Tweet
Enterprise Firewall with App-awareness
Tường lửa doanh nghiệp có khả năng nhận diện ứng dụng (Application-Aware Firewall)
Các tính năng chính:
Trong mô hình minh họa:
Firewall hiện đại không còn chỉ lọc IP và Port
Trước đây, firewall truyền thống chủ yếu dựa trên bộ 5 thông số:
Ví dụ:
Cho phép:
10.1.1.0/24 → Any → TCP/443
Nhưng cách làm này có một hạn chế lớn.
Ngày nay gần như mọi ứng dụng đều sử dụng:
HTTPS (TCP/443)
Facebook dùng TCP/443.
YouTube dùng TCP/443.
ChatGPT dùng TCP/443.
Microsoft Teams dùng TCP/443.
Dropbox dùng TCP/443.
Nếu chỉ dựa vào IP và Port, firewall gần như không biết người dùng đang truy cập ứng dụng nào.
Vai trò của NBAR2 và App-Awareness
NBAR2 (Next Generation Network-Based Application Recognition) cho phép thiết bị nhận diện ứng dụng ở tầng cao hơn.
Thay vì chỉ nhìn thấy:
TCP/443
Firewall có thể nhận biết:
Microsoft Teams
Zoom
Facebook
YouTube
Salesforce
Webex
ChatGPT
Dropbox
OneDrive
Điều này cho phép xây dựng chính sách sát với nhu cầu doanh nghiệp hơn.
Ví dụ:
Cho phép:
Microsoft Teams
Webex
Zoom
Nhưng chặn:
TikTok
Facebook Gaming
Torrent
Mặc dù tất cả đều chạy trên TCP/443.
Đây là nền tảng của khái niệm Application Visibility and Control (AVC) trên Cisco IOS XE và SD-WAN.
Zone-Based Firewall linh hoạt hơn ACL truyền thống
Thay vì cấu hình ACL trên từng interface:
Inside → Outside
Outside → DMZ
DMZ → Inside
Zone-Based Firewall cho phép nhóm các interface vào các Zone.
Ví dụ:
Inside Zone
Outside Zone
DMZ Zone
VPN Zone
Guest Zone
Sau đó chỉ cần định nghĩa:
Inside → Outside : Permit
Outside → Inside : Deny
Guest → Inside : Deny
VPN → Data Center : Permit
Mô hình này dễ mở rộng hơn nhiều khi hệ thống có hàng trăm VLAN hoặc nhiều VRF.
FQDN và Geo-IP đang trở thành yêu cầu phổ biến
Trong môi trường Cloud hiện đại, địa chỉ IP thay đổi liên tục.
Do đó nhiều doanh nghiệp chuyển sang chính sách dựa trên tên miền:
Ví dụ:
Cho phép:
*.microsoft.com
*.office365.com
*.aws.amazon.com
Thay vì phải cập nhật hàng nghìn địa chỉ IP.
Geo-IP cũng giúp tăng cường bảo mật.
Ví dụ:
Chặn toàn bộ kết nối từ các quốc gia không có hoạt động kinh doanh.
Hoặc:
Chỉ cho phép VPN từ Việt Nam và Singapore.
Góc nhìn thực chiến
Trong các hệ thống Enterprise hiện đại, Branch Router ngày nay không chỉ còn là thiết bị định tuyến.
Một thiết bị Cisco Catalyst Edge hoặc SD-WAN Edge thường đồng thời đảm nhiệm:
Điều này giúp doanh nghiệp giảm số lượng thiết bị triển khai tại chi nhánh nhưng vẫn duy trì khả năng kiểm soát truy cập ở mức Layer 3 đến Layer 7.
Nói cách khác, firewall hiện đại đang chuyển từ mô hình "kiểm soát địa chỉ IP" sang mô hình "kiểm soát ứng dụng và hành vi người dùng", phù hợp với các môi trường Hybrid Cloud, SaaS và Zero Trust hiện nay.
Tường lửa doanh nghiệp có khả năng nhận diện ứng dụng (Application-Aware Firewall)
Các tính năng chính:
- Stateful Firewall dựa trên Zone (Zone-Based Firewall)
- Hỗ trợ Object Group, Rule, Rule Set và Variable
- Nhận diện ứng dụng bằng NBAR2 (khả năng quan sát từ Layer 3 đến Layer 7)
- Hỗ trợ ALG (Application Layer Gateway) cho các giao thức như FTP, SIP...
- Hỗ trợ VPN (VRF) và ánh xạ Interface thành các Zone
- Hỗ trợ Self-Zone và Default-Zone
- Ghi log bằng HSL (High Speed Logging), xuất NetFlow đến nhiều hệ thống Collector
- Hỗ trợ FQDN (lọc theo tên miền)
- Hỗ trợ Geo-IP (lọc theo vị trí địa lý của IP)
- Hỗ trợ IPv6 (từ phiên bản IOS XE 17.11)
- Phòng chống tấn công Flood
Trong mô hình minh họa:
- Người dùng nội bộ (Employee 1, Employee 2) thuộc Inside Zone
- Data Center nội bộ được phép truy cập theo chính sách
- Lưu lượng đi Internet thuộc Outside Zone
- Firewall tại Branch Edge thực hiện kiểm soát truy cập
- Các kết nối hợp lệ được cho phép (✓)
- Các kết nối không được phép hoặc nguy hiểm bị chặn (✕)
- Người dùng vẫn có thể truy cập các dịch vụ Cloud như AWS, Azure, Google Cloud theo chính sách được cấu hình
Firewall hiện đại không còn chỉ lọc IP và Port
Trước đây, firewall truyền thống chủ yếu dựa trên bộ 5 thông số:
- Source IP
- Destination IP
- Protocol
- Source Port
- Destination Port
Ví dụ:
Cho phép:
10.1.1.0/24 → Any → TCP/443
Nhưng cách làm này có một hạn chế lớn.
Ngày nay gần như mọi ứng dụng đều sử dụng:
HTTPS (TCP/443)
Facebook dùng TCP/443.
YouTube dùng TCP/443.
ChatGPT dùng TCP/443.
Microsoft Teams dùng TCP/443.
Dropbox dùng TCP/443.
Nếu chỉ dựa vào IP và Port, firewall gần như không biết người dùng đang truy cập ứng dụng nào.
Vai trò của NBAR2 và App-Awareness
NBAR2 (Next Generation Network-Based Application Recognition) cho phép thiết bị nhận diện ứng dụng ở tầng cao hơn.
Thay vì chỉ nhìn thấy:
TCP/443
Firewall có thể nhận biết:
Microsoft Teams
Zoom
YouTube
Salesforce
Webex
ChatGPT
Dropbox
OneDrive
Điều này cho phép xây dựng chính sách sát với nhu cầu doanh nghiệp hơn.
Ví dụ:
Cho phép:
Microsoft Teams
Webex
Zoom
Nhưng chặn:
TikTok
Facebook Gaming
Torrent
Mặc dù tất cả đều chạy trên TCP/443.
Đây là nền tảng của khái niệm Application Visibility and Control (AVC) trên Cisco IOS XE và SD-WAN.
Zone-Based Firewall linh hoạt hơn ACL truyền thống
Thay vì cấu hình ACL trên từng interface:
Inside → Outside
Outside → DMZ
DMZ → Inside
Zone-Based Firewall cho phép nhóm các interface vào các Zone.
Ví dụ:
Inside Zone
Outside Zone
DMZ Zone
VPN Zone
Guest Zone
Sau đó chỉ cần định nghĩa:
Inside → Outside : Permit
Outside → Inside : Deny
Guest → Inside : Deny
VPN → Data Center : Permit
Mô hình này dễ mở rộng hơn nhiều khi hệ thống có hàng trăm VLAN hoặc nhiều VRF.
FQDN và Geo-IP đang trở thành yêu cầu phổ biến
Trong môi trường Cloud hiện đại, địa chỉ IP thay đổi liên tục.
Do đó nhiều doanh nghiệp chuyển sang chính sách dựa trên tên miền:
Ví dụ:
Cho phép:
*.microsoft.com
*.office365.com
*.aws.amazon.com
Thay vì phải cập nhật hàng nghìn địa chỉ IP.
Geo-IP cũng giúp tăng cường bảo mật.
Ví dụ:
Chặn toàn bộ kết nối từ các quốc gia không có hoạt động kinh doanh.
Hoặc:
Chỉ cho phép VPN từ Việt Nam và Singapore.
Góc nhìn thực chiến
Trong các hệ thống Enterprise hiện đại, Branch Router ngày nay không chỉ còn là thiết bị định tuyến.
Một thiết bị Cisco Catalyst Edge hoặc SD-WAN Edge thường đồng thời đảm nhiệm:
- Routing
- VPN
- Firewall
- Application Visibility
- NetFlow Export
- QoS
- Segmentation bằng VRF
Điều này giúp doanh nghiệp giảm số lượng thiết bị triển khai tại chi nhánh nhưng vẫn duy trì khả năng kiểm soát truy cập ở mức Layer 3 đến Layer 7.
Nói cách khác, firewall hiện đại đang chuyển từ mô hình "kiểm soát địa chỉ IP" sang mô hình "kiểm soát ứng dụng và hành vi người dùng", phù hợp với các môi trường Hybrid Cloud, SaaS và Zero Trust hiện nay.
Attached Files