|
ASTARO INTERNET SECURITY
a) Giới thiệu chung: Giải pháp bảo mật
Internet Astaro là một giải pháp tích hợp các công nghệ bảo mật tốt nhất nhằm
cung cấp cho khách hàng một giải pháp bức tường lửa “tất-cả-trong-một”. Giải
pháp bảo mật Astaro bao gồm các công nghệ sau:
- Hệ điều hành được làm cứng tối ưu cho
công nghệ bảo mật (Hardened OS)
- Công nghệ kiểm tra gói tin có khả năng
nhận biết tình trạng kết nối (Stateful packet inspection)
- Công nghệ chống Spam mail, chống Virus
tin học, kiểm soát truy cập (Anti-Spam; Anti-Virus; Surf protection – tùy
chọn)
- Công nghệ lọc toàn bộ nội dung gói
tin (content filtering – tùy chọn)
- Công nghệ làm proxy cho các ứng dụng
quan trọng, tránh người dùng truy cập trực tiếp vào các máy chủ quan trọng
(Application Proxies)
- Công nghệ mã hóa IPSec hỗ trợ các kết
nối VPN
Giải pháp bảo mật Astaro được thiết kế tối ưu cho vấn đề an ninh mạng
mà không làm giảm tốc độ kết nối Internet của khách hàng. Astaro cho phép các nhân viên làm việc bên ngoài văn phòng, các văn phòng
chi nhánh, khách hàng và các đối tác kinh doanh… chia sẽ các thông tin quan
trọng thông qua Internet một cách an toàn.
b) Các tính năng chính
của Astaro
- Tự động cập nhật hệ thống hàng
giờ, hàng ngày, hàng
tuần đối với các hình thức tấn công mới trên mạng
- Bảo đảm an toàn cho người dùng truy cập
mạng Internet nhờ công nghệ nhận biết tình trạng của các kết nối (Stateful
packet inspection)
- Cho phép người dùng truy cập tài nguyên
nội bộ từ xa một cách an toàn và tiết kiệm chi phí nhờ công nghệ mạng riêng
ảo (VPN) từ người dùng đầu cuối đến mạng nội bộ Client to LAN) hoặc từ mạng
nội bộ đến mạng nội bộ (LAN to LAN)
- Hỗ trợ tất cả các công nghệ mã hóa tiên
tiến nhất: AES (Rijndael), 3DES, Blowfish hoặc Twofish
- Cho phép nhà quản trị hệ thống quản lý và
theo dõi (management and monitoring) hệ thống từ xa thông qua chuẩn giao tiếp
SNMP hoặc Syslog
- Tạo dễ dàng và thuận tiện cho nhà quản trị
thông qua giao diện quản lý đồ họa trực quan và bảo mật (WebAdmin, SSL
secured)
- Bảo mật hệ thống ở lớp ứng dụng đối với
các ứng dụng quan trọng là: DNS, HTTP, POP3, SMTP và SOCKS
- Bảo vệ hệ thống khỏi virus tin học (cơ sở
dữ liệu được cập nhật hàng giờ) từ các luồng dữ liệu thông qua thư điện tử
(POP3, SMTP)
- Tăng tốc độ truy cập Internet (khoảng 50%)
nhờ tích hợp sẵn công nghệ caching engine ngay bên trong bức tường lửa
- Giúp nhà quản trị quản lý được băng thông
truy cập Internet, tối ưu truy cập Internet cho các ứng dụng quan trọng nhờ
tích hợp công nghệ QoS
- Bảm bảo tính sẵn sàng 7x24 của hệ thống
nhờ công nghệ dự phòng nóng
(Hot-standby High Availability)
- Tận dụng tối đa năng lực xử lý của hệ thống
máy chủ phía sau bức tường lửa nhờ công nghệ phân chia tải động (Load
balancing)
- Kết nối trực tiếp với thiết bị ADSL với
nghi thức truyền thông PPPoE và PPPoA mà không phải qua phần mềm thứ 3
- Giúp nhà quản lý kiểm soát được người dùng
truy cập vào các trang web không mong muốn thông qua công cụ lọc nội dung trang
web truy cập (URL Content Filtering)
c) Thông số kỹ thuật của Astaro
Bức Tường Lửa
- Công nghệ kiểm tra gói tin có nhận biết
trạng thái kết nối (Stateful packet inspection)
- Bảo mật ở lớp ứng dụng cho các ứng dụng
HTTP, HTTPS, SMTP, POP3, DNS, IDENT, SOCKS
- Xác thực người dùng dựa trên nhiều loại
cơ sở dữ liệu: cơ sở dữ liệu người dùng trên firewall, cơ sở dữ liệu người
dùng của máy chủ RADIUS, Windows NT/2000/XP Domain Controller,LDAP, Novell
Directory Services
- Cho phép người dùng tự định nghĩa các
nhóm dịch vụ và phân nhánh mạng, bên cạnh các dịch vụ chuẩn đã được định
nghĩa sẵn
- Bảo vệ hệ thống đối với các hình thức
tấn công từ chối dịch vụ: ICMP flood, TCP SYN flood,UDP flood, Smurf, Trinoo, IP Spoofing.
- Phát hiện các hình thức thăm dò mạng
(Portscan detection)
Quản trị hệ thống
- Quản trị từ xa thông qua Webadmin mã
hoá 128 bit
- Hệ thống tự động cập nhật thông qua
Internet hàng giờ, hàng ngày, hàng tuần (PGP secured)
- Ghi sổ lại các sự kiện của hệ thống
thông qua các chuẩn Syslog, SNMP, ASCII, WELF (WebTrends format)
- Báo cáo thống kê kế toán dựa trên IP
- Quản trị hệ thống thông qua modem gắn
ngoài (Out-of-band Management via External Modem)
- Công cụ tự chuẩn đoán tình trạng mạng
- Công cụ sao lưu dự phòng và khôi phục
thông số cấu hình hệ thống
- Nhiều báo cáo kế toán định dạng sẵn.
- Dự phòng nóng thông qua cổng nối tiếp,
kết nối mạng Ethernet để đồng bộ cấu hình
- Công cụ quản trị hệ thống tập trung
(Optional: Astaro Global Configuration Manager)
Công nghệ mã hóa IPSec VPN
- Kết nối mạng-đến-mạng, trạm-đến-mạng,
trạm-đến-trạm.
- IP ảo, NAT-Traversal
- Xác thực thông qua Passphrase (PSK),
Certificates (X.509v3) or Keys (RSA)
- Quản lý PKI đối với các X.509
certificates
- Hỗ trợ các thuật toán mã hoá: AES
(Rijndael),3DES, Blowfish, Twofish, Serpent, MD5, SHA1 hoặc SHA2
- Nén dữ liệu Perfect Forward Secrecy
(PFS)
- Đặt cấu hình bức tường lửa cho từng kết
nối IPSec hoặc người dùng IPSec riêng rẽ
Công nghệ mã hóa PPTP VPN
- Máy trạm-đến-mạng
- Hỗ trợ mã hoá dữ liệu MPPE 40/128-bit
- Xác thực theo chuẩn MSCHAPv2
Authentication của Microsoft
- Xác thực theo RADIUS cho người dùng
PPTP
- Đặt cấu hình bức tường lửa cho từng
người dùng PPTP riêng rẽ
Lọc nội dung luồng dữ liệu
(Content Filter)
- Lọc các đoạn mã nguy hiểm trong dòng dữ
liệu truy cập Web (như: ActiveX, Cookies, WebBugs)
- Lọc Spam mail
- Lọc chuỗi do người dùng định nghĩa đối
với các luồng dữ liệu HTT/SMTP/POP3
- Mã hoá luồng dữ liệu SMTP (TLS) Bảo vệ virus đối với các luồng dữ liệu
SMTP/POP3
- Lọc địa chỉ truy cập trang web.
Công nghệ mạng
- Hỗ trợ công nghệ Ethernet 10/100 Mbps
và Gigabit Ethernet
- Hỗ trợ kết nối xDSL thông qua nghi thức
PPPoE và PPPoA
- Hỗ trợ chuẩn kết nối Ethernet không dây
802.11b ở cả hai chế độ Client và Access Point
- Hỗ trợ nhiều địa chỉ IP trên một card
mạng với IP ảo và VLAN (802.1q)
- Chuyển đổi địa chỉ tĩnh và động
(Dynamic and Static Network Address Translation, NAT)
- Cho phép các nghi thức H323, PPTP và
FTP truyền trực tiếp.
- Cân bằng tải Round-Robin, Least Used
Connection
- DHCP Client và Server
- Ngẫu nhiên hoá chuỗi TCP
- Proxy ARP
Kiểm soát băng thông Internet
- Hỗ trợ nghi thức Hierarchical Token
Bucket (HTB)
- Có thể ưu tiên băng thông theo nhóm
người dùng, theo ứng dụng hoặc nghi thức truyền thông (protocol)
|