1. Thiết bị tường lửa (firewall) là gì?

Thiết bị tường lửa (còn gọi là firewall) là một sản phẩm được tích hợp vào trong hệ thống mạng của doanh nghiệp để kiểm soát luồng thông tin giữa mạng nội bộ và internet. Ngày nay, firewall gần như là một sản phẩm không thể thiếu trong hệ thống mạng có yêu cầu cao về mức độ bảo mật. Các tính năng chính của thiết bị tường lửa có thể có một số hoặc tất cả các chức năng trong các chức năng sau để thực hiện bảo mật an toàn thông tin mạng:

- Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ có trong mạng nội bộ.

- Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong.

- Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài.

- Hỗ trợ kiểm soát địa chỉ truy cập (có thể đặt lệnh cấm hoặc là cho phép).

- Kiểm soát truy cập của người dùng.

- Quản lý và kiểm soát luồng dữ liệu trên mạng.

- Xác thực quyền truy cập.

- Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng.

- Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port (hay còn cổng), giao thức mạng.

- Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống mạng.

- Firewall hoạt động như một Proxy trung gian.

- Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.

- Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.

 

 

2. Firewall tồn tại ở những dạng nào?

Firewall có thể tồn tại ở dạng phần cứng chuyên dụng, hoặc phần mềm được tích hợp vào trong máy chủ server. Thông thường thì khi firewall dạng phần mềm được tích hợp vào server sẽ cho tính linh hoạt cao hơn, nhưng hiệu suất tổng thể lại thấp hơn các loại firewall chuyên dụng.

Firewall tồn tại ở dạng phần cứng có thể dễ dàng tìm thấy trên thị trường, được cung cấp bởi các hãng sản xuất thiết bị bảo mật nổi tiếng như Cisco, Fortinet, Palo Alto, WatchGuard, Secui...Máy chủ server có tích hợp firewall phổ biến là các dòng máy chủ có tính năng bảo mật cao (giá trị cao) do các hãng sản xuất uy tín như Hewlett Packard (HP), Dell EMC, Fujitsu, IBM... cung cấp.

Network-based firewall (thiết bị tường lửa lớp mạng) là loại thiết bị thiết bị kiểm soát quyền truy cập vào mạng LAN được bảo mật để bảo vệ mạng khỏi bị truy cập trái phép, có chức năng chính là lọc lưu lượng đi từ Internet đến mạng LAN được bảo mật và ngược lại. Tường lửa lớp mạng được sử dụng để ngăn chặn hoặc giảm thiểu truy cập trái phép vào các mạng riêng được kết nối với Internet, đặc biệt là mạng nội bộ. Lưu lượng truy cập duy nhất được phép trên mạng được xác định thông qua chính sách tường lửa được thiết lập từ trước — bất kỳ lưu lượng truy cập nào khác đang cố truy cập mạng đều bị chặn. Tường lửa mạng nằm ở tuyến đầu của mạng, hoạt động như một đầu mối liên lạc giữa các thiết bị bên trong và bên ngoài. Tường lửa lớp mạng có thể được định cấu hình sao cho mọi dữ liệu vào hoặc ra khỏi mạng đều phải đi qua nó — tường lửa thực hiện điều này bằng cách kiểm tra từng thư đến và từ chối những thư không đáp ứng tiêu chí bảo mật đã xác định. Khi được định cấu hình đúng cách, tường lửa cho phép người dùng truy cập bất kỳ tài nguyên nào họ cần đồng thời ngăn chặn những người dùng không mong muốn, tin tặc, vi rút, sâu hoặc các chương trình độc hại khác đang cố truy cập vào mạng được bảo vệ. Network-based firewall thường được phát triển với dạng cloud-based software, người dùng sử dụng như một dạng dịch vụ thuê bao hoặc dạng phần cứng. Trong nhiều trường hợp người là gọi network-based firewall là "web application firewall" hoặc "web application appliance".

Host-based firewall (tường lửa cài đặt trên cơ sở phần cứng) là một ứng dụng phần mềm hoặc bộ ứng dụng được cài đặt trên một phần cứng (thiết bị host) và cung cấp khả năng bảo vệ cho máy chủ. Thông thường host-base firewall chính sử dụng công nghệ VPN.

VPN firewall (Virtual Private Network firewall) là các loại thiết bị tường lửa được thiết kế để bảo vệ chống lại những người dùng trái phép, hoặc khai thác kết nối mạng riêng ảo VPN. Tường lửa VPN thường được cài đặt ở cuối máy chủ của VPN, ở mặt trước hoặc mặt sau của máy chủ VPN. Khi tường lửa được cài đặt ở mặt sau của một máy chủ VPN, nó được cấu hình với các bộ lọc để chỉ cho phép các gói tin VPN (gói tin được ẩn địa chỉ IP của người dùng và mã hóa dữ liệu để chỉ người được cấp quyền nhận dữ liệu mới có thể đọc được) cụ thể truyền đi. Tương tự, khi tường lửa được cài đặt ở mặt trước của một VPN, tường lửa được cấu hình để chỉ cho phép dữ liệu đường hầm trên giao diện Internet của nó được truyền tới máy chủ. Ví dụ điển hình của VPN firewall là các thiết bị tường lửa dòng Juniper SRX hoặc Fortigate.

 

3. Bộ chứng từ nhập khẩu thiết bị tường lửa firewall

Một bộ hồ sơ nhập khẩu áp dụng đối với các sản phẩm bình thường (hàng hóa nhóm 1, không phải áp dụng chính sách nhập khẩu đặc biệt hoặc hàng hóa phải kiểm tra chuyên ngành) bao gồm:

• Commercial Invoice (Hóa đơn thương mại) đối với hàng hóa mua từ nước ngoài và có thành toán. Hoặc Proforma Invoice, None-commercial invoice hoặc shipping invoice đối với hàng hóa không thanh toán như hàng biếu tặng, hàng hóa FOC, hàng bảo hành không phải thanh toán...
• Bill of lading (Vận đơn đường biển) hoặc Air Way Bill (vận đơn hàng không)
• Commercial Contract (hợp đồng mua hàng) hoặc Purchase Order (đơn đặt hàng) hoặc thông báo gửi hàng phi mậu dịch
• Certificate of Origin (COO) (Giấy chứng nhận xuất xứ) trong trường hợp người nhập khẩu muốn được hưởng thuế nhập khẩu ưu đãi
• Packing List (Phiếu đóng gói hàng hóa)
• Tài liệu kỹ thuật của sản phẩm (để xác định chức năng, mã HS, chính sách nhập khẩu áp dụng)
• Các chứng từ khác (nếu có)

Tuy nhiên, bộ chứng từ nêu trên chỉ áp dụng đối với sản phẩm thông thường, không áp dụng chính sách nhập khẩu đặc biệt hoặc hàng hóa phải kiểm tra chuyên ngành. Vậy thiết bị tường lửa firewall có phải xin giấy phép đặc biệt hoặc kiểm tra chuyên ngành không? Câu trả lời của TGIMEX là tùy loại thiết bị tường lửa (phân biệt theo thông số kỹ thuật), có những loại thiết bị tường lửa phải xin giấy phép nhập khẩu đặc biệt, hoặc xin văn bản xác nhận thiết bị tường lửa không thuộc diện phải xin giấy phép từ cơ quan chức năng có thẩm quyền. Trên thực tế là đã có nhiều doanh nghiệp không chuẩn bị trước các giấy tờ này, dẫn đến hàng hóa bị chậm thông quan hoặc phát sinh chi phí rất lớn.

 

4. Nhập khẩu thiết bị tường lửa phải xin giấy phép gì?

Theo luật an toàn thông tin mạng thì có 2 loại giấy phép cần để làm thủ tục nhập khẩu áp dụng đối với sản phẩm an toàn thông tin mạng, bao gồm:

a. Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng 

Giấy phép an toàn thông tin mạng được Bộ TT&TT cấp căn cứ theo Thông tư số 10/2022/TT-BTTTTT cho các loại sản phẩm sau:

1. Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Rà quét, kiểm tra, phân tích cấu hình, hiện trạn, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, điểm yếu; đưa ra đánh giá rủi ro an toàn thông tin.

2. Sản phẩm giám sát an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Giám sát, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra sự kiện cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin

3. Sản phẩm chống tấn công, xâm nhập là các thiết bị phần cứng, phần mềm có chức năng cơ bản ngăn chặn tấn công, xâm nhập vào hệ thống thông tin.

b. Giấy phép nhập khẩu sản phẩm mật mã dân sự

Giấy phép mật mã dân sự được Ban Cơ Yếu Chính phủ cấp căn cứ theo Phụ lục 2 của Nghị định 53/2018/NĐ-CP cho các loại sản phẩm sau

1. Sản phẩm sinh khóa mật mã, quản lý hoặc lưu trữ khóa mật mã.

2. Thành phần mật mã trong hệ thống PKI.

3. Sản phẩm bảo mật dữ liệu lưu giữ

4. Sản phẩm bảo mật dữ liệu trao đổi trên mạng

5. Sản phẩm bảo mật luồng IP và bảo mật kênh

6 Sản phẩm bảo mật thoại tương tự và thoại số

7. Sản phẩm bảo mật vô tuyến

8. Sản phẩm bảo mật Fax, điện báo

c. Vậy nhập khẩu thiết bị tường lửa cần loại giấy phép nào?

Trên thực tế, TGIMEX đã từng kiểm tra và đánh giá tài liệu kỹ thuật của hàng trăm model firewall của các hãng sản xuất khác nhau. Các model này đều có điểm chung là đều có chức năng mã hoá (chức năng mật mã dân sự), rất hiếm gặp các firewall nào không có chức năng mã hoá.

• Căn cứ theo Điểm c, Khoản 6, Điều 38 của Luật An toàn thông tin mạng số 86/2015/QH13 thì sản phẩm mật mã dân sự không thuộc phạm vi trách nhiệm của Bộ Thông tin và Truyền thông
• Căn cứ theo Khoản 1, Điều 42 của Luật An toàn thông tin mạng số 86/2015/QH13 thì sản phẩm mật mã dân sự không nằm trong phạm vi cấp giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.

Trên thực tế đã có nhiều trường hợp doanh nghiệp được yêu cầu cung cấp cả giấy phép nhập khẩu sản phẩm mật mã dân sự và giấy phép nhập khẩu an toàn thông tin mạng đối với cùng một sản phẩm, theo quan điểm của TGIMEX thì đây là một sự nhầm lẫn. Các sản phẩm đã được xác định là sản phẩm mật mã dân sự, đã được cấp giấy phép mật mã dân sự thì không thuộc diện phải xin giấy phép an toàn thông tin mạng.

Thiết bị tường lửa có chức năng mô tả là sản phẩm chống tấn công xâm nhập, điều này hoàn toàn đúng song thông thường thiết bị tường lửa cũng có chức năng mã hoá mật mã dân sự bảo mật luồng kênh và bảo mật luồng IP. Gần đây Ban Cơ Yếu Chính phủ cũng đang soạn thảo Quy chuẩn kỹ thuật quốc gia đối với sản phẩm bảo mật luồng kênh (QCVN cho sản phẩm mật mã dân sự). Khi đó, loại giấy phép cần thiết để nhập khẩu thiết bị tường lửa là loại giấy phép gì? Chúng tôi phân loại thiết bị tường lửa thành 2 nhóm:

• Thiết bị tường lửa (firewall) có tính năng mật mã dân sự điển hình như bảo mật luồng IP, bảo mật kênh, có mã HS 85176299 (mã HS cũ là 85176229) thuộc nhóm sản phẩm phải xin giấy phép mật mã dân sự để làm thủ tục nhập khẩu
• Thiết bị tường lửa lớp mạng (network-base firewall), không có đặc tính kỹ thuật mật mã dân sự điển hình như bảo mật luồng IP, bảo mật kênh, hoặc không có tính năng mật mã dân sự khác, đồng thời có mã HS 84713090, 84714190, 84714990, 85176243, 85176249 sẽ thuộc nhóm sản phẩm phải xin giấy phép an toàn thông tin mạng để làm thủ tục nhập khẩu.

 

 

5.  Hồ sơ và thủ tục xin giấy phép nhập khẩu cho firewall

Hầu hết các thiết bị tường lửa đều có tính năng "bảo mật luồng kênh" hoặc "bảo mật luồng IP", đồng thời cơ quan Hải Quan đang áp mã HS thiết bị tường lửa là 85176299, do vậy thuộc danh mục phải xin giấy phép nhập khẩu sản phẩm mật mã dân sự. Để xin giấy phép nhập khẩu sản phẩm mật mã dân sự cho thiết bị tường lửa, trước hết doanh nghiệp phải có giấy phép kinh doanh sản phẩm mật mã dân sự. Thông thường các thiết bị tường lửa đều có tính năng bảo mật luồng IP sử dụng công nghệ IPSec hoặc TLS nên doanh nghiệp nhập khẩu còn phải thực hiện thủ tục chứng nhận hợp quy mật mã dân sự cho thiết bị tường lửa căn cứ theo Thông tư số 23/2022/TT-BQP của Bộ Quốc phòng và Quy chuẩn kỹ thuật quốc gia QCVN 12:2022/BQP (số hiệu cũ là QCVN 01:2022/BQP)

6. Doanh nghiệp có phải xin thêm giấy phép nào khác để nhập khẩu firewall không?

Trước đây trong một số trường hợp thiết bị tường lửa có thể có chức năng thu phát sóng Wi-Fi (khá phổ biến đối với các Firewall của hãng WatchGuard), khi đó sản phẩm sẽ nằm trong trong danh mục sản phẩm hàng hoá nhóm 2 do Bộ TT&TT quản lý (danh mục hàng hoá nhóm 2) và phải chứng nhận hợp quy và/hoặc công bố hợp quy theo quy định của Bộ Thông tin và Truyền thông. Vào thời điểm hiện tại, kể cả trường hợp thiết bị tường lửa có chức năng thu phát sóng, thì doanh nghiệp chỉ cần có giấy phép nhập khẩu là đã đủ điều kiện (trước ngày 01/07/2018 thì sản phẩm thiết bị tường lửa có nằm trong danh mục sản phẩm hàng hoá phải Công bố hợp quy do Bộ TT&TT quản lý, nhưng căn cứ theo các quy định hiện hành thì không phải thực hiện công bố hợp quy cho các firewall không có chức năng thu phát sóng nữa).

Lưu ý khác:

→ Thiết bị tường lửa áp mã HS là 85176299 thuộc danh mục sản phẩm công nghệ thông tin đã qua sử dụng cấm nhập khẩu. Do đó chỉ được nhập khẩu các sản phẩm mới 100%.

→ Thiết bị tường lửa của hãng Cisco hiện đang thuộc danh mục sản phẩm được yêu cầu kiểm tra giám sát xuất khẩu nhập khẩu về bảo hộ sở hữu trí tuệ. Nếu bạn sắp nhập khẩu các sản phẩm mang nhãn hiệu Cisco, có thể bạn sẽ cần hướng dẫn về thủ tục nhập khẩu các sản phẩm mang nhãn hiệu được bảo hộ sở hữu trí tuệ của chúng tôi.