Hướng dẫn cách đọc và hiểu thông số firewall - tường lửa

 

Hướng dẫn cách hiểu thông số firewall - tường lửa
17/01/2021 09:00
Small Business Firewall Guide

Chắc hẳn trong chúng ta khi tìm hiểu các mẫu mã và thông số firewalls (tường lửa) để mua cho công ty, ai cũng thấy bối rối khi đọc các thông số kỹ thuật. Vậy làm cách nào để có thể hiểu được các thông số cơ bản của firewalls?

Firewall Throughput

Thông thường, chỉ số này được ghi là Mbps (megabits per second) hoặc Gbps (gigabits per second). Đây chính là lượng traffic có thể đi qua tường lửa tài một thời điểm. Thông số này có vẻ quan trọng, nhưng thực ra nó...không có ý nghĩa gì lắm. Thực ra con số này chỉ là con số thô, chỉ đo lượng traffic đi qua firewall mà không tính đến việc quét virus, lọc nội dung (content filtering), ngăn chặn xâm nhập (intrusion prevention), kiểm tra thất thoát dữ liệu và các bước tương tự. Con số còn có thể thay đổi theo giao thức (protocol) và kích cỡ gói tin (packet).

Thông số Throughput thậm chí quan trọng hơn cho việc chia lớp mạng nội bộ (network segmentation). Khi tường lửa được sử dụng cho mục đích này, nó kiểm soát traffic đi qua giữa các mạng nội bộ và VLANs. 

Ngày nay, hầu hết các tường lửa sẽ hỗ trợ lượng traffic 1Gbps+, tuy nhiên hầu hết kết nối mạng không thể đáp ứng được. Tóm lại, có thể xem xét thông số throughput, nhưng cần tập trung vào các con số throughput đề cập sau.

FortiGate Throughput

IPSec Throughput

Nếu như doanh nghiệp của bạn sử dụng VPN site to site, thông số IPSec throughput chính là lưu lượng traffic của mạng mà có thể đi qua firewall và encrypted tunnel để đến nơi người dùng truy cập từ xa. Ngày nay, hầu hết các firewall sử dụng cơ chế mã hóa bằng phần cứng, do đó thông số IPSec có thể bằng tổng con số throughput của thiết bị. Nếu như công ty bạn có nhiều địa điểm và IPSec VPNs là logical, thông số này rất đáng để chú trọng. Lưu ý là tường lửa không thể route được traffic nhanh hơn tốc độ internet của ban! Nếu như tốc độ internet của bạn là 100Mbps và tường lửa của bạn có thể chịu được 5Gbps IPSec, bạn sẽ bị bottleneck! Do đó, lưu ý trừ hao, ví dụ như tốc độ internet là 50Mbps VDSL -> thì tốc độ IPSec sẽ là 200Mbps).

Hỗ trợ làm việc từ xa/tại nhà (work from home)

Việc truy cập SSL VPN cho phép nhân viên công ty sử dụng thiết bị cá nhân để truy cập mạng nội bộ. 

SSL VPN Throughput

Tương tự như thông số của IPSec: Tốc độ mạng sẽ là bottleneck đầu tiên. Yếu tố khác cần xem xét chính là lượng băng thông và các phần mềm mà nhân viên bạn sẽ sử dụng khi họ truy cập hệ thống từ xa. Nói chung, hãy tính toán số lượng các sessions kết nối từ xa cùng lúc và xem số lượng sử dụng băng thông.

Remote Access Users / SSL VPN Connections / Max Supported Users

SSL Firewall Inspection
SSL Inspection from the FortiGate Cookbook @ cookbook.fortinet.com

Đây là số lượng người dùng có thể truy cập cùng lúc đến firewall tại một thời điểm. Khi lựa chọn firewall, hãy xem xét số lượng nhân viên làm việc từ xa là bao nhiêu.

 


SSL Inspection Throughput

Khi firewall scan traffic của website, firewall không thể scan các sessions SSL đã được mã hóa (ví dụ như ngân hàng, Gmail). Virus và các mối đe dọa khác có thể đi qua encrypted channel, do đó một số firewalls sẽ tiến hành scan traffic đã mã hóa để xem có malware hay không. Để làm được điều đó, firewall cần tiến hành decrypt, scan và mã hóa lại. SSL Inspection throughput chính là con số mô tả bao nhiêu traffic mà firewall có thể scan được tại một thời điểm. 

Cisco ASA Firewall Sizing
Cisco ASA Performance figures for ASA 5506

AV (Antivirus) and IPS Throughput (Intrusion Prevention System)

Đối với các loại firewall có chống virus hoặc chống xâm nhập (IPS), loại firewall này tiến hành scan virus, malware hoặc những dấu hiệu liên quan đến hành vi xâm nhập. Nếu như mà firewall của bạn hỗ trợ 1Gbps  throughput thô nhưng chỉ hỗ trợ 50Mbps AV/IPS throughput, đây là một đầu tư tai hại! Đối với hầu hết doanh nhiệp, chúng tôi khuyên các bạn tiến hành scan và profile web và traffic email, vì chúng chiếm phần lớn số lượng sử dụng.

Khi mua firewall, chú ý đến các con số này vì chúng chính lá giá trị đích thực cho doanh nghiệp của bạn. Khi tính toán, xem xét tốc độ đường truyền và số lượng sử dụng trung bình của người dùng. Điều này có thể tính toán ở môi trường hiện tại.  

Other Throughputs (NGFW, Threat Protection)

Luôn xem xét throughput so với tốc độ đường truyền và số lượng sử dụng trung bình của người dùng.

Firewall Latency

Khi traffic chạy qua firewall, độ trễ - latency (thường được tính theo đơn vị millisecond or microsecond µs) là thời gian một gói tin (packet) đi qua firewall và được scan theo security policy. Các firewall cấu hình cao thì thường con số này chỉ tính theo đơn vị microseconds (µs) thấp, ví dụ như firewall FortiGate 90D có thể xử lý traffic với latency chỉ 4µs. FWF-30E cấp thấp thì latency ở mức 130µs. Điều này có ảnh hưởng gì đến doanh nghiệp nhỏ hay không? Cũng không ảnh hưởng gì. Tất nhiên luôn có ngoại lệ, nhưng bất cứ firewall nào mà có thể xử lý traffic ở tốc độ dưới vài milliseconds là khá ổn cho các doanh nghiệp nhỏ và vừa (SME).

Concurrent Sessions

Đây là con số kết nối cùng lúc có thể mở tại một thời điểm. Mỗi lần bạn mở một trang web như CCN, Google Chrome có thể mở 20 kết nối khác nhau để tải hình ảnh, video, và các stylesheet từ các nguồn khác nhau. Firewall cấp thấp 30E hỗ trợ 900k sessions cùng lúc trong khi dòng FG-100E hỗ trợ 2 triệu sessions. Firewall cấu hình như vậy có thể hỗ trợ cho tổ chức với hơn 800 nhân viên cộng với servers, cơ sở hạ tầng, và cả các admin. Nếu như bạn muốn nâng cấp firewall, bạn có thể xem hiện tại lượng sessions cùng lúc trên firewall của bạn là bao nhiêu.     

New Sessions/Per Second

Đây là con số firewall có thể cho phép kết nối thêm, và tuân thủ theo security policy trên firewall. Thông thường, con số này sẽ là "x" ngàn sessions setup mỗi giây. Một firewall bình thường có thể cho phép thêm khoảng vài ngàn (ví dụ như 4000) trong khi dòng cao cấp có thể cho phép lên đến 100k sessions mới/giây. Đối với các doanh nghiệp vừa và nhỏ, số lượng sessions mới có thể không quá nhiều (không vượt quá 4000), tuy nhiên nếu thông số cao hơn thì tốt hơn - nhưng đây không phải là yếu tố quyết định. 

Management

Bạn quản lý firewall bằng cách nào? Web access, phần mềm quản lý, cloud hay qua kết nối qua CLI/SSH.

Web access là phổ biến nhất, tuy nhiên CLI được dùng cho việc cấu hình phức tạp.

Nhiều firewall hiện đại cho phép bạn quản lý trên cloud, và quản lý nhiều firewall từ một địa điểm. Cloud-managed firewalls sẽ là giải pháp lý tưởng nếu như bạn triển khai firewall tại nhiều địa điểm.

High Availability / Clustering

Với chỉ một firewall, đây chính là cánh cửa duy nhất để doanh nghiệp bạn kết nối internet. Vì vậy, để đảm bảo HA, doanh nghiệp nên đầu tư hai firewalls vận hành theo kiểu active/active hoặc active/passive.

Khi xem xét Cluster hoặc HA, bạn phải cân nhắc xem cái nào là đầu nguồn của firewalls (ví dụ như router của nhà cung cấp dịch vụ internet - ISP) và cuối nguồn (switch của bạn). 

FortiGate HA

Firewall Policies

Đây là con số rules mà bạn có thể cấu hình trên firewall. Thường đây không phải là một vấn đề. Fortinet hỗ trợ tối thiểu lên đến con số 5.000!

Hardware vs Virtual

Đối với doanh nghiệp chạy VMWare hay Hyper-V, bạn không cần mua phần cứng firewall. Thay vào đó, bạn chỉ cần mua một phần mềm chuyên dụng đóng vai trò như firewall. Đối với doanh nghiệp nhỏ, bạn chỉ cần mua thiết bị firewall phần cứng. Firewall ảo thì tuyệt, nhưng đòi hòi kiến thức chuyên sâu hơn để vận hành.

Interfaces

FortiGate92D Interfaces
Interface schematic of the FortiGate 92D

Bao nhiêu port network mà firewall có và tốc độ của chúng. Bạn chỉ nên lựa chọn tốc độ tính bằng Gigabit (GB). Wireless là một tính năng hay, nhưng nó không cần nếu như bạn không muốn chọn wireless. Mặc dù việc hỗ trợ wireless có vẻ mắc, điều này giúp đảm bảo an toàn và tuân theo các network policy. Các doanh nghiệp nhỏ và vừa nên lựa chọn chức năng này. 

Nếu như firewall của bạn được dùng để làm firewall kết nối mạng nội bộ, bạn nên xem xét interfaces tối thiểu 10GE.

Application Visibility

Các firewalls đời cũ thường theo rules liên quan đến các port TCP & UDP. Các firewall hiện đại cho phép bạn tạo các firewall policy dựa theo app thực tế đang sử dụng. Ví dụ như bạn có thể cho phép sử dụng Microsoft 365, block Skype, WhatsApp và các app khác.

Web Filtering

Khả năng theo dõi website và hoạt động lướt web đang là một yêu cầu phổ biến trong doanh nghiệp. Web filtering cho phép bạn theo dõi hiệu quả công việc hoặc chặn truy cập các web nguy hiểm hay độc hại. Website filtering hỗ trợ trên hầu hết các firewall NGFW hay UTP.

SD-Wan

Software-Defined WAN là kết cấu ảo cho phép doanh nghiệp của bạn sử dụng nhiều kết nối (ví dụ như fibre, DSL, 4G) để kết nối internet và các website khác. Ví dụ như QoS, kết nối đến các cloud apps như Office 365 và AWS, hay tự failover trong trường hợp mất điện. Nhiều doanh nghiệp lớn lựa chọn thay thế các dịch vụ WAN và MPLS bằng SD-WAN.

Local Storage

Các dòng firewall cấp thấp không có lưu trữ nội bộ, do đó không hỗ trợ logs, charts và reports. Firewalls có lưu trữ nội bộ có khả năng báo cáo, phản hồi cao, và chứa log. Khi mua firewall, lưu ý xem nó có bao gồm disk hay ổ SSD không.


Reference: Bài viết được dịch sơ lược từ trang Small Business Firewall Guide : Manx Technology Group (manxtechgroup.com), truy cập ngày 30/08/2021. 

Comments

Post a Comment

Popular posts from this blog

Install Gophish and Start Your Phishing Campaign

Image
Install Gophish on Kali Linux and Start Your Phishing Campaign  Installing go programming language # source ~/.bashrc # sudo apt install -y golang # sudo vim helloworld.go  # go run helloworld.go # sudo vim ~/.bashrc Add the following paths to the end of the file export GOPATH=/root/go-workspace export GOROOT=/usr/local/go PATH=$PATH:$GOROOT/bin/:$GOPATH/bin Installing gophish using pre-built binaries Download the  gophish installer  and extract the contents of the zip file # unzip gophish-v0.11.0-linux-64bit.zip -d /home/kali/Downloads/gophish Give Gophish necessary permissions Give the gophish the necessary permissions to run without permission restrictions: # sudo chmod +x gophish Running gophish # ./gophish Logging into gophish  Go to the admin server at https://127.0.0.0:3333. Setting up gophish sending profile New Sending Profile Note : Create an application-specific password on Gmail. First, enable 2-step verification: Send Test Email Received the test em...
Read more

[LINUX] - SECURING LINUX SYSTEMS

Image
TOPIC A: IMPLEMENT CYBERSECURITY BEST PRACTICES A chroot jail is a technique of controlling what a process a user can access on a file system by changing the root directory of that process's environment: Encryption is a cryptographic technique that converts data from plaintext into coded, or ciphertext, form. Decryption is the companion technique that converts ciphertext back to plaintext: LUKS: Linux Unified Key Setup is a platform-independent FDE solution that is commonly that is commonly used to encrypt storage devices in a Linux environment. The cryptsetup command is used as a front-end to LUKS and dm-crypt SYNTAX The syntax of the cryptsetup command is cryptsetup [options] {actions} [action arguments]  Hashing is a process or function that transforms plaintext input into an indecipherable fixed-length output and ensures this process cannot be feasibly reversed. The resulting output of the hashing process is called a hash, hash value, or message digest. TOPIC B: IMPLEMENT IAM M...
Read more