Vous êtes sur la page 1sur 21

<Tên Khách Hàng>

Giải pháp phòng chống tấn công


McAfee IntruShield

Người thực hiện


Bạch Xuân Quang

Tài liệu lưu hành nội bộ


Cấm mọi hành vi sao chép

www.mcafee.com Page 1, 19-Nov-08


Mục lục

1. Giới thiệu về McAfee............................................................................................................................ ...............3


2. Khái quát về Network IPS IntruShield....................................................................................................... .........3
MCAFEE® INTRUSHIELD ................................................................................................................................ .............4
.............................................................................................................................................................. ................4
CẤU HÌNH THIẾT BỊ MCAFEE INTRUSHIELD ........................................................................................................... ............5
3. Tiêu chí chọn lựa sản phẩm IPS..................................................................................................................... ....7
4. Giải pháp bảo mật của thiết bị IntruShield....................................................................................... .................9
CẤU TRÚC CỦA THIẾT BỊ INTRUSHIELD...................................................................................................................... ........9
CÁC CHẾ ĐỘ HOẠT ĐỘNG CỦA THIẾT BỊ........................................................................................................... ................10
........................................................................................................................................................... .................10
KHÁI QUÁT VỀ TÍNH NĂNG CỦA INTRUSHIELD....................................................................................................... .............13
5. Mô hình triển khai................................................................................................................................ ..............18
5.1 GIẢI THÍCH MÔ HÌNH TRIỂN KHAI............................................................................................................. ..................18
5.2 TIÊU CHÍ TRIỂN KHAI.................................................................................................................. ...........................18
6. Chi phí đầu tư............................................................................................................................ ........................19
6.1 CHI PHÍ ĐẦU TƯ BAN ĐẦU........................................................................................................................ ...............19
6.2 CHI PHÍ ĐẦU TƯ HÀNG NĂM ........................................................................................................................... .........20
6.3 CHI PHÍ TRIỂN KHAI......................................................................................................................................... ......20
7. Tài liệu triển khai...................................................................................................................... .........................20
Thông tin liên lạc............................................................................................................................... ...................20
7.1 THÔNG TIN KHÁCH HÀNG....................................................................................................................... .................20
7.2 THÔNG TIN MI2.................................................................................................................................................. .21

www.mcafee.com Page 2, 19-Nov-08


1. Giới thiệu về McAfee
McAfee là công ty chuyên về an toàn an ninh mạng, cung cấp các giải pháp bảo mật toàn diện cho đối tượng
khách hàng rộng khắp từ doanh nghiệp lớn, tổ chức chính phủ, tới doanh nghiệp vừa và nhỏ, cũng như các khách
hàng khác. Giải pháp bảo vệ toàn diện cho phép phòng chống tấn công trên mạng, bảo vệ hệ thống máy tính khỏi
các cuộc tấn công phức hợp hay các tấn công thế hệ mới, các dạng tấn công này được khai thác trên nhiều mức
độ của hạ tầng mạng. McAfee cung cấp giải pháp bảo mật theo chiều sâu, từ vùng mạng core đến vành đai, bảo
mật toàn vẹn cho hệ thống máy chủ, máy trạm, thông qua hai giải pháp: McAfee System Protection Solution nhằm
bảo mật cho hệ thống máy chủ và máy trạm và McAfee Network Protection Solutions để đảm bảo khả năng bảo
vệ và tốc độ của hệ thống mạng.

McAfee giải pháp bảo mật toàn diện và tốt nhất


Với chiến lược bảo mật theo chiều sâu giúp bạn có thể quản trị mọi thành phần về bảo mật, tốc độ và tính sẵn
sàng của hệ thống mạng từ “network core”, đến hệ thống bảo vệ vành đai và đến việc bảo mật toàn diện cho máy
trạm. Đây là một chiến lược được xây dựng tốt nhất cho cả hai thành phần cơ bản về phần cứng và phần mềm, nó
là sự kết hợp hoàn hảo của hai bộ sản phẩm McAfee Systems Protection Solutions và McAfee Network Protection
Solutions.

McAfee System Protection Solutions


McAfee System Protection Solutions là giải pháp bảo mật toàn diện trên tất cả các tầng của hệ thống máy chủ,
máy trạm và các ứng dụng. Giải pháp này bao gồm danh bạ các sản phẩm: McAfee VirusScan® hệ thống phòng
chống virus; McAfee Anti-Spyware Enterprise® hệ thống phòng chống spyware; McAfee Host Intrusion Prevention®
hệ thống phòng chống tấn với những dạng tấn công chưa biết hay đã biết; McAfee Secure Content Management
thiết bị quét nội dụng đuợc thiết lập tại gateway và McAfee SpamKiller® thành phần phòng chống những e-mail
không mong muốn. Tất cả sản phẩm trên đuợc quản trị tập trung thông qua McAfee ePolicy Orchestrator® (ePO™).

McAfee Network Protection Solutions


McAfee Network Protection Solutions là giải pháp bảo vệ trước những tấn công cho cả mô hình mạng lớn và nhỏ.
Giải pháp bảo vệ này bao gồm: McAfee Foundstone® là hệ thống quản lý rủi ro và McAfee IntruShield® thành phần
phòng chống tấn công trên hệ thống mạng.

Để biết thêm thông tin chi tiết về sản phẩm của McAfee hãy truy cập vào website www.mcafee.com

2. Khái quát về Network IPS IntruShield


IntruShield™ là hệ thống hoàn thiện, thiết bị mạng phòng chống xâm nhập (IPS) thực hiện phòng chồng và dò tìm
xâm nhập theo thời gian thực đạt tốc độ multi-gigabit. IntruShield cho phép bảo vệ toàn diện trước các tấn công
đã biết, hay chưa được nhận dạng và tấn công từ chối dịch vụ (DoS). Các module phần mềm được lập trình
cứng trên chip ASIC, tăng khả năng hoạt động phần cứng, Sensor có nhiều cổng, dễ sử dụng, quản lý hệ thống
dựa trên trình duyệt. IntruShied bao gồm các sản phẩm sau đây:

• Thiết bị IntruShield 1200 Sensor I-1200


• Thiết bị IntruShield 1400 Sensor I-1400
• Thiết bị IntruShield 2700 Sensor I-2700
• Thiết bị IntruShield 3000 Sensor I-3000
• Thiết bị IntruShield 4000 Sensor I-4000
• Thiết bị IntruShield 4010 Sensor I-4010
• Phần mềm IntruShield Security Management System ISM
• Dịch vụ IntruShield Signature and Software Update Service

www.mcafee.com Page 3, 19-Nov-08


McAfee® IntruShield

Hệ thống phát hiện/ngăn chặn xâm nhập(Instrusion Detection/Prevention System-IDS/IPS) thực hiện giám sát các
sự kiện xảy ra trong một hệ thống máy tính hoặc mạng và phân tích chúng để tìm ra các dấu hiệu của sự xâm
nhập. Các dấu hiệu này được là việc thực hiện các hành động bất hợp pháp hoặc vượt qua những cơ chế bảo mật
của máy tính hay của mạng. Các vụ xâm nhập có thể là do kẻ tấn công truy cập vào hệ thống từ Internet, hoặc
người dùng hợp pháp muốn truy cập vào đặc quyền mà họ không được phép, và hay người dùng hợp pháp lạm
dụng đặc quyền của họ. Các hệ thống phát hiện/ngăn chặn xâm nhập là các sản phẩm phần cứng hoặc phần mềm
trợ giúp quá trình giám sát và phân tích xâm nhập.

Hệ thống IntruShield™ là một hệ thống hoàn hảo, dựa trên nền tảng hệ thống phòng chống xâm nhập (IPS) thực
hiện phòng chồng và dò tìm xâm nhập theo thời gian thực đạt tốc độ nhiều giga. Đưa ra sự bảo vệ hoàn hảo đối
với các cuộc tấn công đã nhận dạng, chưa được nhận dạng và tấn công từ chối dịch vụ. IntruShield kết hợp mạnh
mẽ, tăng khả năng hoạt động phần cứng, các thiết Sensor với nhiều port, dễ dàng trong việc sử dụng, quản lý hệ
thống dựa trên trình duyệt.

Các chức năng chính của IntruShield bao gồm:


1. Ngăn chặn tự động: Hệ thống có khả năng tự động ngăn chặn một số loại tấn công như Worm … thông
qua các chính sách thiết lập sẵn.
2. Công nghệ phát hiện và phòng chống xâm nhập đã chừng minh hiệu quả trong thực tế: Giải pháp
bao gồm cả khả năng phát hiện và phòng chống xâm nhập
3. Thiết bị bảo mật cắm là chạy: Thiết bị IPS phải được nhà sản xuất cấu hình sẵnkhả năng chống lại các
kiểu tấn công của sâu, Worm, Code red, Nimda … mà không cần người dùng phải tự điều chỉnh.
4. Hiệu năng cao và ổn định: Để đảm bảo hoạt động tin cậy cần hỗ trợ cơ chế sẵn sàng cao -HA về nguồn
(Power) hoặc vùng lưu trữ (Store). Ngoài ra chế độ HA về nguồn và lưu trữ còn phải chú trọng đến khả
năng HA của thiết bị và kết nối như khi xảy ra sự cố mất điện hay một thiết bị hỏng.
5. Có nhiều tùy chọn triển khai linh hoạt: thiết bị phải hỗ trợ nhiều cách thức triển khai như chế độ hàng
đợi Inline, Giám sát - Monitor, Phân tích Analysis.
6. Hoạt động ở lớp 2: hệ thống IPS bắt buộc phải hoạt động ở cả lớp trong mô hình OSI
7. Cập nhật bảo mật nhanh nhất: hệ thống IPS phải được hỗ trợ cập nhật các dấu hiệu cho phép phát hiện
và phòng chống tấn công mới, ngoài ra hỗ trợ thêm về giải đáp trực tuyến cho phép người dùng có thể tra
cứu giải thích chi tiết về các sự kiện thiết bị phát hiện, ngăn chặn.
8. Quản trị tập trung: hệ thống quản trị tập trung
9. Hỗ trợ toàn cầu, chất lượng quốc tế: hỗ trợ và giải đáp 24x7x365 vềtất cả các thành phần giải pháp của
McAfee.
10. Tủy chọn dịch vụ quản trị bảo mật: hỗ trợ một dịch vụ quản lý bảo mật gồm triển khai, duy trì và giám
sát sự hoạt động của hệ thống IPS

www.mcafee.com Page 4, 19-Nov-08


Dòng sản phẩm IntruShied bao gồm các sản phẩm sau đây:

• IntruShield 4010 Sensor (I-4010): phù hợp cho mạng lõi doanh nghiệp lớn, trung tâm dữ liệu hoặc các
nhà cung cấp dịch vụ. I-4010 có 12 cổng Gigabit Ethernet, đạt tốc độ xử lý dò tìm xâm nhập theo thời gian
thực tối đa 2 Gbps.

• IntruShield 4000 Sensor (I-4000): phù hợp cho mạng lõi doanh nghiệp hoặc vành đai mạng lớn. Giao
diện I-4000 Gigabit Ethernet hiệu năng cao, có dự phòng, đảm bảo kiến trúc mạng luôn ở trạng thái sẵn
sàng cao, thông lượng lọc thời gian thực tối đa lên tới 2Gbps.

• IntruShield 3000 Sensor (I-3000): phù hợp mạng lõi doanh nghiệp lớn, trung tâm dữ liệu, các nhà cung
cấp dịch vụ mạng. I-3000 có 12 cổng Gigabit Ethernet đạt tốc độ xử lý thời gian thực tối đa 1 Gbps.

• IntruShield 2700 Sensor (I-2700): cho phép triển khai linh hoạt trong mạng vành đai doanh nghiệp.
Thiết bị có 2 cổng Gigabit Ethernet, 6 cổng Fast Ethernet, tốc độ xử lý tối đa theo thời gian thực 600 Mbps.

• IntruShield 1400 Sensor (I-1400): phù hợp mạng doanh nghiệp vừa, chi nhánh, trụ sở truy cập từ xa
hoặc mạng vành đai của doanh nghiệp. I-1400 có 4 cổng Fast Ethernet, tốc độ xử lý thời gian thực tối đa
200 Mbps.

• IntruShield 1200 Sensor (I-1200): phù hợp cho mạng doanh nghiệp vừa và các chi nhánh, có 2 cổng Fast
Ethernet đạt tốc độ tối đa 100 Mbps.

• IntruShield Security Management System (ISM): ISM là giải pháp quản lý IPS cao cấp, quản lý thiết bị
IntruShield sensor. ISM cho phép định nghĩa, áp dụng, thực thi và chỉnh sửa chính sách bảo mật bảo vệ
các máy chủ quan trọng, trung tâm dữ liệu, phòng ban độc lập, chi nhánh phân tán, và văn phòng truy cập
từ xa của các công ty toàn cầu.

• Dịch vụ cập nhật phần mềm và cơ sử dữ liệu nhận dạng tấn công IntruShield: Khi phát hiện một
dạng tấn công mới, đội kỹ thuật của McAfee Security sẽ phát triển và công bố mẫu cập nhật tương ứng. Vì
hàng ngày đều có nhiều lỗ hổng mới được phát hiện, nên mẫu cập nhật cũng được công bố thường
xuyên, kịp thời.

Cấu hình thiết bị McAfee IntruShield


Model I 1200
• Một nguồn điện
• Phù hợp cho mạng chi nhánh
• Tốc độ tối đa 100 Mbps
• Hỗ trợ tối đa 40,000 kết nối đồng thời
• 2 cổng quét Fast Ethernet (FE), cho phép fail – open
• 1 cổng dành riêng cho phản hồi Fast Ethernet (FE)
• Có cổng riêng để quản trị Fast Ethernet (FE)
• 1 cổng điều khiển ngoài, cho phép fail – open
• Tích hợp Tap mạng cho cổng FE
• Có cổng điều khiển phụ
• Hỗ trợ tối đa 16 IPS ảo.

Model I 1400
• Một nguồn điện
• Phù hợp cho mạng biên, chi nhánh
• Tốc độ tối đa 200 Mbps
• Hỗ trợ tối đa 80,000 kết nối đồng thời
• 4 cổng quét Fast Ethernet (FE), cho phép fail – open
• 1 cổng dành riêng cho phản hồi Fast Ethernet (FE)

www.mcafee.com Page 5, 19-Nov-08


• Có cổng riêng để quản trị Fast Ethernet (FE)
• Tích hợp Tap mạng cho cổng FE
• Có cổng điều khiển phụ
• Hỗ trợ tối đa 32 IPS ảo

Model I 2700
• Một nguồn điện, tùy chọn nguồn dự phòng
• Phù hợp cho mạng biên
• Tốc độ tối đa 600 Mbps
• Hỗ trợ tối đa 250,000 kết nối đồng thời
• 2 cổng quét Gigabit Ethernet
• 6 cổng quét Fast Ethernet (FE), cho phép fail – open
• 3 cổng dành riêng cho phản hồi Fast Ethernet (FE)
• Có cổng riêng để quản trị Fast Ethernet (FE)
• 1 cổng điều khiển ngoài, cho phép fail – open
• Tích hợp Tap mạng cho cổng FE
• Có cổng điều khiển phụ
• Hỗ trợ tối đa 100 IPS ảo.

Model I 3000
• Một nguồn điện, tùy chọn nguồn dự phòng
• Phù hợp cho mạng lõi
• Tốc độ tối đa 1 Gbps
• Hỗ trợ tối đa 500,000 kết nối đồng thời
• 12 cổng quét Gigabit Ethernet
• 2 cổng dành riêng cho phản hồi Fast Ethernet (FE)
• Có cổng riêng để quản trị Fast Ethernet (FE)
• 6 cổng điều khiển ngoài, cho phép fail – open
• Có cổng điều khiển phụ
• Hỗ trợ tối đa 1000 IPS ảo.

Model I 4000
• Một nguồn điện, tùy chọn nguồn dự phòng
• Phù hợp cho mạng lõi
• Tốc độ tối đa 2 Gbps
• Hỗ trợ tối đa 1,000,000 kết nối đồng thời
• 4 cổng quét Gigabit Ethernet
• 2 cổng dành riêng cho phản hồi Fast Ethernet (FE)
• Có cổng riêng để quản trị Fast Ethernet (FE)
• 2 cổng điều khiển ngoài, cho phép fail – open
• Có cổng điều khiển phụ
• Hỗ trợ tối đa 1000 IPS ảo.

Model I 4010
• Một nguồn điện, tùy chọn nguồn dự phòng
• Phù hợp cho mạng lõi
• Tốc độ tối đa 2 Gbps
• Hỗ trợ tối đa 1,000,000 kết nối đồng thời
• 12 cổng quét Gigabit Ethernet
• 2 cổng dành riêng cho phản hồi Fast Ethernet (FE)
• Có cổng riêng để quản trị Fast Ethernet (FE)
• 6 cổng điều khiển ngoài, cho phép fail – open
• Có cổng điều khiển phụ
• Hỗ trợ tối đa 1000 IPS ảo.

www.mcafee.com Page 6, 19-Nov-08


3. Tiêu chí chọn lựa sản phẩm IPS
Khi chọn lựa hệ thống phát hiện và phòng chống xâm nhập trái phép (IPS) cần dựa theo một số chí sau:
• Tính bí mật: bảo vệ tính bảo mật thông tin, ngăn chặn bất kỳ hành vi sao chép mà chưa chứng thực, bao
gồm cả chương trình backdoor hay những chương trình được thiết kế cho phép người dùng không xác
thực hành vi truy xuất thông tin.
• Tính toàn vẹn: bảo vệ tính toàn vẹn thông tin, ngặn chặn việc thay đổi thông tinbởi sâu mạng - network
worm và những chương trình khác được thiết kế để thay đổi hay xóa thông tin.
• Tính sẵn sàng: đảm bảo các tài nguyên hệ thống sẵn sàng cho người dùng hợp pháp, ngăn chặn không
cho những chương trình nguy hại như backdoor, hoặc tấn công DoS xâm phạm tài nguyên hệ thống.
Ngăn chặn tấn công chính xác: phát hiện và ngăn chặn xâm nhập mức độ chính xác cao
• Đảm bảo băng thông: khả năng ngăn chặn những kết nối không được chứng thực, các đoạn mã có tính
chất nguy hiểm, duy trì băng thông mạng luôn ổn định.
• Giảm thiểu can thiệp từ phía người dùng: hệ thống IPS được xây dựng để bảo vệ hệ thống mà không
cần nhiều thao tác haysự can thiệp từ người.
• Là giải pháp thay thế cho quản trị bản vá: IPS phải có khả năng đóng các lỗ hỗng của hệ thống, chống
lại các hành động dò tìm phát hiện điểm yếu của kẻ xâm nhập cho dù hệ thống đó chưa được cập nhật
bản vá.
• Tổng quan giải pháp: ngăn chặn các kiểu tấn công đã biết và chưa biết theothời gian thực như DoS,
Backdoor, … nhưng vẫn bảo đảm được băng thông cho mạng.
• Quản trị: ngoài ra nó còn phải tích hợp với hệ thống phòng chống xâm nhập trên máy trạm, hệ thống
Firewall và có thểquản trị tập trung.
Dùng hệ thống IDS/IPS, các nhiệm vụ an ninh mạng sau sẽ được đảm bảo:
 Phát hiện/ Ngăn chặn các vụ tấn công và các vi phạm an ninh không được các biện pháp bảo mật khác
bảo vệ.
 Phát hiện các sự khởi đầu tấn công (các cuộc khảo sát mạng và dò tìm điểm yếu)
 Vô hiệu hoá được các tấn công lợi dụng điểm yếu đã được công bố một cách chủ động Preemptive
Security.
 Ghi lại được dấu vết của các hành động bất hợp pháp
 Chứng minh các mối nguy cơ đang tồn tại.
 Kiểm soát chất lượng thiết kế và quản trị an ninh
 Cung cấp các thông tin hữu ích về các phương pháp được sử dụng trong xâm nhập.
Hệ thống phát hiện và ngăn chặn xâm nhập sử dụng hai phương pháp phân tích sự kiện khác nhau để tìm ra các
vụ tấn công là dựa trên các dấu hiệu và phát hiện sự bất thường. Phát hiện dựa trên dấu hiệu nhận dạng sự kiện
hoặc tập hợp các sự kiện phù hợp với mẫu sự kiện đã định nghĩa là tấn công. Các mẫu này được gọi là các dấu
hiệu. Phát hiện sự bất thường đưa ra các quy tắc đối với các hành động bình thường và định nghĩa hành động
xâm nhập là các hành động trái quy tắc.

Với các phương pháp sử dụng như trên, hệ thống IDS/IPS có thể phát hiện và ngăn chặn được các tấn công ở
các dạng:
 Exploits: khai thác các điểm yếu an ninh tại hệ điều hành, ứng dụng
 Tấn công từ chối dịch vụ (DoS): Tấn công bằng cách cố tình tiêu thụ băng thông, làm nghẽn mạng bằng
nhiều yêu cầu hợp lệ Ví dụ: SYN flooding, SYN attack, Ping of death…
 Các tấn công hỗn hợp của Worm như MS Blaster, SQL Slammer, Nimda, Code Red…
 Các tấn công dò quét mật khẩu bằng phương pháp vét cạn (brute force)

www.mcafee.com Page 7, 19-Nov-08


 Sử dụng các chương trình Spyware, Trojan house: đưa những chương trình vào máy nạn nhân, tạo các
cửa hậu để xâm nhập.

McAfee IntruShield thỏa mãn mọi tiêu chí đánh giá trên, thể hiện cụ thể ở các tính năng sau:
 Tích hợp Signature, Application và Statistical Anomaly Detection
 Virtual IPS hổ trợ tạo nhiều IPS ảo cho các phân đoạn mạng với chính sách bảo mật khác nhau.
 Stateful Internal Firewall
 Tạo Signature cho tất cả các giao thức liên quan đến sự kiện đang xảy ra một cách chính xác
 Kiểm tra tất cả signatures trong môi trường thực của khác hàng.
 Phân tích toàn diện các tấn công, các công cụ và báo cáo mềm dẻo

Ngăn chặn tấn công với độ chính xác cao

Tính chính xác IntruShield



Khả năng ngăn chặn những tấn công đã biết và
Database rất lớn các ứng dụng có hành vi bất thường và
chưa biết?
các mẫu phát hiện shell code
Không
Mẩu mới được cập nhật ngăn chặn các tấn công Khả năng phân tích hành vi và phát hiện shell code cho
mới. phép phán hiện rất nhiều các loại tất công mới mà không
cần cập nhật.

Bảo vệ hệ thống trước những lổ hổng bảo mật với


1 hay 2 signatures, hoặc với nhiều signatute cho Một hay hai
một tấn công riêng biệt.

Ngăn chặn những tấn công sử dụng giao thức Có


nhưng không dùng các port chuẩn của giao thức Hổ trợ hầu hết các dịch vụ thường sử dụng với các định
đó. nghĩa port không chuẩn

Bảo vệ hệ thống trước những dấu hiện tấn công có
Sửng dụng thuật toán heuristic để phát hiện các Shell
chung một phương thức như “shell code”
Code

Ngăn chặn Instant Messaging và Peer to Peer
Bao gồm khả năng phát hiện port phi chuẩn

Phòng chống Spyware?
Bao hàm tính năng phòng chống Spyware


Khả năng bảo vệ tài nguyên trong thương mại điện
Hỗ trợ chống tấn mã hóa SSL. Những “Key” được lưu lại
tử, phòng chống tấn công được mã hóa.
trong bộ nhớ để chống bị lấy cắp.

Tích hợp với một công cụ VA (quản trị lổ hổng bảo Có


mật) và thông tin liên quan đến một tấn công. IntruShield có thể tích hợp với FoundStone và Nessus


Ngăn chặn lưu lượng IPv6 dể dàng
Lưu lượng IPv6 có thể được hay không đi qua

Bảo vệ toàn diện trước Bots va Botnets Có

www.mcafee.com Page 8, 19-Nov-08


Thử nghiệm khả năng ngăn chặn với 135 loại tấn
135
công

Lướt web an toàn với McAfee SiteAdvisor


Chủ động bảo vệ người dùng và mạng trước web-site chứa spyware, phishing, spam; SiteAdvisor có khả năng
vượt bậc về lọc URL mà không ảnh hưởng đến các website thông thường, bởi việc xác định và ngăn chặn chính
xác các site nguy hiểm. Phần mềm cho phép lướt web an toàn bằng cách chặn truy cập tới các site nguy hiểm,
thông báo nguy cơ bị spam và pop-up.

Quản trị toàn diện, có thể mở rộng quy mô


McAfee IntruShield tích hợp sẵn thành phần quản trị ISM cấu hình trực tiếp, hay thông qua chương trình quản trị
ePolicy Orchestrator (ePO™). ePO cho phép quản trị tập trung tất cả các thiết bị gateway, hệ thống máy chủ, máy
trạm cài McAfee: giải pháp chống virus, chống phần mềm gián điệp, chống spam, chống phisphing, và lọc web.
Quản lý tập trung giúp việc quản trị đơn giản, nhanh gọn, giảm thiểu chi phí.

Tính năng mở rộng IntruShield


Tăng tính toàn vẹn dữ liệu Kiểm tra chính xác nhất tất cả lưu thông mạng. Cơ chế tập hợp các báo động
và tính chính xác giúp việc đánh giá, phân tích trở nên đơn giản hơn. Cho phép cấu hình DoS
động, mở rộng khả năng IPS.
Tính mểm dẻo Khả năng ngăn chặn các loại tấn công đã được mã hóa, bao hàm toàn diện
công cụ phân tích, trình cài đặt, VIPS.
Kiến trúc tiên tiến IntruShield kiểm tra toàn bộ luồng lưu thông mạng tại tốc độ cao là mục đích
của thiết bị này, được lập trình cứng tăng tốc trên chip ASIC nên có hiệu năng
cao.
Trọng tâm về bảo mật McAfee là một công ty lớn chuyên sâu về bảo mật với giải pháp bảo vệ toàn
vẹn và theo chiều sâu từ máy trạm đến mạng core.

Khả năng về thông lượng IntruShield đạt thông lượng 2G, vượt trội so với các sản phầm của hãng khác.

Hiệu năng hàng đầu


McAfee IntruShield có giá tốt nhất so với các giải pháp cùng loại. Bạn có thể lựa chọn sản phẩm theo hiệu năng
hoạt động mà không cần quan tâm đến số license người dùng cần mua thêm. IntruShield không tính license theo
người dùng. Các lựa chọn phần cứng bao gồm: I1200, cho 1 phân vùng mạng, tốc độ lọc 100 Mbps; I1400, cho 2
phân vùng mạng, tốc độ lọc 200 Mbps; I2700, cho 4 phân vùng mạng, tốc độ lọc 600 Mbps; I3000, cho 6 phân
vùng mạng, tốc độ lọc1 Gbps; và I 4000, I 4100 tốc độ 2Gbps.

4. Giải pháp bảo mật của thiết bị IntruShield


Cấu trúc của thiết bị IntruShield

www.mcafee.com Page 9, 19-Nov-08


Cấu trúc và tổ chức hoạt động của IntruShield là một quy trình kép kín từ quản trị thiết bị cho đến phân tích sự kiện
xảy ra trên hệ thống, tích hợp toàn vẹn nhiều thành phần bảo mật như:

 Bắt gói tin


 Phân tích stateful
 Phát hiện tương quan tấn công
 Phòng chống tấn công
 Phát hiện tấn công mã hóa
 Tăng tốc phần cứng
 Phân chia VIPS
 Quản trị tập trung

Các chế độ hoạt động của thiết bị

Các chế độ hoạt động này được xây dựng theo một chiến lược thống nhất và phù hợp cho tất cả môi trường thực
của khách hàng. Thiết bị IntruShield có khả năng hổ trợ 3 chế độ hoạt động khác nhau cho từng môi trường cụ
thể. Ba chế độ đó là: SPAN, Tap và In-Line. Chế độ SPAN được sẽ thực hiện ghi lại tất cả các hoạt động mạng,
chề độ Tap ghi lại hoạt động của từng phân đoạn mạng hai chế độ chỉ nghi lại tất cả hoạt động mạng. Chế độ In-
Line chỉ thực hiện giám sát và phân tích hệ thống trước khi triển khai chúng hoạt động hoạt động là IPS. Điểm
khác biệt chính giữa những chế độ hoạt động này là:

• Nhận thức của các thiết bị khác trong mạng về sự tồn tại của thiết bị
• Vị trí tương đối IntruShield của với tường lửa
• Thiết bị được kết nối vật lý vào mạng như thế nào
• Hiệu năng hoạt động của thiết bị

www.mcafee.com Page 10, 19-Nov-08


4.1.1 SPAN hoặc Hub
Trong chế độ SPAN hoặc Hub, IntruShield nối với cổng SPAN của switch hoặc 1 cổng của hub, hoạt động ở chế
độ giám sát.

Ghi chú: Cổng SPAN là cổng ghi lại tất cả thông lượng mạng đi qua Switch tới thiết bị giám sát mạng. Thông lượng
tất cả các cổng khác được thiết lập để sao chép lại, đưa đến cổng SPAN truyền tới thiêt bị giám sát.

Hiệu năng: Khi hoạt động ở chế độ SPAN hoặc hub, I-1200, I-1400 và I-2700 tắt chế độ tap trong. I-1200, I-1400
và I-2700 (hình dưới đây) có thể giám sát tối đa tương ứng là 2, 4 và 8 kết nối SPAN đồng thời. Còn I-4000 tối đa
là 4 kết nối SPAN, I-3000 và I-4010 tối đa là 12 kết nối SPAN.

Vị trí lắp đặt thiết bị


Vì lý do bảo mật, thiết bị phải nối với hub, switch đặt sau tường lửa.

4.1.2 Tap
Trong chế độ Tap, IntruShield cho phép ghi lại hoạt động từng vùng mạng được định nghĩa theo vị trí
tương đối với tường lửa. Ví dụ: giám sát vùng mạng ngoài tường lửa gọi là External_Tap, và vùng mạng
sau tường lửa gọi là Internal_Tap.
Lưu ý: Chế độ Internal_Tap có chức năng fail-open, tức là gói tin vẫn tiếp tục được chuyển tiếp giao nếu
bộ cảm biến bị lỗi.

Hiệu năng: I-1200, I-1400 và I-2700 có tương ứng 2, 4, 6 cổng 10/100. I-2700 có thêm 2 cổng GBIC cho phép
cấu hình External_Tap (hình dưới đây). I-2700 có thể xử lý thông lượng tối đa 600 Mbps. I-3000 chế độ tap
ngoài có thể xử lý thông lượng tối đa 1Gbps, I-4000 và I-4010 là 2Gbps, trong đó thông lượng trên mỗi
cổng tap tối đa là 1 Gbps.

www.mcafee.com Page 11, 19-Nov-08


4.1.3 In-Line
Vị trí lắp đặt thiết bị: Đặt IntruShield trực tiếp trên đường vào một phân vùng mạng. Thông lượng đi qua engine
được kiểm tra rồi gửi trả lại mạng.
Hiệu năng: I-2700 giám sát được 1 phân vùng mạng trong chế độ in-line, tốc độ tối đa 600 Mbps. I-4000 có 4
cổng (Hình dưới đây), giám sát được 2 phân vùng mạng trong chế độ in-line, tốc độ tối đa 2Gbps.
Lưu ý: chế độ In-Line cho phép chịu lỗi Failover.

4.1.4 Chế độ In-Line cho phép chịu lỗi Failover


Định nghĩa: Cơ chế quét stateful: lưu trạng thái trước đó của liên kết trong bảng trạng thái state - table, xác định
nguy cơ không chỉ dựa trên mẫu gói tin hiện tại truyền trên liên kết mà còn dựa trên bảng trạng thái đã lưu.

Cơ chế hoạt động:


Khi chạy trong chế độ in-line, hai IPS giống nhau có thể được ghép cặp chạy song song, cho phép chịu lỗi -
failover. Mọi thiết bị IntruShield đều hỗ trợ stateful fail-over, là giải pháp triển khai IPS sẵn sàng cao đầu tiên trong
thực tế. Hai IPS kết với nhau qua cổng GBIC, và luôn ở trạng thái sẵn sàng. Nếu một IPS hỏng, IPS còn lại sẽ tiếp
tục xử lý gói tin, ngay lập tức.

www.mcafee.com Page 12, 19-Nov-08


Hai thiết bị có thể hoạt động ở chế độ Active/Standby hoặc Active/Active. Trong chế độ Active/Active, chúng có thể
hỗ trợ định tuyến thông lượng không đối xứng, chỉ cần đảm bảo 1 trong 2 thiết bị này “nhìn thấy” tất cả thông
lượng mạng theo cả 2 hướng vào/ra.

Hiệu năng: Trong chế độ Active-Active, thông lượng tối đa cặp 2 failover sensor trong một nhóm fail-over có thể xử
lý tối đa là 2Gbps với I-4010 và I-4000, 1Gbps với I-3000, 600 Mbps với I-2700, 200 Mbps với I-1400 và 1000
Mbps với I-1200.

Khái quát về tính năng của IntruShield


4.1.5 Tính năng
McAfee® IntruShield bảo vệ hệ thống trước nguy cơ bị tấn công với độ chính xác cao. IntruShield là một giải pháp
toàn vẹn, lập trình cứng hóa trên chip ASIC, sử dụng ISM cầu hình, và cho phép quản lý tập trung qua McAfee
ePolicy Orchestrator® (ePO™), bạn có thể quản trị bảo mật thư tín hệ thống máy bàn, máy chủ mail, giúp tiết kiệm
thời gian mà vẫn bao quát hết các vấn đề bảo mật trên toàn hệ thống. Không như những nhà cung cấp khác chỉ hỗ
trợ khi xảy ra các vấn đề khó khăn về bảo mật, IntruShield của McAfee được hỗ trợ bởi một đội nghiên cứu bảo
mật rộng khắp trên toàn thế giới nhằm giám sát tất cả những mối nguy hại từ Internet 24/7 và trên cả năm châu
lục, nhanh chóng đưa ra biện pháp xử lý trước mọi nguy cơ phát sinh, đảm bảo bảo vệ hệ thống của bạn một cách
toàn vẹn nhất.

Điều khiển truy cập mạng động


Thực thi chính sách sâu và rộng hơn trong mạng, điều khiển truy cập động, cho phép phát hiện những lỗi chưa
công bố; chức năng cách ly đã lập trình cứng trên chip cùng với McAfee Network Access Control (NAC) cho phép
điều khiển liên tục hệ thống trên máy trạm cả trước và sau khi ra nhập mạng, dù máy trạm đó đã được quản trị,
chưa quản trị, hay không thể quản trị được

Giới hạn tỷ lệ băng thông động


Điều khiển thông lượng mạng của bạn trong khi ngăn chặn các ứng dụng không mong muốn, nguy hại theo thời
gian thực

Khả năng bảo vệ tuyệt đối


Sản phẩm bảo mật mạng IntruShield từng đoạt nhiều giải thưởng, chất lượng vượt xa tiêu chuẩn Telcordia, và là
thiết bị IPS duy nhất đạt chứng nhận Multi-Gigabit IPS của NSS Group. IntruShield kết hợp với tường lửa bên
trong là giải pháp bảo mật tích hợp, bảo vệ thiết bị nối mạng trước cả nguy hiện hữu và tiềm tàng, với cơ chế cập
nhật thông tin về lỗ hổng, nguy cơ động

Cảnh báo động


IPS cảnh báo động, giúp nâng cao nhận thức bảo mật.

Bảo vệ trước các mối nguy hại về mã hóa

www.mcafee.com Page 13, 19-Nov-08


Với khả năng kiểm tra và bảo vệ lưu lượng mã hóa SSL, là một bước ngoặt quan trọng trong lĩnh vực phòng
chống xâm nhập mạng

• Kỹ thuật kiểm tra thông lượng SSL - IntruShield kiểm tra luồng dữ liệu SSL bằng cách sao chép “private
key” của máy chủ khi máy trạm yêu cầu tạo một kết nối SSL đến server, IntruShield nhận thấy yêu cầu này
và giám sát phiên SSL này giữa máy client và server. Trong lúc phiên SSL này được thiết lập, IntruShield
dùng “private key” để mã hóa, kiểm tra dữ liệu và xác định key của phiên này.

• Phương thức phòng chống tấn công SSL - Sau khi phát hiện ra một tấn công, IntruShield có thể cấu
hình để ngăn chặn những gói tin của phiên tấn công, hoặc cho phép đi qua đồng thời đưa ra một cảnh
báo. Nếu tấn công được phát hiện và hệ thống được thiết lập ngăn chặn thì gói tin đầu tiên được lưu trong
bộ đệm và có thông báo gửi đến người quản trị.

• Bảo mật SSL Key – Bảo mật SSL key rất cần thiết, và IntruShield sử dụng một số của máy để bảo đảm
tính bảo mật của Key. “Private key” được mã hóa và được lấy từ SSL Server dưới định dạng PKCS#12
chuyển vào IntruShield Manager qua CD, đĩa mềm,… nó được mã hóa một lần nữa bằng “Public Key” của
IntruShield. Khi thiết bị được cấu hình kiểm tra SSL, người quản trị sẽ đẩy key mã hóa đó đến thiết bị, thiết
bị giải mã bằng Private key và lưu trữ nó ở dạng văn bản rõ tại bộ nhớ. Key chỉ bị mật trong trường hợp
mất điện hoặc khởi động lại thiết bị.

Các yêu cầu bảo mật SSL


IntruShield là giải pháp IPS đầu tiên cung cấp khả năng bảo mật SSL, đảm bảo bốn yêu cầu chính bảo vệ lưu
lượng mã hóa SSL.

• Tính chính xác - Bởi khả năng tích hợp tất cả các biện pháp phát hiện tấn công khác nhau, bao gồm giao
thức và các ứng dụng có hành vi bất thường, kiểm tra các loại chữ ký điện tử, học loại tấn công DoS,
DDoS. Công nghệ dò tìm chính xác của IntruShield là nền tảng cho nhiều giải pháp ngăn ngừa tấn công
chính xác nhất trong IPS.
• Tính bảo mật - Mở rộng lợi ích của việc ngăn ngừa xâm nhập tới lưu lượng mã hóa SSL. Tăng sự an toàn
cho các tài nguyên mạng. “SSL Key” không bao giờ bị phơi bày ở dạng không mã hóa, IntruShield bảo
đảm rằng tính bí mật và sự toàn vẹn của “SSL Key” không bị xâm phạm. Đặc điểm này cho phép tiếp nhận
và triển khai công nghệ có độ tin cậy cao.
• Hiệu năng– Phần cứng của IntruShield được lập trình cứng, hoàn toàn tập trung vào công nghệ bảo mật,
nhiệm vụ then chốt là phòng chống tấn công. Kết quả là, IntruShield có thể hỗ trợ hàng nghìn mẫu -
signature tại vùng mạng lưu lượng cao mà không hề bị mất mát gói tin nào. IntruShield bảo vệ chống lại
những tấn công đã được biết, lỗ hổng chưa công bố zero-day và tấn công từ chối dịch vụ DoS cho cả lưu
lượng mã hóa và không mã hóa.
• Tính tin cậy – Thiết bị IntruShield trang bị cáp, nguồn và ổ cứng dự phòng, với kiến trúc tiên tiến này đảm
bảo sự tin cậy cao nhất. Ngoài ra thiết bị có khả năng tự động by-pass khi bị mật nguồn hay gặp sự cố,
tính năng này chỉ hổ trợ khi thiết bị triển khai ở chế độ in-line.

www.mcafee.com Page 14, 19-Nov-08


VIPS- Virtual IPS
VIPS là phương thức chia một thiết bị IPS vật lý thành nhiều IPS luận lý dựa trên cổng, dải IP, và nhãn của VLAN
khi có nhiểu phân đoạn mạng cần giám sát hay chỉ cần giám sát toàn bộ lưu lượng mạng. Tính năng VIPS của
IntruShield cho phép người quản trị cấu hình nhiều chính sách bảo mật trong một môi trường duy nhất để giám sát
tất cả lưu lượng mạng chỉ với một thiết bị IPS. Những chính sách bảo mật khác nhau có thể được thực thi trên các
cổng mạng khác nhau. Ví dụ: Cho phép một cặp cổng mạng giám sát vùng DMZ chủ yếu là máy chủ Web theo
chính sách Web-base hoạt động ở chế độ In-Line, trong khi cổng mạng khác giám sát vùng Internal với chế độ
SPAN sử dụng chính sách mặc định. Tính năng này có nhiều lợi ích như sau:

• Giám sát với những chế độ khác nhau chỉ với một thiết bị duy nhất – Nếu thiết bị có nhiều cổng thì có
thể dùng cho nhiều mục đích, nó mang lại rất nhiều lợi ích, 1 cặp cổng cho thực hiện tiến trình IPS, còn
những cổng khác có thể sử dụng như một thiết bị giám sát IDS tĩnh. Tất nhiên, cũng có thế dùng nhiều cặp
cổng để bảo vệ nhiều phân vùng mạng khác nhau.

• Thực thi các chính sách bảo mật riêng biệt cho những mạng khác nhau – Khả năng thực thi các
chính sách riêng biệt hay duy nhất trên mỗi cổng hay từng cặp rất cần thiết cho hệ thống mạng. Ví dụ: Nếu
một phân vùng mạng chỉ toàn chạy hệ điều hành Sun Solaris, thì không cần thiết phải triển khai các
signature SSL trên VIPS này. Tương tự, phân vùng máy chủ File và in ấn thì các signature của Web và
FTP cũng giảm đáng kể trên phân vùng này. Tính năng này giúp người quản trị giảm thiểu thời gian và
quản lý đơn giản hơn.

• Tường lửa ảo – Tường lửa là tính năng được tích hợp trên mỗi thiết bị IPS cho phép người quản trị thực
hiện cấm hay cho phép lưu lượng đến một mạng được bảo vệ. Ví dụ: Nếu có một phần vùng riêng biệt chỉ
có File và Print Server, thì tất cả lưu lượng HTTP sẽ bị Tường lửa ảo cấm. Tính năng này làm tăng khả
năng bảo vệ cho các phân vùng mạng và tối ưu hóa băng thông mạng, chỉ cho phép các thông lượng hợp
pháp.

• Hỗ trợ tốt nhất môi trường ISP – Khả năng của IPS hoạt động lý tưởng nhất là trong môi trường của các
nhà cung cấp dịch vụ, cho phép nhà cung cấp có thể thực thi những chính sách bảo mật riệng biệt hay duy
nhất cho mỗi mạng khách hàng trên những port riêng biệt (hay dải IP riêng biệt trên một port duy nhất).
Tính năng Tường Lửa Ảo giúp tối ưu hóa bảo mật bởi vì được thực thi trên hệ thống vành đai ảo trong
mạng nhà cung cấp dịch vụ, bảo vệ tốt nhất cho mạng khách hàng.

www.mcafee.com Page 15, 19-Nov-08


Khả năng quản trị

 Quản trị độc lập, cấu hình qua IntruShield Security Management System (ISM). ISM cho phép quản lý
nhiều IPS IntruShield phân tán.
 Quản trị tập trung qua ePO:
 ePO™ có thể quản trị tất cả các sản phẩm của McAfee, cho phép thiết lập, cấu hình chính sách
bảo mật, tạo báo cáo ... tập trung.
 ePO™ điều khiển hệ thống bảo mật nhiều lớp và sinh báo cáo - Báo cáo trực quan, giàu hình
ảnh giúp bạn dễ dàng diễn giải thông tin một cách chi tiết. Bạn có thể quản trị chính sách tập
trung, cấu hình trên máy trạm, gateway, máy chủ mail, bảo vệ hệ thống tốt hơn và phản ứng
nhanh hơn trước sự cố hay khi có vấn đề nào xảy ra.
 License ePO™ khi mua một thiết bị bạn sẽ có một license quản lý thiết bị này

www.mcafee.com Page 16, 19-Nov-08


4.1.6 Lợi ích mang lại
Những lợi ích công nghệ IPS mang lại:

• Đảm bảo tính bí mật (Confidentiality) tức là thông tin không bị xem trộm trong quá trình xử lý, dữ liệu trao
đổi trên đường truyền không bị lộ, bị đọc lén, dữ liệu lưu trữ không bị khai thác trái phép

• Đảm bảo tính toàn vẹn (Integrity dù nguyên nhân do chủ quan hay khách quan, dữ liệu khi truyền từ nơi
này đến nới khác, hay đang lưu trữ luôn phải đảm bảo không bị thay đổi, sửa chữa làm sai lệch nội dung
thông tin.

• Đảm bảo tính sẵn sàng (Availability) hệ thống CNTT phải luôn ở trạng thái phục vụ tốt nhất, sẵn sàng cung
cấp thông tin, dịch vụ,… cho mọi yêu cầu hợp pháp. Thiết bị phần cứng phải đảm bảo thông suốt trên
đường truyền, hệ thống không bị tắc nghẽn, hỏng hóc.

• Đảm bảo tính xác thực (Authentication) thể hiện ở 2 yêu cầu: xác thực người sử dụng tham gia hệ thống
và xác thực dữ liệu do người sử dụng luân chuyển trên hệ thống. Phải có những biện pháp tối ưu để
chống lại việc lộ mật khẩu, xác định đúng quyền hạn của người tham gia giao dịch trong hệ thống, không
để xảy ra tình trạng giả mạo giữa các bên tham gia trao đổi thông tin.

• Đảm bảo tính chống từ chối (Non-repudiation) việc đảm bảo tính chống từ chối cũng là một yếu tố quan
trọng trong việc đảm bảo an toàn an ninh cho hệ thống CNTT. Hệ thống phải có biện pháp giám sát, đảm
bảo một đối tượng khi tham gia trao đổi thông tin thì không thể từ chối, phủ nhận việc mình đã phát hành
hay sửa đổi thông tin.

Nhiệm vụ của CNTT là bảo vệ nguồn thu cho doanh nghiệp

Mối băn khoăn, trở ngại, đội ngũ IT thường gặp hàng ngày trong hoạt động của công ty bình thường là: Lấy ví dụ
với một công ty thông thường, làm việc trong lĩnh vực thương mại trực tuyến, doanh thu năm 2004 là 300 triệu $.

• Dịch vụ mua bán trực tiếp (DAT) cung cấp 24/7 - nếu hỏng thì công ty sẽ sập tiệm
• Phải đảm bảo hổ trợ kỹ thuật 24/7
• Giảm thiểu chi phí và công sức về CNTT phát sinh do cài đặt bản vá và làm sạch hệ thống

Như vậy, nếu hệ thống CNTT quan trọng xử lý hoạt động mua bán của một cửa hàng trực tuyến bị sập trong 1 giờ,
thì chi phí sẽ là bao nhiêu? Sự cố này đe dọa tới nguồn thu từ hoạt động kinh doanh, nên công ty sẽ phải nhờ tới
bộ phận CNTT xác định nguy cơ này, và sửa lỗi.

Nếu hệ thống máy chủ then chốt điều khiển hoạt động hệ thống thương mại, mua hàng trực tuyến bị tấn công,
xâm phạm, và ngưng hoạt động, thì chi phí sẽ là bao nhiêu?

Hệ thống bảo mật mạng có nhiệm vụ bảo vệ cơ sở hạ tầng, tiến trình và dữ liệu quan trọng, ảnh hưởng tới sự
thành công của bất cứ công ty nào. Bất kỳ tiến trình nào bị ngắt cũng có thể làm ứng dụng hoặc dịch vụ quan trọng
bị ngưng trệ theo, hậu quả là giảm hiệu quả và doanh thu từ hoạt động kinh doanh.

Đây là ví dụ thực tế, về một công ty cung cấp giải pháp bảo mật hàng đầu
Trong năm 2003, hệ thống CNTT của công ty này trên toàn cầu bị tấn công 50 triệu lần. Với ông Ted Barlow, giám
đốc bảo mật CNTT thì việc ưu tiên nhất là giữ kẻ tấn công không xâm phạm được vào hệ thống. Việc bảo vệ này
không chỉ nhằm duy trì danh tiếng hãng bảo mật máy tính hàng đầu, mà còn để bảo vệ ứng dụng nghiệp vụ và dữ
liệu của công ty. Các nội dung được bảo vệ này bao gồm dữ liệu quan hệ khách hàng, chuỗi đại lý phân phối,
thông tin tài chính, sở hữu trí tuệ - ví dụ mã nguồn. Hãng bảo mật hàng đầu này thực hiện chiến lược bảo vệ theo
chiều sâu - Protection-in-Depth để phòng chống, ngăn chặn tấn công trước khi chúng xâm phạm vào mạng.

Hiệu quả thực sự mang lại khi đầu tư IPS:


Đây là hoạch toán nhằm xác định hiệu quả đầu tư của Công ty trên cho hệ thống IPS

www.mcafee.com Page 17, 19-Nov-08


• Chi phí lãng phí - Chí phí trung bình cho việc chống bùng nổ virus Slammer là 240,000$, xảy ra 4 lần
tương tự trong năm -> chi phí hàng năm là: 1 triệu $

• Chí phí bảo vệ doanh thu - ít nhất 16,000 đơn đặt hàng trong 1 giờ với giá trị trung bình là 60,000$, thời
gian chết xảy ra của một cuộc tấn công là 10 giờ, và xảy ra 4 lần trong một năm vậy chi phí trong một năm
là 60,000x10x4=2,4 triệu USD.

• Chí phí đầu tư sản phẩn IPS của McAfee - trước khi trang bị thiết bị IPS của McAfee công ty này sử
dụng 4 hệ thống IDS (hệ thống phân tích hành vi bật thường) với chi phí gấp từ 2 đến 4 lần. Chi phí đầu tư
IPS là 400,000$.
• Tận dụng hệ thống CNTT sẵn có - khách hàng đã đầu tư cho Firewall 500.000 $. Nhưng nếu không
dùng thiết bị IntruShield đặt trước các firewall này, virus SoBig sinh 3 triệu email trong mạng nội bộ mỗi
giờ, hoạt động suốt 5 ngày, sẽ làm ngưng trệ firewall, hậu quả chi phí ảnh hưởng lên hoạt động kinh
doanh khoảng 19,021$. Trong năm xảy ra 4 đợt bùng nổ virus tương tự -> chi phí hàng năm là 19,021x4 =
76,084.

Hiệu quả đầu tư IPS


Chi phí hàng năm 200,000$

Tiết kiệm 3,876,084$

Thời gian tiết kiệm 19:38:01

5. Mô hình triển khai


5.1 Giải thích mô hình triển khai
Tùy thuộc mô hình mạng, hệ thống của khách hàng, sau khi khảo sát chúng tôi sẽ tư vấn mô hình triển khai tương
ứng phù hợp.

5.2 Tiêu chí triển khai


• Kiểm tra tình trạng thiết bị trước và sau khi triển khai - Kiểm tra trạng thái của hệ thống IntruShield
thông qua giao diện System Health. System Health cung cấp trạng thái các thành phần chức năng đã cài
đặt trên IntruShield.
• Cài đặt và kiểm tra thành phần quản trị IntruShield Manager – Cài đặt trên hệ thống có yêu cầu cấu
hình tồi thiểu như trên, kiểm tra các thành phần của ISM hoạt động bình thường.
• Cấu hình và kiểm tra kết nối giữa Sensor và ISM – Cấu hình kết nối của tất cả các sersor và ISM, luôn
đảm bảo kết nối thành công trong và sau quá trình triển khai
• Quản lý và thực thi chính sách bảo mật – Quản lý chính sách và thực thi chính sách phù hợp nhất cho
hệ thống của Khách Hàng.
• Cấu hình các hình thức cảnh báo – cấu hình phương thức cảnh báo tối ưu nhất trong mọi trường hợp
xảy ra.
• Cấu hình báo cáo – thiết lập dạng báo cáo theo yêu cầu của khách hàng
• Đánh giá mức độ phòng chống tấn công sau triển khai, theo các tiêu chuẩn sau

Nhiệm vụ Chú thích


Kiểm tra mức độ dò tìm xâm nhập mạng
Thử các hành động thăm dò
Khai thác các điểm yếu đã biết

www.mcafee.com Page 18, 19-Nov-08


Nhiệm vụ Chú thích
Khai thác các điểm yếu đã biết
Dos/DDoS
Sự vi phạm chính sách
Kiểm tra mức độ chính dò tìm tấn công
Signature, Anomaly, và dò tìm tấn công DoS trong các điều
kiện khác nhau
Dò tìm với các signature do người dùng định nghĩa

6. Chi phí đầu tư


6.1 Chi phí đầu tư ban đầu
Sản phẩm phát hiện và phòng chống xâm nhập mạng, license không tính theo số node trong mạng mà chỉ tính
theo hiệu năng của thiết bị. Thiết bị đã cài sẵn phần mềm và tự động cập nhật, không cần phải cập nhật thủ công
phần mềm hay nâng cấp phần cứng. Phần mềm khởi tạo quản trị IntruShield Starter Manager cùng license (mã
IMTCAE-AD-AA) miễn phí khi mua thiết bị, cho phép quản trị tối đa 2 thiết bị IntruShield bất kỳ. Hỗ trợ kỹ thuật,
cập nhật phần mềm này bán riêng. Đi kèm còn có TOKEN SKU cho phép xác định phiên bản phần mềm của sản
phẩm.

Mỗi thiết bị có 3 mức giá khác nhau, tùy thuộc vào mục đích sử dụng của bạn. Mức giá cơ bản là khi bạn mua 1
thiết bị duy nhất. Khi đã có 1 thiết bị IntruShield, bạn có thể mua thêm thiết bị thứ 2, 3 cùng loại, với mức giá rẻ
hơn. Mức giá fail-over dành cho thiết bị chạy song song. Mức giá cuối cùng, rẻ nhất dành cho thiết bị dự phòng,
chỉ có thể chạy ở chế độ cold spare. Chi tiết giá của từng thiết bị là:

Tên thiết bị Mã sản phẩm Giá cho người dùng cuối (đô la)

Mua lần đầu Fail-over Dự phòng

McAfee IntruShield 1200 Sensor Appliance ICV-S12C-NA-100A 14,693.70 10,913.70 7,767.23

McAfee IntruShield 1400 Sensor Appliance ITV-F14C-NA-100A 19,733.70 14,693.70 13,436.47

McAfee IntruShield 2700 Sensor Appliance ICV-S27C-NA-100A 44,933.70 33,593.70 30,240.00

McAfee IntruShield 3000 Sensor Appliance ICV-S03K-NA-100A 76,433.70 57,533.70 51,234.96

McAfee IntruShield 4000 Sensor Appliance ICV-S04K-NA-100A 107,933.70 81,473.70 72,236.14

McAfee IntruShield 4010 Sensor Appliance ICV-S41K-NA-100A 126,833.70 95,333.70

www.mcafee.com Page 19, 19-Nov-08


6.2 Chi phí đầu tư hàng năm
Người dùng cần mua hỗ trợ cập nhật phần mềm và hỗ trợ kỹ thuật phần cứng cho mỗi năm sử dụng, giá dịch vụ
cho từng thiết bị là:

Tên dịch vụ Mã sản phẩm Giá cho người dùng cuối (đô la)
Sản phẩm đầu Fail-over

McAfee IntruShield 1200 Sensor Appliance 1Yr Gold IYVF12CADMAA 3,557.93 2,612.93

McAfee IntruShield 1400 Sensor Appliance 1Yr Gold IYVS14CADMA 4,817.93 3,557.93
A

McAfee IntruShield 2700 Sensor Appliance 1Yr Gold IYVS27CADMA 10,015.43 7,463.93
A

McAfee IntruShield 3000 Sensor Appliance 1Yr Gold IYVS03KADMA 17,102.93 12,850.43
A

McAfee IntruShield 4000 Sensor Appliance 1Yr Gold IYVS04KADMA 23,717.93 17,811.68
A

McAfee IntruShield 4010 Sensor Appliance 1Yr Gold IYVS41KADMA 28,442.93 21,355.43
A

6.3 Chi phí triển khai

7. Tài liệu triển khai


Phụ lục A: Tài liệu triển khai
Phụ lục B: Đánh giá sau triển khai
Phụ lục C: Biên bản nghiệm thu sau triển khai

Thông tin liên lạc


7.1 Thông tin khách hàng
Primary contact person
Title
Phone
Mobile
Fax
Email
Company Name
Street Address

Secondary contact person


Title
Phone

www.mcafee.com Page 20, 19-Nov-08


Mobile
Fax
Email

7.2 Thông tin Mi2


Mi2
Sales Engineer Name: Nguyễn Tự Võ
Email: Vont.mi2@misoft.com.vn
Phone: 8 2441887
Mobile: 091 8559635
Fax: 8 8451542

Mi2
Account Manager Nguyễn Khánh Minh
Email: Minh.mi2@misoft.com.vn
Phone: 8 2441887
Mobile: 093 8886759
Fax: 8 8451542

Mi2
Technical Support Bạch Xuân Quang
Email: Quangbx.mi2@misoft.com.vn
Phone: 8 2441887
Mobile: 098 31500004
Fax: 8 8451542

www.mcafee.com Page 21, 19-Nov-08