Mở cửa 8:00-17:30: Thứ 2 - Thứ 7
0

Giải pháp bảo mật XG Firewall

1   Tổng quan

1.1   Yêu cầu bảo mật trong công nghệ thông tin

Với sự phát triển mạnh mẽ của công nghệ thông tin, đặt biệt là sự phát triển của mạng Internet các thiết bị di động, ngày càng có nhiều thông tin quan trọng được lưu giữ, truyển tải qua Internet. Nhưng chúng luôn bị đeo doạ bởi những nguy cơ ngày càng nhiều và đa dạng.

Để bảo vệ hệ thống mạng khỏi các nguy cơ tấn công đa dạng từ môi trường internet, các tổ chức thường sử dụng nhiều thiết bị bảo mật khác nhau như: Hệ thống IPS, VPN Router và Firewall. Những thiết bị này yêu cầu cấu hình, bảo trì và quản lý phức tạp, trong khi người dùng mong muốn có một thiết bị có đầy đủ tính năng và bảo vệ mạng một cách toàn diện.

Thêm nữa, không ít các tổ chức đánh giá cao khả năng giám sát và quản lí người dùng, đảm bảo họ sử dụng tài nguyên mạng theo cách hợp lý nhất. Trong khi đó vẫn phải đảm bảo các tính năng bảo mật cũng như hiệu năng của hệ thống.

1.2   Doanh nghiệp muốn gì?

Ngày nay, không chỉ những tổ chức lớn mới cần tới hệ thống bảo mật, các tổ chức vừa và nhỏ cũng mong muốn được trang bị các sản phẩm an ninh mạng tích hợp đa chức năng – đó là UTM.

Đầu tư cho các giải pháp quản lí và các tính năng đi kèm trên UTM thật sự không là vấn đề quá lớn đối với những doanh nghiệp lớn. Nhưng đối với những tổ chức vừa và nhỏ có nhu cầu riêng biệt như quản lí người dùng, đâu là giải pháp cho họ?

Thực tế cho hay, ngày càng nhiều các doanh nghiệp mong muốn được biết nhân viên của họ đang làm gì trên Internet, đang sử dụng tài nguyên mạng thế nào và thật khó kiểm soát được người dùng khi họ đang sử dụng rất nhiều thiết bị công nghệ à Sophos đưa ra giải pháp XG Firewall không chỉ hướng tối nhu cầu bảo mật mạng mà còn bổ sung tính năng nhận dạng theo người dùng.

 

 

1.3   Giới thiệu về Sophos

Sophos là công ty luôn dẫn đầu thế giới lĩnh vực IT trong việc bảo vệ an ninh và dữ liệu. Sophos cung cấp cho các tổ chức đầy đủ về bảo vệ và kiểm soát bảo vệ chống lại phần mềm độc hại đã biết và chưa biết, phần mềm gián điệp, xâm nhập, các ứng dụng không mong muốn, thư rác, lạm dụng chính sách và rò rỉ dữ liệu, và cung cấp kiểm soát toàn diện truy cập mạng (NAC). Hệ thống tin cậy của Sophos có thể dễ dàng vận hành bảo vệ hơn 100 triệu người sử dụng tại hơn 150 quốc gia.

Tầm nhìn của Sophos: Cam kết nghiên cứu và phát triển, quan tâm chặt chẽ đến chất lượng đã giúp Sophos duy trì tăng trưởng mạnh hàng năm và mức cao nhất cùng với của sự hài lòng của khách hàng trong nhiều lĩnh vực

Đơn giản hoá bảo vệ

Công nghệ của Sophos chuyên thiết kế chủ yếu bảo vệ doanh nghiệp khỏi phần mềm độc hại và mất mát dữ liệu, giữ an toàn mạng và thông tin, hỗ trợ doanh nghiệp 24/7, tính linh hoạt và truy cập mạng được thông suốt. Sophos tập trung vào doanh nghiệp, hỗ trợ kỹ thuật round-the-clock, các giải pháp được đơn giản hóa việc bảo mật và giúp doanh nghiệp có thời gian để tập trung vào kinh doanh.

Chuyên nghiệp lĩnh vực an ninh

Với hơn 20 năm kinh nghiệm trên toàn thế giới của trung tâm SophosLabs trong việc nhận thấy các mối đe dọa đang ngày càng phát triển nhanh, trung tâm Sophos Labs chuyên nghiên cứu, phân tích các lưu lượng web và email 24 giờ mỗi ngày để giúp đưa ra các bản cập nhật về các mối nguy hại virus, spyware, spam hoặc web-based khắp nơi trên toàn cầu nhằm giúp bảo vệ người dùng.

Nhiều trụ sở trên toàn cầu

Sophos có nhiều văn phòng trên toàn cầu và sản phẩm được bán thông qua mạng lưới phân phối và bán lẻ.  Với sức mạnh công nghệ dẫn đầu Sophos hiện là hãng thứ 3 về cung cấp giải pháo bảo mật và hệ thống hỗ trợ kỹ thuật nhanh chóng trên toàn cầu nhằm giúp cho doanh nghiệp mở rộng và khả năng sinh lợi liên tục.

Hỗ trợ kỹ thuật:

Hỗ trợ kỹ thuật 24/7. Đa dạng với nhiều gói hỗ trợ khác nhau tuỳ theo nhủ cầu doanh nghiệp.

Thay thế nóng thiết bị từ 2 - 4h khi bị lỗi trong khu vực Tp.HCM.

2    Giải pháp Sophos XG

2.1   Sophos XG

Thiết bị Sophos XG được ra mắt và phát triển từ năm 2016 sau khi Sophos mua lại Cyberoam, bao gồm những tính năng tiên tiến của một “next-gen firewall”, được tích hợp đa tính năng trên một thiết bị phần cứng chuyên biệt, dễ dàng quản lý và cung cấp khả năng bảo vệ toàn diện hệ thống mạng.

Hình: Mô tả các tính năng tích hợp của Sophos XG Firewall

2.2   Mô hình triển khai

2.3   Mức độ triển khai

Ngoài phần cứng chuyên biệt, XG Firewall cũng hỗ trợ cài đặt bằng phần mềm hoặc trên các nền tảng ảo hoá.

2.4   License và tính năng

2.5   Tại sao chọn Sophos XG Firewall

  • Bảo mật mạnh mẽ với “Next-gen Firewall”.
  • Triển khai dễ dàng, linh hoạt.
  • Tất cả tính năng được tích hợp trên một thiết bị duy nhất.
  • Quản lí đơn giản một hay nhiều Firewall.
  • Khả năng mở rộng hệ thống linh hoạt
  • Nhận dạng người dùng trên layer-8 .
  • Hỗ trợ kỹ thuật linh hoạt, nhanh chóng.

2.6   So sánh với các đối thủ

 

Sophos

CheckPoint

WatchGuard

Fortinet

SonicWALL

Cisco Meraki

FastPath Packet Optimization

 

   

Dual AV Engines

         

IPS (NSS Recommended)

 

Application Control

✔ (partial)

Web Protection and Control

✔+

User and App Risk Assessment & Visibility

   

✔ (partial)

    

HTTPS Filtering

Advanced Threat Protection

Sandboxing

Identify Compromised Host, User, & Process

         

Compromised System Isolation

         

Unknown Application Identification

         

Full-Featured Web Application Firewall

   

+1Box

+1Box

  

Email AV, AS, Encryption & DLP

+1Box

+1Box

+1Box

+1Box

+1Box

Full Historical Reporting

+1Box

+1Box

+1Box

+1Box

  

Plug-and-Play Remote Office Security (RED)

         

Flexible Deployment (HW, SW, VM, IaaS)

No SW/IaaS

No SW

No SW/IaaS

HW only

 

3   Thông tin kỹ thuật

3.1   MANAGEMENT

3.1.1     Firewall Management (Quản lý tường lửa)

Sophos Firewall OS cung cấp một giao diện quản lý gọn gàng, hiệu quả dựa trên web, có thể truy cập nhanh đến tất cả các tính năng cần thiết mà loại bỏ những phức tạp không cần thiết.

Control Center (Trung tâm điều khiển) cung cấp một cái nhìn toàn thể của hiệu suất hệ thống, các chính sách, nguy cơ, người dùng …

                   Hình: Giao diện quản lý của Sophos XG – Control Center

Mô hình chính sách thống nhất: cho phép quản lý thuận tiện của tất cả người dùng, mạng, và các chính sách ứng dụng doanh nghiệp của bạn ở một nơi cho các ứng dụng, web, QoS, và HIPS và các rule của hệ thống.

Mẫu Policy: được sắp xếp hợp lý, nhanh chóng để cấu hình.

Role-based Administration: kiểm soát truy cập linh hoạt, chi tiết cho từng khu vực (Zone) với từng chức năng khác nhau (WAN, LAN, DMZ…).

3.1.2     Centralized Management (Quản lý tập trung)

Sophos Firewall Manager cung cấp khả năng quản lí tập trung nhiều XG Firewall, cũng như theo dõi chúng trên 1 giao diện điều khiển duy nhất.

  • Tuỳ biến linh hoạt, nhanh chóng các rule, policy giữa các firewall.
  • Quản lí, theo dõi dễ dàng theo thời gian thực.
  • Công cụ quản lí tập trung có thể được triển khai linh hoạt: phần cứng, phần mềm, ảo hoá, hoặc thông qua điện toán đám mây (Cloud)

Cung cấp 3 giải pháp quản lí tập trung:

  • Sophos Firewall Manager (SFM): Quản lí tập trung nhiều firewall
  • Sophos Cloud Firewall Manager (CFM): Quản lí tập trung nhiều firewall qua Cloud
  • Sophos iView Reporting: Quản lí log/report tập trung

     

                          Hình: 3 hình thức quản lí tập trung – Sophos XG Firewall

3.1.3     Status and Alerts (Trạng thái và cảnh báo)

  • Tạo 1 cái nhìn tức thì bao quát tất cả hệ thống, bảo mật, trạng thái mạng tại ngay trung tâm điều khiển (Control Center).
  • Tự động phân tích ra những báo cáo (report) quan trọng để nhấn mạnh trên Control Center, tương tác với bất kỳ tiện ích nhằm cung cấp thông tin và khả năng truy cập nhanh chóng.
  • Email Notifications tự động gởi email cho người quản trị tình hình hệ thống.
  • SNMP hỗ trợ giao thức IPSec VPN để giám sát thiết bị firewall từ xa.

3.1.4     Reporting and Logging (Theo dõi log/Report)

  • Lưu trữ ngay tại trên thiết bị, không cần bổ sung thiết bị lưu trữ log/report.
  • Quản lí log tập trung nhiều firewall với Sophos iView.
  • Báo cáo các mối đe doạ dựa theo từng người dùng.
  • Kiểm soát đăng nhập và thay đổi.
  • Syslog Support cho phép sao lưu an toàn, lưu trữ, và phân tích các bản ghi hệ thống.

3.2   USER & APPLICATION CONTROL

3.2.1     User Identity (Định nghĩa theo người dùng)

Chính sách dựa trên layer-8 và khả năng phân tích nguy cơ của người dùng, cung cấp thông báo và khả năng giành quyền kiểm soát trước khi họ trở thành nguy cơ của cả hệ thống mạng.

  • Nhận dạng Layer-8 (người dùng) là nguồn sức mạnh cho tất cả các chính sách tường lửa và báo cáo, cho phép kiểm soát ứng dụng, lướt web, hạn ngạch băng thông và tài nguyên mạng.
  • Chính sách kiểm soát người dùng (User-based Policy Control).
  • User Threat Quotient (UTQ) xác định người dùng có nguy cơ hàng đầu trên mạng của bạn dựa trên hành vi gần đây của họ
  • Tuỳ chọn xác thực linh hoạt : AD, eDirectory, LDAP, NTLM, RADIUS, TACACS+, RSA, Client Agent, Captive Portal.

3.2.2     Application Control (Kiểm soát ứng dụng)

Nhận diện ứng dụng hoàn chỉnh và kiểm soát tất cả các ứng dụng trên mạng với công nghệ tiên tiến của Sophos giúp quét sâu các gói tin.

  • Nhận diện và kiểm soát hơn 2600 ứng dụng, được phân chia thành từng nhóm theo đặc tính, nguy cơ, công nghệ và luôn được cập nhật bởi SophosLabs.
  • User-based Application Policies: Kiểm soát ứng dụng theo người dùng/ nhóm người dùng.
  • Khả năng QoS theo ứng dụng
  • Quét sâu vào dữ liệu của ứng dụng được mã hoá HTTPS, đảm bảo cho các chính sách.

3.2.3     Web Control (Kiểm soát web)

Hiển thị đầy đủ và kiểm soát tất cả lưu lượng web với các công cụ linh hoạt, với đầy đủ các tuỳ chọn hạn ngạch, lịch trình sử dụng, giới hạn băng thông.

  • Kiểm soát truy cập web linh hoạt theo lớp mạng, nhóm hay từng người dùng.
  • Định nghĩa sẵn hơn 90 nhóm và hàng tỉ trang web và luôn được duy trì bởi SophosLabs.
  • QoS theo website.
  • Quét sâu HTTPS để đảm bảo tính toàn vẹn của cá chính sách.

Hình: khi URL web bị chặn

3.2.4     Content Control (Kiểm soát nội dung)

Chính sách kiểm soát người dùng dựa trên nội dung tải về bao gồm nhiều loại tập tin và nội dung thông qua FTP, HTTP, hay HTTPS.

  • Kiểm soát hơn 100 loại file khác nhau.
  • Dễ dàng tuỳ chỉnh, bổ sung nội dung định nghĩa các loại file
  • Tuỳ chỉnh linh hoạt để kiểm tra file ( theo dung lượng, thời gian thực).
  • Web caching: giảm tiêu thụ băng thông.

3.3   PROTECTION

3.3.1     Firewall (Tường lửa)

Hệ thống tường lửa mạnh mẽ, cho phép quét sâu tới các gói tin trong hệ thống mạng, ứng dụng từ internet tới mạng nội bộ và ngược lại.

  • Zone-based Security: Cho phép tạo nên các rule mạng và bảo mật dựa trên những vùng (zones) đã được đinh dạng sẵn (WAN, LAN, WIFI, VPN, DMZ) hoặc vùng tự tuỳ chỉnh.
  • Perimeter Defenses: ngăn chặn tấn công mạng qua các giao thức như DOS, DDOS, ICMP.
  • Quản lý rule linh hoạt theo người dùng, nhóm, zone, MAC, IP, Services …
  • Country-based policy giúp chặn IP theo địa lý cho toàn bộ quốc gia hoặc khu vực.

3.3.2     IPS (Hệ thống chống xâm nhập)

XG Firewall kết hợp hoàn hảo giữa công nghệ next-gen IPS ( Phòng chống xâm nhập thế hệ mới) bảo vệ trước nguy cơ tấn công và hack, trong khi đó vẫn đảm bảo hiệu suất hệ thống.

  • Next-gen IPS vượt xa các ứng dụng và máy chủ truyền thống để xác định và bảo vệ người dùng và tài nguyên mạng.
  • Đã có hàng ngàn dữ liệu và có thể tự tuỳ chỉnh.
  • Bảo vệ mạnh mẽ từ những hình thức tấn công hiện đại, luôn được cập nhật liên tục bởi SophosLabs.
  • Quét nhanh hơn, linh hoạt với nhiều tuỳ chọn, đảm bảo hiệu năng hệ thống.

3.3.3     Anti-malware (Phòng chống mã độc)

Công cụ chống mã độc mạnh mẽ được phát triển bởi SophosLabs và đã có lịch sử 30 năm bảo vệ cho môi trường doanh nghiệp trước những nguy cơ mới nhất.

  • Advanced Malware Protection: với công nghệ nhận diện nâng cao, độc quyền như giả lập và phân tích hành vi để phát hiện các mối đe doạ đa hình, có cơ sở dữ liệu khổng lồ.
  • Live Protection: được dành riêng cho Sophos, rút ngắn khoảng cách giữa các bản cập nhật thường xuyên thông qua tra cứu điện toán đám mây theo thời gian thực.
  • Hỗ trợ 2 engine để quét : Sophos và Avira.
  • SophosLabs hoạt động 24/7 để nghiên cứu các mối đe doạ mới nhất.

3.3.4     Web Protection (Bảo vệ truy cập web)

Web Protection được phát triển bởi SophosLabs và bao gồm các công nghệ tiên tiến cần thiết để xác định và ngăn chặn các mối đe dọa web mới nhất.

  • Advanced Web Protection: kết hợp khả năng phân tích cao cấp như: giả lập JavaScript, phân tích hành vi, xuất xứ để chống lại nhiều tầng tấn công web hiện đại.
  • Pharming Protection: Bảo vê trước lừa đảo, pharming

**Pharming là kỹ thuật tấn công web bằng cách điều hướng người dùng tới các độc hại do kẻ tấn công điều khiển.

  • HTTPS Scanning: Tính năng quét sâu vào giao thức mã hoá HTTPS.

3.3.5     Security Heartbeat (Synchronized Security)

Cuộc cách mạng của Sophos khi tạo liên kết giữa thiết bị đầu cuối và tường lửa để cung cấp cơ chế bảo vệ khỏi các mối đe doạ tiên tiến, giảm đáng kể thời gian và sự phức tạp khi ứng phó với các sự cố bảo mật.

  • Khả năng khám phá nhanh các mối đe doạ, đưa ra cảnh báo dựa trên các thông tin được trao đổi tường lửa và các thiết bị đầu cuối.
  • Thông báo chi tiết IP, người dùng và các tiến trình có nguy cơ.
  • Ứng phó tự động cho phép tường lửa tạo chính sách cô lập hệ thống bị xâm hại hoặc giới hạn truy cập tới dữ liệu quan trọng và tài nguyên mạng.

Hình: Giải pháp bảo mật hoàn chỉnh nhất kết hợp giữa endpoint và Firewall

3.3.6     Advanced Threat Protection

Sophos Firewall OS mang đến cho bạn khả năng bảo vệ trước các mối đe doạ và các cuộc tấn công phức tạp ngày nay.

  • Security Heartbeat liên kết giữa các thiết bị đầu cuối và tường lửa của bạn, kết hợp giữa khả năng nhận dạng thông minh và cô lập các hệ thống bị ảnh hưởng trước các mối đe doạ.
  • Phòng thủ trên nhiều lớp (multi-layered) bao gồm DNS, IPS, web, dữ liệu… và ngăn chặn bot-net, C&C.
  • Intelligent Firewall Policies: tự động kiểm soát các thiết bị đầu cuối như cô lập, hay hạn chế truy cập cho những hệ thống đã bị nhiễm mã độc.

3.3.7     Bussiness Applications

3.3.7.1     Web Application Firewall (Bảo vệ web server)

Được tích hợp với thiết bị tường lửa, bảo vệ máy chủ ứng dụng web khỏi các mối đe dọa chung từ bên ngoài internet như các dạng tấn công của hacker, ngộ độc cookie và ngăn chặn mất mát các dữ liệu quan trọng. Với tính năng này có thể bảo vệ an toàn cho các ứng dụng web portal như Outlook Web Access (OWA) và bảo vệ chống lại các kỹ thuật tấn công như SQL Injection và Cross Site Scripting (XSS) và đảm bảo tuân thủ phù hợp các chính sách đề ra. Ngăn chặn tin tặc tấn công vào các thông tin nhạy cảm như các dữ liệu thẻ tín dụng, thông tin cá nhân, và số an sinh xã hội…

  • Cấu hình nhanh chóng, đơn giản máy chủ web server
  • Hỗ trợ quét virut song song 2 engine : Sophos và Avira
  • Hỗ trợ URL Hardening để kiểm soát truy cập của người dùng
  • Tích hợp cân bằng tải (load balancing)
  • Tuỳ chọn linh hoạt trong chính sách bảo vệ
  • Tích hợp tính năng IPS, QoS

3.3.7.2     Email Protection (Bảo vệ mail Server)

Cũng như Web Application Firewall, tính năng Email Protection bảo vệ các email Server trước các mối đe doạ từ chính người dùng hay các tấn công từ tin tặc

  • Hỗ trợ giao thức SMTP/s, IMAP/s, POP/s
  • Nhận diện tự động với Exchange.
  • Ngăn chặn spam và các phần mềm độc hại
  • Cung cấp 2 engine chống vi-rút.
  • Kiểm soát theo định dạng hoặc dung lượng file đính kém.
  • Quản lý linh hoạt các email bị cách ly do bị nghi ngờ spam, có mã độc.
  • Mã hoá email gởi đi với công nghệ SPX của riêng Sophos.

                                  Hình: mô hình minh hoạ về Email Protection

3.3.8     User Portal

Tính năng User Portal trên web của Sophos XG đưa ra nhiều tùy chọn cho người dùng cuối để theo dõi và giám sát, do đó giúp giảm thiểu khối lượng công việc của quản trị viên trong việc giải quyết các truy vấn của người dùng.

  Khả năng theo dõi

  • Cho phép người dùng xem thông tin nhóm, hạn ngạch sử dụng
  • Thông tin sử dụng mạng như thời gian,dung lượng upload/download

  Kiểm soát email

  • Xem thông tin email bị nhiễm mã độc hay bị cách ly do nghi ngờ spam
  • Tuỳ chọn xoá hoặc giải phóng cho email bị nghi ngờ

   Client đa chức năng

  • Client xác thực SSO ứng dụng Directory (Active Directory, eDirectory…)
  • Client xác thực cho user, hỗ trợ Windows, MAC, Linux, iOS/Android
  • SSL VPN Client (cho kết nối client-to-site)
  • Clientless Access trực tiếp bằng trình duyệt, hỗ trợ RDP, HTTP/s, Telnet, SSH, VNC

                                              Hình: Giao diện của User Portal

3.4   NETWORKING

3.4.1     Performance (Hiệu năng)

Sophos kết hợp giữa các công nghệ tối ưu hoá hiệu suất của tường lửa trên nền tảng của các chip xử lý đa nhân của Intel.

  • High Speed: với công nghệ “FastPath Packet Optimization” giúp tăng 200% hiệu suất quét.
  • High-performance Proxy: hỗ trợ hàng ngàn kết nối đồng thời, thực thi chính sách web với độ trễ tinh theo phần nghìn giây.
  • High-speed Interface: Mặc định với nhiều cổng GigE trên mọi thiết bị, kết hợp với khả năng mở rộng FlexiPort với mô-đun tuỳ chọn cổng đồng 10GigE hay cổng quang.
  • High Availability: Khả năng cân bằng tải, backup với nhiều thiết bị XG.

                                Hình: Mô hình mẫu triển khai High Availability

3.4.2     Routing and Bridging

  • NAT linh hoạt với Masquerading, DNAT, SNAT, Policy NAT
  • Kiểm soát truy cập theo nhiều tiêu chí user, zone, MAC, IP, Services…
  • Routing với static, OSPF, BGP, RIP, hỗ trợ VLAN và multicast.
  • Cân bằng tải (load balacing)/ failover
  • Discovery Mode cho phép triển khai mà không cần thay đổi hệ thống mạng hiện, mà vẫn có khả năng giám sát hệ thống mạng. Triển khai đơn giản qua Bridge mode hoặc kết nối tới mirror-port trên Switch.

Hình:  Mô hình mẫu cho Birdge Mode và Discovery mode (TAP/Mirror Mode)

3.4.3     Zone Segmentation

Mô hình phân vùng (Zone) vượt lên trên mô hình truyền thống dựa vào interface, cung cấp một cách trực quan, mạnh mẽ và đơn giản để bảo mật và phân khúc hệ thống mạng.

  • Zone mặc định: LAN, WAN, DMZ, LOCAL, VPN, WI-fi
  • Các Zone được tạo ra cho từng mục đích sử dụng và có thể tuỳ chỉnh.
  • Các Zone đảm bảo luôn cô lập với nhau cho tới khi được cho phép bới các chính sách (Policy)
  • Tạo rule và chính sách dễ dàng, dễ hiểu với từng Zone

3.4.4     Traffic Shaping (QoS)

Mạnh mẽ, linh hoạt và dễ dàng cấu hình với nhiều cơ chế như băng thông tối thiểu, băng thông tối đa, đảm bảo băng thông, thời gian sử dụng, giới hạn lưu lượng sử dụng…

  • Quản lý băng thông linh hoạt cho người dùng, nhóm người dùng, lớp mạng
  • Ưu tiên phân bổ băng thông hay giới hạn dựa vào thể loại web hay ứng dụng
  • Hạn ngạch lưu lượng (Traffic Quotas) cho phép tuỳ chỉnh không giới hạn
  • Tối ưu hoá VoIP theo thời gian thực

3.4.5     Wireless Controller (Bảo mật không dây)

XG Firewall tích hợp khả năng điều khiển mạng không dây cũng như các giải pháp bảo mật cho nó

  • Triển khai dễ dàng: plug-and-play, không cần cấu hình trên wireless, việc cấu hình sẽ thực hiện nhanh chóng trên thiết bị XG
  • Quản lí tập trung: Tất cả các thiết bị wireless đều được theo dõi và quản lí nhanh chóng thông qua Sophos XG Firewall
  • Hiệu năng cao với chuẩn 802.1ac, cấu hình linh hoạt được nhiều SSID, briding, zone, hotspots
  • Bảo mật mạnh mẽ thông qua những tính năng của XG.
  • Hỗ trợ RADIUS (chuẩn IEEE 802.1x)
  • Tính năng Mesh giúp liên kết nhiều thiết bị AP như những Repeater.

               Hình: Mô hình triển khai Wireless Protection (tham khảo)

3.4.6      VPN

Hỗ trợ đầy đủ các công nghệ kết nối VPN site-to-site, client-to-site và hơn thế nữa.

  • Site-to-site VPN: IPSec, SSL với đầy đủ công nghệ mã hoá và chứng thực như 256-bit AES/3DES, PFS, RSA, X.509 certificates, pre-shared key
  • Client-to-site: L2TP, PPTP, SSL, Cisco VPN (iOS), OpenVPN (iOS & Android)
  • Clientless Portal trên nền tảng HTML5 chỉ có duy nhất ở Sophos cung cấp các dịch vụ như RDP, HTTP, HTTPS, SSH, Telnet, VNC để kết nối nhanh chóng tới các ứng dụng doanh nghiệp.
  • RED là thiết bị chuyên biệt của Sophos giúp thành lập kết nối VPN nhanh chóng, dễ dàng

                                      Hình: Mô hình kết nối VPN client-to-site tham khảo

3.4.7     RED VPN

Thiết bị chuyên biệt Remote Ethernet Devices (RED) giúp mở rộng hệ thống mạng đến nhiều vị trí khác dễ dàng.

  Dễ dàng sử dụng

  • Quản lý tập trung: Tất cả các thiết bị Sophos RED khi kết nối được vào Internet sẽ tự động tạo kết nối VPN về thiết bị Sophos XG ở trụ sở chính và từ đó tất cả sẽ được quản lý từ thiết bị này.
  • Không yêu cầu cấu hình ở từng chi nhánh: Việc cấu hình cho thiết bị sẽ được tiến hành từ thiết bị Sophos XG ở trụ sở chính do đó không có yêu cầu về nhân lực IT để vận hành Sophos RED ở từng chi nhánh.
  • Giám sát dễ dàng: Giao diện quản lý rõ ràng, chi tiết về tình trạng của từng thiết bị Sophos RED được trên Sophos XG giúp người quản trị dễ dàng theo dõi và kiểm soát.

  Bảo mật cao

  • Mã hóa đường truyền: Sử dụng cơ chế mã hóa AES256 mạnh mẽ cho đường truyền VPN với hiệu suất lên tới 30Mbit/s.
  • Sử dụng các phương thức chứng thực mạnh: Toàn bộ quá trình giao tiếp truyền và nhận dữ liệu giữa văn phòng chi nhánh và trụ sở chính xác thực bằng phương pháp X.509 để đảm bảo sự an toàn và tin cậy.
  • UTM: Tất cả việc kết nối của văn phòng chi nhành tới Internet và ngược lại đều được bảo vệ bằng hệ thống UTM (Network, Web, Mail) của Sophos XG ở trụ sở chính.

  Sử dụng linh hoạt

  • Hỗ trợ Layer 2 VPN: Điều này giúp cho hệ thống mạng của văn phòng chi nhánh có thể hoạt động như thành phần trong hệ thống mạng LAN của trụ sở chính, từ đó ta có thể kiểm soát và chia sẽ các tài nguyên một cách dễ dàng.
  • Quản lý địa chỉ IP tập trung: Cung cấp dịch vụ DHCP và DNS cho tất cả các văn phòng chi nhánh sử dụng RED để kết nối. Điều này giúp cho việc vận hành hệ thống mạng ở từng chi nhánh đơn giản cũng như cung cấp cơ chế quản lý thống nhất và đồng bộ cho toàn bộ hệ thống mạng của trụ sở chính và các văn phòng chi nhánh.

Mô hình tham khảo

3.4.8     SD-WAN Technology

XG Firewall hỗ trợ công nghệ Software Define WAN (Wide Area Network). SD-WAN là một giải pháp toàn diện về tối ưu hóa đường truyền. Trong khi nhiều doanh nghiệp vẫn đang khó khăn trong việc định nghĩa và áp dụng giải pháp này thì Sophos đã đưa ra các tiêu chí cơ bản nhất mà một giải pháp SD-WAN có thể giải quyết, xoay quanh 4 mục tiêu chính sau:

  • Giảm chi phí kết nối: Các kết nối MPLS truyền thống rất tốn kém và các tổ chức/doanh nghiệp đang chuyển dần sang lựa chọn đường WAN (FTTH, Leaseline, …) với băng thông cao và giá cả phải chăng.
  • Tính ổn định và liên tục trong kết nối: với yêu cầu giải pháp có thể xử lý một cách hiệu quả các hạn chế của đường truyền và khả năng dự phòng, định tuyến, tối ưu thì SD-WAN là lựu chọn hiệu quả nhất.
  • Kết nối VPN nhiều chi nhánh đơn giản: kết nối VPN giữa các chi nhánh thường phức tạp và tốn thời gian, vì vậy các tổ chức đang tìm kiếm các công cụ để đơn giản hóa và tự động hóa việc triển khai và thiết lập.
  • Kiểm soát được chất lượng từng ứng dụng chuyên biệt: cho phép điều khiển và ưu tiên chất lượng dịch vụ/ứng dụng/ … theo thời gian thực theo bang thông và hiệu suất của ứng dụng để duy trì chất lượng kết nối của các ứng dụng kinh doanh quan trọng

Hiện tại Sophos XG Firewall đã tích hợp giải pháp SD-WAN để đáp ứng các yêu cầu sau:

  • WAN Links: Linh hoạt trong kết nối WAN và nhà cung cấp dịch vụ (ISP), cũng như đảm bảo được tính dự phòng và sẵn sàng khi kết nối gặp sự cố. Sophos XG hỗ trợ nhiều đường truyền khác nhau như Copper, Fiber, 3G/4G để cung cấp khả năng giám sát, cân bằng tải và dự phòng cho kết nối WAN.
  • Branch Offce Connectivity: Kết nối an toàn giữa các chi nhánh về trung tâm, và các dịch vụ Cloud khác là một thành phần cần thiết trong SD-WAN. Các tính năng Sophos XG mang lại nhằm giảm thiểu chi phí, tăng tính linh hoạt của hệ thống và triển khai, vận hành dễ dàng, đơn giản nhất.

 Sophos với công nghệ SD-WAN RED (Remote Ethernet Device) độc quyền với các thiết bị RED chi phí thấp sẽ giúp các doanh nghiệp triển khai giải pháp SD-WAN tối ưu nhất. Thiết bị RED hỗ trợ VPN ở Layer 2 – giữa chi nhánh và XG Firewall tại Trung tâm.

  • VPN Support and Orchestration: một trong nhưng mục tiêu quan trọng của giải pháp SD-WAN là hỗ trợ VPN mạnh mẽ và dễ dàng quản lý tập trung các kết nối VPN.

Sophos ngoài việc hỗ trợ nhiều chuẩn VPN site-to-site (IPsec, SSL) thì còn cung cấp chuẩn RED VPN site-to-site độc quyền với  hỗ trợ  định tuyến và hoạt động  ổn định trong môi trường có độ trễ cao như đường truyền vệ tinh (Cellular 3G/4G).

  • Application Visibility and Routing: đây được xem là mục tiêu quan trọng của hầu hết các doanh nghiệp khi triển khai giải pháp SD-WAN đó là Applicaltion-Routing (đinh tuyến cho ứng dụng) để đảm bảo  chất lượng và giảm thiểu độ trễ cho các ứng dụng quan trọng.

 

Đây là một tính năng mà Sophos XG hỗ trợ rất tốt đó là Đồng bộ hóa ứng dựng giữa Endpoint và Gateway Firewall để cung cấp sự rõ ràng và khả năng hiển thị 100% chính xác cho tất cả các ứng dụng được kết nối mạng, mang lại lợi thế đáng kể trong việc xác định các ứng dụng quan trọng, đặc biệt là việc định nghĩa và tùy chỉnh ứng dụng mới.

4   Thiết bị & sản phẩm đi kèm

4.1   Thiết bị XG Firewall

XG Series Destop

XG 85/85W

XG 105/105W

XG 115/115W

XG 125/125W

XG 135/135W

Firewall throughput

≥ 3.0 Gbps

≥ 3.5 Gbps

≥ 4.0 Gbps

≥ 6,5 Gbps

≥ 8 Gbps

VPN throughput

≥ 225 Mbps

≥ 360 Mbps

≥ 490 Mbps

≥ 700 Mbps

≥ 1.18 Gbps

IPS throughput

≥ 580 Mbps

≥ 970 Mbps

≥ 1,22 Gbps

≥ 1.53 Gbps

≥ 2.48 Gbps

Antivirus throughput (proxy)

≥ 360 Mbps

≥ 450 Mbps

≥ 600 Mbps

≥ 700 Mbps

≥ 1.58 Gbps

Ethernet interfaces

4 GE copper

4 GbE copper

1 GbE SFP (shared)

4 GbE copper

1 GbE SFP (shared)

8 GbE copper

1 GbE SFP

8 GbE copper

1 GbE SFP

FleXi port slots

0

0

0

1

1

FleXi port modules (optional)

N/A

N/A

N/A

SFP DSL module (VDSL2) 3G/4G module 802.11ac Wi-Fi radio 2x2:2 (XG 135w only) SFP transceivers

SFP DSL module (VDSL2) 3G/4G module 802.11ac Wi-Fi radio 2x2:2 (XG 135w only) SFP transceivers

 

Wireless standards (w models only)

802.11a/b/g/n

(2.4 GHz / 5 GHz)

2- External  Antena

802.11a/b/g/n

(2.4 GHz / 5 GHz)

3- External Antena

802.11a/b/g/n

(2.4 GHz / 5 GHz)

3- External Antena

802.11a/b/g/n/ac

(2.4 GHz / 5 GHz)

3- External Antena

802.11a/b/g/n/ac

(2.4 GHz / 5 GHz)

3- External  Antena

 

XG Series 1U

XG 210

XG 230

XG 310

XG 330

XG 430

XG 450

Firewall throughput

≥ 16 Gbps

≥ 20 Gbps

≥ 28 Gbps

≥ 33 Gbps

≥ 41 Gbps

≥ 50 Gbps

VPN throughput

≥ 1.45 Gbps

≥ 1.7 Gbps

≥ 2.75 Gbps

≥ 3.2 Gbps

≥ 4.8 Gbps

≥ 5.5 Gbps

IPS throughput

≥ 2.7 Gbps

≥ 4.2 Gbps

≥ 5.5 Gbps

≥ 8.5 Gbps

≥ 9 Gbps

≥ 10 Gbps

Antivirus throughput (proxy)

≥ 2.3 Gbps

≥ 2.8 Gbps

≥ 3.3 Gbps

≥ 6 Gbps

≥ 6.5 Gbps

≥ 7 Gbps

Ethernet interfaces

6 GE copper  (incl. 2 bypass pairs)

2 GE SFP

6 GE copper  (incl. 2 bypass pairs)
2 GE SFP

8 GE copper  (incl. 2 bypass pairs)
2 GE SFP
2 10 GE SFP+

8 GE copper  (incl. 2 bypass pairs)
2 GE SFP
2 10GE SFP+

8 GE copper  (incl. 2 bypass pairs)
2 10GE SFP+

8 GE copper  (incl. 2 bypass pairs)
2 10GE SFP+

FleXi port slots

≥ 1

≥ 1

≥1

≥1

≥2

≥2

FleXi port modules (optional)

8 port GE copper
8 port GE SFP*
2 port 10 GE SFP+*
4 port 10 GE SFP+*
2 port 40 GE QSFP+*
4 port GE PoE
8 port GE PoE
4 port GE copper LAN bypass

8 port GE copper
8 port GE SFP*
2 port 10 GE SFP+*
4 port 10 GE SFP+*
2 port 40 GE QSFP+*
4 port GE PoE
8 port GE PoE
4 port GE copper LAN bypass

8 port GE copper
8 port GE SFP*
2 port 10 GE SFP+*
4 port 10 GE SFP+*
2 port 40 GE QSFP+*
4 port GE PoE
8 port GE PoE
4 port GE copper LAN bypass

8 port GE copper
8 port GE SFP*
2 port 10 GE SFP+*
4 port 10 GE SFP+*
2 port 40 GE QSFP+*
4 port GE PoE
8 port GE PoE
4 port GE copper LAN bypass

8 port GE copper
8 port GE SFP*
2 port 10 GE SFP+*
4 port 10 GE SFP+*
2 port 40 GE QSFP+*
4 port GE PoE
8 port GE PoE
4 port GE copper LAN bypass

8 port GE copper
8 port GE SFP*
2 port 10 GE SFP+*
4 port 10 GE SFP+*
2 port 40 GE QSFP+*
4 port GE PoE
8 port GE PoE
4 port GE copper LAN bypass

 

XG Series 2U

XG 550

XG 650

XG 750

Firewall throughput

≥ 65 Gbps

≥ 85 Gbps

≥ 100 Gbps

VPN throughput

≥ 8.4 Gbps

≥ 9 Gbps

≥ 11 Gbps

IPS throughput

≥ 17 Gbps

≥ 20 Gbps

≥ 22 Gbps

Antivirus throughput (proxy)

≥ 10 Gbps

≥ 13 Gbps

≥ 17 Gbps

Ethernet interfaces

8 GE copper

8 GE copper

8 GE copper

FleXi port slots

≥ 4

≥ 6

≥8

FleXi port modules (optional)

8 port GbE copper
8 port GbE SFP*
2 port 10 GbE SFP+*
2 port 40 GbE QSFP+*
4 port 10 GbE SFP+*
4 port SFP* plus
4 port GbE copper LAN bypass

8 port GbE copper
8 port GbE SFP*
2 port 10 GbE SFP+*
2 port 40 GbE QSFP+*
4 port 10 GbE SFP+*
4 port SFP* plus
4 port GbE copper LAN bypass

8 port GbE copper
8 port GbE SFP*
2 port 10 GbE SFP+*
2 port 40 GbE QSFP+*
4 port 10 GbE SFP+*
4 port SFP* plus
4 port GbE copper LAN bypass

 

4.2   Hỗ trợ mô-đun mở rộng - FleXi Port modules

Port mở rộng cho phần cứng thiết bị Sophos XG/SG. Bao gồm Medium 1U/2U rack mount Appliance.

8 port GbE copper FleXi Port module (for SG/XG 2xx/3xx/4xx only)

 

8 port GbE SFP FleXi Port module (for SG/XG 2xx/3xx/4xx only)

2 port 10 GbE SFP + FleXi Port module (SG/XG 2xx/3xx/4xx only)

 

8 port GbE copper FleXi Port module (for XG/SG/UTM 5xx/6xx only)

 

8 port GbE SFP FleXi Port module (for XG/SG/UTM 5xx/6xx only)

 

2 port 10 GbE SFP + FleXi Port module Rev.2 (SG/XG 550/650 only)

 

4.3   Thiết bị không dây (Sophos Wireless Access Point)

4.4   Sophos RED (Remote Ethernet Device)

4.5   Sophos Firewall – Centralize Management

  • Cloud Management: Quản trị và monitor trạng thái bảo mật tất cả thiết bị tường lửa dễ dàng thông qua Cloud. Hoàn toàn miễn phí!

  • Software On-premise – Sophso Firewall Manager (SFM)

* Free cho phiên bản SFMv5 / ** CPU frequency 2.7 GHz

4.6   Sophos iView Reporting

Giải pháp quản lí logging và reporting tập trung, hỗ trợ phần mềm và ảo hoá.

* Free for evaluation purpose                                                           ** CPU frequency 2.7 GHz or equivalent

Event capacity varies with CPU family and hardware spec                    *** CPU frequency 3.1 GHz or equivalent

: Giải pháp bảo mật XG Firewall

Tin liên quan

Đăng ký nhận tin

Nhận thông tin sản phẩm mới nhất, tin khuyến mãi và nhiều hơn nữa.