Giải Pháp

Fortigate Firewall:

Là thiết bị security có khả năng kiểm soát traffic của mạng với nhiều mức độ khác nhau:

  • Mức ứng dụng services ngăn chặn virus và lọc nội dung gói tin di qua, lọc ứng dụng và định danh ứng dụng lạ để áp dụng chính sách riêng cấm hoặc cho phép, lọc URL webfilter, DNS, block file …
  • Mức Network services như firewall, intruction detection, VPN,  traffic shaping. load balance WAN…

Fortigate có nhiều lựa chọn kích cỡ từ 60 – 7030 phù hợp với tất cả mọi dioanh nghiệp từ Entry cho tới Hight End, một điều tuyệt vời hãng đem lại là không giới hạn tính năng đối với các thiết bị nhỏ, mà hạn chế hiệu suất năng lực đáp ứng, nhỏ yếu lớn khẻo, hạn chế sức mạnh, tính năng như nhau.

Anti-virus:

trên fortigate lưu dữ liệu database các định danh virus từ hãng  và đội ngũ kĩ sư luôn làm việc để phát hiện virius, sâu…mới và một bản cập nhật sẽ gửi tới tất cả các thiết bị Firewall của hãng trên toàn cầu.

  • Firewall lọc qua các giao thức http, smtp, pop3, imap, mapi, ftp. Nếu phát hiện virus firewall sẽ tự loại bỏ và thông báo cho người bị tấn công biết. Có khả năng quét sâu kể cả những dữ liệu được mã hóa, email và loại bỏ 100% virus – WildList (wildlist.org)antivirus
  • Ngoài ra chúng ta có thể block các định dạng file có nguy cơ mang theo mã độc….

file blokc

 

Web Domain-URL-DNS Filter:

  • Với FortiGuard Firewall định danh sẵn và thường xuyên cập nhật, các trang web – URL – DNS sạch và độc, nếu người dùng truy cập 1 trang web hay một nội dung xấu ( đồi trụy, thu thập thông tin…) firewall sẽ chặn và gửi tới thông báo cho người dùng.
  • Người quản trị có thể tự mình liệt kê  các trang web domain, URL, DNS chặn hoặc nội dung xấu và áp đặt chính sách vào.

 

web filter

Anti-Spam mail:

  • quét lọc spam qua các giao thức email POP 3, SMTP, IMAP, địa chỉ IP, địa chỉ email, tiêu đề email,nội dung email…
  • Nếu email được FGA cho là spam thì email sẽ được thêm tab vào subject của email, người dùng có thể dùng trình mail client để đọc spam.
  • ORDBL(Open Relay Database List)chức năng chống gởi mail nặc danh, RBL(Realtime Blackhole List)phân loại spam và sắp xếp vào blackhole.

anti-spam

VPN:

  • Hỗ trợ hầu hết các giao thức VPN cũng như các dạng mã hóa và độ mạnh cao nhất, có tùy chỉnh VPN với các thiết bị không thông dụng.vpn

Fortigate Policy:

cho phép cấu hình kiểm soát truy cập từ mạng cục bộ ra ngoài Internet và kiểm soát truy cập trong mạng nội bộ các subnet vlan bên trong và từ mạng WAN truy cập vào mạng nội bộ:

  • Kiểm soát tất cả traffic ra vào của mạng
  • Kiểm soát mã hóa traffic VPN
  • Lọc virus và nội dung web
  • Block hoặc cho phép truy cập tất cả policy
  • Kiểm soát theo policy
  • Chấp nhận hoặc từ chối truy cập từ một địa chỉ
  • Kiểm soát người dùng chuẩn và người dùng đặc biệt hoặc nhóm đặc biệt…
  • Yêu cầu người dùng chứng thực trước khi truy cập
  • Thiết đặt ưu tiên truy cập và bảo đảm hoặc giới hạn băng thông cho từng policy
  • Log tất cả kết nối
  • NAT/Route Mode Policy
  •  Mixed NAT và Route Mode policy
  •  FGA có thể hoạt động NAT/Route mode hoặc Transparent mode

Load balance WAN Outbound:

  • Cân bằng tải lượng người dùng đi ra internet để tối ưu tốc độ và hiệu suất, cũng như phòng ngừa rớt mạng xảy ra.
  • Có 5 thuật toán ưu việt.load balance

IPS intrusion prevention system:

Phòng  chống tấn công DDoS làm gián đoạn dịch vụ Public hệ thống bằng cách gửi một lượng lớn truy cập tới dịch vụ mình triển khai làm tê liệt hệ thống.

  •  IPS kết hợp signature và anomaly based intrusion detection and prevention.
  •  Có thể ghi nhận traffic đáng ngờ bằng log, có thể log, pass,drop,reset hoặc clear packets hoặc session đáng ngờ.ips

Firewall có thể triển khai với 2 dạng:

  • Mode Routing/Nat: Routing mode nằm giữa một thiết bị gateway internet và mạng local, NAT mode Firewall sẽ trở thành thiết bị Gateway internet.
  • Mode Stransparent: Nằm ở giữa mạng Lan Local và WAN mang một IP quản trị và không gây ảnh hường tới các subnet hiện tại.

 

Việc phát triển và nghiên cứu liên tục update và hỗ trợ lâu dài từ đó thiết bị của hãng ngày một trở nên ưu việc.

Q.Bin – innotel

Ngày ngay, mạng không dây trở thành nhu cầu gần như tất yếu cho người dùng nói chung. Đối với các công ty – doanh nghiệp, nhân viên ngoài sử dung máy vi tính còn sử dụng các thiết bị kết nối không dây khác để phục vụ công việc như: máy tính bảng, điện thoại thông minh, laptop …. Để đáp ứng được nhu cầu cơ động, thuật tiện cho người dùng, tối đa hóa khả năng truy cập tài nguyên nội bộ và Internet cho người sử dụng, từ đó nâng cao hiệu suất làm việc … innotel xây dựng giải pháp mạng không dây phù hợp cho các doanh nghiệp ở Việt Nam với tiêu chí: chi phí tối ưu, bảo đảm việc truy cập mạng không dây ổn định, nhanh và an toàn cho người dùng với nhiều tính năng cũng như khả năng mở rộng dễ dàng khi có nhu cầu.
Với mục đích sử dụng phủ sóng mạng không dây ở một phạm vi lớn như tòa nhà, khách sạn, chung cư, resort…. Đáp ứng các nhu cầu quản lý các thiết bị Access Point, các mạng không dây SSID, người dùng, một cách đồng bộ, khi triển khai, khắc phục sự cố xảy ra một cách nhanh chóng.

Ưu điểm triển khai mạng không dây:

• Cung cấp khả năng di động, tính tiện lợi cho nhân viên khi truy cập và sử dụng các dịch vụ, tài nguyên.
• Phù hợp cho các khu vực có mật độ người dùng thiết bị di động cao như: phòng họp, phòng khách.
• Giảm chi phí đầu tư cho hệ thống cáp mạng.
• Dễ dàng thêm, di chuyển, thay đổi thiết bị mạng không dây (Access Point), giảm chi phí hỗ trợ và bảo trì cho toàn bộ hệ thống.
• Tăng tính linh hoạt trong sử dụng, tốc độ và khả năng bảo mật cho người dùng trong nội bộ doanh nghiệp và cho khách hàng (guest).
• Quản lý tập trung ở một thiết bị đáp ứng việc theo dõi giám sát và khắc phục nhanh khi xảy ra sự cố.
• Tất cả các APs phát chung các SSID một cách đồng bộ.

Yêu cầu:

• Đảm bảo thiết bị phải hỗ trợ các chuẩn bảo mật không dây thế hệ mới nhất (WPA2, WPA + AES,…).
• Cung cấp khả năng kết nối vào mạng nhanh với độ ổn định cao nhất.
• Nhu cầu quản lý tập trung tất cả các APs đặc biệt khi các APs phân tán nhiều vị trí.
• Quản lý tập trung người dùng, giám sát được hành vi người dùng, chứng thực người dùng truy cập mạng không dây thông qua hệ thống quản lý truy cập hotspot.
• Thiết lập giới hạn băng thông cho người dùng, nhóm người dùng khác nhau.
• Khả năng kiểm soát truy cập (Web, ứng dụng…) của người dùng, từ đó truy xuất được báo cáo theo tuần, tháng, quý…

1. Giải pháp và Đề xuất

Trước các yêu cầu thực tiễn, Innotel đề xuất triển khai một hạ tầng truy cập vô tuyến mạnh, dựa trên các giải pháp hàng đầu thế giới với dòng sản phẩm mới nhất, và thành công nhất trong lĩnh vực truy cập vô truyến.

Giải pháp 01: Sử dụng Firewall FortiGate + Wireless FortiAP

 Giải pháp thiết bị: lựa chọn hãng sản xuất – Fortinet: nhà cung cấp giải pháp mạng uy tín trong lĩnh vực bảo mật và an ninh mạng.
ft1
ft2
Hình 1. Giải pháp từ FortiGate Firewall + FortiAP Wireless
Dịch vụ:
– FortiGate Firewall cho phép thiết lập một Internet Gateway tốc độ cao, ổn định, nhiều tính năng, thay thế cho Internet Modem hiệu suất thấp được cung cấp từ nhà mạng.
– Mỗi AP sử dụng một sợi cáp mạng Gigabit kết nối về Firewall để đảm bảo hiệu suất làm việc tốt nhất của mạng vô tuyến cần xây dựng.
– AP cho phép Fast-Roaming, đáp ứng nhu cầu di chuyển thường xuyên trong đơn vị.
– Trên FortiGate Firewall có sẵn khá nhiều port tốc độ cao, có thể tận dụng làm switch cho hệ thống Wifi, không cần đầu tư thêm như các giải pháp khác.
– Firewall đóng vai trò điều khiển then chốt:
– Đảm bảo an ninh mạng và bảo mật: Anti-Virus/Spam/Spy/Fishing; Intrusion Prevention; Web Filtering; Application control…
– Xác thực và cấp quyền người dùng.
– Đồng thời đảm bảo kết nối Internet liên tục (cần đầu tư thêm một đường Internet) trong trường hợp có sự cố mất kết nối internet xảy ra bất ngờ.
– Kiểm soát và điều khiển hệ thống Access Point.
– Báo cáo theo tuần, theo tháng, quý…

Một số tính năng Layer 7 (Ứng dụng) đáng lưu ý của FortiGate:

Web-filtering

Web filter dùng để lọc Web traffic vào/ra doanh nghiệp
– Cho phép người dùng kiểm soát trong thời gian thực các nội dung Web vi phạm chính sách sử dụng Internet của Cty. Chẳng hạn:
– Cấm một nhóm người dùng truy cập các trang web giải trí;
– Bảo vệ tất cả các người dùng bên trong không truy cập tới các trang web giả mạo (Phishing), trang web độc hại (Hacking site)
– Các trang Web được phân loại thành nhiều Chủng loại khác nhau (Category). Các chủng loại này được cập nhật liên tục, đảm bảo tính chính xác giúp bảo vệ cho người sử dụng hệ thống và dịch vụ của Fortinet.
– Tùy biến từ người quản trị: Admin có thể tự tạo ra các bộ lọc Web theo yêu cầu bằng công cụ rất hiệu quả kèm theo.
– Chẳng hạn Admin có thể cấm người dùng truy cập tất cả các trang Web trong giờ làm việc ngoài trang Webmail của Cty và “tuoitre.vn”… Ngoài giờ, truy cập thoải mái, nhưng cấm một số chủng loại theo chính sách (dùng FortiGuard).
– Công cụ: Admin có thể dùng cú pháp “Regular Expression” – là một bộ các cú pháp giúp xây dựng các Rule để kiểm soát Web qua URL cũng như nội dung (Web Content) để kiểm soát một cách sâu sát thực tế sử dụng đa dạng của nhân viên.

IPS

IPS – Intrusion Prevention System: là hệ thống chống thâm nhập.
– IPS của Fortinet dựa trên Signature-based với khả năng quét sâu luồng dữ liệu vào/ra doanh nghiệp.
– IPS hoạt động ở Layer 7 nhờ việc hiểu sâu các ứng dụng do vậy có thể ngăn chặn được nhiều kiểu tấn công tinh vi từ bên ngoài và cả xuất phát từ bên trong doanh nghiệp.
– FortiGate của Fortinet là một hệ thống bảo mật nhiều tầng nhiều lớp tích hợp trong một hạ tầng phần cứng và phần mềm đóng gói kín. Điều đó đảm bảo sự vận hành hiệu quả và nhanh với mục đích bảo mật.

Application Control

Application Control dùng để kiểm soát ứng dụng của người dùng.
– Không đơn thuần kiểm soát ứng dụng dựa vào Ports (TCP/UDP) như các Firewall khác. FortiGate với hệ điều hành FortiOS và các giải pháp quản lý tập trung, nhờ đó FortiGate có một sự “hiểu biết” sâu rộng vào từng ứng dụng.
– Database của Fortigate nhận dạng được gần 4000 ứng dụng, được cập nhật thường xuyên. Các ứng dụng đã được nhận dạng cũng được nâng cấp/cập nhật liên tục tương ứng với các bản nâng cấp/phiên bản mới của ứng dụng.
– Ví dụ: chặn Yahoo Messenger (nhưng không chặn Yahoo Mail), chỉ chặn Facebook Game, cấm download torrent, cấm chơi Web Game…
 Nhờ tính năng Wireless Controller được tích hợp trên Firewall, người quản trị có công cụ quản trị, triển khai rất nhanh trong công tác quản trị mạng hàng ngày. Những thay đổi theo yêu cầu có thể được thực hiện dễ dàng và nhanh chóng.

Giải pháp 02: Sử dụng Wireless Controller + Cisco Aironet

Thiết bị đầu tư:
– Wireless Controller CT2504: có nhiệm vụ điều khiển, quản lý các AP.
– Access Point: lắp đặt ở các vị trí dự kiến, có kết nối Ethernet – kết nối về Controller.
– Tùy nhu cầu và dự kiến đầu tư – mở rộng, có thể chọn loại thích hợp. Hệ thống nhỏ nhất WLC-2500 được đề nghị có năng lực quản lý tới 50 Access point.
– Trang bị ban đầu: License cho 05 Access point, có thể mở rộng tối đa tới 50 Access point.
Access Point:
– Đề xuất sử dụng dòng sản phẩm mới nhất dựa trên chuẩn /ac, cho băng thông Gigabit/sec, đáp ứng yêu cầu truy xuất tốc độ cao đồng thời đảm bảo đầu tư lâu dài.
– Nhờ WLC, người quản trị có công cụ quản trị, triển khai rất nhanh trong công tác quản trị mạng hàng ngày. Những thay đổi theo yêu cầu có thể được thực hiện dễ dàng và nhanh chóng.

Triển khai và phân bố
– Để đảm bảo hiệu suất kết nối mạng và băng thông, tất cả các Access Point không tập trung lưu lượng về Controller.
– Wireless LAN Controller (WLC) chỉ đóng vai trò điều khiển.
– WLC chỉ kiểm soát được lưu lượng/băng thông sử dụng của người dùng, không thể kiểm soát truy cập Web, kiểm soát theo ứng dụng… như giải pháp 01.
cc1
Hình 3. Giải pháp từ Wireless Controller + Cisco

Giải pháp 03: Sử dụng Wireless Controller Tích Hợp trên Icloud – Cisco Meraki

– Giải pháp từ Cisco Meraki đáp ứng đầy đủ các tính năng, khả năng của một giải pháp Wireless Controller truyền thống (giải pháp 02: Cisco Aironet).
– Một điểm mạnh và khác biệt của Cisco Meraki là có thể quản lý các thiết bị access point phân tán ở các vùng địa lý khác nhau, với số lượng thiết bị lên đến vài ngàn thông qua Google Map trên nền tản Cloud Controller.
Một số đặc điểm nổi bật của giải pháp Cisco Meraki
– Chế độ quản lý lưu lượng sử dụng của từng user: hạn chế băng thông sử dụng hay chặn không cho sử dụng nhằm ngăn những user có hành vi xấu hoặc sử dụng quá nhiều băng thông làm ảnh hưởng đến chất lượng hoạt động của toàn hệ thống.
– Thống kê các dữ liệu về lưu lượng sử dụng trong hệ thống theo giờ, ngày, tuần hoặc tháng trước đó.
– Với Meraki dashboard cung cấp cho quản trị viên các thông tin của người dùng sử dụng hệ thống wifi như: thiết bị sử dụng truy cập mạng, ứng dụng sử dụng trên mạng. Với khả năng phân tích dữ liệu mạnh, quản trị viên có thể dễ dàng và nhanh chóng thiết lập các chính sách điều khiển truy cập cho người dùng hoặc thiết bị hoặc ứng dụng, tối ưu hóa hệ thống wifi cho cả người dùng và an toàn cho toàn hệ thống wifi.
Với những tính năng kể trên, Meraki cũng là một giải pháp đáng quan tâm. Tuy nhiên, giải pháp này phụ thuộc khá nhiều vào hạ tầng mạng hiện có và chi phí renew license hằng năm tương đối cao.
Wireless controller