Hướng dẫn mua firewall cứng cho hệ thống mạng (Phần 2)

Firewall tường lửa dễ sử dụng

Điều quan trọng là bạn chọn một tường lửa firewall cứng mà bạn cảm thấy thoải mái và dễ làm việc. Tuy nhiên, thật không may, mẫu có vẻ là tường lửa dễ sử dụng quá đơn giản và không đủ linh hoạt trong bộ tính năng và tường lửa khó duy trì là những mẫu có nhiều chức năng nhất, vì vậy bạn nên thử và lấy cân bằng.

Firewall được mua nhiều nhất: Fortigate FG-100F ; Fortigate FG-400EFortigate FG-600E ; Juniper SRX300-SYS-JBJuniper SRX340-SYS-JB

Tuy nhiên, tin tốt là các nhà cung cấp firewall giàu tính năng đã bắt đầu ẩn các cài đặt nâng cao và thử và làm cho nó đơn giản nhất có thể để quản lý mà không lấy đi bất kỳ chức năng nào. Ví dụ Fortinet đã đặt một số tính năng của chúng không được sử dụng thường xuyên trong CLI.

Tường lửa firewall có cung cấp GUI dễ sử dụng không? Tất cả các cài đặt có đủ dễ tìm không? Tính năng có được nhóm hợp lý với nhau không? Có đủ dễ dàng để di chuột từ một cuộc hội thoại này sang cuộc đối thoại khác không?

Bạn sẽ cảm thấy thoải mái với cách GUI (giao diện người dùng đồ họa) được thiết lập và nó được tổ chức hợp lý thành các phần. Ví dụ một phần được định nghĩa cho từng tính năng UTM, như trong lọc web, lọc spam, IPS, …

Một bản demo của sản phẩm vật lý hoặc phiên bản VMware sẽ là lý tưởng cho việc đánh giá. Bạn có thể tìm thấy khi đạt được các mục tiêu nhất định trên tường lửa yêu cầu một số bước và đòi hỏi nhiều nỗ lực. Vì vậy, điều quan trọng là để có được một cảm giác của tường lửa bạn sẽ được duy trì trên một cơ sở hàng ngày.

Tường lửa dễ sử dụng
Tường lửa dễ sử dụng

Làm thế nào để bạn cấu hình VPN? Nó có tích hợp tốt với phần còn lại của tường lửa không và nó có cung cấp bất kỳ trình thuật sĩ và mẹo nào để dễ dàng thiết lập không?

Các tính năng VPN được tích hợp trong tường lửa như thế nào? Khi một đường hầm VPN được thiết lập, tường lửa có tự động tạo các quy tắc trong chính sách cho tất cả lưu lượng VPN ra và vào không? Có bất kỳ trình hướng dẫn và công cụ VPN nào cho phép bạn thiết lập đường hầm VPN dễ dàng và nhanh chóng không? Họ có cung cấp bất kỳ lời khuyên hữu ích nào trong GUI cho phép bạn thực hiện các lựa chọn đúng không?

Hãy xem tính linh hoạt trong chức năng VPN. Bạn cần xem xét các thiết lập chi tiết để phân tích xem có thể dễ dàng thêm các mạng mới vào VPN hay không, linh hoạt để thực hiện các cấu hình VPN phức tạp, các cấu trúc VPN khác nhau, hỗ trợ VPN dựa trên chính sách và VPN dựa trên đường truyền, Dynamic VPN, v.v. không bị choáng ngợp với tất cả các tính năng này. Chỉ có bạn biết những gì tổ chức của bạn yêu cầu và có thể đơn giản như thiết lập một vài đường hầm VPN và đó là kết thúc của nó.

Ngoài ra hãy xem tường lửa và nhật ký VPN. Chúng có được tích hợp chặt chẽ với nhau để giúp bạn theo dõi và giải quyết các vấn đề VPN dễ dàng không? Đảm bảo chúng dễ theo dõi và có các chi tiết chi tiết mà bạn sẽ yêu cầu.

Sử dụng CLI (giao diện dòng lệnh) dễ dàng như thế nào?

Mặc dù bây giờ tất cả các nhà cung cấp đều hỗ trợ việc sử dụng giao diện điều khiển GUI, đôi khi bạn có thể cần truy cập CLI để khắc phục sự cố hoặc để thực hiện các thay đổi hiếm hoi không được hỗ trợ trong GUI. Bạn sẽ nhận được một cảm giác của CLI và chơi xung quanh với một số lệnh phổ biến. Hãy xem danh sách lệnh đầy đủ của CLI và khi bạn thực hiện thay đổi để xem liệu bạn có nhận được phản hồi mang tính thông tin trong CLI hay không. Hãy xem các tập tin trợ giúp CLI và tài liệu CLI, chúng có thông tin như thế nào? Bạn có thể tìm ra cách thực hiện các thay đổi đơn giản bằng cách sử dụng các tệp trợ giúp được cung cấp trong CLI không?

Một số nhà cung cấp có giao diện CLI được xây dựng bên trong GUI. Vì vậy, thay vì sử dụng telnet, SSH hoặc serial bạn có thể đăng nhập vào GUI và sau đó truy cập vào giao diện CLI từ đó, có thể chứng minh được tính năng rất tiện dụng.

Juniper Networks có một hệ thống phân cấp CLI thân thiện, nơi bạn có thể dễ dàng xác định vị trí của mình trong hệ thống phân cấp và dễ dàng nắm bắt được.

Thiết bị tường lửa có đi kèm với giao diện vật lý trên màn hình không? Việc đặt lại tường lửa dễ dàng như thế nào, bạn có thể đặt lại nó từ chính bản thân không?

Một số thiết bị tường lửa cho phép bạn định cấu hình các thay đổi cơ bản từ chính thiết bị vật lý. Màn hình đầu ra với một số nút cấu hình để xem phiên bản của thiết bị, để thực hiện các thay đổi cơ bản như thay đổi địa chỉ IP của công cụ, vv, có thể rất hữu ích.

Ngoài ra hầu hết các tường lửa đều cung cấp nút đặt lại vật lý trên phần cứng của thiết bị, điều này đơn giản như việc giữ nút trong 10 giây và khởi động lại thiết bị hoặc một quy trình tương tự.

Tuy nhiên trong thời gian gần đây một số nhà cung cấp cũng đã đưa tính năng này ra khỏi các thiết bị và đã giới thiệu một kết nối USB trực tiếp vào giao diện của họ, giúp ban đầu thiết lập thiết bị.

Các nhà cung cấp có cung cấp ứng dụng Quản lý tập trung không?

Nếu bạn quản lý một số tường lửa từ một nhà cung cấp cụ thể, chúng có cung cấp ứng dụng quản lý trung tâm, nơi bạn có thể thay đổi tất cả tường lửa cùng một lúc và theo dõi trạng thái tường lửa từ một giao diện không? Đối với các mạng lớn hơn với một số tường lửa, một thiết bị quản lý tập trung chắc chắn rất có lợi và cần được xem xét.

Với việc quản lý tập trung, thay đổi chính sách và điều chỉnh tính năng khác có thể được thực hiện một lần trên máy chủ quản lý và phân phối cho một hoặc nhiều thiết bị tường lửa. Điều này rất hữu ích nếu bạn có nhiều tường lửa từ cùng một nhà cung cấp và muốn thực hiện thay đổi cho 30 tường lửa văn phòng chi nhánh của bạn từ trụ sở chính.

Bạn có thể làm điều này trên giao diện quản lý trung tâm mà sau đó bạn có thể gửi thay đổi này cho tất cả các tường lửa văn phòng chi nhánh của bạn có thể được phân phối thông qua thế giới.

Nhiều nhà cung cấp tường lửa hỗ trợ các giải pháp quản lý và dịch vụ cho sản phẩm của họ, do đó bạn có thể quản lý tất cả các sản phẩm của họ từ một giao diện, không chỉ là bức tường lửa nhưng Web Security Gateway, Gateway Email và các giải pháp khác.

Một ví dụ về một sự thay đổi có thể là giám đốc của bạn yêu cầu bạn chặn truy cập vào facebook cho tất cả các trang web văn phòng 30 chi nhánh của bạn thông qua ra châu Âu. Thay vì thực hiện thay đổi 30 lần riêng lẻ, bạn có thể thực hiện thay đổi một lần từ máy chủ quản lý phân phối thay đổi chính sách cho tất cả 30 tường lửa nhánh cho bạn.

Liệu các nhà cung cấp cung cấp một chất rắn trong phần sâu trợ giúp trực tuyến, phần FAQ và một diễn đàn công cộng?

Khi bạn yêu cầu trợ giúp và hỗ trợ, điều quan trọng là nhà cung cấp cung cấp phần hỗ trợ vững chắc, cách cấu hình các tác vụ khác nhau trên tường lửa và hướng dẫn giải thích tốt cho bộ tính năng, cách chúng hoạt động và cách chúng được cấu hình là điều cần thiết.

Một diễn đàn trực tuyến trong nhiều trường hợp là cách tốt nhất để tìm câu trả lời cho các vấn đề bạn có thể gặp phải. Các nhà cung cấp thường cung cấp các diễn đàn trực tuyến, nơi người dùng có thể tham gia giải quyết các vấn đề / truy vấn khác.

Hãy xem diễn đàn trực tuyến của họ, nó có dân cư và thông tin không? Hãy xem liệu liệu các kỹ sư từ chính nhà cung cấp có đăng nhập và tương tác trực tiếp với người dùng cuối gặp phải sự cố hay không.

Việc quản lý tường lửa từ xa dễ dàng như thế nào?

Hãy xem những công cụ tường lửa hỗ trợ cho quản lý từ xa.

Các công cụ quản lý từ xa điển hình như sau. Đảm bảo tường lửa của bạn hỗ trợ ít nhất một số trong số này;

  • SSL
  • SSH
  • Quản lý tập trung
  • SYSLOG
  • SNMP
  • Kết nối trực tiếp với tường lửa GUI

Bạn có thể ủy nhiệm nhiệm vụ cho đồng nghiệp của mình không?

Nếu bạn đã phân đoạn mạng của mình, rất có thể bạn sẽ có các chính sách khác nhau cho từng phân đoạn mạng. Hãy xem liệu bạn có thể ủy quyền nhiệm vụ với sự cho phép hạn chế đối với đồng nghiệp của bạn để họ có thể duy trì số lượng cài đặt riêng của họ cho các phân đoạn mạng khác nhau hay không.

Ví dụ: bạn có thể chỉ định người quản lý nhân sự kỹ thuật của mình với các quyền để họ có thể thực hiện các thay đổi đối với tường lửa sẽ chỉ ảnh hưởng đến mạng HR.

Tường lửa có cung cấp tính năng khắc phục sự cố tích hợp không?

Hãy xem nhật ký để xem việc xác định các khía cạnh nhất định dễ dàng như thế nào. Các bản ghi được viết tốt và dễ theo dõi phải không? Hãy xem thông tin theo ngữ cảnh trong nhật ký và xác định lỗi trong nhật ký.

Chức năng ghi nhật ký và báo cáo tốt là rất quan trọng khi xảy ra sự cố. Bạn có thể tinh chỉnh các bản ghi để tìm thấy những gì bạn đang tìm kiếm không? Ví dụ: bạn có thể chỉ muốn xem nhật ký thời gian thực cho lưu lượng truy cập VPN để dễ khắc phục sự cố hơn.

Ngoài ra, hãy tìm các công cụ trong GUI để giúp bạn tìm và giải quyết các vấn đề như PING, công cụ DNS, tuyến đường theo dõi, tiện ích quay lại cấu hình, v.v.

Tường lửa có khả năng tích hợp với các nền tảng quản lý khác không?

Bạn có thể muốn tích hợp tường lửa của bạn với một máy chủ SNMP MIB, Syslog, NTP, do đó bạn sẽ cần phải xem xét cách tường lửa sẽ tích hợp với các công cụ quản lý khác và nếu nó được hỗ trợ.

Tường lửa có phong phú về các tính năng bạn yêu cầu không?

Lọc lớp ứng dụng cũng như kiểm tra gói trạng thái và lọc gói cơ bản hiện đã ở độ tuổi và đã trở thành tính phổ biến trong tất cả các tường lửa. Bạn cần phải tìm các tính năng bổ sung nâng cao, ghi nhật ký và báo cáo và các chức năng khác trong tường lửa. Nếu một trong các ưu tiên của tường lửa của bạn là có thể lọc spam, thì bạn có thể muốn xem các tính năng spam và xem xét mức độ linh hoạt của cài đặt spam.

Hỗ trợ sau bán hàng như thế nào? Bạn có thể đăng nhập bao nhiêu cuộc gọi theo yêu cầu không? Thời gian đáp ứng là gì? Đội ngũ hỗ trợ có kỹ năng như thế nào? cung cấp firewall ở đâu trên thế giới? Chúng có phải từ múi giờ khác không?

Hỗ trợ sau bán hàng là rất quan trọng và không nên bỏ qua. Nếu thiết bị firewall cứng của bạn thất bại, bạn cần đảm bảo hỗ trợ dòng khác dễ tiếp xúc và làm việc với để giải quyết vấn đề, phản hồi nhanh và lợi thế là chúng hoạt động trong cùng múi giờ với bạn.

Tham khảo các hãng firewall cứng: firewalls Ciscofirewalls Juniper