Tường lửa (firewall) cho doanh nghiệp nhỏ là gì?

Tường lửa là một công cụ kiểm tra lưu lượng mạng và quyết định điều gì được phép hoặc bị chặn dựa trên các quy tắc (rules). Nói theo cách dễ hiểu, nó đóng vai trò như “cổng gác” giữa doanh nghiệp của bạn và Internet.

Với doanh nghiệp nhỏ, tường lửa có thể giúp giảm lưu lượng không mong muốn, chặn một số kết nối có rủi ro và khiến các mối đe dọa phổ biến khó tiếp cận hơn tới các thiết bị trong văn phòng. Nó cũng có thể giúp kiểm soát cả những gì được gửi đi, không chỉ những gì đi vào.

Tường lửa là quan trọng, nhưng chỉ là một phần của bức tranh tổng thể. Không có nhà cung cấp trung thực nào hứa hẹn một mạng “không thể bị hack” hay “không downtime” (không gián đoạn). Tường lửa sẽ hoạt động tốt nhất khi đi kèm các bản cập nhật tốt, sao lưu, đào tạo nhân sự và bảo mật tài khoản.

Hầu hết doanh nghiệp nhỏ đều sử dụng ứng dụng đám mây (cloud apps), email, chia sẻ tệp, gọi video, hệ thống thanh toán và các thiết bị kết nối mỗi ngày. Điều đó có nghĩa là mạng của bạn liên tục gửi và nhận dữ liệu. Tường lửa giúp thiết lập ranh giới cho luồng dữ liệu đó.

Nếu không có quy tắc rõ ràng, thiết bị và ứng dụng có thể được cấp quyền truy cập rộng hơn mức cần thiết. Điều này có thể làm tăng rủi ro, đặc biệt nếu doanh nghiệp bạn có nhân viên làm việc từ xa, Wi-Fi cho khách (guest Wi-Fi), nhiều văn phòng, camera an ninh hoặc thiết bị cũ vẫn cần truy cập Internet.

Một tường lửa tốt cũng có thể hỗ trợ các hoạt động kinh doanh cơ bản. Ví dụ, nó có thể tách thiết bị của nhân viên khỏi thiết bị của khách, giới hạn quyền truy cập vào một số trang web hoặc dịch vụ, và tạo kết nối an toàn hơn cho công việc từ xa. Điều này không làm mạng của bạn trở nên “hoàn hảo”, nhưng sẽ giúp mạng được tổ chức tốt hơn và dễ quản lý hơn.

Ở mức cơ bản, tường lửa quan sát lưu lượng đi vào và đi ra khỏi mạng của bạn, rồi đối chiếu với các quy tắc. Các quy tắc này có thể cho phép các hoạt động kinh doanh bình thường và chặn những luồng lưu lượng có vẻ đáng ngờ, không cần thiết hoặc bất thường.

Một số tường lửa được tích hợp sẵn trong máy tính hoặc hệ điều hành. Những tường lửa khác là các thiết bị phần cứng đặt ở “biên” mạng văn phòng của bạn. Nhiều doanh nghiệp sử dụng cả hai. Một nhà cung cấp dịch vụ CNTT quản trị, hay MSP (Managed IT services provider), cũng có thể khuyến nghị một tường lửa mức doanh nghiệp (business-grade) có giám sát (monitoring) và cập nhật quy tắc định kỳ.

Một số tường lửa đi kèm các tính năng bổ sung như lọc website, mạng riêng ảo (virtual private network) hoặc VPN, truy cập cho nhân viên làm việc từ xa và báo cáo (reporting). Báo cáo có thể cho thấy các mẫu như số lần đăng nhập lặp lại, lưu lượng bị chặn hoặc các kết nối bất thường. Các báo cáo này có thể hữu ích, nhưng vẫn cần có người đủ năng lực để xem xét và phản hồi khi cần.

Với hầu hết doanh nghiệp nhỏ, cấu hình tường lửa tốt thường không phải là “hộp” rẻ nhất ngoài cửa hàng, cũng không phải là hệ thống doanh nghiệp (enterprise) phức tạp nhất. Nó là giải pháp được chọn phù hợp với văn phòng, nhu cầu dùng Internet, thiết bị và mức độ rủi ro của bạn.

“Dùng tốt” thường có nghĩa là tường lửa đã được cấu hình đúng cho doanh nghiệp của bạn, thay vì để nguyên các thiết lập mặc định chung. Nó nên hỗ trợ cập nhật định kỳ, các quy tắc rõ ràng và khả năng tách mạng cơ bản nếu bạn có Wi-Fi cho khách (guest Wi-Fi), camera, điện thoại hoặc hệ thống POS (điểm bán). Nếu bạn xử lý dữ liệu thuộc diện quản lý (regulared data), yêu cầu của bạn có thể nghiêm ngặt hơn. Mức yêu cầu khác nhau theo từng ngành và từng bang.

“Dùng tốt” cũng có nghĩa là tường lửa nằm trong một kế hoạch tổng thể lớn hơn. Kế hoạch đó có thể bao gồm xác thực đa yếu tố (multi-factor authentication, hay MFA) — thêm một bước thứ hai khi đăng nhập; bảo vệ điểm cuối (endpoint protection) — phần mềm bảo mật trên thiết bị doanh nghiệp; vá lỗi/ cập nhật bản vá (patching) — cài đặt phần mềm và cập nhật bảo mật; và kế hoạch sao lưu như phương pháp sao lưu 3-2-1 (3-2-1 backup) — giữ 3 bản dữ liệu, trên 2 loại hình lưu trữ khác nhau, với 1 bản được giữ ngoài văn phòng (offsite).

Nếu bạn làm việc với MSP, hãy hỏi cách họ xử lý cảnh báo (alerts), cập nhật, thay đổi quy tắc (rule changes) và kế hoạch thay thế thiết bị. Bạn cũng có thể hỏi những gì được bao gồm trong thỏa thuận dịch vụ và thỏa thuận mức dịch vụ (service level agreement, hay SLA) — tài liệu mô tả thời gian phản hồi, phạm vi và các điều khoản hỗ trợ (support terms).

Nhiều chủ doanh nghiệp hỏi liệu tường lửa do nhà cung cấp Internet (internet provider) cung cấp có đủ không. Đôi khi điều đó ổn với các thiết lập rất đơn giản, nhưng thường sẽ bị giới hạn. Nếu bạn có nhân viên làm việc từ xa, tệp dùng chung, ứng dụng đám mây, hệ thống thanh toán, nhiều địa điểm hoặc bất kỳ nhu cầu tuân thủ (compliance) nào, một lần rà soát theo mức doanh nghiệp thường là đáng giá.

Một câu hỏi phổ biến khác là liệu phần mềm diệt virus (antivirus) có giống tường lửa không. Không. Antivirus hoặc EDR (endpoint detection and response) tập trung vào những gì xảy ra trên chính thiết bị. Tường lửa tập trung vào lưu lượng đi vào và đi ra khỏi mạng. Chúng làm các công việc khác nhau.

Chủ doanh nghiệp cũng hỏi về giám sát. Một số nhà cung cấp dùng công cụ giám sát và quản trị từ xa, hay RMM (remote monitoring and management), để theo dõi tình trạng thiết bị và thực hiện các tác vụ định kỳ. Việc này là riêng với tường lửa, dù hai bên có thể được thảo luận cùng nhau trong một kế hoạch IT quản trị tổng thể.

Nếu bạn mới bắt đầu, hãy bắt đầu từ hướng dẫn dễ hiểu. Bạn có thể đọc thêm ở mục answers, khám phá các services phổ biến hoặc get matched với một nhà cung cấp dịch vụ CNTT quản trị độc lập nếu bạn cần trợ giúp so sánh các lựa chọn.

Chi phí thay đổi rất nhiều. Con số thực tế phụ thuộc vào số lượng nhân sự (headcount), số lượng thiết bị, nhu cầu bảo mật, số lượng địa điểm văn phòng, cách thiết lập Internet và khu vực của bạn. Các mức dao động này không phải là báo giá.

Với văn phòng rất nhỏ, một thiết bị tường lửa mức doanh nghiệp cơ bản (firewall appliance) có thể tốn vài trăm đến vài nghìn đô la ban đầu, tùy theo tính năng. Hỗ trợ liên tục, giấy phép (licensing) và giám sát có thể được tính theo tháng nếu MSP quản lý như một phần trong kế hoạch dịch vụ tổng thể.

Một số doanh nghiệp gộp việc quản lý tường lửa vào toàn bộ dịch vụ IT quản trị. Những doanh nghiệp khác mua tường lửa như một phần của gói bảo mật nhỏ hơn. Nếu bạn so sánh các lựa chọn, hãy hỏi những gì được bao gồm, phần nào cần thêm phí, các bản cập nhật được xử lý như thế nào và tần suất kiểm tra việc triển khai ra sao.