Giải pháp bảo mật Fortinet

Chuẩn bị cho:

Lập bởi:
Techhorizon
Phần kiểm soát

Các thay đổi

Ngày Người thực hiện Version Nội dung
Nguyễn Trung Công 0.1 Tạo tài liệu

Xem xét
Ngày Tên và chức vụ

Nhận tài liệu

Ngày Tên và chức vụ

2
Mục Lục
MỤC LỤC.........................................................................................................................................3
1. TỔNG QUAN CHUNG .............................................................................................................4
1.1. Giới thiệu hãng bảo mật Fortinet ............................................................................4
1.2. Quan điểm xây dựng chính sách bảo mật .............................................................6
1.3. Nguyên lý xây dựng chính sách bảo mật ...............................................................6
2. ĐỀ XUẤT GIẢI PHÁP BẢO MẬT .............................................................................................7
2.1. Giới thiệu tính năng Firewall Fortigate ...................................................................7
2.1.1. Các tính năng nổi bật của phần cứng .......................................................7
2.1.2. Các tính năng UTM ................................................................................... 11
2.1.3. Các tính năng nổi bật của dịch vụ .......................................................... 14
2.2. Đề xuất giải pháp ................................................................................................... 15
2.2.1. Lớp bảo vệ ngoại vi – Phân hệ UTM ....................................................... 15
2.2.2. Lớp bảo vệ trung tâm dữ liệu: ................................................................ 17
2.2.3. Các dòng thiết bị bảo mật Fortigate ...................................................... 20
3. MÔ HÌNH GIẢI PHÁP TỔNG THỂ ....................................................................................... 21

3
1. Tổng quan chung
1.1. Giới thiệu hãng bảo mật Fortinet

Tổng quan về Fortinet

Fortinet được thành lập trong năm 2000 bởi Ken Xie – Trước đây, ông Ken Xie là sáng
lập viên, đồng chủ tịch và CEO của hãng bảo mật nổi tiếng NetScreen
 Văn phòng chính ở Sunnyvale, CA.
 Số lượng nhân viên hiện tại trên 1,500 nhân viên kỹ thuật và nghiên cứu phát
triển
 Có trên 30 văn phòng ở các châu Mỹ, châu Á và châu Âu
 Tập trung chính vào các giải pháp bảo mật.
 Là nhà tiên phong trong các hệ thống antivirus chạy trên ASIC, đảm bảo tính
bảo vệ mạng theo thời gian thực
 Đứng đầu danh sách đánh giá của IDC và Gartner đối với dòng sản phẩm UTM
 Có năng lực tài chính mạnh, phát triển nhanh.

Là công ty duy nhất đạt được 8 chứng nhận của ICSA Lab và 2 chứng chỉ NSS Lab
Các sản phẩm bảo mật của Fortinet gồm :
Fortigate Firewall : thiết bị bảo mật tường lửa + VPN, có thể tích hợp các tính năng
Antivirus, IPS, AntiSpam, Web filtering, Application Control, Data Leak Prevention …
FortiMail : thiết bị chuyên dùng để bảo vệ riêng hệ thống email khỏi
Antivirus/Worm/Spyware và AntiSpam
FortiAnalyzer : thiết bị ghi log tập trung và phân tích log, scan hệ thống để tìm ra lỗ
hỏng
FortiManager : thiết bị quản lý tập trung thiết bị Fortigate và FortiClient, cho phép
người quản trị quản lý, cấu hình, update và áp dụng chính sách bảo mật chung cho tất
tả các thiết bị Fortigate & FortiClient trong toàn hệ thống
FortiClient : phần mềm personal firewall + VPN cho người sử dụng di động. Có thể mua
thêm license để có thêm các tính năng Antivirus, AntiSpam & Web filtering
Fortiguard subscription service : license đăng ký sử dụng và update các tính năng
Antivirus, IPS, AntiSpam và Wen filtering. License có thể mua mới hàng năm hoặc nhiều
năm
Forticare service : dịch vụ hỗ trợ kỹ thuật, gia tăng thời gian bảo hành của sản phẩm
cũng như update các OS/firmware mới nhất cho sản phẩm. dịch vụ này có thể mua hàng
năm hoặc nhiều năm.

4
Các Giải thưởng và Chứng nhận mà Fortinet đã đạt được

Một số khách hàng toàn cầu của Fortinet

Các khách hàng lớn của Fortinet tại Việt Nam

Fortinet đã giới thiệu sản phẩm bảo mật của mình vào Việt Nam từ những năm 2002.
Trải qua thời gian gần 5 năm tại thị trường Việt Nam, Fortinet đã được nhiều tổ chức và
doanh nghiệp lớn tại Việt Nam tin tưởng sử dụng. Sau đây là khách hàng nổi bật của
Fortinet tại Việt Nam đã triển khai giải pháp VPN cho trụ sở chính và các chi nhánh trên
toàn quốc.

5
 Ngoài ra còn rất nhiều cơ quan chính phủ đang sử dụng và triển khai giải pháp
VPN của Fortinet như : UBND LẠNG SƠN, HÀ TĨNH, HẢI PHÒNG, BÌNH ĐỊNH,
PHÚ YÊN, QUẢNG NGÃI, THÔNG TẤN XÃ VIỆT NAM,…

1.2. Quan điểm xây dựng chính sách bảo mật

Quan điểm của chúng tôi trong vấn đề an ninh mạng là: An ninh mạng là một tiến trình
lặp đi lặp lại, bao gồm các bước xoay vòng như sau:
 Xác định các đối tượng cần được bảo vệ (máy chủ, các tài nguyên, các ứng
dụng, các thiết bị mạng, máy trạm, người dùng, .v.v.).
 Xác định các hiểm họa có thể gây nên cho mạng và hệ thống.
 Thiết lập chính sách an ninh mạng tương ứng với các đối tượng như các nhà lãnh
đạo, quản lý và tin học, quản trị mạng và người dùng.
 Thiết lập các chính sách an ninh mạng bằng các phương pháp điện tử và hành
chính. Các phương pháp điện tử bao gồm: thiết kế quy hoạch lại mạng, Firewall,
VPN, IDP, bảo mật các lớp ứng dụng UTM (Antivirus, Antispam, Web Content
Filtering, Intrusion Prevention System, Application control, Data leak prevention)
và quản trị an ninh mạng.
 Theo dõi an ninh mạng và phản ứng lại các biểu hiện bất thường.
 Kiểm tra lại chính sách an ninh và các thiết bị an ninh mạng để đáp ứng lại các
thay đổi.
 Tiếp tục theo dõi và quản lý an ninh mạng, thay đổi chính sách an ninh và cấu
hình các thiết bị an ninh mạng để phù hợp với ngữ cảnh an ninh mới.

1.3. Nguyên lý xây dựng chính sách bảo mật

An ninh mạng phải dựa trên nguyên tắc như sau:

6
  Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều
sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp
đó sẽ được thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt
khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập thì
xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thể ảnh
hưởng sang các tầng hay lớp khác.
 Sử dụng nhiều công nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh
hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDP
làm công cụ “đánh hơi” và ngăn chặn, phòng ngừa các hình thức tấn công từ
bên ngoài hệ thống. Đồng thời, các công nghệ bắt buộc phải hỗ trợ các tính
năng nâng cao UTM (Unified Threat Management) như Antivirus, AntiSpam,
Email Content Filtering, Web Content Filtering, IPS, Data Leak Prevention (ngăn
chặn rò rỉ dữ liệu), Application Control (các ứng dụng như Chat IAM, P2P,
Remote Access, Proxy tool …) để ngăn chặn và phòng chống nhiều lớp ứng dụng
bên trong bởi vì ngày nay các lớp ứng dụng này rất dễ bị các cuộc tấn công bên
ngoài khai thác lỗ hỏng các lớp ứng dụng này bằng nhiều hình thức khác nhau.

2. Đề xuất giải pháp bảo mật

2.1. Giới thiệu tính năng Firewall Fortigate

2.1.1. Các tính năng nổi bật của phần cứng

FortiASIC : Hệ thống FortiGate™ là thiết bị bức tường lửa chuyên dụng với chương
trình được thiết kế ngay trên phần cứng cho phép bảo vệ mạng theo thời gian thực. Với
công nghệ mạch điện tử thiết kế theo ứng dụng (Application-specific integrated circuit -
ASIC), FortiASIC™ gồm 3 thành phần xử lý Network Processor, Content Processor,
Security Processor, nền tảng phần cứng FortiGate là hệ thống tường lửa và VPN có thể
phát hiện và loại bỏ virus/sâu, spyware, trojan, grayware, adware, DoS, các hàng động
tấn công và các đoạn mã nguy hiểm khác mà không làm giảm tốc độ hoạt động của
mạng – thậm chí đối với các ứng dụng theo thời gian thực như duyệt web. Các công cụ
bảo mật này nằm trong hệ điều hành nhân của thiết bị Fortigate là FortiOS.

7
Tính năng thành phần xử lý như sau:
FortiASIC Network Processor (NP): làm việc ở cấp độ
giao diện để hỗ trợ chuyển tiếp lưu lượng IPec offload
và giao thức unicast UDP/TCP. Thông lượng(throughput)
tối đa và số lượng cổng giao tiếp tùy theo model.
FortiASIC Content Processor (CP): làm việc ở cấp độ hệ
thống, đãm bảo chức năng cấp phát key SSL VPN và
tăng tốc xử lý các gói tin SSL, giải mã các thuật toán
bảo mật DES/3DES/MD5,SHA…. Khả năng tùy theo
model của chip.
Security Processor (SP-Hybrid): như modules ASM-CE4
và ADM-XE2, làm việc trên cấp độ giao diện và hệ
thống để tăng hiệu suất tổng thể thúc đẩy một số bảo
mật và xử lý các gói tin trên cổng giao tiếp. SP còn đảm
nhiệm các ứng dụng điều khiển (application), IPS, flow based antivirus proctection, ..

Complete Content Protection : Fortigate không đơn thuần chỉ là thiết bị bảo mật
kiểm soát trạng thái (stateful inspection) mà bảo mật lớp ứng dụng và quét toàn diện
nội dung gói tin (application level security and content protection). Bằng việc quét sâu
gói tin và bảo mật lớp ứng dụng, Fortigate giúp người dùng ngăn chặn được các đe dọa
và nguy cơ tấn công vào hệ thống mà các cơ chế ngăn chặn truyền thống không thực
hiện được, loại bỏ các đoạn code nguy hiểm nằm sâu hoặc ngụy trang bên trong gói tin.

8
Virtual Domains and Security zones : Các dòng sản phẩm Fortigate cung cấp các
chức năng VLAN, Virtual Domain (VDOM) giúp cho:
 Các doanh nghiệp lớn có thể phân chia cấu hình các chính sách bảo mật cho hệ
thống mạng của từng phòng ban.
 Các nhà cung cấp dịch vụ có thể cung cấp phân chia “firewall” của mình thành
các “firewall” nhỏ hơn cho từng khách hàng.
 Các thiết bị Fortigate tích hợp sẵn từ 2 đến 10 VDOM, có thể nâng cấp lên 250
VDOM thông qua việc mua license.

High Availability (HA) : Hỗ trợ 2 mode “Acitve-Active”, “Active-Passive” cho cả các

dòng sản phẩm dành cho SOHO. Fortinet cho phép cấu hình hai hay nhiều thiết bị
Fortigate hoạt động trong một hệ thống trở thành một thiết bị duy nhất Fortigate (HA
cluster). Với HA cluster, khi một thiết bị Fortigate bị hư thì các thiết bị Fortigate còn lại
sẽ thay thế, đãm đương công việc của thiết bị bị hư. Chức năng này giúp cho hệ thống
khách hàng luôn luôn được bảo mật và hoạt động xuyên suốt.

High concurrent sessions : Các thiết bị Fortigate có số kết nối đồng thời (concurrent
session) rất cao, tùy theo dòng sản phẩm mà số kết nối có thể từ 25.000 cho đến
132.000.000 và số kết nối mới trên giây lên đến 250.000 giúp đáp ứng nhu cầu cao của
các doanh nghiệp hoạt động trong lĩnh vực dịch vụ Web, thương mại điện tử hoặc chạy
các ứng dụng ERP trên hệ thống WAN của doanh nghiệp.

9
VoIP aware gateway : Fortigate hỗ trợ các chuẩn về thoại như H.323 và SIP, giúp
bảo mật các ứng dụng về thoại, thậm chí cả trong môi trường mà NAT được triển khai.

Policy-based traffic shaping : Giúp người quản trị phân định mức độ ưu tiên băng
thông cho từng chính sách bảo mật và ứng dụng.

Multi-Threat Security Appliance : Thiết bị Fortigate với các công nghệ bức tường lửa,
cổng VPN, và có thể tích hợp ngay trên Fortigate các chức năng
 Phòng chống vi-rút và chống spam tại gateway cho email
 Phát hiện và ngăn chặn xâm nhập,
 Lọc nội dung Web và kiểm soát băng thông.
 Chống mất mát dữ liệu và kiểm soát các ứng dụng truy cập internet.
 Tối ưu mạng WAN để tiết kiệm băng thông và giảm chi phí vận hành mạng

10
VPN (IPSec, PPTP, SSL-VPN) : Giải pháp VPN của Fortinet đáp ứng các yêu cầu về
hiệu suất cũng như giá cả, thiết kế dạng ASIC. Tích hợp chặt chẽ với tính năng bảo vệ
ứng dụng, tường lửa, antivirus và IPS, Fortinet mang đến giải pháp VPN an toàn nhất
trên thị trường hiện nay.

WebUI (giao diện cấu hình và quản lý bằng Web) : Hầu hết các người sử dụng đều
đánh giá cao Fortinet về phương diện này. Fortinet cung cấp cho người sử dụng một giao
diện quản lý và cấu hình thật tiện lợi, trực giác và dễ hiểu bằng giao diện Web. Bằng
WebUI, người quản trị có thể cấu hình, quản lý các tính năng bảo mật nâng cao cũng
như truy cập các chức năng logging và báo cáo nhanh chóng chỉ sau vài cú clik chuột.
Người quản trị không cần sử dụng đến các dòng lệnh (command line) mới cấu hình được.

2.1.2. Các tính năng UTM

Antivirus: Phòng chống lên đến 60.000 loại vi-rút & tự động cập nhật (push update)
thông qua hệ thống khoảng 50 cụm server đặt khắp nơi trên toàn thế giới.
Luôn luôn được bảo vệ trước các loại virút mới vì Fortinet có đội ngũ kỹ sư cao cấp
nghiên cứu, update làm việc 24x7
Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box) chứ
không tính license theo người dùng (license per user)
Tính năng Antivirus của Fortinet được chứng nhận bởi ICSALab, NSS và 100 Buletin
Intrusion Prevention System (IPS) :
Chức năng IPS của Fortinet cung cấp một giải pháp toàn diện về ngăn chặn và phòng
ngừa các hình thức tấn công vào các ứng dụng và dữ liệu quan trọng của doanh nghiệp,
các hình thức tấn công có thể là các cuộc tấn công xuất phát từ bên ngoài và kể cả bên
trong hệ thống mạng.
Các tính năng nổi bật :
 Khả năng nhận dạng trên 7000 hình thức tấn công & tự động cập nhật (push
update) thông qua hệ thống khoảng 50 cụm server đặt khắp nơi trên toàn thế
giới
 Cho phép khách hàng khả năng tự định nghĩa hình thức tấn công
 Kiểm tra được nội dung các gói dữ liệu đã mã hóa VPN (IPSec và SSL)
 Hỗ trợ trên 50 loại protocol và ứng dụng
 Cung cấp các khả năng phòng chống và ngăn chặn tấn công thông qua đội ngũ
kỹ sư nghiên cứu và phàt triển của Fortinet trên toàn cầu.
 Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box)
chứ không tính license theo người dùng (license per user)
 Tính năng IPS của Fortinet được chứng nhận bởi ICSALab, NSS

11
AntiSpam : Fortinet cung cấp khả năng bảo vệ máy tính khỏi spam và phishing ở cấp
độ gateway. Với một lượng thư rác, thư đen khổng lồ được gửi đi hàng ngàythì việc
chống spam là một phần thiết yếu củamọi chiến lược bảo vệ an ninh mạng. Spam làm
tiêu tốn thời gian của người sử dụng (user) và gây hại đến các tài nguyên mạng
(network resources).
Chức năng AntiSpam của Fortinet cho phép bảo vệ hệ thống khỏi spam và phishing ở
cấp độ gateway và như thế khách hàng không phải bận tâm cài đặt hay update các phần
mềm chống spam cho từng desktop nữa.

Các tính năng nổi bật :

 Quét dò tìm “thư rác” thông qua danh sách địa chỉ IP, dò tìm địa chỉ email, kiểm
tra NIME header, kiểm tra cả nội dung email để xác nhận email có phải là spam
không.
 Tỉ lệ phát hiện spam cao nhất (trên 97,4%) nhờ công nghệ lọc Bayesian,
Heuristics, hỗ trợ RBL, ORDB, dò tìm DNS, lọc theo theo “từ khóa hay cụm từ”,
 Sai sót thấp nhất nhờ tính năng cập nhật danh sách “black/white”,….
 Database server của Fortinet xử lý khoảng 500 triệu yêu cầu về “thư rác” hàng
tuần
 Cung cấp các khả năng phòng chống và ngăn chặn thư rác tiên tiến nhất thông
qua đội ngũ kỹ sư nghiên cứu và phát triển của Fortinet trên toàn cầu.
 Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box)
chứ không tính license theo người dùng (license per user)

Web content filtering : Ngày nay, lướt và truy cập internet để tra cứu và tìm kiếm
thông tin trở thành yếu tố rất quan trọng trong hoạt động hàng ngày của doanh nghiệp,
có thể đóng góp vào sự thành công của doanh nghiệp. Tuy nhiên, hành động truy cập
các trang web xấu, đen đã làm giảm năng suất hoạt động của doanh nghiệp, tiêu tốn
thời gian của nhân viên, tiền bạc và tài nguyên mạng của doanh nghiệp, và có thể vi
phạm các quy định của pháp luật về chính trị, đạo đức,…Chức năng Web content filtering
sẽ giúp quy định và kiểm soát được việc truy cập web của người dùng tuân thủ theo quy
định của pháp luật và chính sách sử dụng internet của doanh nghiệp

Các tính năng nổi bật

 Lọc địa chỉ Web, lọc theo từ khóa, danh sách các trang web cấm, lọc Java
Applet, Cookies, Active X,…
 Hệ thống database server của Fortinet cập nhật được trên 47 triệu trang web và
được chia thành hơn 72 chủng loại.
 Ngăn chặn và khóa các trang web nguy hiểm như P2P, mạo danh, gián điệp
 URL caching : giúp tăng tốc khả năng lộc nội dung Web.
 Online URL checker : công cụ giúp người dùng kiểm tra mức độ nguy hại của
trang Web.

12
  Đội ngũ kỹ sư của Fortinet quản lý và cập nhật hàng ngày database.
 Chi phí đầu tư thấp (TCO) vì Fortinet tính license trên thiết bị (license per box)
chứ không tính license theo người dùng (license per user)
 Tính năng AntiSpam của Fortinet được chứng nhận bởi CIPA (Children’s Internet
Protection Act), NSS

Data leak prevention: Cho phép xác định hình dạng của các dữ liệu nhạy cảm.
Giám sát lưu lượng mạng và ngăn chặn thông tin nhạy cảm từ hệ thống mạng (chẳng
hạn như email, HTTP …)

Application control: Ngăn chặn các mối đe dọa và malware phúc tạp chẳng hạn như
Facebook, Skype, IM. Mặc khác, giám sát và kiểm soát các ứng dụng trên mạng để bảo
mật thông tin nhạy cảm.
Ngăn chặn nhiều ứng dụng mà không sử dụng đúng các port để truyền thông.
Phát hiện trên 2000 ứng dụng của lưu lượng mạng để cải thiện kiểm soát qua truyền
thông mạng

WAN Optimization (tối ưu mạng WAN)

 Làm tăng hiệu suất mạng bằng việc làm giảm số lượng dữ liệu được truyền qua
mạng WAN.
 Làm giảm các yêu cầu băng thông và nguồn tài nguyên Server.
 Hỗ trợ các dịch vụ như: CIFS, FTP hoặc giao thức HTTP cũng như các traffic TCP
..
 Hỗ trợ Byte caching, web caching, web proxy …
 Hỗ trợ cho các kết nối VPN site-to-site, client to site …
Push Update : Hiện tại Fortinet áp dụng một cơ chế cập nhật tự động thông qua “công
nghệ đẩy”(Push Update) cho chức năng Antivirus, IPS và AntiSpam. Với cơ chế này,
Fortinet sẽ giúp các hệ thống bảo mật do Fortinet cung cấp được cập nhật các hình thức
tấn công, virus/spyware, Trojans, Spam… mới trong vòng vài phút, 24 giờ/ngày và trên
toàn thế giới.

The FortiGuard Distribution Server Fast Response to Emerging

Network Threats

FortiGuard keeps your assets

continuously protected against threats

Đặc biệt các tính năng Antivirus, IPS, AntiSpam và Web filtering sẽ :

13
  Không bị vô hiệu hoá (disable), vẫn sử dụng được trong trường hợp license đã
hết hạn. Tuy nhiên, khách hàng sẽ không được update.
 Được Fortinet cho phép sử dụng thử (có update) trong vòng 1 tháng tính từ ngày
đăng ký sử dụng sản phẩm.

2.1.3. Các tính năng nổi bật của dịch vụ

Fortiguard subscription Service :

Đây là dịch vụ đăng ký sử dụng và cập nhật các tính năng phần mềm Antivirus, IPS,
AntiSpam hoặc Web filtering. Dịch vụ Fortiguard được cập nhật và quản lý 24x7 bởi đội
ngũ kỹ thuật chuyên nghiệp của Fortinet trên toàn cầu, đảm bảo hệ thống bảo mật
Fortigate của khách hàng luôn luôn được cập nhật các signature mới.

Ưu điểm của dịch vụ Fortiguard : Khách hàng có thể chọn lựa mua license cho từng
phần mềm hoặc phối hợp nhiều phần mềm lại với nhau.
Khách hàng có thể chọn lựa mua theo thời gian yêu cầu : 1 năm, 2 năm,…, 5 năm
Dịch vụ Fortiguard có chi phí tương đối thấp vì Fortinet tính chi phí license trên sản
phẩm (per box license fee), chứ không như nhiều nhà sản xuất khác là tính license theo
người dùng (per user license fee).
Push Update : dành cho tính năng chống vi-rút và IPS

Forticare Service : Đây là dịch vụ hỗ trợ kỹ thuật và cập nhật các phiên bản mới nhất
cho OS/firmware của thiết bị phần cứng Fortigate. Ngoài ra, khách hàng còn nhận được
sự hỗ trợ tích cực của Fortinet và hệ thống của đại lý của Fortinet trên toàn cầu thêo các
hình thức sau :
 Hỗ trợ qua web/ email 24x7
 Hỗ trợ qua điện thoại 8x5 từ Fortinet hoặc các đại lý của Fortinet
 Được phép truy cập vào các trang web của Fortinet để tìm kiếm và download các
tài liệu kỹ thuật, các hình mẫu về cấu hình, xử lý sự cố.
 Fortinet có nhiều gói dịch vụ cho khách hàng lựa chọn.

14
 Global Escalation TAC
Canada
EMEA TAC APAC TAC
France Japan
Americas TAC
California
APAC
China
APAC TAC
Malaysia

Regional Technical Support Center (TSC)

Local Technical Support Center (TSC)
Global Escalation Technical Support Center (TSC)

License subscription : Hiện tại Fortinet áp dụng một cớ chế tính thời gian đăng ký các
dịch vụ Fortiguard và Forticare hết sức “dễ chịu” :
 Fortinet cho người sử dụng có khoảng thời gian là 365 ngày (tính từ ngày license
được phát hành) để đăng ký các license Fortiguard và Forticare với Fortinet. Nếu
quá thời gian là 365 ngày mà người sử dụng không đăng ký thì license sẽ không
còn hiệu lực.
 Thời gian tính license bắt đầu từ lúc khách hàng hoàn tất thành công việc đăng
ký. Fortinet cũng không trừ lùi thời gian hiệu lức của license trong trường hợp
license cũ của khách hàng đã hết hạn trước thời gian thực hiện đăng ký mới.
 Nếu license cũ của khách hàng vẫn còn hiệu lực thì Fortinet sẽ cộng dồn thời
gian hiệu lựclicense cho khách hàng.

2.2. Đề xuất giải pháp

2.2.1. Lớp bảo vệ ngoại vi – Phân hệ UTM

Các thiết bị firewall vùng ngoại vi phải tích hợp sẵn các tính năng an ninh mạng để đáp
ứng các yêu cầu giải pháp như sau:

 Bảo vệ mạng nội bộ của Customer với các mạng bên ngoài và Internet.

 Khi số lượng users hiện tại là khoảng …………và tăng lên hàng năm hay số lượng
các chi nhánh tăng lên trong khoảng từ 3 đến 5 năm thì năng lực xử lý firewall
phải đáp ứng lớn hơn …..Gbps bởi vì số lượng session bên ngoài truy cập vào
vùng DMZ server farm rất nhiều. Đồng thời, số lượng session bên trong cũng đi
qua thiết bị này.

 Lọc nội dung thông tin web khi các users truy cập ra bên ngoài Internet để hạn
chế và kiểm soát các users theo quy định sử dụng Internet của doanh nghiệp.

 Xây dựng hệ thống phòng chống virus cho toàn hệ thống mạng khi các máy chủ
và máy trạm truy cập ra bên ngoài Internet. Vì vậy, hiệu xuất quét virus trên
firewall phải đạt tối thiểu trên ……Mbps

15
 Ngăn chặn và phòng chống thư rác (spam email) thông qua địa chỉ IP, dò tìm địa
chỉ email khi các cuộc tấn công bên ngoài internet truy cập vào Server Farm
DMZ.

 Do vùng ngoại vi này số lượng phiên kết nối đi qua firewall lớn (bao gồm bên
ngoài, bên trong và vùng DMZ truy cập vào và ra) cho nên yêu cầu số lượng
phiên kết nối đồng thời trên thiết bị này phải tối thiểu trên ………và số lượng
phiên kết nối thiết lập mới tối thiểu trên …………

 Các kết nối từ chi nhánh của các văn phòng tại quận huyện hay các đối tác truy
cập vào hệ thống phải bằng kết nối VPN dùng IPSEC để mã hóa dữ liệu với các
chuẩn mã hóa DES (3DES) và AES (128-bit, 192-bit và 256-bit). Vì vậy, hiệu
suất kết nối VPN trên firewall phải đạt tối thiểu trên 6Gbps và hỗ trợ kết nối SSL
trên ……….. User.

 Các users bên ngoài Internet vẫn có thể truy cập vào hệ thống trung tâm dữ liệu
bằng web portal (hỗ trợ tất cả các trình duyệt web trên tất cả các hệ điều hành)
hoặc phần mềm chuyên dụng cài đặt trên PC/Laptop/Tablet/Smartphone với các
phương thức mã hóa dữ liệu (IPSEC). Thiết bị vùng này phải hỗ trợ tính năng
SSL VPN với số lượng trên 800 users hoặc các users bên ngoài Internet kết nối
về trung tâm dữ liệu bằng VPN dùng IPSEC với số lượng hỗ trợ trên ………..users.

 Kiểm soát và nhận dạng các thiết bị di động (Device Manager) dựa trên các nên
tảng di động phổ biến hiện nay như Android, IOS, Windowphone… với các thiết
bị như Tablet hay Smartphone, cho phép thực thi các chính sách cho từng loại
thiết bị, đem lại khả năng bảo mật cao nhất cho hệ thống.

 Ngăn chặn các dữ liệu nhạy cảm bị rò rỉ từ bên trong hệ thống mạng ra bên
ngoài Internet (DLP).

 Kiểm soát và ngăn chặn một số ứng dụng (như Instant Message, P2P, ứng dụng
download, các chương trình remote access …) khi các users cục bộ truy cập ra
bên ngoài Internet.

 Ngăn chặn và phát hiện tấn công từ hệ thống bên ngoài vào (Intrusion
Prevention System) và năng lực xử lý IPS tại vùng này phải đáp ứng tối thiểu lớn
hơn ……..Gbps (do tấn công từ internet vào Server Farm DMZ và vùng mạng bên
ngoài rất lớn). Hệ thống IPS gồm có các đặc điểm như sau:

o Hệ thống IPS nhận diện được những mối nguy hiểm tiềm ẩn trước

khi nó thật sự tấn công vào bên trong như:

 Ngăn chặn những mã độc hại, bao gồm sâu, tấn công trực tiếp,
tấn công theo kiểu từ chối dịch vụ, và tấn công theo các ứng
dụng.

 Xây dựng và mở rộng bảo mật an ninh mạng có khả năng kiểm
tra và ngăn chặn các mối nguy hiểm trong toàn bộ mạng, từ các

16
 ứng dụng cho đến giao thức phân hoạch địa chỉ (ARP). Kỹ thuật
mở rộng của Firewall phải cung cấp giải pháp tối ưu vể chính
sách bảo mật cho hệ thống an ninh mạng.

 Hệ thống IPS cung cấp các cơ chế bảo mật khác, theo từng
nhóm hay từng cá nhân tấn công riêng rẽ. Ví dụ như tấn công
theo kiểu ngày zero, hệ thống IPSs có khả năng học trên mạng,
kiểm tra những phản ứng của người quản trị và sau đó cập nhật
phương pháp bảo vệ cho mạng đó.

 Kỹ thuật và dịch vụ của IPSs được phát triển bởi nhóm chuyên
gia về bảo mật trên toàn cầu. Các chuyên gia này liên tục nghiên
cứu và đưa ra nhiều giải pháp tốt nhất để tích hợp vào thiết bị
IPSs.

 Tính năng Client Reputation cho phép thống kê và giám sát từng
hành vi người dùng, từ đó có cơ sở để cách ly các mối đe dọa
nguy hại nghi ngờ.

o Hệ thống IPS có thể cảnh báo và phân tích cho người dùng cách
phản ứng tốt nhất đối với các mối nguy hiểm cũng như các cuộc
tấn công.

 Cung cấp kiến thức sâu rộng đối với các cuộc tấn công và tính
toán theo thời gian thực những mối nguy hiểm theo từng biến
cố. Nó có thể ghi lại các biến cố vào các file để người quản trị
tiện theo dõi và xử lý về sau.

 Tập hợp nhiều nhất các phản ứng và tác vụ phức tạp theo các
chính sách yêu cầu. Ta có thể cấu hình từng chính sách theo
từng mạng riêng rẻ theo yêu cầu như – xóa bỏ các gói tin, các
phiên kết nối ở xa, giới hạn dùng hay làm chủ các cuộc tấn công
và bảo vệ các ứng dụng trong mạng.

 Có thể bảo vệ các biến cố có thể gây nguy hại cho hệ thống
mạng cao. Có thể đưa ra các xác lập ưu tiên cho các mối nguy
hiểm cần xử lý.

 Ghi các thông tin cho mỗi cảnh báo và cách giải quyết các vấn
đề đó từ trước, trong và sau khi vấn đề được giải quyết xong.

 Thiết bị firewall phải hỗ trợ tính năng HA (Active/Active, Active/Passive), khả

năng mở rộng hệ thống và hỗ trợ khe cấm mở rộng.

2.2.2. Lớp bảo vệ trung tâm dữ liệu:

Thiết bị firewall vùng này phải tích hợp sẵn các tính năng an ninh mạng để đáp ứng nhu
cầu giải pháp như sau:

17
 Bảo vệ vùng mạng trung tâm của Customer với các vùng bên ngoài

 Gia tăng phòng chống xâm nhập, ngăn chặn các loại virus, sâu worm và các loại
tấn công vào các lớp ứng dụng của trung tâm dữ liệu. Đồng thời, do số lượng lớn
users cục bộ và số lượng lớn các chi nhánh truy cập vào vùng trung tâm rất lớn
cho nên năng lực xử lý IPS vào vùng trung tâm phải đạt tối thiểu lớn hơn 2Gbps
và có khả năng mở rộng trong khoảng từ 3 đến 5 năm. Hệ thống IPS gồm các
đặc điểm như sau:

o Hệ thống IPS nhận diện được những mối nguy hiểm tiềm ẩn trước

khi nó thật sự tấn công vào bên trong như:

 Ngăn chặn những mã độc hại, bao gồm sâu, tấn công trực tiếp,
tấn công theo kiểu từ chối dịch vụ, và tấn công theo các ứng
dụng.

 Xây dựng và mở rộng bảo mật an ninh mạng có khả năng kiểm
tra và ngăn chặn các mối nguy hiểm trong toàn bộ mạng, từ các
ứng dụng cho đến giao thức phân hoạch địa chỉ (ARP). Kỹ thuật
mở rộng của Firewall phải cung cấp giải pháp tối ưu vể chính
sách bảo mật cho hệ thống an ninh mạng.

 Hệ thống IPS cung cấp các cơ chế bảo mật khác, theo từng
nhóm hay từng cá nhân tấn công riêng rẽ. Ví dụ như tấn công
theo kiểu ngày zero, hệ thống IPSs có khả năng học trên mạng,
kiểm tra những phản ứng của người quản trị và sau đó cập nhật
phương pháp bảo vệ cho mạng đó.

 Kỹ thuật và dịch vụ của IPSs được phát triển bởi nhóm chuyên
gia về bảo mật trên toàn cầu. Các chuyên gia này liên tục nghiên
cứu và đưa ra nhiều giải pháp tốt nhất để tích hợp vào thiết bị
IPSs.

 Tính năng Client Reputation cho phép thống kê và giám sát từng
hành vi người dùng, từ đó có cơ sở để cách ly các mối đe dọa
nguy hại nghi ngờ.

o Hệ thống IPS có thể cảnh báo và phân tích cho người dùng cách
phản ứng tốt nhất đối với các mối nguy hiểm cũng như các cuộc
tấn công.

 Cung cấp kiến thức sâu rộng đối với các cuộc tấn công và tính
toán theo thời gian thực những mối nguy hiểm theo từng biến
cố. Nó có thể ghi lại các biến cố vào các file để người quản trị
tiện theo dõi và xử lý về sau.

 Tập hợp nhiều nhất các phản ứng và tác vụ phức tạp theo các
chính sách yêu cầu. Ta có thể cấu hình từng chính sách theo

18
 từng mạng riêng rẻ theo yêu cầu như – xóa bỏ các gói tin, các
phiên kết nối ở xa, giới hạn dùng hay làm chủ các cuộc tấn công
và bảo vệ các ứng dụng trong mạng.

 Có thể bảo vệ các biến cố có thể gây nguy hại cho hệ thống
mạng cao. Có thể đưa ra các xác lập ưu tiên cho các mối nguy
hiểm cần xử lý.

 Ghi các thông tin cho mỗi cảnh báo và cách giải quyết các vấn
đề đó từ trước, trong và sau khi vấn đề được giải quyết xong.

 Dựa trên thông tin có sẵn về nhận dạng tấn công (Signature-
based): Các dấu hiệu về tấn công được nhập vào CSDL của IPS
và cập nhật định kỳ từ nhà sản xuất. Khi IPS nhận thấy luồng dữ
liệu chạy qua Router có dấu hiệu giống với những dấu hiệu tấn
công mà nó đang có, nó sẽ phản ứng lại bằng cách ngắt kết nối
của kẻ tấn công, chặn IP của kẻ đó và gửi cảnh báo đến nhà
quản trị đồng thời ghi lại toàn bộ quá trình tấn công để điều tra
về sau.

o Dựa trên thông tin có sẵn về nhận dạng tấn công (Signature-based):
Các dấu hiệu về tấn công được nhập vào CSDL của IPS và cập nhật định
kỳ từ nhà sản xuất. Khi IPS nhận thấy luồng dữ liệu chạy qua Router có
dấu hiệu giống với những dấu hiệu tấn công mà nó đang có, nó sẽ phản
ứng lại bằng cách ngắt kết nối của kẻ tấn công, chặn IP của kẻ đó và gửi
cảnh báo đến nhà quản trị đồng thời ghi lại toàn bộ quá trình tấn công
để điều tra về sau.

o Dựa trên những hoạt động bất thường của mạng để phát hiện tấn công

o Tính năng Client Reputation cho phép thống kê và giám sát từng hành vi
người dùng, từ đó có cơ sở để cách ly các mối đe dọa nguy hại nghi ngờ.

 Số lượng users cục bộ, các chi nhánh công ty và các đối tác kết nối vào trung
tâm dữ liệu rất lớn cho nên yêu cầu năng lực xử lý firewall rất cao và phải đạt
mức tối thiểu khoảng …….Gbps và có thể khả năng mở rộng trong khoảng từ 3
đến 5 năm.

 Số lượng phiên kết nối dữ liệu và ứng dụng truy cập rất lớn từ các users cục bộ,
các chi nhánh công ty và các vùng đối tác của công ty đến vùng trung tâm dữ
liệu đi qua firewall rất lớn. Vì vậy, yêu cầu số lượng phiên kết nối đồng thời qua
firewall phải đạt tối thiểu là ……….và số lượng phiên kết nối thiết lập mới phải đạt
tối thiểu đạt trên ………

 Xây dựng hệ thống phòng chống virus cho toàn hệ thống mạng khi các máy chủ
và máy trạm truy cập ra bên ngoài Internet. Vì vậy, hiệu xuất quét virus trên
firewall phải đạt tối thiểu trên 900Mbps

19
  Thiết bị phải hỗ trợ tính năng HA (Active/Active, Active/Passive), khả năng mở
rộng hệ thống và hỗ trợ khe cấm mở rộng

 Thiết bị firewall phải tích hợp vào hệ thống Active Directory, xác thực LDAP,
RADIUS RSA …

 Ngăn chặn các dữ liệu nhạy cảm bị rò rỉ từ bên trong hệ thống mạng ra bên
ngoài Internet.

2.2.3. Các dòng thiết bị bảo mật Fortigate

20
3. Mô hình giải pháp tổng thể
Giải pháp tổng thể đề xuất cho một hệ thống bảo mật với các thiết bị Fortigate được mô
tả như sau :

21