Cisco
Bảng báo giá bán bán thiết bị tường lửa firewall Cisco
28
Jun
Jun
Chúng tôi nhà phân phối ủy quyền chính thức của cisco chuyên bán, cung cấp, báo giá thiết bị tường lửa Cisco, Firewall Cisco, security Firewall với giá cạnh tranh và dịch vụ hỗ trợ kỹ thuật chính hãng.
Quý khách có nhu cầu báo giá hỗ trợ kỹ thuật xin liên lạc với chúng tôi. Chúng tôi hy vọng sẽ sớm nhận được sự hợp tác với Quý Công ty.
Hotline : Danh . MB : 0917.866.455
hoặc gửi yêu cầu vào email : [email protected] chúng tôi sẽ phản hồi trong 4h
Chúng tôi cam kết cung cấp thiết bị tường lửa firewall cisco
Đầy đủ các giấy tờ CO/CQ
Dịch vụ bảo hành hỗ trợ kỹ thuật chính hãng
Và giá tốt nhất
Bảng báo giá bán bán thiết bị tường lửa firewall Cisco
Thiết bị firewall cứng ngoài việc kiểm soát ứng dụng và các chính sách truy cập nó còn có thể đối phó với các cuộc tấn công ddos, zero-day và nhiều phương thức tấn công tiên tiến hơn.. Việc chọn lựa một Firewall thích hợp cho hệ thống với yêu cầu về khả năng hoạt động mạnh, bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai sẽ mang lại cho quý khách tối ưu về chi phí cũng như thất thoát lỗ hổng an ninh.
Thiết bị firewall cisco được thiết kế kết hợp tường lửa, tính năng kiểm soát ứng dụng với khả năng phòng chống xâm nhập và phát hiện các cuộc tấn công sẽ giúp các tổ chức đơn giản hóa kiến trúc bảo mật cho mình mà còn tiết kiệm được đáng kể chi phí cũng như giảm bớt số lượng thiết bị bảo mật cần quản lý và triển khai.
Giới thiệu về thiết bị tường lửa firewall cisco
Firewall cisco hoạt động dựa trên phần mềm tích hợp trên các trên thiết bị phần cứng firewall… Vì thế khả năng bảo vệ được tăng lên đáng kể nhờ khả năng xử lý của phần mềm và sức mạnh của phần cứng
Các dòng sản phẩm Firewall gồm Cisco dòng PIX hoặc Cisco dòng ASA với khả năng cung cấp khả năng an ninh, bảo mật cũng như khả năng hoạt động và độ ổn định cao cho hệ thống, hỗ trợ mạng riêng ảo – Ipsec VPN…. Thế hệ firewall Cisco ASA với FirePOWER Services mới theo hãng cung cấp khả năng nhận thức theo ngữ cảnh và điều khiển linh động để đánh giá các mối đe dọa, phối hợp thông tin và tối ưu hóa phòng thủ nhằm bảo vệ hệ thống mạng cho người dùng. Hơn nữa firewall cisco cũng được tích hợp tính năng kiểm soát ứng dụng, hệ thống phòng chống xâm nhập thế hệ mới Next-Generation Intrusion Prevention Systems (NGIPS) cùng với giải pháp phòng chống malware tiên tiến Advanced Malware Protection (AMP) từ SourceFire.
CiscoSecure PIX Firewall là một thiết bị phần cứng đã được tích hợp sẵn software bên trong và hoạt động một cách độc lập không phụ thuộc vào các yếu tố về nền tảng ứng dụng như yêu cầu về cấu hình phần cứng, môi trường hệ điều hành (Windows NT, Unix…) vì thế làm đơn giản hoá hệ thống và quản trị thiết bị được dễ dàng hơn, đồng thời nâng cao khả năng bảo mật so với các hệ thống bảo mật chạy trên các hệ thống bảo mật khác
Hỗ trợ hầu hết các protocol như DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2, Database, SIP, H323….. hoặc các ứng dụng như : Multimedia, bao gồm: Microsoft NetShow, White Pine CU-SeeMe, RealNetworks RealAudio and RealVideo, Xing StreamWorks, VDOnet VDOLive, VXtreme WebTheater, VocalTec Internet Phone theo chuẩn SIP và H.323.
Hỗ trợ cho các ứng dụng Videoconferencing (H.323): Microsoft NetMeeting, Intel Internet Video Phone, White Pine Meeting Point .
Hỗ trợ phát hiện và chống tấn công: Phát hiện các loại tấn công theo kiểu Denial Of Service, chống lại các hình thức tấn công như sync flooding, port scans, làm hỏng, thay đổi nội dung các gói dữ liệu.
Khả năng chống lại các dạng tấn công thông thường, khả năng tự bịt các lỗ hổng an ninh.
Hỗ trợ Intrusion Detection System (IDS): hệ thống lưu giữ và xác định các mẫu tấn công từ đó phát hiện và đối phó với các hình thức tấn công này. Tự động phát hiện và bịt các lỗ hổng an ninh
Hỗ trợ VPN sử dụng IPSec: Phối hợp hoạt động với VPN: Khả năng điều khiển trạng thái đầy đủ (stateful control), thực hiện chức năng firewall cho các dịch vụ VPN, với dịch vụ VPN các người dùng truy nhập từ xa hoặc các văn phòng chi nhánh có thể truy nhập vào mạng của công ty qua mạng công cộng (internet) nhưng vẫn đảm bảo bảo mật và giảm chi phí kết nối, giảm tiền đầu tư thiết bị.
Để tăng cường bảo mật, khả năng an ninh, PIX còn hỗ trợ các phương thức xác thực phổ biến như RADIUS và TACACS+ tích hợp với các hệ thống phần mềm khác như WebSENSE để quản lý, truy nhập các địa chỉ Internet dựa trên cơ sở dữ liệu URL, đảm bảo các kết nối vào hệ thống cần phải được xác thực trước, tăng cường khả năng xử lý đối phó với các tấn công thông thường như thăm dò, phát hiện lỗ hổng và tận dụng các lỗ hổng sẵn có để phá huỷ hệ thống.
Hỗ trợ NAT và PAT:
Nguyên lý hoạt động của PIX Firewall theo hai dạng NAT và PAT. NAT (Network Address Translation) dùng để chuyển đổi một địa chỉ Internet thành một địa chỉ riêng (Private) theo dạng địa chỉ tĩnh (static) với ánh xạ 1-1, ngoài ra cho phép đổi n địa chỉ Internet thành m địa chỉ Private dưới dạng địa chỉ động (dynamic) với n<m. PAT (Port Address Translation) dùng để chuyển đổi một địa chỉ Internet thành nhiều địa chỉ Private (kết hợp với NAT – ánh xạ 1- n). nguyên lý hoạt động này rất thích hợp cho việc sử dụng nhiều giao tiếp kết nối trên PIX Firewall.
Với khả năng cho phép chuyển đổi tự động địa chỉ như thế rất hữu ích cho nhiều người dùng mà không cần thiết phải quan tâm đến việc cấp địa chỉ Internet. Đối với các host của hệ thống mạng khu vực cũng không cần thiết đăng ký với NIC (Network Information Center) vẫn có thể dùng TCP/IP để truy cập trực tiếp vào Internet bằng cách mở chế độ chuyển đổi bên trong PIX Firewall.
Ngoài ra CiscoSecure PIX Firewall software giới hạn mức độ người dùng cùng lúc thông qua các cổng giao tiếp vật lý của nó, tránh được tình trạng xử lý quá tải làm tắt nghẽn hệ thống truy cập Internet chung cho toàn hệ thống.
Hỗ trợ giao diện quản lý qua WEB:
Hỗ trợ bới tính năng Cisco PIX Device manager (PDM): Hệ thống quản trị thiết bị PIX riêng lẻ, sử dụng Java applet để chứng thực và Secure Hypertext Transfer Protocol để bảo mật thông tin giữa PDM và PIX firewall. PDM cung cấp các chức năng sau:
+ Hỗ trợ cấu hình PIX firewall qua WEB, mà không cần sử dụng các giao diện dòng lệnh PIX firewall Command-line Interface (CLI)
+ Hỗ trợ các bước cấu hình sử dụng các wizard (start-up Wizard, VPN Wizard)
+ Cho phép quản lý PIX với các lưu đồ và dữ liệu thời gian thực, bao gồm các kết nối, IDS, thông tin về băng thông. Cho phép theo dõi thông số trong vòng 5 ngày trở lại.
+ Quản trị và cấu hình PIX tách biệt , nhưng có thể sử dụng nhiều browser trên cùng một trạm để cấu hình nhiều PIX khác nhau.
Tường lửa là gì?
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó. Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng. Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải có một hệ thống tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển, cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng.
Vị trí lắp đặt của Firewall trong hệ thống
Tường lửa thường được lắp ở cổng vào ra của hệ thống mạng hay hệ thống máy tính. Tường lửa cá nhân sau khi được cài đặt sẽ chiếm giữ việc quản lý các thông tin đi vào hay đi ra cổng giao tiếp mạng của máy tính. Tường lửa hệ thống sẽ được lắp đặt ngay sau thiết bị kết nối WAN, như Router sử dụng đường kênh thuê riêng (leased-line), hay Router ADSL.
Phân loại tường lửa thông dụng :
Tường lửa dùng công nghệ lọc gói hay dò trạng thái
Tường lửa cũng được đánh giá và phân loại theo cách hoạt động của chúng. Những tường lửa hoạt động theo cách lọc gói (Packet filtering) sẽ sẽ phải phân tích từng gói tin một khi chúng đi xuyên qua. Tùy theo việc cấu hình chính sách, gói tin nào được phép sẽ được đi qua, còn ngược lại sẽ bị hủy.
Kỹ thuật dò trạng thái (Stateful inspection) là một kỹ thuật cao cấp trong việc xây dựng tường lửa. Nó chỉ tiến hành lọc gói dữ liệu lần đầu và tạo dấu hiệu nhận dạng gói tin để đưa vào một cơ sở dữ liệu. Các gói tin về sau sẽ được dò tìm dấu hiệu nhận dạng này và cho phép hoặc cấm đi qua tường lửa. Những tường lửa hoạt động theo kỹ thuật dò trạng thái sẽ làm việc với một hiệu suất cao hơn nhiều so với tường lửa hoạt động theo dạng lọc gói.
Tường lửa dựa trên nền phần mềm hay phần cứng:
Tường lửa có thể được xây dựng trên nền một phần mềm cài trên một máy chủ như ISA của Microsoft hay FireWall-1 của CheckPoint. Tường lửa cũng có thể được tích hợp vào một phần cứng chuyên dụng như ASA của Cisco , hay NetScreen của Juniper.
Tường lửa cá nhân hay tường lửa hệ thống:
Tường lửa cá nhân được cài đặt trên các máy chủ và máy tính cá nhân, chủ yếu ngăn chặn các truy cập trái phép từ máy tính này vào máy tính khác trong cùng một mạng. Bạn có thể dùng chức năng tường lửa có sẵn trong Windows, Linux hay cài thêm các phần mềm của các hãng bảo mật như Comodo, Symantec Endpoint Protection, Kaspersky Internet Security…Tường lửa hệ thống ngăn chặn việc truy cập trái phép giữa các phân vùng mạng trong hệ thống như LAN, WAN, DMZ.
Lọc tại tầng mạng hay tầng ứng dụng:
Tường lửa thường được thiết kế để hoạt động ở tại một trong hai tầng 3 (Network) và tầng 7 (Application). Nếu hoạt động ở tầng Network, tường lửa sẽ lọc các gói tin ở tầng này, được gọi là các packet dựa trên các địa chỉ mạng gửi đi hay đích đến mà không quan tâm đến việc nó thuộc ứng dụng gì. Tường lửa hoạt động ở lớp 7 thì có thể ngăn các ứng dụng cụ thể gửi thông tin vào hay ra khỏi hệ thống mạng.
Các phân vùng mạng kết nối vào Firewall
Tường lửa là thiết bị lọc và bảo vệ các phân vùng mạng, nên hầu hết các phân vùng mạng đều phải kết nối vào một cổng giao tiếp nào đó của tường lửa. Các phân vùng chính, có ở hầu hết các hệ thống mạng và tường lửa là:
WAN hay External: là vùng mạng kết nối ra bên ngoài, ví dụ như kết nối đến các điểm mạng khác, hay kết nối ra Internet. Vùng này được xem là vùng nguy hiểm. Việc kết nối từ vùng này vào mạng LAN hay Internal mặc định bị tường lửa cấm.
LAN hay Internal: là vùng mạng chỉ gồm máy tính của người dùng cuối, người quản trị… Vùng này thường được xem là vùng an toàn. Việc kết nối từ vùng này ra bên ngoài thường được tường lửa chấp nhận.
DMZ (Demilitarized zone): được xem là một vùng trung gian, và chỉ có trong tường lửa hệ thống. Vùng này thường để đặt các máy chủ cung cấp các dịch vụ mạng. Người dùng có thể truy cập vào các máy chủ ở vùng này khi đi xuyên qua và chịu sự kiểm soát của tường lửa. Người dùng từ mạng LAN muốn truy cập vào vùng này cũng cần được sự cho phép của tường lửa. Cách sử dụng phân vùng mạng này giúp cho phép mạng bên ngoài có thể truy cập vào các máy chủ dịch vụ cần thiết của hệ thống một cách giới hạn, mà vẫn không xâm phạm được vào hệ thống LAN bên trong. Nó cũng đảm bảo rằng người dùng xấu trong mạng LAN không thực hiện được các “tấn công ngược” vào khu vực các máy chủ.
Các tính năng mở rộng thường được tích hợp vào tường lửa
Các nhà sản xuất thường kết hợp thêm một vài tính năng mở rộng vào các sản phẩm tường lửa. Những tính năng đó bổ trợ và làm tăng khả năng bảo mật của tường lửa cũng như tính tiện dụng của chúng như:
Mạng riêng ảo (VPN): Tường lửa nằm ở vị trí kết nối với mạng WAN, nên nó cũng phù hợp với vị trí của thiết bị máy chủ nhận kết nối mạng riêng ảo từ bên ngoài vào hệ thống. Sau khi hoàn tất kết nối, tường lửa cũng sẽ kiểm soát người dùng VPN được phép truy cập vào phân vùng mạng nào, cũng như cấm xâm nhập vào các phân vùng mạng khác.
Phát hiện và chống tấn công: tính năng này thường mệnh danh là hệ phát hiện tấn công (IDS-Intrusion Detection Systems), hệ bảo vệ chống tấn công (IPS – Intrusion Protection Systems), hay hệ phát hiện và ngăn ngừa tấn công (IDP – Intrusion Detection and Prevention). Những hệ này quan sát, phân tích toàn bộ các gói tin vào ra hệ thống mạng và phát hiện cũng như tìm cách chống trả lại các tấn công. Do cần phải đọc toàn bộ các gói tin, nên vị trí lắp đặt hệ thống này là trùng lắp với vị trí tường lửa. Vì thế, tích hợp tính năng này vào thiết bị tường lửa là hoàn toàn hợp lý.
Bộ đệm web (Proxy):các tường lửa dạng phần mềm, và sử dụng kỹ thuật dò trạng thái (Stateful inspection) như ISA chẳng hạn, thường tích hợp thêm tính năng bộ đệm nội dung web. Như vậy, ngoài khả năng lọc dữ liệu theo từng ứng dụng, nó còn hỗ trợ thêm việc làm bộ đệm và lọc nội dung web đối với người dùng trong mạng LAN.
Rủi ro khi sử dụng tường lửa
| ASA5506-K9 | ASA 5506-X with FirePOWER services, 8GE, AC, 3DES/AES | 10,029,600 |
| ASA5508-K9 | ASA 5508-X with FirePOWER services, 8GE, AC, 3DES/AES | 36,237,600 |
| ASA5512-K9 | ASA 5512-X with SW, 6GE Data, 1GE Mgmt, AC, 3DES/AES | 40,269,600 |
| ASA5515-K9 | ASA 5515-X with SW, 6GE Data, 1 GE Mgmt, AC, 3DES/AES | 50,349,600 |
| ASA5525-K9 | ASA 5525-X with SW, 8GE Data, 1GE Mgmt, AC, 3DES/AES | 90,669,600 |
| ASA5545-K9 | ASA 5545-X with SW, 8GE Data, 1GE Mgmt, AC, 3DES/AES | 181,389,600 |
| ASA5512-K9 | ASA 5512-X with SW, 6GE Data, 1GE Mgmt, AC, 3DES/AES | 40,269,600 |
| ASA5515-K9 | ASA 5515-X with SW, 6GE Data, 1 GE Mgmt, AC, 3DES/AES | 50,349,600 |
| ASA5525-K9 | ASA 5525-X with SW, 8GE Data, 1GE Mgmt, AC, 3DES/AES | 90,669,600 |
| ASA5545-K9 | ASA 5545-X with SW, 8GE Data, 1GE Mgmt, AC, 3DES/AES | 181,389,600 |
Thiết bị firewall cứng ngoài việc kiểm soát ứng dụng và các chính sách truy cập nó còn có thể đối phó với các cuộc tấn công ddos, zero-day và nhiều phương thức tấn công tiên tiến hơn.. Việc chọn lựa một Firewall thích hợp cho hệ thống với yêu cầu về khả năng hoạt động mạnh, bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai sẽ mang lại cho quý khách tối ưu về chi phí cũng như thất thoát lỗ hổng an ninh.
Thiết bị firewall cisco được thiết kế kết hợp tường lửa, tính năng kiểm soát ứng dụng với khả năng phòng chống xâm nhập và phát hiện các cuộc tấn công sẽ giúp các tổ chức đơn giản hóa kiến trúc bảo mật cho mình mà còn tiết kiệm được đáng kể chi phí cũng như giảm bớt số lượng thiết bị bảo mật cần quản lý và triển khai.
Giới thiệu về thiết bị tường lửa firewall cisco
Firewall cisco hoạt động dựa trên phần mềm tích hợp trên các trên thiết bị phần cứng firewall… Vì thế khả năng bảo vệ được tăng lên đáng kể nhờ khả năng xử lý của phần mềm và sức mạnh của phần cứng
Các dòng sản phẩm Firewall gồm Cisco dòng PIX hoặc Cisco dòng ASA với khả năng cung cấp khả năng an ninh, bảo mật cũng như khả năng hoạt động và độ ổn định cao cho hệ thống, hỗ trợ mạng riêng ảo – Ipsec VPN…. Thế hệ firewall Cisco ASA với FirePOWER Services mới theo hãng cung cấp khả năng nhận thức theo ngữ cảnh và điều khiển linh động để đánh giá các mối đe dọa, phối hợp thông tin và tối ưu hóa phòng thủ nhằm bảo vệ hệ thống mạng cho người dùng. Hơn nữa firewall cisco cũng được tích hợp tính năng kiểm soát ứng dụng, hệ thống phòng chống xâm nhập thế hệ mới Next-Generation Intrusion Prevention Systems (NGIPS) cùng với giải pháp phòng chống malware tiên tiến Advanced Malware Protection (AMP) từ SourceFire.
CiscoSecure PIX Firewall là một thiết bị phần cứng đã được tích hợp sẵn software bên trong và hoạt động một cách độc lập không phụ thuộc vào các yếu tố về nền tảng ứng dụng như yêu cầu về cấu hình phần cứng, môi trường hệ điều hành (Windows NT, Unix…) vì thế làm đơn giản hoá hệ thống và quản trị thiết bị được dễ dàng hơn, đồng thời nâng cao khả năng bảo mật so với các hệ thống bảo mật chạy trên các hệ thống bảo mật khác
Hỗ trợ hầu hết các protocol như DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2, Database, SIP, H323….. hoặc các ứng dụng như : Multimedia, bao gồm: Microsoft NetShow, White Pine CU-SeeMe, RealNetworks RealAudio and RealVideo, Xing StreamWorks, VDOnet VDOLive, VXtreme WebTheater, VocalTec Internet Phone theo chuẩn SIP và H.323.
Hỗ trợ cho các ứng dụng Videoconferencing (H.323): Microsoft NetMeeting, Intel Internet Video Phone, White Pine Meeting Point .
Hỗ trợ phát hiện và chống tấn công: Phát hiện các loại tấn công theo kiểu Denial Of Service, chống lại các hình thức tấn công như sync flooding, port scans, làm hỏng, thay đổi nội dung các gói dữ liệu.
Khả năng chống lại các dạng tấn công thông thường, khả năng tự bịt các lỗ hổng an ninh.
Hỗ trợ Intrusion Detection System (IDS): hệ thống lưu giữ và xác định các mẫu tấn công từ đó phát hiện và đối phó với các hình thức tấn công này. Tự động phát hiện và bịt các lỗ hổng an ninh
Hỗ trợ VPN sử dụng IPSec: Phối hợp hoạt động với VPN: Khả năng điều khiển trạng thái đầy đủ (stateful control), thực hiện chức năng firewall cho các dịch vụ VPN, với dịch vụ VPN các người dùng truy nhập từ xa hoặc các văn phòng chi nhánh có thể truy nhập vào mạng của công ty qua mạng công cộng (internet) nhưng vẫn đảm bảo bảo mật và giảm chi phí kết nối, giảm tiền đầu tư thiết bị.
Để tăng cường bảo mật, khả năng an ninh, PIX còn hỗ trợ các phương thức xác thực phổ biến như RADIUS và TACACS+ tích hợp với các hệ thống phần mềm khác như WebSENSE để quản lý, truy nhập các địa chỉ Internet dựa trên cơ sở dữ liệu URL, đảm bảo các kết nối vào hệ thống cần phải được xác thực trước, tăng cường khả năng xử lý đối phó với các tấn công thông thường như thăm dò, phát hiện lỗ hổng và tận dụng các lỗ hổng sẵn có để phá huỷ hệ thống.
Hỗ trợ NAT và PAT:
Nguyên lý hoạt động của PIX Firewall theo hai dạng NAT và PAT. NAT (Network Address Translation) dùng để chuyển đổi một địa chỉ Internet thành một địa chỉ riêng (Private) theo dạng địa chỉ tĩnh (static) với ánh xạ 1-1, ngoài ra cho phép đổi n địa chỉ Internet thành m địa chỉ Private dưới dạng địa chỉ động (dynamic) với n<m. PAT (Port Address Translation) dùng để chuyển đổi một địa chỉ Internet thành nhiều địa chỉ Private (kết hợp với NAT – ánh xạ 1- n). nguyên lý hoạt động này rất thích hợp cho việc sử dụng nhiều giao tiếp kết nối trên PIX Firewall.
Với khả năng cho phép chuyển đổi tự động địa chỉ như thế rất hữu ích cho nhiều người dùng mà không cần thiết phải quan tâm đến việc cấp địa chỉ Internet. Đối với các host của hệ thống mạng khu vực cũng không cần thiết đăng ký với NIC (Network Information Center) vẫn có thể dùng TCP/IP để truy cập trực tiếp vào Internet bằng cách mở chế độ chuyển đổi bên trong PIX Firewall.
Ngoài ra CiscoSecure PIX Firewall software giới hạn mức độ người dùng cùng lúc thông qua các cổng giao tiếp vật lý của nó, tránh được tình trạng xử lý quá tải làm tắt nghẽn hệ thống truy cập Internet chung cho toàn hệ thống.
Hỗ trợ giao diện quản lý qua WEB:
Hỗ trợ bới tính năng Cisco PIX Device manager (PDM): Hệ thống quản trị thiết bị PIX riêng lẻ, sử dụng Java applet để chứng thực và Secure Hypertext Transfer Protocol để bảo mật thông tin giữa PDM và PIX firewall. PDM cung cấp các chức năng sau:
+ Hỗ trợ cấu hình PIX firewall qua WEB, mà không cần sử dụng các giao diện dòng lệnh PIX firewall Command-line Interface (CLI)
+ Hỗ trợ các bước cấu hình sử dụng các wizard (start-up Wizard, VPN Wizard)
+ Cho phép quản lý PIX với các lưu đồ và dữ liệu thời gian thực, bao gồm các kết nối, IDS, thông tin về băng thông. Cho phép theo dõi thông số trong vòng 5 ngày trở lại.
+ Quản trị và cấu hình PIX tách biệt , nhưng có thể sử dụng nhiều browser trên cùng một trạm để cấu hình nhiều PIX khác nhau.
Tường lửa là gì?
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó. Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng. Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải có một hệ thống tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển, cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng.
Vị trí lắp đặt của Firewall trong hệ thống
Tường lửa thường được lắp ở cổng vào ra của hệ thống mạng hay hệ thống máy tính. Tường lửa cá nhân sau khi được cài đặt sẽ chiếm giữ việc quản lý các thông tin đi vào hay đi ra cổng giao tiếp mạng của máy tính. Tường lửa hệ thống sẽ được lắp đặt ngay sau thiết bị kết nối WAN, như Router sử dụng đường kênh thuê riêng (leased-line), hay Router ADSL.
Phân loại tường lửa thông dụng :
Tường lửa dùng công nghệ lọc gói hay dò trạng thái
Tường lửa cũng được đánh giá và phân loại theo cách hoạt động của chúng. Những tường lửa hoạt động theo cách lọc gói (Packet filtering) sẽ sẽ phải phân tích từng gói tin một khi chúng đi xuyên qua. Tùy theo việc cấu hình chính sách, gói tin nào được phép sẽ được đi qua, còn ngược lại sẽ bị hủy.
Kỹ thuật dò trạng thái (Stateful inspection) là một kỹ thuật cao cấp trong việc xây dựng tường lửa. Nó chỉ tiến hành lọc gói dữ liệu lần đầu và tạo dấu hiệu nhận dạng gói tin để đưa vào một cơ sở dữ liệu. Các gói tin về sau sẽ được dò tìm dấu hiệu nhận dạng này và cho phép hoặc cấm đi qua tường lửa. Những tường lửa hoạt động theo kỹ thuật dò trạng thái sẽ làm việc với một hiệu suất cao hơn nhiều so với tường lửa hoạt động theo dạng lọc gói.
Tường lửa dựa trên nền phần mềm hay phần cứng:
Tường lửa có thể được xây dựng trên nền một phần mềm cài trên một máy chủ như ISA của Microsoft hay FireWall-1 của CheckPoint. Tường lửa cũng có thể được tích hợp vào một phần cứng chuyên dụng như ASA của Cisco , hay NetScreen của Juniper.
Tường lửa cá nhân hay tường lửa hệ thống:
Tường lửa cá nhân được cài đặt trên các máy chủ và máy tính cá nhân, chủ yếu ngăn chặn các truy cập trái phép từ máy tính này vào máy tính khác trong cùng một mạng. Bạn có thể dùng chức năng tường lửa có sẵn trong Windows, Linux hay cài thêm các phần mềm của các hãng bảo mật như Comodo, Symantec Endpoint Protection, Kaspersky Internet Security…Tường lửa hệ thống ngăn chặn việc truy cập trái phép giữa các phân vùng mạng trong hệ thống như LAN, WAN, DMZ.
Lọc tại tầng mạng hay tầng ứng dụng:
Tường lửa thường được thiết kế để hoạt động ở tại một trong hai tầng 3 (Network) và tầng 7 (Application). Nếu hoạt động ở tầng Network, tường lửa sẽ lọc các gói tin ở tầng này, được gọi là các packet dựa trên các địa chỉ mạng gửi đi hay đích đến mà không quan tâm đến việc nó thuộc ứng dụng gì. Tường lửa hoạt động ở lớp 7 thì có thể ngăn các ứng dụng cụ thể gửi thông tin vào hay ra khỏi hệ thống mạng.
Các phân vùng mạng kết nối vào Firewall
Tường lửa là thiết bị lọc và bảo vệ các phân vùng mạng, nên hầu hết các phân vùng mạng đều phải kết nối vào một cổng giao tiếp nào đó của tường lửa. Các phân vùng chính, có ở hầu hết các hệ thống mạng và tường lửa là:
WAN hay External: là vùng mạng kết nối ra bên ngoài, ví dụ như kết nối đến các điểm mạng khác, hay kết nối ra Internet. Vùng này được xem là vùng nguy hiểm. Việc kết nối từ vùng này vào mạng LAN hay Internal mặc định bị tường lửa cấm.
LAN hay Internal: là vùng mạng chỉ gồm máy tính của người dùng cuối, người quản trị… Vùng này thường được xem là vùng an toàn. Việc kết nối từ vùng này ra bên ngoài thường được tường lửa chấp nhận.
DMZ (Demilitarized zone): được xem là một vùng trung gian, và chỉ có trong tường lửa hệ thống. Vùng này thường để đặt các máy chủ cung cấp các dịch vụ mạng. Người dùng có thể truy cập vào các máy chủ ở vùng này khi đi xuyên qua và chịu sự kiểm soát của tường lửa. Người dùng từ mạng LAN muốn truy cập vào vùng này cũng cần được sự cho phép của tường lửa. Cách sử dụng phân vùng mạng này giúp cho phép mạng bên ngoài có thể truy cập vào các máy chủ dịch vụ cần thiết của hệ thống một cách giới hạn, mà vẫn không xâm phạm được vào hệ thống LAN bên trong. Nó cũng đảm bảo rằng người dùng xấu trong mạng LAN không thực hiện được các “tấn công ngược” vào khu vực các máy chủ.
Các tính năng mở rộng thường được tích hợp vào tường lửa
Các nhà sản xuất thường kết hợp thêm một vài tính năng mở rộng vào các sản phẩm tường lửa. Những tính năng đó bổ trợ và làm tăng khả năng bảo mật của tường lửa cũng như tính tiện dụng của chúng như:
Mạng riêng ảo (VPN): Tường lửa nằm ở vị trí kết nối với mạng WAN, nên nó cũng phù hợp với vị trí của thiết bị máy chủ nhận kết nối mạng riêng ảo từ bên ngoài vào hệ thống. Sau khi hoàn tất kết nối, tường lửa cũng sẽ kiểm soát người dùng VPN được phép truy cập vào phân vùng mạng nào, cũng như cấm xâm nhập vào các phân vùng mạng khác.
Phát hiện và chống tấn công: tính năng này thường mệnh danh là hệ phát hiện tấn công (IDS-Intrusion Detection Systems), hệ bảo vệ chống tấn công (IPS – Intrusion Protection Systems), hay hệ phát hiện và ngăn ngừa tấn công (IDP – Intrusion Detection and Prevention). Những hệ này quan sát, phân tích toàn bộ các gói tin vào ra hệ thống mạng và phát hiện cũng như tìm cách chống trả lại các tấn công. Do cần phải đọc toàn bộ các gói tin, nên vị trí lắp đặt hệ thống này là trùng lắp với vị trí tường lửa. Vì thế, tích hợp tính năng này vào thiết bị tường lửa là hoàn toàn hợp lý.
Bộ đệm web (Proxy):các tường lửa dạng phần mềm, và sử dụng kỹ thuật dò trạng thái (Stateful inspection) như ISA chẳng hạn, thường tích hợp thêm tính năng bộ đệm nội dung web. Như vậy, ngoài khả năng lọc dữ liệu theo từng ứng dụng, nó còn hỗ trợ thêm việc làm bộ đệm và lọc nội dung web đối với người dùng trong mạng LAN.
Rủi ro khi sử dụng tường lửa
- Thường gặp khi sử dụng tường lửa trong hệ thống mạng là cấu hình sai và lỗi phần mềm. Do chưa nắm vững kỹ thuật cấu hình, đưa ra các chính sách bảo mật không phù hợp hoặc sai lầm trong quá trình thực hiện, tường lửa có thể khóa cứng hệ thống hoặc trở nên mất tác dụng bảo vệ hệ thống, để cho bất kỳ ai từ ngoài Internet cũng có thể truy cập vào các phân vùng mạng bên trong.
- Là các lỗi Zero-day xảy ra với phần mềm tường lửa, kể cả với thiết bị phần cứng. Các lỗi Zero-day là các lỗi đã được giới hacker phát hiện ra, nhưng các nhà sản xuất chưa biết hoặc chưa kịp đưa ra giải pháp để khắc phục, sửa lỗi hay thông báo với người dùng.
