Chào mọi người,
Hôm nay mình muốn chia sẻ bài viết về một kinh nghiệm thực tế trong việc tối ưu quy tắc truy cập (Access Control Policy – ACP) trên Cisco FTD, nhằm cho phép người dùng bên ngoài truy cập dịch vụ web nội bộ một cách chính xác và an toàn nhất.

Đặt vấn đề

Trong quá trình triển khai firewall FTD, mình cần cho phép người dùng ngoài truy cập vào các server nội bộ qua giao thức HTTP và HTTPS.
Nếu chỉ dựa vào lọc cổng (port) 80 và 443 thì sẽ gặp một khó khăn lớn: kẻ tấn công có thể giả mạo bằng cách chạy dịch vụ khác (như SSH) trên port 80 hoặc 443, qua mặt quy tắc firewall dựa trên port, mở cửa cho hoạt động trái phép.

Điều này đặt ra bài toán cần một giải pháp chặt chẽ, không chỉ dựa vào port mà còn nhận diện đúng loại ứng dụng.

Giải pháp triển khai

Mình đã thực hiện tinh gọn quy tắc trong ACP để dễ dàng quản lý và tăng tính chính xác: từ ban đầu mấy chục dòng rule, đã rút gọn còn dưới 10 dòng.

Lấy một ví dụ điển hình:

• Rule chính cho phép truy cập đến các server nội bộ qua HTTP và HTTPS.
• Kết hợp Port Objects (TCP/80, TCP/443) và Application Objects (HTTP, HTTPS) trong một rule duy nhất.

Lợi ích của việc kết hợp Port + Application

• Tăng độ chính xác: Firewall không chỉ kiểm tra port đích mà còn phân tích payload để xác định đúng ứng dụng đang chạy.
• Ngăn giả mạo: Nếu kẻ tấn công chạy một ứng dụng khác trên port 80 (ví dụ SSH), rule sẽ không cho phép vì ứng dụng không phải HTTP.
• Quản lý và theo dõi rõ ràng: Trong báo cáo hoặc bài lab, chính sách được trình bày rất rõ ràng, thể hiện “chỉ cho phép traffic web thật sự”.

Kết luận

Qua việc áp dụng kết hợp Port và Application trong ACP, hệ thống firewall FTD của mình trở nên gọn gàng, dễ quản lý và đáng tin cậy hơn rất nhiều trong việc ngăn chặn các kết nối giả mạo.

---

Cám ơn mọi người đã đọc và hi vọng bài viết giúp ích cho các bạn làm việc với Cisco FTD!

---