• Thứ Năm, 02/12/2004 10:25 (GMT+7)

    Tường lửa dành cho doanh nghiệp vừa và nhỏ

    Thiết bị bảo mật 'Tất cả trong một' này đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của tổ chức - doanh nghiệp một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp, cộng thêm một nhân viên chuyên trách. Điều này quả thật rất cần thiết trong tình trạng Internet hiện nay đầy rẫy các mối đe dọa.

    Liệu các thiết bị tường lửa 'Tất cả trong một' có đáp ứng yêu cầu của các tổ chức - doanh nghiệp vừa và nhỏ?

    Đối với những ai chịu trách nhiệm quản lý hệ thống mạng máy tính cho tổ chức - doanh nghiệp trong môi trường kinh doanh hiện nay thì có lẽ bảo mật - an toàn dữ liệu là vấn đề hàng đầu trong mọi tình huống. Một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng tường lửa (fire wall) nhằm kiểm soát sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/vào mạng. Tuy nhiên, đầu tư cho một tường lửa khá tốn kém, nhất là đối với các tổ chức - doanh nghiệp vừa và nhỏ. Trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất. Thiết bị bảo mật 'Tất cả trong một' này phải đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của tổ chức - doanh nghiệp một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp, cộng thêm một nhân viên chuyên trách. Điều này quả thật rất cần thiết trong tình trạng Internet hiện nay đầy rẫy các mối đe dọa như sâu máy tính, chương trình phá hoại và ăn cắp thông tin, lỗ hổng bảo mật của các hệ điều hành và ứng dụng.

    Bài viết trình bày đánh giá thiết bị tường lửa mới nhất của ba nhà cung cấp đang có sản phẩm tại Việt Nam: Safe@Office của Check Point, Juniper Netscreen-5GT Enhanced và SonicWALL Pro 2040.

    Thử nghiệm cho thấy các nhà sản xuất không chỉ có những định nghĩa khác nhau xung quanh vấn đề bảo mật mà họ còn có những ý kiến rất khác nhau về định nghĩa thế nào là 'Thiết bị'.

    Check Point SAFE@OFFICE 225

    Thuộc dòng sản phẩm bảo mật đắt tiền và chạy các hệ điều hành phức tạp, Safe@Office của Check Point chỉ trừ cái tên khó gọi ra còn đây là một đấu thủ xuất sắc trên 'sàn đấu' tường lửa dành cho văn phòng nhỏ và gia đình (SOHO - Small Office/Home Office).

     

    BÊN TRONG MỘT KẾT NỐI VPN

     

     

    Kết nối VPN gồm 2 giai đoạn, mỗi giai đoạn thiết lập giao thức mã hóa và xác thực riêng. Giai đoạn 1 thiết lập một kênh IKE (Internet Key Exchange). Giai đoạn 2 là các kênh IPSec, đóng vai trò như những chiếc xe bọc thép chạy dọc theo con đường đã được bảo vệ ma giai đoạn 1 đã thiết lập. Giai đoạn 2 gửi dữ liệu, bảo vệ dữ liệu dưới 2 lớp mã hóa riêng biệt. Khi giai đoạn 1 hoàn tất thì phần việc nặng nhất xem như đã xong, có tăng thêm số kênh ở giai đoạn 2 cũng chỉ làm tăng thêm tải không đáng kể cho tường lửa.

     

     

     

    Thực tế cho thấy nó dễ thiết lập cấu hình nhất trong sáu sản phẩm, ấn tượng hơn nữa khi bạn khám phá ra nó chạy Firewall 1, một nền tảng rất mạnh và đắt hàng nhất của Check Point. Mặc dù chạy Firewall 1 bên trong, nhưng quản lý Safe@Office lại không phức tạp, nhờ giao diện web được thiết kế hợp lý. Thẻ 'Services' tập trung hầu hết tính năng cần quản trị của Safe@Office, bao gồm DNS động, VPN động và chống virus trong e-mail. Những tính năng này được kết nối qua Internet đến các máy chủ của Check Point để tự động cập nhật và giúp đỡ thiết lập.

    Mặc dù thiết bị này đủ mạnh để bảo vệ hệ thống mạng doanh nghiệp cỡ lớn, nhưng nó chỉ thuộc dòng sản phẩm SOHO. Check Point giới hạn 10 kết nối cùng lúc (thiết bị thử nghiệm); và 10 kết nối VPN, tính cả hai loại kết nối từ LAN-đến-LAN và từ máy khách-đến-LAN. Với qui mô SOHO, Safe@Office giúp việc quản trị an toàn mạng trở nên dễ dàng.

    Nét đặc trưng của  Check Point là các kết nối rất ổn định. Chuẩn của kết nối VPN có thể là IPSec - tải miễn phí từ Check Point - hay PPTP (Point to Point Tunneling Protocol), nghĩa là nó hỗ trợ VPN của Microsoft. Ngoài ra, máy khách có thể được chứng thực dựa vào cơ sở dữ liệu nội bộ hay máy chủ RADIUS. Thiết bị này còn cho phép định tuyến tĩnh, có nghĩa là bạn có thể có nhiều mạng con phía sau tường lửa cũng làm chức năng định tuyến.

    Quá trình thử nghiệm cho thấy Safe@Office quả thật là một tường lửa rất hiệu quả. Nó ngăn cản các cuộc tấn công giả lập và đẩy lùi tất cả các lệnh ping 'lén lút' từ WAN tới DMZ hay LAN.

    Safe@Office có cách phòng chống virus riêng. Thiết bị này chuyển các email tới một máy chủ của Check Point để quét virus, rồi mới chuyển chúng đến các địa chỉ đích. Điều này lý giải tại sao một CPU nhỏ lại có thể thực hiện được nhiều dịch vụ cùng một lúc, nhưng điều này cũng có nghĩa là Safe@Office không thể kiểm tra các virus đã được tải xuống trước khi lắp thiết bị này.

    Kết luận cuối cùng? Check Point đã 'rút xương' của sản phẩm Firewall 1 tiếng tăm của mình để xây dựng Safe@Office. Với giao diện người dùng thân thiện và tập trung xử lý các tính năng cao cấp như chống virus, lọc web và DNS động tại các máy chủ của Check Point, Safe@Office có nhiều tính năng phức tạp mà giá thành thấp, bù lại người dùng phải phụ thuộc vào các dịch vụ của Check Point.

    Juniper Netscreen - 5GT Enhanced

    Chiếc hộp nhỏ bé NetScreen-5GT Enhanced đã tạo ấn tượng tốt nhờ được tích hợp mọi tính năng mà người dùng đòi hỏi ở một thiết bị bảo mật, bao gồm: tường lửa, VPN, phát hiện xâm nhập và chống virus. Vậy mà giá của nó lại rất hấp dẫn, 495USD (giá ở Mỹ) cho 10 kết nối VPN.

    Giao diện chính của NetScreen-5GT Enhanced được thiết kế rất hợp lý, bạn không cần phải 'đào bới' gì bên trong nếu như chỉ cần xem trạng thái hoạt động của tường lửa và thiết bị có khả năng phản ứng trong các tình huống khẩn cấp. So với các thiết bị tương tự, ngoài những chức năng cơ bản, NetScreen còn có khả năng phòng chống các cách thức tấn công thông thường, bao gồm WinNuke, ICMP/UDP và SYN, các phần mềm phá hoại dạng Java/ActiveX và nhiều thứ khác nữa.

    Thiết bị này hiển thị đáp ứng trước các cuộc tấn công ở dạng trình đơn, bạn có thể thiết lập để nó chỉ cần phát âm thanh báo động hoặc bắt đầu loại bỏ các gói tin phá hoại, ở chế độ này thiết bị ngăn cản được tất cả các cuộc tấn công thông thường trong quá trình thử nghiệm.

    Khả năng chống virus của thiết bị này cũng rất ấn tượng. Tương tự Safe@Office của Check Point, NetScreen xử lý chống virus bằng hình thức đăng ký dịch vụ và đối tác của Juniper là TrendMicro. Thiết bị này phân biệt rõ thiết lập chống virus cho dịch vụ e-mail webmail và POP3/SMTP, nhưng nó không hỗ trợ chống virus cho người dùng IMAP.

    Tương tự như thiết bị được đánh giá tốt nhất lần này, tính năng VPN của NetScreen đã vượt qua thử nghiệm rất suôn sẻ, nó xử lý tất cả 20 kênh VPN không gặp bất cứ trở ngại nào.

    NetScreen hoàn toàn có khả năng bảo vệ hệ thống mạng SOHO hoặc doanh nghiệp vừa và nhỏ,  khoảng 50 máy. Thiết bị này không chỉ hỗ trợ kết nối đến nhiều ISP để dự phòng mà còn có thể quay số kết nối trong trường hợp kết nối WAN bị gián đoạn. Một ví dụ khác là tính năng lọc nội dung web cho phép NetScreen truy cập dịch vụ đăng ký của hãng WebSense để tạo danh sách các website cấm hoặc cho phép truy cập (có thu phí).

     

    CÁCH THỨC THỬ NGHIÊM TƯỜNG LỬA CỦA TEST CENTER - INFOWORLD

     

     

    Mặc dù các nhà sản xuất tích hợp các tính năng khác nhau trong thiết bị tường lửa 'Tất cả trong một' của họ, nhưng thử nghiệm chỉ tập trung vào 3 lĩnh vực cốt lõi: hiệu suất hoạt động của VPN, khả năng phòng chống các cuộc tấn công và virus.
    Đánh giá hiệu suất hoạt động của VPN: Thiết bị nào thực hiện tốt nhất việc phân dữ liệu thành các gói tin, mã hóa và gửi đi qua kênh VPN. Thử nghiệm sử dụng bộ công cụ TeraVPN phiên bản 4.0 của hãng Spirent Communications cài lên SmartBits 600 (SMB-600) được lắp 2 card giao tiếp TeraMetrics XD, mỗi card có 1 cổng tốc độ 10/100Mbps.
    Đầu tiên, chỉ chạy một kênh VPN để đảm bảo VPN hoạt động, sau đó mới tăng lên đến 20 kênh. Một doanh nghiệp vừa hoặc nhỏ có từ 100-200 nhân viên thường chỉ cần tối đa 20 kết nối VPN đồng thời. Trước tiên, tạo 20 kênh giai đoạn 1 (IKE), sau đó trong mỗi kênh tạo một kênh giai đoạn 2 (IPSec). Lần đầu, giữ cố định các gói tin có dung lượng 1024byte, các lần tiếp theo thay đổi dung lượng các gói tin từ 64byte đến 1350byte, mỗi bước thực hiện 50000 lần.
    Đánh giá chức năng cơ bản của tường lửa: Dùng phần mềm Avalanche/Reflector của Spirent cài trên SMB-600 để tạo các cuộc tấn công. Đầu tiên, mở các kiểu tấn công DDoS nhỏ vào mỗi tường lửa để xem liệu chúng có phát hiện ra và phản ứng lại hay không, ít nhất là phát âm thanh báo động. EdgeForce Plus, NetScreen và Safe@Office hoạt động rất tốt, chúng không chỉ cảnh báo mà còn bắt đầu loại bỏ các gói tin tấn công. Sau đó, tiếp tục sử dụng hình thức tấn công lén, làm sao để có thể ping được qua tường lửa. Kết luận: miễn là người dùng thiết lập đúng thì các tường lửa có thể phòng chống được các đợt tấn công thông thường.
    Đánh giá khả năng chống virus: Thiết lập một máy chủ Linux chạy Sendmail bên ngoài tường lửa để gửi các gói tin virus tới hàng loạt máy tính chạy phía sau tường lửa. Tất cả virus đều ở dạng mã mô phỏng do Viện Nghiên Cứu Chống Virus Máy Tính Châu Âu cung cấp. Tất cả các thiết bị đều vượt qua vòng kiểm tra này rất suôn sẻ, nhưng không phải tất cả đều phòng chống virus cho người dùng sử dụng giao thức IMAP.

     

    Tính năng duy nhất không tìm thấy được ở các thiết bị khác là khả năng định tuyến nguồn của NetScreen. Tất cả thiết bị được thử nghiệm đều cho phép thêm định tuyến tĩnh, nhưng chỉ có NetScreen là có thể thêm các khai báo 'định tuyến nguồn', nhờ thế mà người dùng biết được lộ trình xuất phát từ đâu và nguồn xuất phát từ OSPF (Open Shortest Path First), RIP (Routing Information Protocol), BGP (Boundary Gateway Protocol) hay định tuyến tĩnh. Đây thật sự là chức năng của tường lửa cao cấp được tích hợp vào một thiết bị dễ sử dụng.

    Sonicwall PRO 2040

    Tường lửa dành cho doanh nghiệp loại vừa này có thể đáp ứng mọi yêu cầu, bạn dễ dàng nhận ra ngay điều này khi lấy thiết bị ra khỏi hộp, có thể đặt nó trên bàn, trên kệ tủ, hoặc lắp vào rack 1U đều được cả. SonicWALL Pro 2040 kết hợp hệ điều hành mở rộng SonicOS thế hệ mới của SonicWALL và một kiến trúc phần cứng có khả năng chịu tải tốt, miễn là bạn cấu hình đúng, tất nhiên là không đơn giản.

     

     

    SẢN PHẨM Ở THỊ TRƯỜNG VIÊT NAM

     

     

     

    Bảo mật hiện đang là vấn đề 'nóng' ở nước ta, vì vậy nếu bạn quan tâm có thể tìm hiểu thông tin sản phẩm của những hãng đã chính thức có mặt ở Việt Nam qua các nhà phân phối.
    Check Point: MISOFT (08-844 3027, 04-933 1613); Juniper: Juniper Networks Vietnam; SonicWALL: ITC JSC (04-943 0724, 08-925 3304). Chúng tôi đã cố gắng liên hệ các nhà phân phối này để hỏi giá bán tại Việt Nam. Tuy nhiên, cho đến lúc bài này đem in, thông tin sản phẩm chỉ có của Check Point: Safe@Office 105: 614 USD, Safe@Office 110: 1.071 USD, Safe@Office 225: 1.887 USD, Safe@Office 225U: 2.980 USD. (thông tin do MISOFT cung cấp). Giá chưa bao gồm thuế VAT, phí cài đặt và triển khai. Khách hàng được hỗ trợ kỹ thuật trong quá trình sử dụng sản phẩm.

     

    Khi sử dụng, người dùng phải cài đặt OS mở rộng của SonicWALL mới khai thác được nhiều tính năng cao cấp như kết nối đến nhiều ISP để dự phòng, cân bằng tải với các Pro 2040 khác, thiết lập NAT dựa theo chính sách và kết nối WAN dự phòng.

    Mặc dù có thể vận hành Pro 2040 mà không cần hệ điều hành SonicOS Enhanced, nhưng bạn phải cài HĐH này thì mới có thể kích hoạt cổng giao tiếp thứ tư của thiết bị. Cổng này có chức năng của một cổng WAN, LAN, hay DMZ, hoặc nối sang một thiết bị Pro 2040 khác để dự phòng. SonicWall không hề thua kém các đối thủ, nó cũng tích hợp chức năng phòng chống virus và lọc nội dung.

    Pro 2040 hoàn toàn làm bạn vừa lòng, chẳng hạn, nó được trang bị một bộ xử lý chỉ làm mỗi nhiệm vụ mã hóa cho nên hiệu suất chẳng có gì khác biệt khi dùng chế độ mã hóa AES-256 hay 3DES. Hàng loạt cuộc tấn công giả lập cũng như ngăn chặn virus khi thử đều bị ngăn cản bởi tường lửa này. Tuy nhiên, với giá 1995 USD (giá tại Mỹ), đáng lẽ Pro 2040 phải có thêm tính năng hấp dẫn hơn NetScreen-5GT, giá chỉ có 495 USD!ÿ

    Quốc Thanh
    Infoworld 24/5/2004

    Từ khóa: Firewall, security
    ID: A0408_94