GIẢI PHÁP BẢO MẬT THIẾT BỊ TƯỜNG LỬA SOPHOS XG …ntssi.vn/wp-content/uploads/2016/04/Giải-pháp-Sophos-XG.pdf · liệu, giữ an toàn mạng và thông tin, hỗ

GIẢI PHÁP BẢO MẬT THIẾT BỊ TƯỜNG LỬA

SOPHOS XG FIREWALL

- 2016 -

CTY CP TÍCH HỢP HỆ THỐNG NAM TRƯỜNG SƠN © 1998 – 2016

A: 20 Tăng Bạt Hổ, P. 11, Q. Bình Thạnh, Tp HCM

P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

1

THÔNG TIN KIỂM SOÁT

Đơn vị chịu trách nhiệm

Công ty cổ phần tích hợp hệ thống Nam Trường Sơn

Địa chỉ : 20 Tăng Bạt Hổ, P.11, Q. Bình Thạnh, TP. HCM

Điện thoại : +84 08 6680 5046

Fax : +84 08 3841 5555

Website : http://ntssi.vn

Mô tả Tài liệu kỹ thuật mô tả các giải pháp

Biên soạn DASS 2016

Biên tập NTSSI 2016 Phiên bản Thời hạn hiệu lực Phạm vi lưu hành Dành riêng cho nội bộ NTS và khách hàng liên quan

Tài liệu thay thế cho Các tài liệu đính kèm

Khách hàng Địa chỉ Điện thoại Người liên hệ



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

2

Nội dung 1 TỔNG QUAN .................................................................................................................................................... 4

1.1 YÊU CẦU BẢO MẬT TRONG CÔNG NGHỆ THÔNG TIN ....................................................................................... 4 1.2 DOANH NGHIỆP MUỐN GÌ? ............................................................................................................................ 4 1.3 GIỚI THIỆU VỀ SOPHOS ................................................................................................................................ 5

2 GIẢI PHÁP SOPHOS XG ................................................................................................................................ 6

2.1 SOPHOS XG ................................................................................................................................................ 6 2.2 MÔ HÌNH TRIỂN KHAI ................................................................................................................................... 6 2.3 MỨC ĐỘ TRIỂN KHAI .................................................................................................................................... 7 2.4 LICENSE VÀ TÍNH NĂNG ............................................................................................................................... 7 2.5 TẠI SAO CHỌN SOPHOS XG FIREWALL.......................................................................................................... 7 2.6 SO SÁNH VỚI CÁC ĐỐI THỦ ........................................................................................................................... 8

3 THÔNG TIN KỸ THUẬT ................................................................................................................................ 9

3.1 MANAGEMENT ....................................................................................................................................... 9 3.1.1 Firewall Management (Quản lý tường lửa) ............................................................................................. 9 3.1.2 Centralized Management (Quản lý tập trung) ........................................................................................ 10 3.1.3 Status and Alerts (Trạng thái và cảnh báo) ............................................................................................ 10 3.1.4 Reporting and Logging (Theo dõi log/Report) ....................................................................................... 11

3.2 USER AND APP CONTROL .................................................................................................................... 11 3.2.1 User Identity (Định nghĩa theo người dùng) .......................................................................................... 11 3.2.2 Application Control (Kiểm soát ứng dụng) ............................................................................................ 11 3.2.3 Web Control (Kiểm soát web) ............................................................................................................... 12 3.2.4 Content Control (Kiểm soát nội dung) ................................................................................................... 13

3.3 PROTECTION ......................................................................................................................................... 13 3.3.1 Firewall (Tường lửa) ............................................................................................................................ 13 3.3.2 IPS (Hệ thống chống xâm nhập) ............................................................................................................ 13 3.3.3 Anti-malware (Phòng chống mã độc) .................................................................................................... 14 3.3.4 Web Protection (Bảo vệ truy cập web) .................................................................................................. 14 3.3.5 Security Heartbeat (Synchronized Security) ........................................................................................... 15 3.3.6 Advanced Threat Protection .................................................................................................................. 15 3.3.7 Bussiness Applications .......................................................................................................................... 16 3.3.8 User Portal........................................................................................................................................... 17

3.4 NETWORKING ....................................................................................................................................... 18 3.4.1 Performance (Hiệu năng) ..................................................................................................................... 18 3.4.2 Routing and Bridging............................................................................................................................ 19 3.4.3 Zone Segmentation ............................................................................................................................... 20



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

3

3.4.4 Traffic Shaping (QoS) ........................................................................................................................... 20 3.4.5 Wireless Controller (Bảo mật không dây) .............................................................................................. 20 3.4.6 VPN ..................................................................................................................................................... 21 3.4.7 RED VPN ............................................................................................................................................. 21 3.4.8 IPv6 ..................................................................................................................................................... 23

4 DANH SÁCH THIẾT BỊ ................................................................................................................................ 23

4.1 THIẾT BỊ XG FIREWALL ............................................................................................................................. 23 4.2 FLEXI PORT MODULES ............................................................................................................................... 24 4.3 THIẾT BỊ KHÔNG DÂY (SOPHOS APS)........................................................................................................... 25 4.4 SOPHOS RED (REMOTE ETHERNET DEVICE) ............................................................................................... 26 4.5 SOPHOS FIREWALL MANAGER ................................................................................................................... 26 4.6 SOPHOS IVIEW REPORTING ........................................................................................................................ 27



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

4

1 Tổng quan

1.1 Yêu cầu bảo mật trong công nghệ thông tin

Với sự phát triển mạnh mẽ của công nghệ thông tin, đặt biệt là sự phát triển của mạng Internet các thiết bị di

động, ngày càng có nhiều thông tin quan trọng được lưu giữ, truyển tải qua Internet. Nhưng chúng luôn bị

đeo doạ bởi những nguy cơ ngày càng nhiều và đa dạng.

Để bảo vệ hệ thống mạng khỏi các nguy cơ tấn công đa dạng từ môi trường internet, các tổ chức thường sử dụng nhiều thiết bị bảo mật khác nhau như: Hệ thống IPS, VPN Router và Firewall. Những thiết bị này yêu cầu cấu hình, bảo trì và quản lý phức tạp, trong khi người dùng mong muốn có một thiết bị có đầy đủ tính năng và bảo vệ mạng một cách toàn diện.

Thêm nữa, không ít các tổ chức đánh giá cao khả năng giám sát và quản lí người dùng, đảm bảo họ sử dụng

tài nguyên mạng theo cách hợp lý nhất. Trong khi đó vẫn phải đảm bảo các tính năng bảo mật cũng như hiệu

năng của hệ thống.

1.2 Doanh nghiệp muốn gì?

Ngày nay, không chỉ những tổ chức lớn mới cần tới hệ thống bảo mật, các tổ chức vừa và nhỏ cũng mong

muốn được trang bị các sản phẩm an ninh mạng tích hợp đa chức năng – đó là UTM.

Đầu tư cho các giải pháp quản lí và các tính năng đi kèm trên UTM thật sự không là vấn đề quá lớn đối với

những doanh nghiệp lớn. Nhưng đối với những tổ chức vừa và nhỏ có nhu cầu riêng biệt như quản lí người

dùng, đâu là giải pháp cho họ?

Thực tế cho hay, ngày càng nhiều các doanh nghiệp mong muốn được biết nhân viên của họ đang làm gì trên

Internet, đang sử dụng tài nguyên mạng thế nào và thật khó kiểm soát được người dùng khi họ đang sử dụng

rất nhiều thiết bị công nghệ Sophos đưa ra giải pháp XG Firewall không chỉ hướng tối nhu cầu bảo mật

mạng mà còn bổ sung tính năng nhận dạng theo người dùng.



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

5

1.3 Giới thiệu về Sophos

Sophos là công ty luôn dẫn đầu thế giới lĩnh vực IT trong việc bảo vệ an ninh và dữ liệu. Sophos cung cấp

cho các tổ chức đầy đủ về bảo vệ và kiểm soát bảo vệ chống lại phần mềm độc hại đã biết và chưa biết, phần

mềm gián điệp, xâm nhập, các ứng dụng không mong muốn, thư rác, lạm dụng chính sách và rò rỉ dữ liệu, và

cung cấp kiểm soát toàn diện truy cập mạng (NAC). Hệ thống tin cậy của Sophos có thể dễ dàng vận hành

bảo vệ hơn 100 triệu người sử dụng tại hơn 150 quốc gia.

Tầm nhìn của Sophos: Cam kết nghiên cứu và phát triển, quan tâm chặt chẽ đến chất lượng đã giúp Sophos

duy trì tăng trưởng mạnh hàng năm và mức cao nhất cùng với của sự hài lòng của khách hàng trong nhiều

lĩnh vực

Đơn giản hoá bảo vệ

Công nghệ của Sophos chuyên thiết kế chủ yếu bảo vệ doanh nghiệp khỏi phần mềm độc hại và mất mát dữ

liệu, giữ an toàn mạng và thông tin, hỗ trợ doanh nghiệp 24/7, tính linh hoạt và truy cập mạng được thông

suốt. Sophos tập trung vào doanh nghiệp, hỗ trợ kỹ thuật round-the-clock, các giải pháp được đơn giản hóa

việc bảo mật và giúp doanh nghiệp có thời gian để tập trung vào kinh doanh.

Chuyên nghiệp lĩnh vực an ninh

Với 20 năm kinh nghiệp trên toàn thế giới của trung tâm SophosLabs trong việc nhận thấy các mối đe dọa

đang ngày càng phát triển nhanh, trung tâm Sophos Labs chuyên nghiên cứu, phân tích các lưu lượng web

và email 24 giờ mỗi ngày để giúp đưa ra các bản cập nhật về các mối nguy hại virus, spyware, spam hoặc

web-based khắp nơi trên toàn cầu nhằm giúp bảo vệ người dùng.

Nhiều trụ sở trên toàn cầu

Sophos có nhiều văn phòng trên toàn cầu và sản phẩm được bán thông qua mạng lưới phân phối và bán lẻ.

Với sức mạnh công nghệ dẫn đầu Sophos hiện là hãng thứ 3 về cung cấp giải pháo bảo mật và hệ thống hỗ

trợ kỹ thuật nhanh chóng trên toàn cầu nhằm giúp cho doanh nghiệp mở rộng và khả năng sinh lợi liên tục.

Hỗ trợ kỹ thuật:

Hỗ trợ kỹ thuật 24/7. Đa dạng với nhiều gói hỗ trợ khác nhau tuỳ theo nhủ cầu doanh nghiệp.

Thay thế nóng thiết bị từ 2-4h khi bị lỗi trong khu vực Tp.HCM.



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

6

2 Giải pháp Sophos XG

2.1 Sophos XG

Thiết bị Sophos XG được ra mắt năm 2016, bao gồm những tính năng tiên tiến của 1 “next-gen firewall”, được tích hợp đa tính năng trên một thiết bị phần cứng chuyên biệt, dễ dàng quản lý và cung cấp khả năng bảo vệ toàn diện hệ thống mạng.

2.2 Mô hình triển khai



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

7

2.3 Mức độ triển khai

Ngoài phần cứng chuyên biệt, XG Firewall cũng hỗ trợ cài đặt bằng phần mềm hoặc trên các nền tảng ảo hoá.

2.4 License và tính năng

2.5 Tại sao chọn Sophos XG Firewall

Bảo mật mạnh mẽ với “Next-gen Firewall”. Triển khai dễ dàng, linh hoạt. Tất cả tính năng được tích hợp trên một thiết bị duy nhất. Quản lí đơn giản một hay nhiều Firewall. Khả năng mở rộng hệ thống linh hoạt



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

8

Nhận dạng người dùng trên layer-8 . Hỗ trợ kỹ thuật linh hoạt, nhanh chóng.

2.6 So sánh với các đối thủ

Sophos

XG Firewall

Fortinet

FG 20-90

DellSonicWALL

TZ Series

WatchGuard

XTM Series

Network Firewall/ Protection

Advanced threat protection

Network and Endpoint

Integration [Heartbeat]

Unified Policies

User Risk Visibility [User Threat

Quotient]

FastPath Packet Optimization

Site to site and remote user VPN

Secure web gateway

Complete Email Protection [AV,

AS, Enc., DLP] $ $ $

Dual antivirus

Wi-Fi

Reverse proxy

Web application firewall $ $

User portal

Full Reporting $ $ $

Best TMG feature parity

Discover (TAP) Mode

Deployment



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

9

3 Thông tin kỹ thuật

3.1 MANAGEMENT

3.1.1 Firewall Management (Quản lý tường lửa)

Sophos Firewall OS cung cấp một giao diện quản lý gọn gàng, hiệu quả dựa trên web, có thể truy cập nhanh

đến tất cả các tính năng cần thiết mà loại bỏ những phức tạp không cần thiết.

Control Center (Trung tâm điều khiển) cung cấp một cái nhìn toàn thể của hiệu suất hệ thống, các chính

sách, nguy cơ, người dùng …

Hình ảnh về giao diện quản lý của Sophos XG – Control Center

Mô hình chính sách thống nhất: cho phép quản lý thuận tiện của tất cả người dùng, mạng, và các chính

sách ứng dụng doanh nghiệp của bạn ở một nơi cho các ứng dụng, web, QoS, và HIPS và các rule của hệ

thống.

Mẫu Policy: được sắp xếp hợp lý, nhanh chóng để cấu hình.



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

10

Role-based Administration: kiểm soát truy cập linh hoạt, chi tiết cho từng khu vực (Zone) với từng chức

năng khác nhau (WAN, LAN, DMZ…).

3.1.2 Centralized Management (Quản lý tập trung)

Sophos Firewall Manager cung cấp khả năng quản lí tập trung nhiều XG Firewall, cũng như theo dõi chúng

trên 1 giao diện điều khiển duy nhất.

Tuỳ biến linh hoạt, nhanh chóng các rule, policy giữa các firewall. Quản lí, theo dõi dễ dàng theo thời gian thực. Công cụ quản lí tập trung có thể được triển khai linh hoạt: phần cứng, phần mềm, ảo hoá, hoặc thông

qua điện toán đám mây (Cloud)

Cung cấp 3 giải pháp quản lí tập trung:

o Sophos Firewall Manager (SFM): Quản lí tập trung nhiều firewall o Sophos Cloud Firewall Manager (CFM): Quản lí tập trung nhiều firewall qua Cloud o Sophos iView Reporting: Quản lí log/report tập trung

Hình ảnh tham khảo 3 loại hình quản lí tập trung

3.1.3 Status and Alerts (Trạng thái và cảnh báo)

Tạo 1 cái nhìn tức thì bao quát tất cả hệ thống, bảo mật, trạng thái mạng tại ngay trung tâm điều khiển (Control Center).

Tự động phân tích ra những báo cáo (report) quan trọng để nhấn mạnh trên Control Center, tương tác với bất kỳ tiện ích nhằm cung cấp thông tin và khả năng truy cập nhanh chóng.

Email Notifications tự động gởi email cho người quản trị tình hình hệ thống. SNMP hỗ trợ giao thức IPSec VPN để giám sát thiết bị firewall từ xa.



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

11

3.1.4 Reporting and Logging (Theo dõi log/Report)

Lưu trữ ngay tại trên thiết bị, không cần bổ sung thiết bị lưu trữ log/report. Quản lí log tập trung nhiều firewall với Sophos iView. Báo cáo các mối đe doạ dựa theo từng người dùng. Kiểm soát đăng nhập và thay đổi. Syslog Support cho phép sao lưu an toàn, lưu trữ, và phân tích các bản ghi hệ thống.

3.2 USER AND APP CONTROL

3.2.1 User Identity (Định nghĩa theo người dùng)

Chính sách dựa trên layer-8 và khả năng phân tích nguy cơ của người dùng,

cung cấp thông báo và khả năng giành quyền kiểm soát trước khi họ trở

thành nguy cơ của cả hệ thống mạng.

Nhận dạng Layer-8 (người dùng) là nguồn sức mạnh cho tất cả các chính sách tường lửa và báo cáo, cho phép kiểm soát ứng dụng, lướt web, hạn ngạch băng thông và tài nguyên mạng.

Chính sách kiểm soát người dùng (User-based Policy Control). User Threat Quotient (UTQ) xác định người dùng có nguy cơ hàng

đầu trên mạng của bạn dựa trên hành vi gần đây của họ Tuỳ chọn xác thực linh hoạt : AD, eDirectory, LDAP, NTLM, RADIUS, TACACS+, RSA, Client

Agent, Captive Portal.

3.2.2 Application Control (Kiểm soát ứng dụng)

Nhận diện ứng dụng hoàn chỉnh và kiểm soát tất cả các ứng dụng trên mạng với công nghệ tiên tiến của

Sophos giúp quét sâu các gói tin.

Nhận diện và kiểm soát hơn 2600 ứng dụng, được phân chia thành từng nhóm theo đặc tính, nguy cơ, công nghệ và luôn được cập nhật bởi SophosLabs.

User-based Application Policies: Kiểm soát ứng dụng theo người dùng/ nhóm người dùng. Khả năng QoS theo ứng dụng Quét sâu vào dữ liệu của ứng dụng được mã hoá HTTPS, đảm bảo cho các chính sách.



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

12

3.2.3 Web Control (Kiểm soát web)

Hiển thị đầy đủ và kiểm soát tất cả lưu lượng web với các công cụ linh hoạt, với đầy đủ các tuỳ chọn hạn

ngạch, lịch trình sử dụng, giới hạn băng thông.

Kiểm soát truy cập web linh hoạt theo lớp mạng, nhóm hay từng người dùng. Định nghĩa sẵn hơn 90 nhóm và hàng tỉ trang web và luôn được duy trì bởi SophosLabs. QoS theo website. Quét sâu HTTPS để đảm bảo tính toàn vẹn của cá chính sách.

Hình ảnh khi URL web bị chặn



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

13

3.2.4 Content Control (Kiểm soát nội dung)

Chính sách kiểm soát người dùng dựa trên nội dung tải về bao gồm nhiều loại tập tin và nội dung thông qua

FTP, HTTP, hay HTTPS.

Kiểm soát hơn 100 loại file khác nhau. Dễ dàng tuỳ chỉnh, bổ sung nội dung định nghĩa các loại file Tuỳ chỉnh linh hoạt để kiểm tra file ( theo dung lượng, thời gian thực). Web caching: giảm tiêu thụ băng thông.

3.3 PROTECTION

3.3.1 Firewall (Tường lửa)

Hệ thống tường lửa mạnh mẽ, cho phép quét sâu tới các gói tin trong hệ thống mạng, ứng dụng từ internet tới

mạng nội bộ và ngược lại.

Zone-based Security: Cho phép tạo nên các rule mạng và bảo mật dựa trên những vùng (zones) đã được đinh dạng sẵn (WAN, LAN, WIFI, VPN, DMZ) hoặc vùng tự tuỳ chỉnh.

Perimeter Defenses: ngăn chặn tấn công mạng qua các giao thức như DOS, DDOS, ICMP. Quản lý rule linh hoạt theo người dùng, nhóm, zone, MAC, IP, Services … Country-based policy giúp chặn IP theo địa lý cho toàn bộ quốc gia hoặc khu vực.

3.3.2 IPS (Hệ thống chống xâm nhập)

XG Firewall kết hợp hoàn hảo giữa công nghệ next-gen IPS ( Phòng chống xâm nhập thế hệ mới) bảo vệ

trước nguy cơ tấn công và hack, trong khi đó vẫn đảm bảo hiệu suất hệ thống.



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

14

Next-gen IPS vượt xa các ứng dụng và máy chủ truyền thống để xác định và bảo vệ người dùng và tài nguyên mạng.

Đã có hàng ngàn dữ liệu và có thể tự tuỳ chỉnh. Bảo vệ mạnh mẽ từ những hình thức tấn công hiện đại, luôn được cập nhật liên tục bởi SophosLabs. Quét nhanh hơn, linh hoạt với nhiều tuỳ chọn, đảm bảo hiệu năng hệ thống.

3.3.3 Anti-malware (Phòng chống mã độc)

Công cụ chống mã độc mạnh mẽ được phát triển bởi SophosLabs và đã có lịch sử

30 năm bảo vệ cho môi trường doanh nghiệp trước những nguy cơ mới nhất.

Advanced Malware Protection: với công nghệ nhận diện nâng cao, độc quyền như giả lập và phân tích hành vi để phát hiện các mối đe doạ đa hình, có cơ sở dữ liệu khổng lồ.

Live Protection: được dành riêng cho Sophos, rút ngắn khoảng cách giữa các bản cập nhật thường xuyên thông qua tra cứu điện toán đám mây theo thời gian thực.

Hỗ trợ 2 engine để quét : Sophos và Avira. SophosLabs hoạt động 24/7 để nghiên cứu các mối đe doạ mới nhất.

3.3.4 Web Protection (Bảo vệ truy cập web)

Web Protection được phát triển bởi SophosLabs và bao gồm các công nghệ tiên tiến cần thiết để xác định và

ngăn chặn các mối đe dọa web mới nhất.

Advanced Web Protection: kết hợp khả năng phân tích cao cấp như: giả lập JavaScript, phân tích hành vi, xuất xứ để chống lại nhiều tầng tấn công web hiện đại.

Pharming Protection: Bảo vê trước lừa đảo, pharming



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

15

**Pharming là kỹ thuật tấn công web bằng cách điều hướng người dùng tới các độc hại do kẻ tấn

công điều khiển.

HTTPS Scanning: Tính năng quét sâu vào giao thức mã hoá HTTPS.

3.3.5 Security Heartbeat (Synchronized Security)

Cuộc cách mạng của Sophos khi tạo liên kết giữa thiết bị đầu cuối và tường lửa để cung cấp cơ chế bảo vệ

khỏi các mối đe doạ tiên tiến, giảm đáng kể thời gian và sự phức tạp khi ứng phó với các sự cố bảo mật.

Khả năng khám phá nhanh các mối đe doạ, đưa ra cảnh báo dựa trên các thông tin được trao đổi tường lửa và các thiết bị đầu cuối.

Thông báo chi tiết IP, người dùng và các tiến trình có nguy cơ. Ứng phó tự động cho phép tường lửa tạo chính sách cô lập hệ thống bị xâm hại hoặc giới hạn truy

cập tới dữ liệu quan trọng và tài nguyên mạng.

Security Hearbeat: Giải pháp bảo mật hoàn chỉnh nhất kết hợp giữa endpoint và Firewall

3.3.6 Advanced Threat Protection

Sophos Firewall OS mang đến cho bạn khả năng bảo vệ trước các mối đe doạ và các cuộc tấn công phức tạp

ngày nay.

Security Heartbeat liên kết giữa các thiết bị đầu cuối và tường lửa của bạn, kết hợp giữa khả năng nhận dạng thông minh và cô lập các hệ thống bị ảnh hưởng trước các mối đe doạ.

Phòng thủ trên nhiều lớp (multi-layered) bao gồm DNS, IPS, web, dữ liệu… và ngăn chặn bot-net, C&C.



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

16

Intelligent Firewall Policies: tự động kiểm soát các thiết bị đầu cuối như cô lập, hay hạn chế truy cập cho những hệ thống đã bị nhiễm mã độc.

3.3.7 Bussiness Applications

3.3.7.1 Web Application Firewall (Bảo vệ web server)

Được tích hợp với thiết bị tường lửa, bảo vệ máy chủ ứng dụng web khỏi các mối đe dọa chung từ bên ngoài

internet như các dạng tấn công của hacker, ngộ độc cookie và ngăn chặn mất mát các dữ liệu quan trọng. Với

tính năng này có thể bảo vệ an toàn cho các ứng dụng web portal như Outlook Web Access (OWA) và bảo

vệ chống lại các kỹ thuật tấn công như SQL Injection và Cross Site Scripting (XSS) và đảm bảo tuân thủ phù

hợp các chính sách đề ra. Ngăn chặn tin tặc tấn công vào các thông tin nhạy cảm như các dữ liệu thẻ tín dụng,

thông tin cá nhân, và số an sinh xã hội…

Cấu hình nhanh chóng, đơn giản máy chủ web server Hỗ trợ quét virut song song 2 engine : Sophos và Avira Hỗ trợ URL Hardening để kiểm soát truy cập của người dùng Tích hợp cân bằng tải (load balancing) Tuỳ chọn linh hoạt trong chính sách bảo vệ Tích hợp tính năng IPS, QoS

3.3.7.2 Email Protection (Bảo vệ mail Server)

Cũng như Web Application Firewall, tính năng Email Protection bảo vệ các email Server trước các mối đe

doạ từ chính người dùng hay các tấn công từ tin tặc

Hỗ trợ giao thức SMTP/s, IMAP/s, POP/s



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

17

Nhận diện tự động với Exchange. Ngăn chặn spam và các phần mềm độc hại Cung cấp 2 engine chống vi-rút. Kiểm soát theo định dạng hoặc dung lượng file đính kém. Quản lý linh hoạt các email bị cách ly do bị nghi ngờ spam, có mã độc.

Mã hoá email gởi đi với công nghệ SPX của riêng Sophos.

Hình ảnh minh hoạ về Email Protection

3.3.8 User Portal

Tính năng User Portal trên web của Sophos XG đưa ra nhiều tùy chọn cho người dùng cuối để theo dõi và

giám sát, do đó giúp giảm thiểu khối lượng công việc của quản trị viên trong việc giải quyết các truy vấn của

người dùng.

Khả năng theo dõi

Cho phép người dùng xem thông tin nhóm, hạn ngạch sử dụng Thông tin sử dụng mạng như thời gian,dung lượng upload/download

Kiểm soát email

Xem thông tin email bị nhiễm mã độc hay bị cách ly do nghi ngờ spam Tuỳ chọn xoá hoặc giải phóng cho email bị nghi ngờ

Client đa chức năng

Client xác thực SSO ứng dụng Directory (Active Directory, eDirectory…)



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

18

Client xác thực cho user, hỗ trợ Windows, MAC, Linux, iOS/Android SSL VPN Client (cho kết nối client-to-site) Clientless Access trực tiếp bằng trình duyệt, hỗ trợ RDP, HTTP/s, Telnet, SSH, VNC

Giao diện của User Portal

3.4 NETWORKING

3.4.1 Performance (Hiệu năng)

Sophos kết hợp giữa các công nghệ tối ưu hoá hiệu suất của tường lửa trên nền tảng của các chip xử lý đa

nhân của Intel.

High Speed: với công nghệ “FastPath Packet Optimization” giúp tăng 200% hiệu suất quét. High-performance Proxy: hỗ trợ hàng ngàn kết nối đồng thời, thực thi chính sách web với độ trễ tinh

theo phần nghìn giây. High-speed Interface: Mặc định với nhiều cổng GigE trên mọi thiết bị, kết hợp với khả năng mở

rộng FlexiPort với mô-đun tuỳ chọn cổng đồng 10GigE hay cổng quang. High Availability: Khả năng cân bằng tải, backup với nhiều thiết bị XG.



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

19

Mô hình mẫu triển khai High Availability

3.4.2 Routing and Bridging

NAT linh hoạt với Masquerading, DNAT, SNAT, Policy NAT Kiểm soát truy cập theo nhiều tiêu chí user, zone, MAC, IP, Services… Routing với static, OSPF, BGP, RIP, hỗ trợ VLAN và multicast. Cân bằng tải (load balacing)/ failover Discovery Mode cho phép triển khai mà không cần thay đổi hệ thống mạng hiện, mà vẫn có khả

năng giám sát hệ thống mạng. Triển khai đơn giản qua Bridge mode hoặc kết nối tới mirror-port trên Switch.

Mô hình mẫu cho Birdge Mode và Discovery mode (TAP/Mirror Mode)



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

20

3.4.3 Zone Segmentation

Mô hình phân vùng (Zone) vượt lên trên mô hình truyền thống dựa vào interface, cung cấp một cách trực

quan, mạnh mẽ và đơn giản để bảo mật và phân khúc hệ thống mạng.

Zone mặc định: LAN, WAN, DMZ, LOCAL, VPN, WI-fi Các Zone được tạo ra cho từng mục đích sử dụng và có thể tuỳ chỉnh. Các Zone đảm bảo luôn cô lập với nhau cho tới khi được cho phép bới các chính sách (Policy) Tạo rule và chính sách dễ dàng, dễ hiểu với từng Zone

3.4.4 Traffic Shaping (QoS)

Mạnh mẽ, linh hoạt và dễ dàng cấu hình với nhiều cơ chế như băng thông tối thiểu, băng thông tối đa, đảm

bảo băng thông, thời gian sử dụng, giới hạn lưu lượng sử dụng…

Quản lý băng thông linh hoạt cho người dùng, nhóm người dùng, lớp mạng Ưu tiên phân bổ băng thông hay giới hạn dựa vào thể loại web hay ứng dụng Hạn ngạch lưu lượng (Traffic Quotas) cho phép tuỳ chỉnh không giới hạn Tối ưu hoá VoIP theo thời gian thực

3.4.5 Wireless Controller (Bảo mật không dây)

XG Firewall tích hợp khả năng điều khiển mạng không dây cũng như các giải pháp bảo mật cho nó

Triển khai dễ dàng: plug-and-play, không cần cấu hình trên wireless, việc cấu hình sẽ thực hiện nhanh chóng trên thiết bị XG

Quản lí tập trung: Tất cả các thiết bị wireless đều được theo dõi và quản lí nhanh chóng thông qua Sophos XG Firewall

Hiệu năng cao với chuẩn 802.1ac, cấu hình linh hoạt được nhiều SSID, briding, zone, hotspots Bảo mật mạnh mẽ thông qua những tính năng của XG. Hỗ trợ RADIUS (chuẩn IEEE 802.1x) Tính năng Mesh giúp liên kết nhiều thiết bị AP như những Repeater.

Mô hình triển khai Wireless Protection tham khảo



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

21

3.4.6 VPN

Hỗ trợ đầy đủ các công nghệ kết nối VPN site-to-site, client-to-site và hơn thế nữa.

Site-to-site VPN: IPSec, SSL với đầy đủ công nghệ mã hoá và chứng thực như 256-bit AES/3DES, PFS, RSA, X.509 certificates, pre-shared key

Client-to-site: L2TP, PPTP, SSL, Cisco VPN (iOS), OpenVPN (iOS & Android) Clientless Portal trên nền tảng HTML5 chỉ có duy nhất ở Sophos cung cấp các dịch vụ như RDP,

HTTP, HTTPS, SSH, Telnet, VNC để kết nối nhanh chóng tới các ứng dụng doanh nghiệp. RED là thiết bị chuyên biệt của Sophos giúp thành lập kết nối VPN nhanh chóng, dễ dàng

Mô hình kết nối VPN client-to-site tham khảo

3.4.7 RED VPN

Thiết bị chuyên biệt Remote Ethernet Devices (RED) giúp mở rộng hệ thống mạng đến nhiều vị trí khác dễ

dàng.

Dễ dàng sử dụng

Quản lý tập trung: Tất cả các thiết bị Sophos RED khi kết nối được vào Internet sẽ tự động tạo kết nối VPN về thiết bị Sophos XG ở trụ sở chính và từ đó tất cả sẽ được quản lý từ thiết bị này.

Không yêu cầu cấu hình ở từng chi nhánh: Việc cấu hình cho thiết bị sẽ được tiến hành từ thiết bị Sophos XG ở trụ sở chính do đó không có yêu cầu về nhân lực IT để vận hành Sophos RED ở từng chi nhánh.

Giám sát dễ dàng: Giao diện quản lý rõ ràng, chi tiết về tình trạng của từng thiết bị Sophos RED được trên Sophos XG giúp người quản trị dễ dàng theo dõi và kiểm soát.

Bảo mật cao



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

22

Mã hóa đường truyền: Sử dụng cơ chế mã hóa AES256 mạnh mẽ cho đường truyền VPN với hiệu suất lên tới 30Mbit/s.

Sử dụng các phương thức chứng thực mạnh: Toàn bộ quá trình giao tiếp truyền và nhận dữ liệu giữa văn phòng chi nhánh và trụ sở chính xác thực bằng phương pháp X.509 để đảm bảo sự an toàn và tin cậy.

UTM: Tất cả việc kết nối của văn phòng chi nhành tới Internet và ngược lại đều được bảo vệ bằng hệ thống UTM (Network, Web, Mail) của Sophos XG ở trụ sở chính.

Sử dụng linh hoạt

Hỗ trợ Layer 2 VPN: Điều này giúp cho hệ thống mạng của văn phòng chi nhánh có thể hoạt động như thành phần trong hệ thống mạng LAN của trụ sở chính, từ đó ta có thể kiểm soát và chia sẽ các tài nguyên một cách dễ dàng.

Quản lý địa chỉ IP tập trung: Cung cấp dịch vụ DHCP và DNS cho tất cả các văn phòng chi nhánh sử dụng RED để kết nối. Điều này giúp cho việc vận hành hệ thống mạng ở từng chi nhánh đơn giản cũng như cung cấp cơ chế quản lý thống nhất và đồng bộ cho toàn bộ hệ thống mạng của trụ sở chính và các văn phòng chi nhánh.

Mô hình tham khảo



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

23

3.4.8 IPv6

XG Firewall cung cấp hỗ trợ triển khai ngay lập tức cho IPv6 hoặc chuẩn bị cho tương lại ngay khi bạn cần.

Cho phép bạn dễ dàng cấu hình tất cả các interface và các dịch vụ quan trọng với IPv6 thay cho IPv4 Triển khai linh hoạt và hỗ trợ đầy đủ cho IPv6 interface, tunneling (6in4, 6to4, 4in6, IPv6 qua IPSec) Chính sách đầy đủ cho người dùng (user) và ứng dụng

4 Danh sách thiết bị

4.1 Thiết bị XG Firewall



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

24

4.2 FleXi Port modules

Port mở rộng cho phần cứng thiết bị Sophos XG/SG.

Bao gồm Medium 1U/2U rack mount Appliance.



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

25

4.3 Thiết bị không dây (Sophos Aps)

Sophos Access Point AP55c

Enterprise dual-band/dual-radio celling mount

Maximum throughput 867 Mbps + 300 Mbps

Multiple SSIDs: 8 per radio (16 in total)

LAN interface: 1 x 10/100/1000 Base TX

WLAN standards: 802.11 a/b/g/n/ac (2.4 and 5 GHz)

Number of antennas: 4 internal

Power supply: 100-240V, 50/60Hz – 13W



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

26

4.4 Sophos RED (Remote Ethernet Device)

4.5 Sophos Firewall Manager

Phần cứng

Ảo hoá

* Free cho phiên bản SFMv5 / ** CPU frequency 2.7 GHz



P: +84 08 66805046 - F:+848 3841 5555– W: www.ntssi.vn

27

4.6 Sophos iView Reporting

Giải pháp quản lí log tập trung, chỉ hỗ trợ phần mềm và ảo hoá.

Documents

GIẢI PHÁP BẢO MẬT THIẾT BỊ TƯỜNG LỬA SOPHOS XG …ntssi.vn/wp-content/uploads/2016/04/Giải-pháp-Sophos-XG.pdf · liệu, giữ an toàn mạng và thông tin, hỗ