Hướng dẫn mua firewall cứng cho hệ thống mạng

Mua firewall cứng cho hệ thống mạng là một tường lửa nên được lựa chọn rất cẩn thận về an ninh nó cung cấp. Hệ thống firewall cứng có mức độ sâu và cao về các cơ chế bảo mật tại chỗ và có thể bảo vệ công ty của bạn khỏi các phương pháp hack tiên tiến nhất cũng như tìm kiếm các nhu cầu cơ bản cần được phân tích kỹ lưỡng trước khi đưa ra quyết định.

Có nhiều nhà cung cấp thiết bị firewall cứng và chúng tôi cần chắc chắn rằng chúng tôi đã chọn đúng tường lửa cho tổ chức của mình. Khi các mối đe dọa an ninh đã phát triển, các nhà cung cấp bảo mật gateway đã phải theo kịp với những mối đe dọa này.

Tham khảo các hãng firewall cứng: firewall Cisco, firewall Juniper

Tường lửa luôn cung cấp kiểm tra gói trạng thái như một phương pháp ngăn chặn các cuộc tấn công nhưng ngày nay các tường lửa gói trạng thái không cung cấp mức bảo vệ phù hợp với các cuộc tấn công nâng cao. Đây là một trong những lý do tại sao các nhà cung cấp đã giới thiệu khái niệm UTM và đã giới thiệu các công cụ như IPS, DLP, chống virus và các tính năng bảo vệ an ninh khác.

Dưới đây là hướng dẫn và một số điều cần suy nghĩ khi tìm kiếm mua tường lửa.

mua firewall cứng cho hệ thống mạng
mua firewall cứng cho hệ thống mạng

Chức năng bảo mật

Bạn đang tìm gì từ một thiết bị tường lửa / cổng bảo mật / UTM?

Trước khi chúng tôi tiếp tục, phần đầu tiên và quan trọng nhất của việc chọn tường lửa là ghi lại chính xác những gì bạn đang tìm kiếm trong tường lửa. Ví dụ: bạn có thể đã có giải pháp lọc web và giải pháp chống spam được lưu trữ trên máy chủ, vì vậy, bạn có thể đang tìm kiếm tường lửa có khả năng cung cấp SSL VPN, IPS và chỉ kiểm soát ứng dụng.

Bạn thậm chí có thể đào sâu chính sách bảo mật CNTT của công ty bạn. Trong đó bạn có thể tìm thấy nhiều câu trả lời. Ví dụ: “Cấm người dùng tải xuống nhạc”, “Các nỗ lực xâm nhập vào mạng phải được ghi lại ít nhất 90 ngày”, v.v. Điều này cũng sẽ giúp bạn tạo ra các câu hỏi của riêng bạn. Bạn cũng có thể muốn tìm hiểu xem tường lửa có thể đăng nhập vào máy chủ Syslog hay không và liệu bạn có thể đặt giới hạn về lượng dữ liệu, v.v.

Bạn có thể cần phải tuân theo một quy định hoặc tiêu chuẩn nhất định như PCI DSS hoặc Quy tắc ứng xử (COCO) và trong đó nó sẽ xác định tiêu chí yêu cầu bạn cần từ tường lửa.

Cuối cùng, bạn có thể có một số tình huống thực tế khi sinh viên từ một trường đại học có thể duyệt bất kỳ trang web nào bằng proxy trong đám mây hoặc Bob có thể tải xuống rất nhiều tệp bằng Kazaa, vì vậy bạn có thể ghi lại một số yêu cầu khác cho.

Điều này là quan trọng bởi vì trước tiên hiển nhiên, bạn muốn một tường lửa để làm những gì bạn cần nó cho, và thứ hai không phải tất cả các bức tường lửa làm tất cả mọi thứ.

Tất cả các nhà cung cấp đều có lợi thế và bất lợi của họ. Một nhà cung cấp có thể tốt hơn vì họ có khả năng chống spam tuyệt vời và chi tiết, nơi nhà cung cấp khác có khả năng spam cơ bản nhưng bộ lọc web rất chi tiết và mạnh mẽ. Cả hai nhà cung cấp có thể không có bất kỳ chức năng SSL VPN nào, nơi một nhà cung cấp thứ ba có thể cung cấp SSL VPN, chống spam và lọc Web, tuy nhiên tất cả đều rất hạn chế.

Một ví dụ cuối cùng là một nhà cung cấp có tất cả mọi thứ nhưng đắt hơn nhiều so với bất kỳ người nào khác và vì vậy ngoài ngân sách của bạn.

Bảo mật tường lửa bằng cách sử dụng các nguồn được công nhận

Tường lửa cung cấp cho mạng của chúng tôi lớp bảo vệ đầu tiên và vì vậy chúng tôi cần đảm bảo rằng nhà cung cấp đã thực hiện các bước để bảo vệ tường lửa và nó được khắc phục chống lại bất kỳ lỗ / điểm yếu nào.

May mắn thay, bạn không có kiểm tra làm thế nào cứng một hệ điều hành tường lửa là chính mình như có các tiêu chuẩn an ninh ngành công nghiệp và các tổ chức bên thứ ba cung cấp thử nghiệm bảo mật công nghệ. Họ sẽ cho bạn biết tường lửa hoạt động tốt như thế nào so với các cơ chế thử nghiệm mạnh mẽ của họ.

Dưới đây là một số nguồn bên thứ ba nổi tiếng nhất thông qua thế giới;

Tiêu chí chung – Một tiêu chuẩn được quốc tế công nhận để kiểm tra và đánh giá sự đảm bảo an ninh được cung cấp bởi các giải pháp. Điều này về cơ bản sẽ cho bạn biết mức độ bảo vệ tối thiểu mà tường lửa sẽ cung cấp.

Gartner – Cung cấp đánh giá chức năng sản phẩm của nhà cung cấp, cơ sở khách hàng, bản đồ đường trong tương lai, v.v. Gartner sau đó đặt nhà cung cấp lên phần tư kỳ diệu của họ phản ánh mức độ họ đánh giá nhà cung cấp tường lửa.

FIPS 140-2 – Sẽ kiểm tra và chứng nhận các mô-đun mã hóa trong tường lửa.

Bản tin Virus – Làm thế nào một sản phẩm chống virus được thực hiện chống lại virus. Virus Bulletin cũng kiểm tra công nghệ lọc thư rác.

Các tính năng bảo mật UTM (Unified Threat Management)

Tường lửa UTM đi kèm với các tính năng bảo mật bổ sung. Một số tính năng hoặc mô-đun bảo vệ bao gồm chống vi-rút cổng, bảo vệ chống spam, lọc web, IDS / IPS, DLP và kiểm soát ứng dụng. Thiết bị UTM cung cấp gói bảo vệ hoàn chỉnh, tất cả trong một giải pháp và lý tưởng cho các doanh nghiệp vừa và nhỏ.

Dưới đây chúng tôi sẽ xem xét những gì cần tìm trong sản phẩm UTM khi mua các tính năng bổ sung cần thiết.

Tường lửa thế hệ tiếp theo

Tường lửa thế hệ tiếp theo cung cấp sự kiểm soát chặt chẽ đối với các ứng dụng hơn là các cổng và dịch vụ truyền thống. Tường lửa thế hệ tiếp theo cung cấp cho bạn khả năng tạo quy tắc dựa trên người dùng và appliacations và cung cấp khả năng báo cáo chuyên sâu.

An ninh Web

Lọc web được sử dụng để bảo vệ khi duyệt web. Bạn có cần lọc web cho người dùng của mình không?

Các mô đun lọc web trong tường lửa đã phát triển trong vài năm qua. Chúng đi kèm với khả năng bảo vệ người dùng của bạn khỏi việc lướt các trang web độc hại hoặc thậm chí các trang web mà bạn làm quản trị viên không muốn họ xem như các trang web truyền thông xã hội.

Có các tính năng tùy chỉnh khác cũng như khả năng cho phép và từ chối người dùng cụ thể vào những thời điểm nhất định trong ngày. Bạn có thể chặn danh mục như “Thể thao” nhưng cho phép một URL nhất định trong danh mục thể thao là ngoại lệ? Một số khía cạnh để xem xét;

Có chi tiết và linh hoạt trong cài đặt không? Bạn có thể tái phân loại trang web thành các danh mục khác nhau không?

Tìm kiếm các tính năng như khả năng chặn các danh mục trang web nhất định, chẳng hạn như trang web mạng xã hội vào những thời điểm nhất định trong ngày đối với một số người dùng nhất định.

Bạn cũng sẽ muốn kiểm tra xem các nhà cung cấp có sử dụng các tính năng UTM của họ như lọc web hay không. Một số nhà cung cấp tường lửa không cung cấp nhóm nghiên cứu lọc web của riêng họ. Họ cung cấp giao diện người dùng nhưng thuê ngoài các danh mục và cập nhật từ bên thứ ba.

Một công ty bên thứ ba sẽ kiểm tra và cập nhật hàng triệu trang web hàng ngày, phân loại lại trang web, thêm trang web mới, tìm kiếm các trang web có hại, v.v., cung cấp sức mạnh đằng sau công nghệ lọc web.

Firewall nhà cung cấp thường cung cấp này như là một tùy chọn thêm vào và được hợp tác với một nhà cung cấp bên thứ ba cung cấp cơ sở dữ liệu của hàng triệu trang web được phân loại. Tuy nhiên điều này tất cả sẽ là một phần của giao diện tường lửa và được tích hợp chặt chẽ với các thiết lập tường lửa và các quy tắc chính sách.

Báo cáo rất quan trọng vì bạn muốn biết trang web nào được truy cập nhiều nhất, người dùng nào đang duyệt trang web nào và từ những phân tích này, bạn có thể đưa ra quyết định tiếp theo trong việc quyết định trang web nào cho phép và chặn nữa.

Báo cáo của bạn có thể cần phải chi tiết như ví dụ như xem báo cáo về một nhóm người dùng đã chọn, một thời gian nhất định trong tháng và ngày trên người dùng đó, ngoại trừ google.com và yahoo.com khỏi báo cáo của bạn. Chức năng báo cáo như thế nào? Bạn có thể tìm ra người dùng nào đã truy cập các trang web bất hợp pháp không? Điều gì về 10 trang web hàng đầu mà người dùng đã truy cập hàng tháng?

Bảo vệ VOIP

Bạn sử dụng giao thức VOIP nào tại tổ chức của mình và tường lửa nào hỗ trợ bảo vệ VOIP? Cisco SIP và H.323 cho cuộc họp Net là những ví dụ phổ biến, và tất cả điều này phụ thuộc vào những cái bạn sử dụng tại công ty của bạn. Một lần nữa tất cả phụ thuộc vào yêu cầu của công ty bạn là gì.

Một số tính năng bảo vệ và giao thức VOIP là;

NAT for all VOIP protocols

DOS protection for VOIP

SCCP

MGCP

SIP

H.323

IPS / IDS

Bạn có yêu cầu bất kỳ bảo vệ IPS hoặc IDS nào (Hệ thống ngăn chặn xâm nhập / Hệ thống phát hiện xâm phạm) không?

Hệ thống phát hiện xâm nhập và phòng ngừa cung cấp một cách thông minh trong việc phát hiện các cuộc tấn công trong thực tế là họ theo dõi hành vi của lưu lượng truy cập và kiểm tra các lệnh cụ thể đối với một cơ sở dữ liệu chữ ký. Sau đó, họ có thể đưa ra quyết định cuối cùng để từ chối hoặc cho phép lưu lượng truy cập.

Hãy tìm các loại hệ điều hành, ứng dụng và giao thức mà hệ thống IPS hỗ trợ và tìm kiếm mức độ chi tiết nói chung trong hệ thống IPS.

Tường lửa phần cứng có hỗ trợ bất kỳ tấn công DOS (tấn công từ chối dịch vụ) và DDOS (tấn công từ chối dịch vụ phân tán) không?

Đây là loại tấn công nhằm mục đích gây hại cho máy chủ của bạn theo những cách mà nó đã bị choáng ngợp bởi các yêu cầu và đã dẫn đến hiệu suất đáng kể hoặc không thể tiếp tục cung cấp dịch vụ.

Các tính năng ngăn ngừa DOS và DDOS phổ biến cần tìm;

Dropping spoofing attacks,

Dropping UDP flood attacks,

Dropping ICMP flood attacks,

Dropping SYN flood attacks,

Dropping IKE flood attacks,

Dropping Port scan attacks,

Rate Control.

Gateway Anti Virus

Vì vi-rút không chỉ là mối đe dọa qua email, nên các kênh khác như mạng xã hội, Nhắn tin tức thì và Web nói chung phải được quét để chặn phần mềm độc hại đã biết và không xác định.

Tường lửa có hỗ trợ trình quét chống vi-rút mạnh và có uy tín trên cổng không? Gói này có hỗ trợ chống lừa đảo, chống phần mềm gián điệp, Phần mềm quảng cáo, Trojans và sâu và các chương trình không mong muốn không?

Bạn có thể kiểm tra xem nhà cung cấp có nhóm nghiên cứu chống phần mềm độc hại của riêng mình hay không hoặc liệu họ có thuê ngoài dịch vụ này hay không. Khi bạn biết sản phẩm chống vi-rút nào họ sử dụng, bạn có thể sử dụng các tổ chức của bên thứ ba như Bản tin vi-rút để xem mức độ đánh giá của sản phẩm là ngăn chặn phần mềm độc hại.

Chống thư rác Anti Spam

Tường lửa có bảo vệ chống spam không?

Spam đã là một vấn đề ngày càng tăng và đã đạt được những con số không tưởng tượng được. E-mail là hình thức giao tiếp phổ biến nhất, giúp bảo vệ e-mail trở nên quan trọng.

Khi nói đến spam, giống như lọc web, bạn sẽ cần phải xem xét sâu bên trong bộ tính năng và đảm bảo bạn có tính linh hoạt và chi tiết trong các tính năng chống spam.

Tính linh hoạt để chống thư rác nên được phân tích trong hai lĩnh vực chính. Đầu tiên là cung cấp cho bạn khả năng xác định và tinh chỉnh bộ lọc spam của bạn và cung cấp cho bạn khả năng kiểm soát chi tiết để bạn có thể xác định thư rác nào là của công ty bạn và thư rác không phải là gì.

Đây cũng có thể là một tính năng cho cấp độ người dùng, không chỉ là miền. Vì vậy, ví dụ, Bob có thể coi email là spam, trong đó Sally KHÔNG coi email đó là spam.

Khu vực thứ hai là kiểm soát nội dung. Ví dụ: bạn có thể yêu cầu tính năng chống spam của tường lửa chặn tất cả e-mail được mã hóa đến, ngoại trừ một nhóm người dùng cụ thể nếu email đến từ một nhóm người dùng bên ngoài cụ thể.

Quan trọng nhất là bạn cần phải phân tích cách thức sản phẩm thực hiện theo sản xuất. Họ có thực sự ngừng số lượng spam mà họ chỉ định không? Chúng có dẫn đến quá nhiều kết quả dương tính giả hoặc âm tính giả không? Bạn có thể sử dụng các nguồn như Bản tin Virus hoặc đưa vào sản xuất khi đánh giá sản phẩm để có được cảm nhận thực sự về cách sản phẩm hoạt động.

Mặt khác, bạn có thể không muốn bảo vệ chống spam hoàn toàn trên thiết bị UTM. Một thiết bị chống spam chuyên dụng giống như bất kỳ thiết bị chuyên dụng nào khác cung cấp cho bạn nhiều chi tiết hơn. Email là một công cụ hàng ngày, được sử dụng nhiều và là hình thức giao tiếp phổ biến nhất hiện nay. Nó thường đòi hỏi các quy tắc phải rất chi tiết cho hầu hết các công ty.

Ví dụ: các tệp đính kèm có thể thực thi nên bị chặn rộng, nhưng mp3 và các tệp âm thanh và video khác sẽ bị chặn đối với tất cả nhân viên ngoại trừ người quản lý và giám đốc. Một lần nữa nó cũng giống như bất cứ điều gì khác, đảm bảo bạn biết những gì bạn yêu cầu từ một email và bảo mật chống thư rác và sau đó bạn có thể biết thời tiết một UTM hoặc một thiết bị chuyên dụng là sự lựa chọn đúng đắn. Điều này có thể đi cho IPS và bảo vệ Web là tốt.

Điều khiển ứng dụng

Tường lửa nhận thức ứng dụng có thể xác định các ứng dụng dựa trên ngữ cảnh và có thể chặn, cho phép hoặc áp dụng định hình lưu lượng trên chúng.

Các ứng dụng không dễ bị chặn mà không có chữ ký ứng dụng cụ thể. Điều này là do nhiều ứng dụng đã chuyển đổi thành các ứng dụng dựa trên web mà tất cả chúng chạy trên HTTP và bạn không thể chặn HTTP vì bạn sẽ chặn việc sử dụng duyệt tất cả các trang web. Các loại ứng dụng này còn được gọi là các ứng dụng lớp 8. Vì vậy, các nhà cung cấp tường lửa đã giới thiệu chữ ký chuyên dụng cho các ứng dụng phổ biến.

Ví dụ: nhiều nhà cung cấp hỗ trợ chữ ký ứng dụng cho các ứng dụng Facebook. Vì vậy, bạn có thể tạo quy tắc cho biết tất cả nhân viên đều được phép duyệt Facebook trong giờ ăn trưa nhưng họ không thể truy cập các ứng dụng trong Facebook, vì Ứng dụng Facebook được biết là có chứa các mối đe dọa nguy hiểm.

Một số nhà cung cấp có khả năng áp dụng định hình lưu lượng truy cập cho các ứng dụng. Hãy tưởng tượng quy tắc bạn có thể định cấu hình để cho phép video trên Youtube, tuy nhiên, hãy đảm bảo rằng youtube chỉ chiếm 10% băng thông tổng thể của bạn.

Điều khiển DLP

Bạn gần như chắc chắn sẽ có một chính sách rò rỉ dữ liệu như ngày nay nhiều tổ chức làm. Vì vậy, một bức tường lửa có thể kiểm soát và lọc ra dữ liệu bí mật qua HTTP, SMTP, FTP và các kênh khác có thể quan trọng đối với bạn.

Khi chúng tôi nói dữ liệu bí mật, nhà cung cấp tường lửa đã có các thuật toán được xây dựng để có thể phát hiện các loại dữ liệu nhạy cảm như thông tin thẻ tín dụng và số an sinh xã hội, đồng thời cung cấp cho bạn khả năng chỉ định các quy tắc DLP đơn giản và nâng cao .

Kết nối từ xa an toàn

Tường lửa có hỗ trợ cả IPSec và SSL VPN cho người dùng từ xa không?

IPSec và SSL được sử dụng cho kết nối người dùng từ xa. Đó là khi một nhân viên cần truy cập vào mạng công ty của họ từ nhà hoặc bất cứ nơi nào trên thế giới cung cấp cho họ có kết nối internet.

Tất cả các tường lửa đều hỗ trợ việc sử dụng IPSec và hầu như tất cả bây giờ đều hỗ trợ việc sử dụng SSL. SSL rất tuyệt vời cho việc truy cập VPN từ xa vì nó rất dễ sử dụng và không yêu cầu phần mềm máy khách.

Tuy nhiên, SSL VPN đang trở nên phong phú về chức năng cũng như cung cấp các cổng người dùng và các công cụ và tiện ích khác nhau như dấu trang và proxy ứng dụng, khả năng thực hiện các cuộc họp trực tuyến và chia sẻ máy tính để bàn vv. Vì vậy, điều quan trọng là bạn phân tích mô-đun SSL VPN.

Đối với IPSec, bạn sẽ muốn tường lửa của mình hỗ trợ các thuật toán mã hóa và xác thực mới nhất như AES và RSA cho các chứng chỉ mã hóa và kỹ thuật số để xác thực. Tuy nhiên, bạn cũng sẽ muốn hỗ trợ các thuật toán cũ hơn cũng như loại bỏ mọi vấn đề tương thích với các tường lửa khác khi thiết lập VPN.

Hệ điều hành tường lửa

Hệ điều hành (Hệ điều hành) có được tùy chỉnh và làm cứng không?

Bạn sẽ muốn tìm một bức tường lửa với hệ điều hành được cố định tùy chỉnh được xây dựng. Điều này sẽ loại bỏ các lỗ hổng bảo mật được tìm thấy trong các hệ điều hành mục đích chung. Cách tốt nhất để kiểm tra điều này là đi theo Tiêu chí chung và nếu nhà cung cấp đã được đánh giá và gán một đánh dấu EAL.

Identity Based Access Control

Loại tường lửa nào hỗ trợ điều khiển truy cập và xác thực người dùng?

Biểu mẫu đơn giản nhất sẽ là tên người dùng và mật khẩu. Điều này là ok cho một mạng rất nhỏ, nhưng không có gì vượt ra ngoài.

Hầu hết các tổ chức đều sử dụng Active Directory của Window hoặc một số dạng LDAP khác. Đảm bảo tường lửa hỗ trợ loại thư mục bạn sẽ xác thực.

Điều này có thể là khi tích hợp với phần mềm lọc web để bạn có thể xác định ai là người khi họ duyệt web, cho VPN khi họ kết nối từ xa vào mạng hoặc vì vậy các quy tắc chính sách cho cổng tùy chỉnh có thể được thiết lập chỉ cho một nhóm người dùng đặc quyền để sử dụng chúng.

Các giao thức xác thực phổ biến khác được sử dụng là Radius, TACACS của Cisco và xác thực hai yếu tố bảo mật của RSA. Nếu công ty của bạn hiện đang sử dụng một trong các phương pháp xác thực này thì bạn cần đảm bảo chúng tương thích với tường lửa. Dưới đây là một số phương pháp xác thực khác cần ghi nhớ.

Radius

LDAP

Secure ID

Tokens

XAuth

Web Authentication

802.1X

X.509 Certificates

Internal database

Active Directory

Diameter (Improved version of Radius)

Tường lửa có hỗ trợ tính năng đăng nhập một lần không?

Nếu bạn hạn chế người dùng của bạn vào internet hoặc bất kỳ tài nguyên nào khác thông qua tường lửa của bạn thì người dùng có thể phải đăng nhập hai lần.

Lần đầu tiên họ đăng nhập sẽ là đăng nhập vào các cửa sổ, và sau đó nếu họ muốn duyệt web họ sẽ phải chỉ định tên người dùng và mật khẩu của họ một lần nữa có thể gây khó chịu.

Vâng, tính năng đăng nhập một lần sẽ loại bỏ vấn đề này và một khi đã cấu hình tường lửa sẽ biết khi nào một người dùng đã xác thực vào Windows.

Hầu hết các tường lửa đều có dấu hiệu riêng về khả năng sử dụng các tác nhân từ xa. Kerberos là một ví dụ về dấu hiệu đơn lẻ của bên thứ ba trên giao thức xác thực được sử dụng miễn phí. Một khu vực khác để kiểm tra một lần đăng nhập là trên cổng SSL VPN. Nó sẽ là một đăng nhập đau vào cổng và đăng nhập vào một phiên RDP hoặc phiên web một lần nữa.

Firewall Subnetting – Separating the DMZ from LAN

Cần bao nhiêu cổng LAN, DMZ và WAN?

Thông thường ở mức tối thiểu một tổ chức sẽ yêu cầu ba cổng Ethernet vật lý. Đầu tiên sẽ là mạng nội bộ và một cho mạng vành đai / DMZ được sử dụng cho các máy chủ công khai như máy chủ web và máy chủ SMTP. Cổng cuối cùng sẽ được yêu cầu để kết nối với thế giới bên ngoài.

Tuy nhiên, công ty của bạn có thể yêu cầu nhiều cổng LAN hơn được sử dụng để phân chia các phòng ban thành các phân đoạn LAN riêng biệt, ví dụ như Nhân sự, Tài chính, Hoạt động, vv Chia tách các phân đoạn mạng sẽ chứa các cuộc tấn công, và không lây lan các mối đe dọa từ mạng này sang mạng khác.

Các phòng ban này không thể nói chuyện với nhau trừ khi một quy tắc cụ thể tồn tại trên tường lửa để chứa dữ liệu nhân sự từ mọi thứ khác chẳng hạn. Ngoài ra VLAN cũng có thể được sử dụng mà là giao diện hợp lý, đó là nếu bạn đã sử dụng chúng trong cơ sở hạ tầng của bạn.

Kết luận:

Cuối cùng tất cả điều này trên một tường lửa firewall UTM có thể là một gánh nặng, do đó, có hai hoặc nhiều tường lửa firewall cứng trong kịch bản sẵn sàng cao sẽ là một lựa chọn khôn ngoan. Điều này có nghĩa là nếu một tường lửa không tường lửa khác vẫn sẽ xử lý lưu lượng như bình thường.

Hướng dẫn mua firewall cứng cho hệ thống mạng
5 (100%) 1 đánh giá

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *