Giҧi pháp an toàn bҧo mұt mҥng cӫa

CheckPoint
CheckPoint là mӝt trong nhӳng nhà cung cҩp hàng đҫu vӅ các sҧn phҭm bҧo
mұt Internet.

Đһc biӋt là các dòng sҧn phҭm firewall dùng các doanh nghiӋp, cá nhân và
các công nghӋ mҥng riêng ҧo VPN. Vӟi nӅn tҧng NGX, CheckPoint cung
cҩp mӝt kiӃn trúc bҧo mұt thӕng nhҩt cho mӝt lӑat các giҧi pháp bҧo mұt:
bҧo mұt cho truy cұp Internet, bҧo mұt mҥng nӝi bӝ, bҧo mұt Web, bҧo mұt
ngưӡi dùng« nhҵm bҧo vӋ các tài nguyên thông tin, quá trình truyӅn thông,
các ӭng dөng«cӫa doanh nghiӋp. Đһc biӋt các sҧn phҭm cӫa CheckPoint
cho phép viӋc tích hӧp vӟi hàng lӑat các dòng sҧn phҭm cӫa hơn 350 hãng
sҧn xuҩt thiӃt bӏ bҧo mұt nәi tiӃng trên thӃ giӟi. Dưӟi đây chúng tôi xin trình
bày tәng quan các sҧn phҭm bҧo mұt cӫa CheckPoint:

CheckPoint cung cҩp mӝt giҧi pháp toàn diӋn cho viӋc quҧn lý các thiӃt bӏ an
toàn bҧo mұt, nó cung cҩp các tính năng: cҩu hình các chính sách bҧo mұt,
theo dõi các thiӃt bӏ, logging, quҧn lý các sӵ kiӋn và cung cҩp cho nhà quҧn
trӏ các báo cáo ӣ các mӭc đӝ khác nhau.

- Eventia Analyzer: giúp đӥ ngưӡi quҧn trӏ trong viӋc quҧn lý các sӵ kiӋn
liên quan đӃn bҧo mұt. Eventia Analyzer cho phép quҧn lý tұp trung, thӡi
gian thӵc các thiӃt bӏ bҧo mұt Gateway cӫa CheckPoint và sҧn phҭm cӫa các
đӕi tác cӫa Checkpoint. Eventia tӵ đӝng thu thұp dӳ liӋu thông tin vӅ các sӵ
kiӋn, tình hình tҩn công«, tӕi ưu hóa cách trình bày và cung cҩp cho nhà
quҧn trӏ mӝt cái nhìn dӉ nhҩt, đҫy đӫ nhҩt vӅ tình hình an ninh trên mҥng.

- Eventia Report: Thu thұp dӳ liӋu, thông tin tӯ các thiӃt bӏ bҧo mұt trên
mҥng sau đó trình bày mӝt cách có hӋ thӕng, dưӟi dҥng báo cáo giúp cho tә
chӭc có thӇ sӱ dөng làm căn cӭ đӇ đánh giá, xác đӏnh xem hiӋu quҧ cӫa
chính sách bҧo mұt, tình hình an toàn bҧo mұt trên mҥng «tӯ đó tӕi ưu hóa
hiӋu quҧ đҫu tư. Eventia Reporter tұp trung hóa viӋc báo cáo vӅ các hoҥt
đӝng cӫa ngưӡi dùng, các thiӃt bӏ bҧo mұt và thiӃt bӏ mҥng.

- SmartCenter: ĐӇ đӕi phó vӟi sӵ tҩn công cӫa tin tһc ngày càng phӭc tҥp,
chúng ta phҧi xây dөng hӋ thӕng an ninh bҧo mұt theo chiӅu sâu bao gӗm
nhiӅu lӟp: bҧo mұt vòng ngoài, bҧo mұt bên trong, bҧo mұt ngưӡi
dùng«CheckPoint đưa ra giҧi phép cho phép ngưӡi quҧn trӏ có thӇ quҧn lý
đưӧc môi trưӡng phӭc tҥp đó. Thông qua SmartCenter, nhà quҧn trӏ có thӇ
thӵc hiӋn đưӧc tҩt cҧ các khía cҥnh quҧn lý liên quan đӃn vҩn đӅ bҧo mұt.

- SmartPortal: Cho phép ngưӡi dùng, ngưӡi kiӇm tra« có thӇ xem đưӧc các
chính sách bҧo mұt, tình trҥng các thiӃt bӏ bҧo mұt và hoҥt đӝng quҧn lý cӫa
nhà quҧn trӏ.

- SmartView Monitor: Cho phép nhà quҧn trӏ có mӝt cái nhìn tәng quan vӅ
hiӋu năng hoҥt đӝng cӫa các thiӃt bӏ mҥng và thiӃt bӏ bҧo mұt tӯ đó, cho
phép đưa ra nhӳng biӋn pháp kӏp thӡi. Nó cho phép nhà quҧn trӏ xác đӏnh
đưӧc tӭc thӡi nhӳng thay đәi lӟn vӅ traffic trên mҥng, đһc biӋt là nhӳng thay
đәi nguy hiӇm.

Các sҧn phҭm bҧo mұt vòng ngoài cӫa CheckPoint, chӫ yӃu là các thiӃt bӏ
VPN, cho phép kiӇm soát viӋc truy cұp vào các tài nguyên mҥng nӝi bӝ cӫa
doanh nghiӋp tӯ bên ngoài. Đҧm bҧo chӍ nhӳng ngưӡi đưӧc phép mӟi có
quyӅn truy cұp. Nәi bұt nhҩt trong đó là dòng sҧn phҭm: Check Point's VPN-
1 Pro.

Check Point's VPN-1 Pro là giҧi pháp phҫn mӅm tích hӧp chһt chӁ vӟi bӝ
sҧn phҭm Firewall-1 - sҧn phҭm firewall hàng đҫu trên thӏ trưӡng, vӟi các
công nghӋ VPN tinh vi. VPN-1 Pro đáp ӭng đưӧc các nhu cҫu đòi hӓi khҳt
khe cӫa internet, các VPN intranet và extranet bҵng cách cung cҩp khҧ năng
kӃt nӕi an toàn đӃn các mҥng, các máy tӯ xa và các máy di đӝng, các văn
phòng chi nhánh, và các đӕi tác kinh doanh.

§



















æ


Check Point VPN-1 Pro kӃt hӧp kiӇm soát truy cұp, xác nhұn, và mã hoá đӇ
đҧm bҧo tính bҧo mұt cho các liên lҥc qua mҥng, tính xác thӵc cӫa các máy
cөc bӝ và máy tӯ xa, đҧm bҧo tính riêng tư và tính toàn vҽn cӫa dӳ liӋu trên
đưӡng truyӅn




 æ






ĐӇ đҧm bҧo viӋc bҧo mұt và quҧn lý doanh nghiӋp mӝt cách có hiӋu quҧ,
VPN cҫn phҧi có đưӧc các khҧ năng cӫa firewal. VPN-1 Pro có tích hӧp sҹn
công nghӋ firewall hàng đҫu trên thӃ giӟi FireWall-1 vӟi công nghӋ Stateful
inspection đã đưӧc cҩp bҵng đӝc quyӅn cӫa Check Point. VPN-1 Pro hӛ trӧ
hơn 150 ӭng dөng ban đҫu, dӏch vө và quy trình ngoài hӝp, bao gӗm các ӭng
dөng Web, thư tín, các ӭng dөng mҥng ngang hàng P2P hay VoIP

V



 


Các giҧi pháp cӫa Check Point SecureVPN đưa ra nhiӅu lӵa chӑn xác thӵc
bao gӗm xác thӵc thҿ, RADIUS, và TACACS/TACACS. Ngoài ra, OpenPKI
cӫa VPN-1 đҧm bҧo giҧi pháp VPN-1 là tương thích vӟi các giҧi pháp PKI
hàng đҫu cӫa các nhà cung cҩp như Entrust, Verisign, và Baltimore
Technologies tҥo khҧ năng cho mӝt tә chӭc có thӇ quҧn lý nhӳng hӋ thӕng
IPSec VPN rҩt lӟn.

 


!"

Vӟi công nghӋ One-Click VPN, các mҥng VPN quy mô lӟn có thӇ đưӧc tҥo
ra chӍ vӟi mӝt vài thao tác đơn giҧn. Bҵng cách đӏnh nghĩa các thành phҫn
tham gia mҥng VPN thành các nhóm, mӝt tә chӭc có thӇ thiӃt lұp các thông
sӕ bҧo mұt cho toàn bӝ mӝt VPN như mӝt intranet, extranet hoһc triӇn khai
truy cұp tӯ xa. Các thành phҫn trong mӝt nhóm VPN tӵ đӝng dӝng kӃt nӕi
vӟi nhau theo các thông sӕ thiӃt lұp cho tӯng nhóm VPN. Khi các site mӟi
đưӧc bә sung vào nhóm, chúng tӵ đӝng đưӧc gán các thuӝc tính cӫa nhóm
và tham gia mҥng VPN như tҩt cҧ các thành viên khác trong nhóm

Nhӳng tә chӭc muӕn sӱ dөng phҫn mӅm xác nhұn mҥnh tích hӧp sҹn "out of
the box" có thӇ dөng Check Point One-Click Certificates. Vӟi mӝt Internal
Certificate Authority có VPN-1 Pro, thì các chӭng thӵc sӕ hoá X.509 có thӇ
đưӧc cҩp cho các cәng VPN-1 và các máy trҥm VPN-1 SecureClient. One-
Click Certificate cung cҩp tiêu chuҭn công nghiӋp, sӵ xác nhұn hai yӃu tӕ mà
không phӭc tҥp và đҳt như các hӋ thӕng PKI khác.

#$





Ngoài viӋc đҧm bҧo rҵng viӋc truy cұp mҥng đưӧc an toàn, giҧi pháp VPN
cҫn phҧi bҧo vӋ tính bҧo mұt cӫa các dӳ liӋu đưӧc truyӅn. Bҵng cách gҳn vӟi
tiêu chuҭn IPSec, VPN-1 Pro tӵ đӝng chӑn ra cách mã hoá và các thuұt toán
xác nhұn dӳ liӋu mҥnh nhҩt có thӇ giӳa các bên truyӅn thông tin. Cách mã
hoá này cӫa VPN-1 Pro bao gӗm Advanced Encryption Standard (AES)
(Tiêu chuҭn Mã hóa Tiên tiӃn) và các thuұt toán Triple DES đӇ mã hoá dӳ
liӋu.

%&
'(
)
'& *

Các thӵc thi cӫa VPN-1 đưӧc kӃt hӧp vào trong hӋ thӕng bҧo mұt tәng thӇ
cӫa doanh nghiӋp đӇ có đưӧc sӵ an toàn tӕi đa. Phҫn mӅm Security
Management Architecture (SMART) (Cҩu trúc Quҧn lý An toàn) cӫa Check
Point tҥo ra mӝt hӋ thӕng bҧo mұt thӕng nhҩt cho doanh nghiӋp, hӋ thӕng
này có thӇ đưӧc quҧn lý tӯ trung tâm và đưӧc tӵ đӝng triӇn khai tӟi tҩt cҧ các
cәng nӕi VPN-1 Pro.

c
+
,
-.-
/&
'(

SmartDasboard cӫa Check Point dù rҩt tinh vi, nhưng lҥi là mӝt giao diӋn đӗ
hoҥ đơn giҧn đӇ xác đӏnh và quҧn lý nhiӅu thành phҫn cӫa mӝt hӋ thӕng bҧo
mұt hoàn chӍnh: chính sách bҧo mұt trên firewall, VPN, dӏch đӏa chӍ mҥng,
chính sách cho máy trҥm, và QoS.

µ!"#!
#$%#



# !&

&

$$

 ##!&
%!
!$&
 ##$

Y


 
0 *
%1







!"

QoS là mӝt yêu cҫu đӕi vӟi bҩt kǤ sӵ triӇn khai VPN nào mà trong đó sӵ
thӵc thi là quan trӑng và trong đó có khҧ năng nghӁn đưӡng truyӅn internet.
FloodGate-1 đҧm bҧo sӵ thӵc thi tӕi ưu đӇ truyӅn VPN-1 quan trӑng, cho
phép khách hàng truyӅn các thông tin tӯ các mҥng máy cá nhân vào mҥng
internet.
Y 
23
2 *



Các giҧi pháp VPN-1 rҩt mҥnh này cho phép các cәng nӕi VPN-1 hoҥt đӝng
phӕi hӧp vӟi nhau dù chúng đưӧc tә hӧp mӝt chӛ hay đưӧc đһt riêng rӁ. Các
giҧi pháp Check Point VPN-1 bao gӗm hai công nghӋ ± ClusterXL và VPN
Load Distribution ± cho phép có sӵ thӵc thi không song song và khҧ năng
chӏu đӵng sai sót.

ClusterXL luôn sҹn có và là mӝt giҧi pháp cho phép nҥp đӕi vӟi tҩt cҧ các
đưӡng truyӅn thông qua các cәng nӕi VPN. Các dҥng đưӡng truyӅn đưӧc
phân bӕ qua mӝt cөm các cәng nӕi VPN-1 cho phép có đưӧc sӵ thӵc thi gҫn
tuyӃn tính khi các thành viên cӫa cөm này đưӧc bә sung thêm.

VPN Load Distribution luôn sҹn có và là mӝt giҧi pháp cho phép nҥp đӕi vӟi
các kӃt nӕi VPN truy cұp tӯ xa. Các kӃt nӕi hӗi VPN đưӧc phân bӕ qua mӝt
cөm các cәng nӕi VPN-1. NӃu mӝt cәng nӕi có lӛi, thì các kӃt nӕi VPN mӟi
sӁ tӵ đӝng liên kӃt vӟi các cәng nӕi còn lҥi cӫa cөm này.

4
5
26
+7 *
8&

 *

7


&

'&9

)
:
;

Công nghӋ Check Point SecureVPN cho phép các doanh nghiӋp truy cұp
đưӧc các máy tӯ xa vӟi các VPN nӅn L2TP và SSL hoһc clientless hoһc sӱ
dөng các phҫn mӅm cӫa chính Check Point như VPN-1 SecureClient và
SecureRemote. Các đӕi tác có thӇ kӃt nӕi vӟi mӝt cәng nӕi VPN-1 Pro bҵng
cách sӱ dөng các trình duyӋt Web tiêu chuҭn hoһc Microsoft Windown
L2TP VPN client. ĐiӅu này cho phép các công ty vӟi bҩt kǤ quy mô nào đӅu
có thӇ cân nhҳc đӇ chӑn mӝt mô hình truy cұp an toàn tӯ xa phù hӧp.

<<
1
=-

-)
*>?
+@ *
,&

&

CheckPoint Integrity là mӝt giҧi pháp tích hӧp toàn diӋn cho viӋc bҧo mұt
các thiӃt bӏ máy tính cá nhân. Nó phát hiӋn và ngăn chһn các dҥng tҩn công
mӟi nhҩt worms, virus, phҫn mӅm gián điӋp, ...trên các máy tính cá nhân.
Cùng vӟi các giҧi pháp bҧo mұt khác, CheckPoint Integrity đưӧc xem như là
giҧi pháp bҧo vӋ truy cұp tәng thӇ cho các tә chӭc doanh nghiӋp. Integrity
tұp trung hóa viӋc quҧn lý desktop firewall, ngăn chһn tҩn công, chӕng lҥi
các cuӝc tҩn công tӯ bên ngoài, thӵc thi các chính sách bҧo mұt, đҧm bҧo
rҵng các máy tính cá nhân đáp ӭng đӫ điӅu kiӋn trưӟc khi đưӧc phép truy cұp
vào mҥng. Integrity bao gӗm các lӵa chӑn: Integrity Anti-Spyware,
SmartDefense Program Advisor Service, Advanced Server.
<<A
1
=-

-)


ThiӃt bӏ bҧo mұt Connectra hoҥt đӝng như mӝt cәng bҧo mұt web (Web

Secur ity
Gateway) cho phép chúng ta bҧo vӋ các ӭng dөng Web ӣ tҫng ӭng dөng.
Connectra cung cҩp cho chúng ta các tính năng chính như:

- B
&2
4+
!'
': cho phép bҧo mұt ӭng dөng web ngưӡi dùng ӣ
mӭc cao nhҩt: thông qua viӋc theo dõi sӵ thӵc thi cӫa tҩt cҧ các đoҥn mã
nguy hiӇm cùng vӟi viӋc bҳt giӳ tҩt cҧ các dҥng tҩn công tràn bӝ nhӟ.

- æ+
+
1'- *
 2 
 : Tăng tӕc đӝ xӱ lý cӫa thiӃt bӏ thông qua

viӋc hiӇu kĩ các ӭng dөng đang chҥy qua nó.

1- 
C 9- 
 +
B *- 

- ĐӇ đҧm bҧo rҵng các đoҥn mã nguy hiӇm, các chương trình nghe trӝm bàn
phím, «không có trên các máy cӫa ngưӡi dùng truy cұp tӯ xa, Connectra
thӵc hiӋn viӋc kiӇm tra các máy đó trưӟc khi cho phép truy cұp vào mҥng.

- ĐӇ đҧm bҧo tính năng an toàn bҧo mұt thông tin, Connectra cung cҩp mӝt
môi trưӡng mã hóa toàn diӋn, mã hóa tҩt cҧ các dӳ liӋu liên quan đӃn phiên
truyӅn như: các cookies, password, file đính kèm...trên thiӃt bӏ đҫu cuӕi (máy
tính ngưӡi dùng truy cұp tӯ xa).

- Bên cҥnh đó, Connectra còn tích hӧp cҧ tính năng phát hiӋn và ngăn trһn
tҩn công.

<<
1
=-
 


*0
'D
E

 *

Sҧn phҭm InterSpect cӫa CheckPoint cho phép bҧo vӋ các tài nguyên mҥng
khӓi các cuӝc tҩn công tӯ trong mҥng nӝi bӝ. InterSpect hoҥt đӝng như mӝt
thiӃt bӏ gateway bҧo vӋ các vùng mҥng nӝi bӝ, nó cho phép phát hiӋn và
ngăn trһn các cuӝc tҩn công DoS, Virus, Malware«InterSpect cung cҩp các
tính năng chính:

- Khҧ năng phát hiӋn và ngăn trһn tҩn công tӕt, InterSpect có khҧ năng ngăn
trһn hҫu hӃt các dҥng tҩn công: như Worm, DoS, bom thư« InterSpect còn
cho phép ngưӡi quҧn trӏ khҧ năng cҩu hình nhұn dҥng các dҥng tҩn công tuy
ý khác nhau. Tính năng này cho phép InterSpect có khҧ năng phát hiӋn và
ngăn trһn các dҥng tҩn công mӟi.

- Phân mҥng thành các Zone, InterSpect cho phép chúng ta phân chia mҥng
thành các vùng vӟi mӭc đӝ ưu tiên bҧo mұt khác nhau. Thӵc hiӋn các chính
sách bҧo mұt khác nhau cho mӛi vùng.

Bҧo mұt các giao thӭc mҥng LAN: InterSpect có thӇ hiӇu đưӧc nguyên lý
hoҥt đӝng cӫa hҫu hӃt các giao thӭc chҥy trong mҥng LAN như: Microsoft
protocols, CIFS, DCOM, MS RPC, and MS SQL,«

  '1 





$ *
>

' *





$
2&F

: DӉ dàng trong viӋc phát triӇn và quҧn lý ӭng dөng.