúc Multicore:
Mỗi thiết bị phần cứng được trang bị một hoặc nhiều bộ vi xử lý đa lõi của Cavium, một hãng nổi tiếng trong lĩnh vực sản xuất chip xử lý bảo mật tại Mỹ Các bộ vi xử lý này hỗ trợ xử lý song song và phân chia tải cho các yêu cầu của luồng dữ liệu vào/ra.
Tại một thời điểm dò quét, các cores sẽ được tận dụng tối đa năng lực xử lý
Các core sẽ không chỉ đảm nhiệm một tính năng riêng biệt như Firewall, IPS hay Threat Prevention, mà có khả năng xử lý đồng thời nhiều tính năng khác nhau.
Chạy hệ điều hành SonicOS (phiên bản mới nhất là 6.2.5) Hệ điều hành SonicOS sẽ quản trị và điều khiển trực tiếp CPU, không thông qua trung gian
SonicOS là hệ điều hành được phát triển chuyên biệt từ SonicWALL, được thiết kế tối ưu nhất cho kiến trúc phần cứng mà SonicWALL xây dựng
Khi nâng cấp hệ điều hành SonicWALL, phần mềm sẽ được tối ưu hóa, từ đó cải thiện hiệu suất phần cứng và tăng hiệu năng của thiết bị lên đáng kể.
• Thiết kế giao diện được thay đổi để giúp việc quản lý trực quan và dễ dàng hơn
Sự kết hợp tối ưu này tối đa hóa hiệu suất và khả năng mở rộng, đồng thời giảm thiểu tiêu thụ điện năng, giúp cắt giảm chi phí và đơn giản hóa các quy trình xử lý.
3.2.1.5 Giải mã lớp bảo mật (Secure Socket Layer Decryption-SSL)
Mô hình giả lập NGFW trên VMware Workstation
Hình 4.1: Sơ đồ bảo vệ mạng doanh nghiệp vừa và nhỏ dùng NGFW
Chuẩn bị
- Phần mềm tạo máy ảo Vmware Workstation Pro version 14.1.0
- 3 máy ảo chạy hệ điều hành Windows XP
- Một account MySonicWALL trial 30 ngày
Thiết bị thứ nghiệm
Mặc dù chỉ là một Firewall ảo, NSv10 hoạt động tương tự như một thiết bị phần cứng thực thụ, với khả năng mô phỏng hầu hết các tính năng của Firewall cứng NSv10 cũng có thể được coi là một giải pháp bảo mật ứng dụng cơ bản cho thiết bị PC.
Thông số Firewall ảo NGFW NSv200 :
Hình 4.2: Thông số NGFW NSv200
Hình 4.3: Thông tin đầy đủ Firewall NSv200 kèm thông tin License các tính năng
Giả định vấn đề
Firewall không phải là giải pháp hoàn hảo, nhưng nó hỗ trợ quản trị viên trong việc đối phó với những mối đe dọa an ninh mạng phổ biến như virus, giảm thiểu tình trạng tắc nghẽn băng thông và quản lý người dùng cuối một cách hiệu quả.
Để thực hiện demo, cần tiến hành các bước sau: Sử dụng tính năng Anti-Virus để quét tệp chứa virus, áp dụng tính năng BWM để quản lý băng thông mạng doanh nghiệp, và quản lý người dùng bằng cách phân chia thành các nhóm như Bob, Sales, Product thông qua tính năng App Control và Content Filter.
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP VỪA VÀ NHỎ
Bob Full quyền (Internet, truy cập app, web…), hạn chế băng thông đường truyền
Sales Truy cập được Internet, cấm và chỉ cho phép truy cập app giải trí
(Youtube,Facebook) và Web đọc báo (Kenh14) trong giờ nghỉ trưa, full tốc độ đường truyền
Product Không được truy cập Internet trong giờ làm việc, cho phép truy cập
Internet và các app, Web trong giờ nghỉ trưa
Bảng 4.1: Quyền hạn ba Group chính trong demo
Giải quyết vấn đề
Hệ thống mạng được phân chia thành 3 nhóm chính với quyền hạn cụ thể, bao gồm Bob, Sales và Product Chúng ta sẽ thiết lập 3 máy ảo tương ứng cho từng nhóm và kết nối card mạng với máy ảo NSv200.
Group Tên máy ảo Địa chỉ
Gateway Địa chỉ Ip tĩnh Quyền hạn
192.168.2.150/24 Full quyền (Internet, truy cập app, web…), hạn chế băng thông đường truyền
Địa chỉ IP 192.168.3.160/24 cho phép truy cập Internet, nhưng chỉ được phép vào các ứng dụng giải trí như Youtube, Facebook và trang web đọc báo Kenh14 trong giờ nghỉ trưa, với tốc độ đường truyền tối đa.
192.168.4.170/24 Không được truy cập Internet trong giờ làm việc, cho phép truy cập Internet và các app, Web trong giờ nghỉ trưa
Bảng 4.2: Thông tin ba Group chính trong demo
Bước 1: Thiết lập các máy ảo Windows XP và tiến hành đặt ip tĩnh, nối các card mạn VMnet vào từng Port của NSv200:
Thiết lập các máy ảo:
Hình 4.4: Thông số cấu hình và địa chỉ IP tĩnh của WindowsXP-Bob
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP
Hình 4.52: Thông số cấu hình và địa chỉ IP tĩnh của WindowsXP-Sales
Hình 4.6: Thông số cấu hình và địa chỉ IP tĩnh của WindowsXP-Product
Nối card mạng của các máy WindowsXP ảo và Từng Port của NSv200 và tiến hành đặt
Điều đầu tiên và vô cùng quan trọng, Vào System > Time: cài đặt thời gian và ngày tháng để phân tích log, các sự kiện một cách chính xác:
Hình 4.7: Giao diện cài đặt thời gian, ngày tháng trên NSv200
Network > Interface và Setup từng Port X2,X3,X4 theo địa chỉ Gateway của từng Group:
Hình 4.8: Giao diện setup IP Gateway của Group Bob cho X2
Tương tự cho 2 Group Sales và Product còn lại, ta được:
Hình 4.9: Thông tin Interface của Firewall NSv200 sau khi đã thiết lập IPGateway cho các
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP VỪA VÀ NHỎ
Bước 2: Giải quyết các yêu cầu của bài demo:
Dùng tình năng Anti-Virus để quét một tệp có chứa Virus:
Vào Security Services > Gateway Anti-Virus, tích vào Enable Gateway Anti-Virus để bật tính năng:
Hình 4.10: Giao diện cấu hình Gateway Anti-Virus
Trong bài viết này, chúng tôi sẽ khám phá các mục chính của dịch vụ Anti-Virus Mục 1: Trạng thái Gateway Anti-Virus cung cấp thông tin về tình trạng dịch vụ, bao gồm trạng thái cơ sở dữ liệu chữ ký, thời gian cập nhật gần nhất và ngày hết hạn dịch vụ Mục 2: Cài đặt toàn cầu Gateway Anti-Virus cho phép người dùng cấu hình các thiết lập quan trọng để dịch vụ hoạt động hiệu quả trên mạng Mục 3: Cơ sở dữ liệu toàn cầu Cloud Anti-Virus giúp kích hoạt tính năng chặn virus thông qua cơ sở dữ liệu lưu trữ trên Cloud của SonicWALL Cuối cùng, Mục 4: Chính sách Gateway Anti-Virus cho phép người dùng xem và thiết lập các biện pháp đối phó với các nhóm virus độc hại.
Hình 4.11: Cơ sở dữ liệu các nhóm Virus độc lập
Thực thi Gateway Anti-Virus trong Network -> Zones… Vào Configue, checkbox Gateway AV
Hình 4.12: Checkbox Gateway AV trong Network > Zones
Sau khi bật tính năng Gateway Anti-Virus, ta dùng Windows XP tải 1 tệp file có Virus, Firewall sẽ đưa ra lời cảnh báo chặn:
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP VỪA VÀ NHỎ
Hình 4.13: Cảnh bảo chặn khi tải 1 tệp có chưa Virus 1
Hình 4.14: Cảnh bảo chặn khi tải 1 tệp có chưa Virus 2
Kết luận: Gateway Anti-Virus của SonicWALL giúp thiết bị trong hệ thống mạng trước các tệp, link chứa Virus như Trojan…
Dùng tính năng BWM quản lý băng thông của mạng doanh nghiệp:
Vào Firewall > Bandwidth Objects, nhấn vào add để tạo một object mới.Nhấn OK để hoàn thành:
Hình 4.15: Cấu hình Bandwidth Object
Trong cấu hình mạng, tên object được xác định cùng với băng thông tối đa, bao gồm giới hạn trên và dưới, cho phép lựa chọn đơn vị tốc độ là kbps hoặc Mbps Mức độ ưu tiên lưu lượng truy cập được thiết lập với các tùy chọn khác nhau như cao nhất (Highest) và cao (High) Cuối cùng, hành động vi phạm có thể được thiết lập là thả (drop) hoặc trì hoãn (delay).
Vào Network > Access Rule, thiết lập Object vừa tạo được vào Group Bob Nhấn OK để hoàn tất:
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP VỪA VÀ NHỎ
Hình 4.16: Tạo Rule từ X2 (Group Bob) tới WAN
Hình 4.17: Gắn Bandwith Object vừa tạo vào Rule từ X2 -> WAN
Enable Egress Bandwidth Management by allowing only 'Allow' rules to effectively control outgoing bandwidth Similarly, activate Ingress Bandwidth Management with 'Allow' rules exclusively to manage incoming bandwidth efficiently.
Kết quả: Tốc độ mạng của PC trong Group Bob trước và sau khi hạn chế băng thông:
Hình 4.18: Tốc độ mạng Group Bob trước và sau khi bị hạn chế
Kết luận, BWM của NGFW SonicWALL cho phép quản lý băng thông hiệu quả theo nhu cầu và tính chất công việc của từng phòng ban, giúp giới hạn băng thông cho các phòng ban sử dụng ít và tập trung tài nguyên vào những phòng ban có nhu cầu cao hơn, từ đó tránh lãng phí tài nguyên mạng trong công ty.
Bước 3: Quản lý người dùng bằng cách chia các Group: Bob, Sales, Product sử dụng các tính năng App Control, Content Filter:
Trên PC WindowsXP-Bob: Sử dụng Full quyền (Internet, truy cập app, web…), hạn chế băng thông đường truyền
Hình 4.193: PC WindowsXP-Bob được cấp full quyền (App giải trí, web đọc báo…
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP VỪA VÀ NHỎ
Windows XP sales allow internet access, restricting usage to entertainment apps like YouTube and Facebook, as well as news websites such as VnExpress and Tinhte during lunch breaks, ensuring full-speed connectivity.
Đầu tiên ta tạo các lịch trình (Schedules) nghỉ trưa trên Firewall NSv200: o System > Schedules, nhấn add để tạo lịch trình:
Hình 4.20: Giao diện cấu hình lịch trình
Trong đó: + Schedule name: tên lịch trình
+ Schedule type: kiểu lịch trình, ở đây có 3 chế độ: Once (chỉ 1 lần), Recurring (định kỳ), Mixed ( kết hợp)
Chúng ta sử dụng kiểu định kỳ (recurring) để cấu hình mục Recurring, chọn các yếu tố cần áp dụng lịch trình, cùng với thời gian bắt đầu (Start time) và thời gian kết thúc (Stop time) Nhấn ADD để thêm và OK để hoàn tất quá trình tạo lịch trình.
Cấm và chỉ cho phép truy cập app giải trí (Youtube,Facebook) trong giờ nghỉ trưa (12h-13h): o Vào mục Firewall > App Control > bật chức năng App Control, nhấn ACCEPT:
Hình 4.21: Giao diện cấu hình App Control
VỪA VÀ NHỎ o Trong phần App Control Advanced, chọn danh mục Category: SOCIAL-
NETWORKING -> Facebook -> Viewed By: Application
Hình 4.22: Lọc App Facebook trên NSv200 o Nhấn button Configute trên Application, thực hiện enable Block Facebook
Hình 4.23: Giao diện cấu hình chặn App Facebook o Bật App Control trên zone cần thiết lập việc Control Applicaton:
Hình 4.24: Check Zone App Control
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP VỪA VÀ NHỎ o Kết quả:
Hình 4.25: Firewall chặn Facebook ở PC Group Sales o Tương tự, ta cấu hình chặn app Youtube, ta được kết quả:
Hình 4.26: Cấu hình App control chặn app Youtube
Hình 4.27: Firewall chặn Youtube ở PC Group Sales o Sau khi tới giờ nghỉ trưa, Group Sales được phép truy cập lại App giải trí từ 12h-13h Cụ thể:
Hình 4.28: Nhờ Schedule “Nghỉ trưa” mà Group Sales được phép truy cập Facebook,
Cấm và chỉ cho phép truy cập Web đọc báo (Kênh14) trong giờ nghỉ trưa (12h-13h): o Vào Security Services ->Content Filter ->Enable Content Filtering Service và
Enable HTTPS content Filtering, Bỏ Checkbox Exclude Administrator
Hình 4.29: Giao diện cấu hình Content Filter o Nhấn Add trong phần CFS Policies để tạo them policy mới Nhập thông tin cho CFS Policy:
- Name: Đặt tên cho Policy
- Source Address: Chọn lớp địa chỉ bị áp Policy
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP VỪA VÀ NHỎ
Hình 4.30: Giao diện cấu hình thêm CFS Policies mới o Vào phần Firewall -> Content Filter Objects ->CFS Profile Objects
- Nhấn tab Add để tạo Profile Objects mới và lựa chọn các Action ứng với mục mong muốn:
Hình 4.31: Giao diện tạo profiles objects mới
- Ở tab URI List Objects ta nhấn tab Add để tạo các trang Allow hoặc Forbidden
Hình 4.32: Giao diện thêm địa chỉ vào danh sách URL được cho phép (Allow) hay là cấm
In the CFS Action Objects tab, click "Add" to create new Action Objects The CFS Action includes five key components: 1) Block: to restrict access to specific websites; 2) Passphrase: to set a password for website access; 3) Confirm: to verify access permissions; 4) BWM: to manage bandwidth during web access; and 5) Threat API: to integrate with third-party services.
Hình 4.33: Giao diện CFS Action
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP
Hình 4.34: Giao diện cấu hình hoàn chỉnh Content Filter chặn Web o Kết quả:
Hình 4.35: Group Sales bị chặn Web đọc báo trong giờ làm việc và được dùng trong giờ nghỉ trưa
Tốc độ Internet của Group Sales không bị bóp băng thông:
Hình 4.36: Tốc độ Internet của Group Sales so với Bob đã bị bóp băng thông
Trên PC Windows XP, trong giờ làm việc, người dùng không được phép truy cập Internet, nhưng có thể sử dụng Internet và các ứng dụng, trang web trong giờ nghỉ trưa Để thiết lập quy tắc này, vào Firewall > Access Rules và nhấn Add để tạo quy tắc mới.
Để tạo quy tắc cho phép đường truyền Internet từ Port X4 đến Cổng WAN, bạn cần thực hiện các bước sau: chọn hành động cho phép (Allow), chặn (Deny) hoặc loại bỏ (Discard) Trong trường hợp này, chúng ta sẽ cho phép đường truyền trong khung giờ nghỉ trưa Sau khi nhấn OK, quy tắc sẽ được áp dụng.
CHƯƠNG IV: DEMO SỬ DỤNG NGFW BẢO VỆ MẠNG DOANH NGHIỆP
Hình 4.38: Quá trình tạo Rule Group Product cho phép truy cập Internet trong khung giờ nghỉ trưa nhờ Schedule o Kết quả:
Hình 4.39: PC Group Product chỉ sử dụng được Internet trong giờ nghỉ trưa
