Home

Giới thiệu giải pháp tường lửa UTM của Fortinet

admin

Giới Thiệu Giải Pháp Tường Lửa UTM Của Fortinet  

 

Sản phẩm FortiGate của Fortinet là thiết bị (appliance) tường lửa Unified Thread Management – hợp nhất các cơ chế ngăn chặn và phòng ngừa các nguy cơ và hiểm họa của mạng các tổ chức, công ty:
– Bảo mật kết nối:
+ Stateful Firewall: ngăn chặn các truy cập trái phép, phân vùng truy cập.
+ IPsec & SSL VPN: cung cấp các kết nối bảo mật đến những tài nguyên đặc biệt.
– Tích hợp bảo mật cho ứng dụng và nội dung số:
+ Intrusion Prevention: ngăn chặn việc khai thác các lỗ hổng bảo mật; thấu hiểu các giao thức, kiểm soát tốt hơn các ứng dụng.
+ Antivirus/ Antispyware: ngăn các nội dung độc hại lan truyền trong mạng.
– Bảo mật ứng dụng:
+ Web Filtering: ngăn cấm truy xuất đến những địa chỉ đáng ngờ, lừa đảo, spam hoặc chứa nội dung độc hại hoặc chứa các nội dung vi phạm chính sách bảo mật của tổ chức.
+ Antispam: lọc và loại bỏ các thư rác.
+ Kiểm soát ứng dụng: ngăn hoặc giới hạn truyền thông của một số ứng dụng phổ biến (IM, P2P…), có khả năng nhận diện 1800 ứng dụng; kiểm soát lưu lượng ứng dụng.

UTM profiles

 – FortiGate kiểm soát các hiểm họa trong mạng bằng một tập khai báo gọi là UTM profiles. Thật ra UTM profiles là tập hợp các profiles cho từng hiểm họa hoặc đối tượng mà FortiGate cần kiểm soát, ví dụ như DoS, các tấn công xâm nhập, Antispam, ứng dụng …
– Mỗi đối tượng này sẽ được theo dõi bởi một Sensor. Trong Sensor chính là các luật (Rule/ Signature) ứng với các hành vi cần kiểm soát của đối tượng. Mô hình quản lý kiểu này cho phép chúng ta linh hoạt và kiểm soát chặt chẽ hơn các đối tượng bảo mật. Hình 4 minh họa cho cách thức cấu hình hoạt động tính năng IPS và DoS protection trên FortiGate.
– Các UTM profile cần phải được áp dụng vào các Firewall policy mà FortiGate khai báo để thực hiện việc giám sát lưu lượng mạng.

nts hn fortinet 1

Sơ đồ áp dụng UTM profiles

nts hn fortinet 2

Lưu đồ cấu hình của tính năng IDS/IPS và DoS Protection

· Content Inspection FortiGate sử dụng 2 cơ chế quét khi một gói tin đến nó: Stream-based Scanning và File-based scanning. Điểm khác nhau cơ bản của 2 cơ chế này là File-based scanning sẽ chờ để tập hợp lại file dữ liệu sau đó thực hiện quét, còn Stream-base thì quét trên từng gói tin.

nts hn fortinet 3
Mỗi một giao thức (HTTP(S), FTP(S), SMTP(S), IMAP(S), POP3(S), IM(Yahoo, ICQ, MSN, AIM)) có thể được kiểm tra bằng một Proxy riêng biệt. Công việc của các proxy lúc này đưa ra quyết định, buffer file, SSL inspection, logging, thay đổi thông điệp, tính toán kích thước file…

nts hn fortinet 4

Application control  FortiGate được hỗ trợ tính năng phân tích lưu lượng mạng ở Layer 7 của FortiOS, cho phép thiết bị có thể xác định được ứng dụng mà không còn quan tâm đến số port TCP như các phương pháp tiếp cận truyền thống; nhận diện được các ứng dụng IM/P2P… chạy trên port 80; phát hiện được các ứng dụng lồng nhau, ví dụ P2P/IM tunnel bên trong HTTP. Dựa trên việc nhận diện này, FortiGate có thể thực hiện các cơ chế giới hạn và kiểm soát lưu lượng cho từng ứng dụng. Hình dưới thể hiện luồng xử lý của một gói tin khi nó đi qua thiết bị FortiGate.

nts hn fortinet 5

Luồng xử lý của một gói tin.

· VDOM
FortiGate hỗ trợ tính năng ảo hóa thiết bị thông qua cấu hình VDOM. Theo đó với một thiết bị FortiGate duy nhất ta có thể cấu hình nhiều VDOM, mỗi VDOM được xem như một thiết bị FortiGate riêng biệt, có interface, bảng định tuyến, UTM profile, firewall policy riêng
biệt…

nts hn fortinet 6  
nts hn fortinet 7

VDOM trên FortiGate

 

Ý kiến bình luận

Các bài viết liên quan