Giải pháp

  • Mode Active-Active:

Sử dụng mode Active-Active khuyến nghị sử dụng trong trường hợp chỉ sử dụng các tính năng UTM Firewall anti-virus, malware, dns filter, webfilter, application filter,….triển khai ở mode transparent hoặc routing.

Cả hai thiết bị cùng kích hoạt để chia sẻ policy trên 2 thiết bị không nhất thiết tất cả policy nằm trên 1 thiết bị master nâng cao hiệu suất. Các giao thức TCP, UDP,ICMP, Multicast, Broadcast, VoIP, IM, P2P, IPSEC VPN, HTTPS, SSL, VPN, HTTP sẽ được xử lý hoàn toàn trên thiết bị Master và không cân bằng tải.

Không thể triển khai thiết bị ở mode Gateway internet vì PPPoE giao thức chỉ có một đường internet từ ISP và không load balance gói tin giữa 2 thiết bị, các gói tin đi internet chỉ đi trên một thiết bị chính tránh lầm tưởng nâng cao hiêu suất thì nó sẽ giảm vì vậy cần đưa vào chạy thử trước để xem hiệu suất xem thiết bị có đủ khả năng xử lý.

Tất cả các session TCP sẽ được duy trì kết nối khi một trong hai thiết bị fail với điều kiện bật Pick UP session trên interface. Trừ các gói tin giao thức UTM policy, UDP, ICMP, Multicast & Broadcast sessions.

HA-195x83

  • Mode Active-Passive:

Tất cả các session đều xử lý trên thiết bị master.

Chỉ chạy khi thiết bị chính Fail.

Không cần cấu hình các policy chia đều trên hai thiết bị như mode active-active, cấu hình tự đồng bộ. và có khả năng dự phòng ngay lập tức vì tất cả cấu hình đều giống nhau.

Duy trì kết nối lại kể cả UDP, ICMP, Multicast & Broadcast sessions khi thiết bị Master fail.

ha a-p

  • Khuyến Nghị:
  • Xử dụng Active-Active khi Firewall đứng ở mode routing hoặc stranparent và dùng các tính năng UTM Firewall với chức năng chủ yếu thiết lập policy kiểm tra và lọc các ứng dụng, dns, webfilter.
  • Active-Passive Xử dụng khi không cần xử lí kiểm tra và lọc số lượng lớn Policy UTM hoặc dùng Firewall với các chức năng layer 3 router Gateway internet, Nat port.

Hỗ trợ kỹ thuật: 0966.253.105 – Bin

Báo giá: sales@innotel.com.vn

Fortigate Firewall:

Là thiết bị security có khả năng kiểm soát traffic của mạng với nhiều mức độ khác nhau:

  • Mức ứng dụng services ngăn chặn virus và lọc nội dung gói tin di qua, lọc ứng dụng và định danh ứng dụng lạ để áp dụng chính sách riêng cấm hoặc cho phép, lọc URL webfilter, DNS, block file …
  • Mức Network services như firewall, intruction detection, VPN,  traffic shaping. load balance WAN…

Fortigate có nhiều lựa chọn kích cỡ từ 60 – 7030 phù hợp với tất cả mọi dioanh nghiệp từ Entry cho tới Hight End, một điều tuyệt vời hãng đem lại là không giới hạn tính năng đối với các thiết bị nhỏ, mà hạn chế hiệu suất năng lực đáp ứng, nhỏ yếu lớn khẻo, hạn chế sức mạnh, tính năng như nhau.

Anti-virus:

trên fortigate lưu dữ liệu database các định danh virus từ hãng  và đội ngũ kĩ sư luôn làm việc để phát hiện virius, sâu…mới và một bản cập nhật sẽ gửi tới tất cả các thiết bị Firewall của hãng trên toàn cầu.

  • Firewall lọc qua các giao thức http, smtp, pop3, imap, mapi, ftp. Nếu phát hiện virus firewall sẽ tự loại bỏ và thông báo cho người bị tấn công biết. Có khả năng quét sâu kể cả những dữ liệu được mã hóa, email và loại bỏ 100% virus – WildList (wildlist.org)antivirus
  • Ngoài ra chúng ta có thể block các định dạng file có nguy cơ mang theo mã độc….

file blokc

 

Web Domain-URL-DNS Filter:

  • Với FortiGuard Firewall định danh sẵn và thường xuyên cập nhật, các trang web – URL – DNS sạch và độc, nếu người dùng truy cập 1 trang web hay một nội dung xấu ( đồi trụy, thu thập thông tin…) firewall sẽ chặn và gửi tới thông báo cho người dùng.
  • Người quản trị có thể tự mình liệt kê  các trang web domain, URL, DNS chặn hoặc nội dung xấu và áp đặt chính sách vào.

 

web filter

Anti-Spam mail:

  • quét lọc spam qua các giao thức email POP 3, SMTP, IMAP, địa chỉ IP, địa chỉ email, tiêu đề email,nội dung email…
  • Nếu email được FGA cho là spam thì email sẽ được thêm tab vào subject của email, người dùng có thể dùng trình mail client để đọc spam.
  • ORDBL(Open Relay Database List)chức năng chống gởi mail nặc danh, RBL(Realtime Blackhole List)phân loại spam và sắp xếp vào blackhole.

anti-spam

VPN:

  • Hỗ trợ hầu hết các giao thức VPN cũng như các dạng mã hóa và độ mạnh cao nhất, có tùy chỉnh VPN với các thiết bị không thông dụng.vpn

Fortigate Policy:

cho phép cấu hình kiểm soát truy cập từ mạng cục bộ ra ngoài Internet và kiểm soát truy cập trong mạng nội bộ các subnet vlan bên trong và từ mạng WAN truy cập vào mạng nội bộ:

  • Kiểm soát tất cả traffic ra vào của mạng
  • Kiểm soát mã hóa traffic VPN
  • Lọc virus và nội dung web
  • Block hoặc cho phép truy cập tất cả policy
  • Kiểm soát theo policy
  • Chấp nhận hoặc từ chối truy cập từ một địa chỉ
  • Kiểm soát người dùng chuẩn và người dùng đặc biệt hoặc nhóm đặc biệt…
  • Yêu cầu người dùng chứng thực trước khi truy cập
  • Thiết đặt ưu tiên truy cập và bảo đảm hoặc giới hạn băng thông cho từng policy
  • Log tất cả kết nối
  • NAT/Route Mode Policy
  •  Mixed NAT và Route Mode policy
  •  FGA có thể hoạt động NAT/Route mode hoặc Transparent mode

Load balance WAN Outbound:

  • Cân bằng tải lượng người dùng đi ra internet để tối ưu tốc độ và hiệu suất, cũng như phòng ngừa rớt mạng xảy ra.
  • Có 5 thuật toán ưu việt.load balance

IPS intrusion prevention system:

Phòng  chống tấn công DDoS làm gián đoạn dịch vụ Public hệ thống bằng cách gửi một lượng lớn truy cập tới dịch vụ mình triển khai làm tê liệt hệ thống.

  •  IPS kết hợp signature và anomaly based intrusion detection and prevention.
  •  Có thể ghi nhận traffic đáng ngờ bằng log, có thể log, pass,drop,reset hoặc clear packets hoặc session đáng ngờ.ips

Firewall có thể triển khai với 2 dạng:

  • Mode Routing/Nat: Routing mode nằm giữa một thiết bị gateway internet và mạng local, NAT mode Firewall sẽ trở thành thiết bị Gateway internet.
  • Mode Stransparent: Nằm ở giữa mạng Lan Local và WAN mang một IP quản trị và không gây ảnh hường tới các subnet hiện tại.

 

Việc phát triển và nghiên cứu liên tục update và hỗ trợ lâu dài từ đó thiết bị của hãng ngày một trở nên ưu việc.

Q.Bin – innotel

Ngày ngay, mạng không dây trở thành nhu cầu gần như tất yếu cho người dùng nói chung. Đối với các công ty – doanh nghiệp, nhân viên ngoài sử dung máy vi tính còn sử dụng các thiết bị kết nối không dây khác để phục vụ công việc như: máy tính bảng, điện thoại thông minh, laptop …. Để đáp ứng được nhu cầu cơ động, thuật tiện cho người dùng, tối đa hóa khả năng truy cập tài nguyên nội bộ và Internet cho người sử dụng, từ đó nâng cao hiệu suất làm việc … innotel xây dựng giải pháp mạng không dây phù hợp cho các doanh nghiệp ở Việt Nam với tiêu chí: chi phí tối ưu, bảo đảm việc truy cập mạng không dây ổn định, nhanh và an toàn cho người dùng với nhiều tính năng cũng như khả năng mở rộng dễ dàng khi có nhu cầu.
Với mục đích sử dụng phủ sóng mạng không dây ở một phạm vi lớn như tòa nhà, khách sạn, chung cư, resort…. Đáp ứng các nhu cầu quản lý các thiết bị Access Point, các mạng không dây SSID, người dùng, một cách đồng bộ, khi triển khai, khắc phục sự cố xảy ra một cách nhanh chóng.

Ưu điểm triển khai mạng không dây:

• Cung cấp khả năng di động, tính tiện lợi cho nhân viên khi truy cập và sử dụng các dịch vụ, tài nguyên.
• Phù hợp cho các khu vực có mật độ người dùng thiết bị di động cao như: phòng họp, phòng khách.
• Giảm chi phí đầu tư cho hệ thống cáp mạng.
• Dễ dàng thêm, di chuyển, thay đổi thiết bị mạng không dây (Access Point), giảm chi phí hỗ trợ và bảo trì cho toàn bộ hệ thống.
• Tăng tính linh hoạt trong sử dụng, tốc độ và khả năng bảo mật cho người dùng trong nội bộ doanh nghiệp và cho khách hàng (guest).
• Quản lý tập trung ở một thiết bị đáp ứng việc theo dõi giám sát và khắc phục nhanh khi xảy ra sự cố.
• Tất cả các APs phát chung các SSID một cách đồng bộ.

Yêu cầu:

• Đảm bảo thiết bị phải hỗ trợ các chuẩn bảo mật không dây thế hệ mới nhất (WPA2, WPA + AES,…).
• Cung cấp khả năng kết nối vào mạng nhanh với độ ổn định cao nhất.
• Nhu cầu quản lý tập trung tất cả các APs đặc biệt khi các APs phân tán nhiều vị trí.
• Quản lý tập trung người dùng, giám sát được hành vi người dùng, chứng thực người dùng truy cập mạng không dây thông qua hệ thống quản lý truy cập hotspot.
• Thiết lập giới hạn băng thông cho người dùng, nhóm người dùng khác nhau.
• Khả năng kiểm soát truy cập (Web, ứng dụng…) của người dùng, từ đó truy xuất được báo cáo theo tuần, tháng, quý…

1. Giải pháp và Đề xuất

Trước các yêu cầu thực tiễn, Innotel đề xuất triển khai một hạ tầng truy cập vô tuyến mạnh, dựa trên các giải pháp hàng đầu thế giới với dòng sản phẩm mới nhất, và thành công nhất trong lĩnh vực truy cập vô truyến.

Giải pháp 01: Sử dụng Firewall FortiGate + Wireless FortiAP

 Giải pháp thiết bị: lựa chọn hãng sản xuất – Fortinet: nhà cung cấp giải pháp mạng uy tín trong lĩnh vực bảo mật và an ninh mạng.
ft1
ft2
Hình 1. Giải pháp từ FortiGate Firewall + FortiAP Wireless
Dịch vụ:
– FortiGate Firewall cho phép thiết lập một Internet Gateway tốc độ cao, ổn định, nhiều tính năng, thay thế cho Internet Modem hiệu suất thấp được cung cấp từ nhà mạng.
– Mỗi AP sử dụng một sợi cáp mạng Gigabit kết nối về Firewall để đảm bảo hiệu suất làm việc tốt nhất của mạng vô tuyến cần xây dựng.
– AP cho phép Fast-Roaming, đáp ứng nhu cầu di chuyển thường xuyên trong đơn vị.
– Trên FortiGate Firewall có sẵn khá nhiều port tốc độ cao, có thể tận dụng làm switch cho hệ thống Wifi, không cần đầu tư thêm như các giải pháp khác.
– Firewall đóng vai trò điều khiển then chốt:
– Đảm bảo an ninh mạng và bảo mật: Anti-Virus/Spam/Spy/Fishing; Intrusion Prevention; Web Filtering; Application control…
– Xác thực và cấp quyền người dùng.
– Đồng thời đảm bảo kết nối Internet liên tục (cần đầu tư thêm một đường Internet) trong trường hợp có sự cố mất kết nối internet xảy ra bất ngờ.
– Kiểm soát và điều khiển hệ thống Access Point.
– Báo cáo theo tuần, theo tháng, quý…

Một số tính năng Layer 7 (Ứng dụng) đáng lưu ý của FortiGate:

Web-filtering

Web filter dùng để lọc Web traffic vào/ra doanh nghiệp
– Cho phép người dùng kiểm soát trong thời gian thực các nội dung Web vi phạm chính sách sử dụng Internet của Cty. Chẳng hạn:
– Cấm một nhóm người dùng truy cập các trang web giải trí;
– Bảo vệ tất cả các người dùng bên trong không truy cập tới các trang web giả mạo (Phishing), trang web độc hại (Hacking site)
– Các trang Web được phân loại thành nhiều Chủng loại khác nhau (Category). Các chủng loại này được cập nhật liên tục, đảm bảo tính chính xác giúp bảo vệ cho người sử dụng hệ thống và dịch vụ của Fortinet.
– Tùy biến từ người quản trị: Admin có thể tự tạo ra các bộ lọc Web theo yêu cầu bằng công cụ rất hiệu quả kèm theo.
– Chẳng hạn Admin có thể cấm người dùng truy cập tất cả các trang Web trong giờ làm việc ngoài trang Webmail của Cty và “tuoitre.vn”… Ngoài giờ, truy cập thoải mái, nhưng cấm một số chủng loại theo chính sách (dùng FortiGuard).
– Công cụ: Admin có thể dùng cú pháp “Regular Expression” – là một bộ các cú pháp giúp xây dựng các Rule để kiểm soát Web qua URL cũng như nội dung (Web Content) để kiểm soát một cách sâu sát thực tế sử dụng đa dạng của nhân viên.

IPS

IPS – Intrusion Prevention System: là hệ thống chống thâm nhập.
– IPS của Fortinet dựa trên Signature-based với khả năng quét sâu luồng dữ liệu vào/ra doanh nghiệp.
– IPS hoạt động ở Layer 7 nhờ việc hiểu sâu các ứng dụng do vậy có thể ngăn chặn được nhiều kiểu tấn công tinh vi từ bên ngoài và cả xuất phát từ bên trong doanh nghiệp.
– FortiGate của Fortinet là một hệ thống bảo mật nhiều tầng nhiều lớp tích hợp trong một hạ tầng phần cứng và phần mềm đóng gói kín. Điều đó đảm bảo sự vận hành hiệu quả và nhanh với mục đích bảo mật.

Application Control

Application Control dùng để kiểm soát ứng dụng của người dùng.
– Không đơn thuần kiểm soát ứng dụng dựa vào Ports (TCP/UDP) như các Firewall khác. FortiGate với hệ điều hành FortiOS và các giải pháp quản lý tập trung, nhờ đó FortiGate có một sự “hiểu biết” sâu rộng vào từng ứng dụng.
– Database của Fortigate nhận dạng được gần 4000 ứng dụng, được cập nhật thường xuyên. Các ứng dụng đã được nhận dạng cũng được nâng cấp/cập nhật liên tục tương ứng với các bản nâng cấp/phiên bản mới của ứng dụng.
– Ví dụ: chặn Yahoo Messenger (nhưng không chặn Yahoo Mail), chỉ chặn Facebook Game, cấm download torrent, cấm chơi Web Game…
 Nhờ tính năng Wireless Controller được tích hợp trên Firewall, người quản trị có công cụ quản trị, triển khai rất nhanh trong công tác quản trị mạng hàng ngày. Những thay đổi theo yêu cầu có thể được thực hiện dễ dàng và nhanh chóng.

Giải pháp 02: Sử dụng Wireless Controller + Cisco Aironet

Thiết bị đầu tư:
– Wireless Controller CT2504: có nhiệm vụ điều khiển, quản lý các AP.
– Access Point: lắp đặt ở các vị trí dự kiến, có kết nối Ethernet – kết nối về Controller.
– Tùy nhu cầu và dự kiến đầu tư – mở rộng, có thể chọn loại thích hợp. Hệ thống nhỏ nhất WLC-2500 được đề nghị có năng lực quản lý tới 50 Access point.
– Trang bị ban đầu: License cho 05 Access point, có thể mở rộng tối đa tới 50 Access point.
Access Point:
– Đề xuất sử dụng dòng sản phẩm mới nhất dựa trên chuẩn /ac, cho băng thông Gigabit/sec, đáp ứng yêu cầu truy xuất tốc độ cao đồng thời đảm bảo đầu tư lâu dài.
– Nhờ WLC, người quản trị có công cụ quản trị, triển khai rất nhanh trong công tác quản trị mạng hàng ngày. Những thay đổi theo yêu cầu có thể được thực hiện dễ dàng và nhanh chóng.

Triển khai và phân bố
– Để đảm bảo hiệu suất kết nối mạng và băng thông, tất cả các Access Point không tập trung lưu lượng về Controller.
– Wireless LAN Controller (WLC) chỉ đóng vai trò điều khiển.
– WLC chỉ kiểm soát được lưu lượng/băng thông sử dụng của người dùng, không thể kiểm soát truy cập Web, kiểm soát theo ứng dụng… như giải pháp 01.
cc1
Hình 3. Giải pháp từ Wireless Controller + Cisco

Giải pháp 03: Sử dụng Wireless Controller Tích Hợp trên Icloud – Cisco Meraki

– Giải pháp từ Cisco Meraki đáp ứng đầy đủ các tính năng, khả năng của một giải pháp Wireless Controller truyền thống (giải pháp 02: Cisco Aironet).
– Một điểm mạnh và khác biệt của Cisco Meraki là có thể quản lý các thiết bị access point phân tán ở các vùng địa lý khác nhau, với số lượng thiết bị lên đến vài ngàn thông qua Google Map trên nền tản Cloud Controller.
Một số đặc điểm nổi bật của giải pháp Cisco Meraki
– Chế độ quản lý lưu lượng sử dụng của từng user: hạn chế băng thông sử dụng hay chặn không cho sử dụng nhằm ngăn những user có hành vi xấu hoặc sử dụng quá nhiều băng thông làm ảnh hưởng đến chất lượng hoạt động của toàn hệ thống.
– Thống kê các dữ liệu về lưu lượng sử dụng trong hệ thống theo giờ, ngày, tuần hoặc tháng trước đó.
– Với Meraki dashboard cung cấp cho quản trị viên các thông tin của người dùng sử dụng hệ thống wifi như: thiết bị sử dụng truy cập mạng, ứng dụng sử dụng trên mạng. Với khả năng phân tích dữ liệu mạnh, quản trị viên có thể dễ dàng và nhanh chóng thiết lập các chính sách điều khiển truy cập cho người dùng hoặc thiết bị hoặc ứng dụng, tối ưu hóa hệ thống wifi cho cả người dùng và an toàn cho toàn hệ thống wifi.
Với những tính năng kể trên, Meraki cũng là một giải pháp đáng quan tâm. Tuy nhiên, giải pháp này phụ thuộc khá nhiều vào hạ tầng mạng hiện có và chi phí renew license hằng năm tương đối cao.
Wireless controller

  • Cầu truyền hình HD đa điểm

Với giải pháp Xử lý song song, tận dụng được hết nâng lực xử lý đồ họa mạnh của các CPU thế hệ mới. Nefsis cho phép thực hiện trên PC/Laptop một Video Codec chất lượng cao, hoàn toàn có thể thiết lập các phiên truyền hình có độ phân giải cao.

Khả năng Đa điểm là một thế mạnh nữa, cho phép thực hiện truyền hình giống như vai trò Multicast hay Video Streaming qua mạng. Tuy nhiên không giống như các ứng dụng Streaming, ở đây tất cả các điểm đều có khả năng streaming.

Với khả năng nén và các giải pháp truyền dẫn, xử lý tín hiệu, Nefsis cho phép thực hiện trên các đường Internet thông thường. Với các đường Internet cáp quang, chất lượng HD là hoàn toàn khả thi.

  • Hội nghị truyền hình đa điểm
  • Đào tạo từ xa
  • Hỗ trợ kỹ thuật từ xa
  • Cộng tác Online

  • Nefsis có thể thiết lập các phiên Hội nghị Truyền hình đa điểm với chất lượng Hình ảnh HD.
  • Nefsis là một giải pháp hoàn toàn dùng phần mềm, hỗ trợ tất cả các thiết bị ngoại vi khác nhau mang đến cho người dùng một độ linh hoạt cao nhất có thể được.

  • Khả năng tận dụng hết sức mạnh của máy tính, phiên Hội nghị Truyền hình được thực hiện với nhiều khả năng cộng tác và tương tác cao.
  • Hình ảnh minh họa trên thể hiện một Hội nghị đa điểm chất lượng cao, màn hình chia sẻ ứng dụng CAD thể hiện khả năng trình diễn trực tuyến nhanh và chất lượng cao.
  • Người sử dụng có rất nhiều công cụ làm việc sáng tạo: Tin nhắn theo nhóm, Chia sẻ thông tin, Đàm thoại đa điểm…

  • Ngoài khả năng thiết lập Truyền hình Đa điểm, Nefsis cung cấp nhiều dạng thức thể hiện hình ảnh rất đẹp và tiện dùng trong các phiên truyền hình lớn.
  • Các tính năng điều khiển Hội nghị cũng được thiết kế sẵn, phân cấp quyền, rất tiện dùng.

 

Vấn đề

Với khả năng Inbound Load Balancing, doanh nghiệp có giải pháp an toàn trước những sự cố đường truyền (Link Redundancy). Tuy nhiên nếu trục trặc nào dẫn đến sự cố chẳng hạn cả một nút mạng, sự cố nguồn cung cấp chung, hỏa hoạn (Disaster)… cần có phương án dự phòng khác. Trong trường hợp đó, bạn có thể sử dụng 2 vị trí khác địa lý nhau để Backup.

Disaster for Inbound

Hình 1. Mất Domain (Thương hiệu) khi trục trặc nghiêm trọng xảy ra

Giải pháp PepLink

Bạn chỉ cần trang bị PepLink’s Balance trên 2 hay nhiều Site:

Geographical Backup for Inbound

Khi một trong các Site bị sự cố nghiêm trọng dẫn tới mất toàn bộ kết nối với Internet thì Site còn lại sẽ vẫn hoạt động. Bạn có thể kiểm soát hoàn toàn thời gian gián đoạn này, tính bằng GIÂY! và như vậy, người dùng bên ngoài Internet hoàn toàn không nhận biết được sự cố này!

Phương án triển khai

Re-Routing

Trong trường hợp bình thường, cả hai Balance-A và Balace-B đều thực hiện phân giải Domain và cùng trỏ về Site chính.

Geographical Backup for Inbound

Khi sự cố xảy ra, Balance-A bị “chết” còn Balance-B vẫn tồn tại và chịu trách nhiệm phân giải Domain bình thường. Tuy nhiên người quản trị mạng cần cấu hình Routing policy thích hợp để phát hiện tình trạng mất kết nối Internet trong site chính và tự động định tuyến lưu lượng Internet qua Backup site.

Geographical Backup for Inbound

  • Trường hợp:
    • Một hệ thống Server,
    • Mất kết nối Internet trên Site chính,
    • Intranet, Server vẫn hoạt động bình thường.
  • Giải pháp:
    • Cấu hình trên hệ thống Router, Switch tự động định tuyến lại để mọi lưu lượng vào/ra Internet sẽ được chuyển qua Backup site.

Cân bằng tải

Trong điều kiện bình thường cả hai Site đều làm việc, cung cấp dịch vụ ra Internet. Có thể setup cho 2 site cân bằng tải 50/50:

Geographical Backup for Inbound

Hoặc phân bổ cho Site chính phục vụ nhiều hơn với tỉ lệ N:1. Đây là trường hợp điển hình vì thông thường tại Head Quarter được trang bị hạ tầng thông tin mạnh hơn với hệ thống Networking, Server, Storage và Internet Access cũng tốt hơn. Với PepLink’s Balance bạn có thể thiết lập một cách dễ dàng và nhanh chóng:

Geographical Backup for Inbound

Khi sự cố xảy ra, một trong hai site sự cố vẫn không ảnh hưởng tới dịch vụ được cung cấp.

Geographical Backup for Inbound

  • Trường hợp:
    • Hai hệ thống Server có giải pháp đồng bộ dữ liệu liên tục,
  • Giải pháp:
    • Cấu hình Inbound Load Balancing trên cả 2 Balance trên 2 Site.
  • Lợi điểm
    • Hoàn toàn chủ động.
    • Khắc phục rủi ro cao nhất.

Trong cả hai trường hợp thời gian gián đoạn chỉ tính bằng GIÂY – có thể cấu hình chủ động trên các Balance.

Đối với các doanh nghiệp lớn với mạng lưới chi nhánh rộng khắp, việc quản lý truy cập Internet (Web) có ý nghĩa lớn. Nó giúp cải thiện hiệu suất làm việc chung của doanh nghiệp cũng như quản lý bảo mật được chặt chẽ.

Việc quản lý truy cập Internet tập trung còn giúp doanh nghiệp tiết kiệm đáng kể chi phí vào việc:

  • Mua sắm thiết bị bảo mật,
  • Đào tạo, tuyển dụng đội ngũ IT cho các chi nhánh.

Ngày nay với sự phát triển rất nhanh chóng của hạ tầng cung cấp dịch vụ Internet, cước phí ngày càng rẻ. Tốc độ truy cập Internet nhanh cho phép triển khai truy cập Web tập trung được khả thi:

Hình 1. Quản lý Truy cập Internet tập trung

Giải pháp thích hợp cho những trường hợp

  • Mạng IP Intranet đã thiết lập, ổn định và băng thông đủ lớn,
  • Không nhất thiết trang bị Proxy tại HQ,
  • Khả năng cung cấp mọi dịch vụ truy cập Internet (không lệ thuộc Proxy),

Ngày nay HTTP/HTTPS/FTP là các dịch vụ phổ biến nhất và rất nhiều ứng dụng được phát triển và triển khai trên những giao thức này. Trên thực tế nhiều doanh nghiệp chỉ cho phép các chi nhánh được truy cập dịch vụ Web (HTTP và HTTPS) vì lý do đó và vì lý do an ninh mạng và bảo mật thông tin doanh nghiệp.

Hình 2. Quản lý Truy cập Web tập trung

PepLink’s Balance cho phép định tuyến mọi lưu lượng tại các chi nhánh về HQ, tại đó triển khai Proxy+Firewall để thực thi chính sách bảo mật tập trung:

  • Dịch vụ và Truy cập Internet của toàn bộ Doanh nghiệp có thể kiểm soát hoàn toàn cũng như.
  • Khả năng cung cấp băng thông truy cập Internet đảm bảo hơn trường hợp trên.
  • Tùy thuộc khả năng của Proxy, dịch vụ đáp ứng thỏa đáng nhu cầu truy cập Internet trong doanh nghiệp và nhờ Proxy, truy cập Web của doanh nghiệp được Kiểm soát ở mức cao hơn và An toàn hơn, đó luôn luôn là mục đích cực kỳ quan trọng trong mỗi doanh nghiệp.

Tổng quan và Thách thức

VPN là một đòi hỏi đối với mỗi công ty có nhiều chi nhánh. Việc chia sẻ nội dung văn bản, truy cập hệ thống CRM/ERP, tải dữ liệu bán hàng, thực hiện sao lưu số liệu… chỉ là một trong những nhu cầu thiết yếu hàng ngày của doanh nghiệp khi sử dụng VPN. Nếu như việc thiết lập VPN truyền thống dựa trên Internet là thật dễ dàng với độ an toàn tốt thì độ tin cậy của nó lại rất thấp và chất lượng nhiều khi không đảm bảo.

VPN gián đoạn thường xuyên

Do VPN dựa trên các kết nối Internet nên khi kết nối trục trặc thì VPN cũng gián đoạn. Đây là trường hợp rất phổ biến và xảy ra rất thường xuyên và thời gian gián đoạn là không thể biết trước, dẫn đến hiệu suất làm việc rất thấp cho mỗi doanh nghiệp nếu phụ thuộc vào chúng.

 

Trong một kết nối VPN điển hình, kết nối Internet gián đoạn sẽ ngăn trở lưu lượng VPN

Tốn kém

Doanh nghiệp thường dựa vào các kết nối Leased line Internet để cải thiện VPN. Nhiều router dùng trong doanh nghiệp không có tính năng VPN đòi hỏi thiết lập VPN trên Firewall hoặc các thiết bị VPN chuyên dụng. Chi phí này gia tăng đáng kể nếu kể đến nhiều vị trí cần thiết lập VPN.

Nhu cầu về Tốc độ cho VPN

Do VPN được thiết lập trên Internet, nó phải chia sẻ băng thông với nhiều ứng dụng khác như Web, Mail, VoIP. Tốc độ VPN do vậy biến động khi mạng nặng tải.

Giải pháp: Peplink Balance VPN Load Balancing và Công nghệ Failover

 

 

 

 

 

VPN tin cậy cho nhiều điểm kết nối đồng thời

Không như các công nghệ thiết lập VPN truyền thống, công nghệ của PepLink cho phép thiết lập và cân bằng tải lưu lượng VPN trên nhiều kết nối Internet. Nhờ mã hóa AES 256-bit, VPN được cân bằng tải mà lại được bảo mật với chất lượng ở mức độ quân sự. Khi một kết nối Internet gián đoạn hoặc có sự cố, lưu lượng VPN được chuyển mạch tự động, đảm bảo duy trì dịch vụ VPN không gián đoạn.

 

 

 

Với công nghệ VPN Load Balancing,  Khả năng Cân bằng tải cho phép phân bố lưu lượng VPN đồng đều trên các kết nối Internet, trong khi đó Khả năng Chuyển mạch tự động sẽ cho phép duy trì kết nối VPN khi một trong các kết nối Internet trục trặc.

Chất lượng tốt hơn

Khả năng Quản lý băng thông của PepLink cho phép người dùng phân mức ưu tiên cho lưu lượng dữ liệu. Lưu lượng VPN có độ ưu tiên cao có thể định nghĩa để có thể làm việc ổn định trong điều kiện nặng tải xảy ra trên mạng.

Tiết kiệm Chi phí

Độ tin cậy nâng cao nhờ khả năng chuyển mạch bảo vệ sẽ cho phép doanh nghiệp chuyển từ các dịch vụ Leased line Internet đắt tiền sang các gói dịch vụ Internet rẻ tiền như ADSL…

Nhờ tính năng VPN tích hợp, doanh nghiệp có thể thiết lập VPN trên một bình diện rộng mà không cần bất cứ thiết bị chuyên dụng nào. PepLink cung cấp nhiều dòng sản phẩm khác nhau giúp cho doanh nghiệp lựa chọn tối ưu cho từng trường hợp sử dụng cụ thể.

Kết luận

Công nghệ VPN Load balancing của Peplink giúp cho doanh nghiệp loại trừ hoàn toàn sự cố trên VPN, thiết lập VPN tin cậy trên toàn mạng diện rộng của Doanh nghiệp, cải thiện Chất lượng, giảm thiểu chi phí, giúp các doanh nghiệp triển khai hiệu quả và thuận lợi các ứng dụng mạng tập trung.

 

 

Hỗ trợ kỹ thuật Đa phương tiện

Hãy hình dung bạn cần hỗ trợ kỹ thuật cho một khách hàng từ xa để xử lý tình huống phần mềm bị lỗi.

Việc đầu tiên là thiết lập một phiên Remote Support trên TurboMeeting hoặc TurboSupport của RHUB. Tiếp theo đó bạn gởi mail cho khách hàng chỉ qua một cú Click chuột – mọi chuyện RHUB làm cho bạn. Khi nhận mail, khách hàng sẽ được chỉ dẫn và cài đặt… chỉ trong vài phút, bạn đã có thể thấy mặt và làm việc với khách hàng.

Bạn có thể thấy màn hình từ xa của khách, bạn có thể theo dõi, hướng dẫn qua VoIP, Video với Webcam. Khách hàng có thể tự ghi lại phiên hỗ trợ này để tham khảo về sau và bạn cũng vậy. Tư liệu ghi lại có thể dùng làm tham khảo cho nhân viên, đồng nghiệp của bạn.

Hỗ trợ kỹ thuật giàu tính Cộng tác

Trong trường hợp bạn gặp một bài toán khó, hoặc gặp phải các vấn đề phụ phát sinh. Bạn có thể nhờ đồng nghiệp khác – đang ở bất kỳ đâu, hỗ trợ cho bạn, hỗ trợ cho khách hàng. Khi này đã có 3 người cùng làm việc.

Đôi khi vấn đề trở nên phức tạp hơn, bạn có thể phải nhờ cậy tới chuyên gia của hãng từ nước ngoài. Không thành vấn đề, bạn mời họ như đã mời đồng nghiệp của mình trước đó.

Tất cả, RHUB có thể cho phép 10 người cùng cộng tác làm việc, một cách rất sáng tạo, chuyên nghiệp và hiệu quả mà không hệ thống nào cho phép như vậy.

Hỗ trợ kỹ thuật phục vụ chính mình

Đối với các doanh nghiệp dịch vụ có đội ngũ nhân viên đông đảo, RHUB hỗ trợ đắc lực việc huấn luyện nhân viên. Bạn có thể cùng nhau giải quyết bài toán chung, bạn có thể huấn luyện nhân viên theo tình huống thực tế, chứ không đơn thuần là việc “lên lớp” thiếu thực tế sống động.

3D – Discover, Determine, Defend

Sourcefire Intrusion Sensors là sản phẩm thương mại hóa của hệ thống IDS hàng đầu thế giới – Snort IDS.  Với trên 1000 kỹ sư hỗ trợ kỹ thuật, thường xuyên khám phá và nghiên cứu những lỗ hổng bảo mật, như Virus và “sâu”, điều đó giải thích tại sao hầu hết những công ty, tập đoàn hàng đầu thế giới trong danh sách Fortune 500 đều tin chọn giải pháp Sourcefire hoặc Snort trong hạ tầng mạng của họ. Ngoài ra, rất nhiều công ty hàng đầu trong lĩnh vực IDS cũng chọn Snort làm giải pháp then chốt cho nhiều dòng sản phẩm của họ.

RNA – Real Time Network Awareness là giải pháp tiếp theo IDS. RNA khám phá những lỗ hổng và nguy cơ trong hạ tầng mạng trong thời gian thực trước khi các nguy cơ có thể gây xâm phạm trực tiếp. Giải pháp có tính chủ động và tích cực này có thể ngăn chặn những xâm phạm nguy hiểm trước khi chúng xảy ra.

Benifits:

Sourcefire - Frost & Sullivan Company of the Year 2005

  • 24/7 Monitoring of Viruses & Worms
  • 8G to 3M Network Interfaces
  • Can be Used For Personal Information Protection Compliance Program
  • Intrusion Prevention System Installed
  • English & Japanese GUI
  • Excellent Support
  • Customized to Meet Your Needs
  • Award Winning Security Appliance

Sourcefire Intrusion Sensors

Block Traffic Drop Traffic Alert - Sourcefire Inline ModeMonitoring Defend - Via the A, B, Cs - Sourcefire Passive Mode

Được xây dựng dựa trên giải pháp “open source Snort® Rules-based Detection Engine” Sourcefire Intrusion Sensors sử dụng một giải pháp Thông minh dựa trên sự kết hợp các Phương pháp “inspection” dựa trên signature, protocol, và anomaly-based để đạt được hiệu quả Phát hiện và Phòng chống Tấn công tối đa.

Mỗi Tham số, đối tượng của sensor đều có thể được cấu hình và tùy chỉnh để đảm bảo Người dùng có thể phát hiện và ngăn chặn những biến cố quan trọng nhất cho mình. Độ linh hoạt trong Ngôn ngữ xây dựng Rules và một số lượng lớn các tùy chọn cấu hình (chẳng hạn số lượng cổng giao tiếp, dạng giao tiếp, chế độ hoạt động) cho phép người dùng dễ dàng hơn trong việc định nghĩa nhiều biện pháp mới để nhận dạng và phòng chống các nguy cơ và xác lập các chính sách an ninh mạng thích hợp cho từng môi trường ứng dụng của mình.

RNA

RNA cho công cụ giống như thể “mắt thần”, theo dõi hoạt động trên mạng lưới doanh nghiệp.

Sourcefire Realtime Network Awareness

Sourcefire RNA Sensors™

RNA là sự kết hợp mang tính cách mạng bằng việc kết hợp nhiều yếu tố công nghệ: Phát hiện thụ động, Xác định hành vi, và các công nghệ Quản lý lỗ hổng bảo mật tích hợp. Sourcefire RNA (Real-time Network Awareness™) Sensors đưa ra một cái nhìn toàn diện nhất về các Biến cố an ninh mạng và Nền tảng lý tưởng cho việc bảo vệ mạng hiệu quả nhất.

RNA Sensors liên tục giám sát mọi thành phần mạng (servers, routers, PC’s, firewalls, wireless access points) và hiển thị theo thời gian thực topo mạng và nhiều profile chi tiết cho tất cả các phần tử mạng, kể cả các cấu hình, hành vi, lỗ hổng tiềm tàng và các thay đổi có liên quan của chúng.

Mức độ sâu sắc và độ thông minh này của hệ thống không chỉ cho phép doanh nghiệp bảo vệ được hệ thống mạng của mình được tin cậy mà còn giúp giảm thiểu đáng kể những chi phí liên quan tới việc quản lý và đáp ứng với những rủi ro, nguy cơ cho mạng lưới.

RUA – Real-time User Awareness

Thành phần “Real-time User-Awareness” (còn gọi là RUA) của hệ thống 3D cho phép tạo Chính sách an ninh mạng và các Rule theo người dùng. Bạn có thể áp đặt các Chính sách và các Rule này cho hệ thống Sourcefire 3D. Kết quả là RUA cho phép bạn xây dựng và áp đặt các chính sách phù hợp với từng cá thể, phòng ban, hoặc theo các đặc tính người dùng cụ thể.

Những Qui định được sử dụng trong tổ chức, doanh nghiệp của bạn trong việc xác thực người dùng có tính chất quyết định nhiều đến lượng dữ liệu và hiệu suất của RUA.

Sourcefire Defense Center

Sourcefire Defense Center – Trái tim của hệ thống 3D – cung cấp một nền tảng “phi thường” để Kết hợp, Suy diễn, Phân tích, Xếp ưu tiên, và Xác lập hành động cho thông tin biến cố tạo ra từ Intrusion Sensors, Agents và RNA Sensors. Nhờ khả năng kết hợp tất cả các biến cố, Sourcefire Defense Center cung cấp một cái nhìn toàn diện nhất về các biến cố an ninh trên mạng lưới. Lần đầu tiên, những người quản trị mạng doanh nghiệp có khả năng bảo mật một cách hiệu quả mạng lưới của mình bằng việc giảm thiểu nguy cơ, phòng chống tấn công và phản ứng tích cực nhất với các biến cố.

Sourcefire Defense Center cho phép nhiều công việc liên quan tới an ninh mạng được thực hiện trong thời gian thực:

  • Phân tích số liệu tinh tế,
  • Xếp ưu tiên và Đánh giá ảnh hưởng của các biến cố
  • Xác lập chính sách an ninh mạng
  • Thiết lập Hành động, Phản ứng chủ động với các nguy cơ nghiêm trọng – Khả năng “ABC” của hệ thống Defense Center.

Bên cạnh đó, Sourcefire Defense Center là một giải pháp an ninh mạng hoàn chỉnh nhất và duy nhất trên thế giới, với một hệ thống quản lý dữ liệu tích hợp có phẩm chất siêu cao. Giờ đây, bạn có thể dễ dàng quản trị mọi vấn đề đặt ra trong các dòng sản phẩm của Sourcefire, từ những công việc nâng cấp căn bản, cho đến những công việc phân tích, tường trình cho các chính sách bảo mật… tất cả, một cách tập trung.

Multicast cho phép các nhà cung cấp dịch vụ truyền hình giải pháp hiệu quả trong môi trường IP cho cả mạng Distribution và Contribution.

Innotel xin giới thiệu một giải pháp thực sự hiệu quả với sự kết hợp của SpeedFusionTM – giải pháp Công nghệ độc quyền sáng tạo của Peplink – được sử dụng trong hàng loạt sản phẩm then chốt của Peplink/Pepwave.

Ứng dụng Tác nghiệp Di động

Ứng dụng Multicast trong Studio và các Mobile Site

Hầu hết các Studio hiện nay đều được trang bị các hạ tầng Ethernet Switching Network hiện đại: Băng thông cao với các kết nối GbE hoặc 10GbE, hỗ trợ Multicast. Trong khi đó Teracue Codec hỗ trợ Multicast, cùng với SpeedFusionTM là sự lựa chọn tuyệt vời để truyền đưa các luồng Multicast Video cho việc xử lý tại Trung tâm để có thể phát sóng tức thời cho các phiên truyền hình nóng bỏng và quan trọng từ bất kỳ đâu, vào bất kỳ thời điểm nào.