Tweet
Cisco Secure Firewall Threat Defense – Cơ chế Xử lý Gói tin và Chính sách
Hiểu rõ cách mà Cisco Secure Firewall Threat Defense (FTD) xử lý một gói tin là điều cực kỳ quan trọng. Nguyên nhân là vì có nhiều loại chính sách (policies) khác nhau được áp dụng, và cách ta cấu hình các chính sách này sẽ ảnh hưởng trực tiếp đến quy trình xử lý gói tin trong hệ thống. 1. Hai bộ máy lõi: LINA và Snort
Phần mềm của FTD chạy trên hai engine chính:
Luồng cơ bản: gói tin vào interface → qua LINA → nếu cần phân tích sâu → chuyển sang Snort → trả kết quả → quay lại LINA để egress. 2. Trình tự xử lý gói tin
Quá trình xử lý có thể chia thành các bước sau:
👉 Với kiến thức này, các kỹ sư có thể thiết kế rule và policy trong Cisco Secure Firewall Threat Defense một cách khoa học hơn, đảm bảo cân bằng giữa hiệu năng – độ an toàn – khả năng mở rộng.
Hiểu rõ cách mà Cisco Secure Firewall Threat Defense (FTD) xử lý một gói tin là điều cực kỳ quan trọng. Nguyên nhân là vì có nhiều loại chính sách (policies) khác nhau được áp dụng, và cách ta cấu hình các chính sách này sẽ ảnh hưởng trực tiếp đến quy trình xử lý gói tin trong hệ thống. 1. Hai bộ máy lõi: LINA và Snort
Phần mềm của FTD chạy trên hai engine chính:
- LINA engine (ASA engine): Là “trái tim” kế thừa từ ASA, chịu trách nhiệm các xử lý truyền thống như: IP routing, L3/L4 ACL filtering, NAT, VPN. Đây là tầng xử lý cơ bản và tốc độ cao.
- Snort engine: Đảm nhận deep packet inspection – nơi diễn ra các chức năng bảo mật nâng cao như Security Intelligence, IPS, Cisco Secure Endpoint, Cisco URL Filtering, Application Detection. Snort được kích hoạt khi traffic cần phân tích vượt ra ngoài header L3/L4.
Luồng cơ bản: gói tin vào interface → qua LINA → nếu cần phân tích sâu → chuyển sang Snort → trả kết quả → quay lại LINA để egress. 2. Trình tự xử lý gói tin
Quá trình xử lý có thể chia thành các bước sau:
- Ingress: Gói tin đến NIC (network interface card), được buffer và chuyển vào pipeline xử lý.
- Kiểm tra session: Thiết bị kiểm tra xem gói tin có thuộc một kết nối đã tồn tại không. Nếu có, gói tin có thể bỏ qua nhiều bước xử lý nặng như Prefilter, ACL, hay định tuyến lại.
- VPN decryption: Nếu traffic đi qua VPN, thiết bị tiến hành giải mã (IKEv1, IKEv2, IPsec site-to-site, SSL VPN remote access). Hỗ trợ tương thích cả với thiết bị VPN third-party.
- Routing check: Nếu gói tin là new flow, hệ thống sẽ tra bảng định tuyến để tìm egress interface. Với NAT, bước này cũng quyết định interface dựa trên NAT rule. Nếu có Destination NAT (UN-NAT), quyết định egress dựa vào cấu hình NAT.
- Prefilter policy: Đây là lớp kiểm soát nhanh và nhẹ, chạy trước khi đưa traffic vào các rule phức tạp. Prefilter giúp giảm tải cho các bước kiểm tra sâu phía sau.
- ACL Layer 3/Layer 4: Kiểm tra access control list (ACL) tại data path của LINA. Chỉ áp dụng cho new session. Những rule chỉ dựa trên L3/L4 sẽ được xử lý ngay tại LINA.
- Quyết định chuyển sang Snort: Nếu Access Control Policy (ACP) yêu cầu deep inspection (ví dụ: URL Filtering, Application ID, IPS, File Policy), DAQ sẽ chuyển gói sang Snort engine.
- Snort inspection: Snort phân tích và trả verdict: cho phép (do-not-block) hoặc chặn (block). Verdict này được ghi nhận trong connection table của LINA.
- NAT processing: Sau khi đã qua ACL và Snort, NAT (source NAT, PAT, …) sẽ được thực thi.
- Encryption: Nếu traffic cần đi ra qua VPN, đây là lúc mã hóa được thực hiện (crypto ACL).
- Egress – Next hop: Thiết bị xác định next hop IP dựa trên routing table, sau đó lấy Layer 2 MAC thông qua ARP/ND để gửi gói ra wire.
- Tối ưu chính sách: Hiểu pipeline giúp bạn đặt Prefilter và ACL đúng vị trí để giảm gánh nặng cho Snort.
- Hiệu năng: Không phải mọi traffic đều phải qua Snort, tránh overhead không cần thiết.
- Bảo mật: Có thể kết hợp linh hoạt LINA (xử lý nhanh) + Snort (xử lý sâu) để vừa giữ throughput, vừa đảm bảo chặn đúng mối đe dọa.
👉 Với kiến thức này, các kỹ sư có thể thiết kế rule và policy trong Cisco Secure Firewall Threat Defense một cách khoa học hơn, đảm bảo cân bằng giữa hiệu năng – độ an toàn – khả năng mở rộng.
Attached Files