Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Cisco Secure Firewall Threat Defense – Các Chính Sách Bảo Mật

    Cisco Secure Firewall Threat Defense – Các Chính Sách Bảo Mật


    Cisco Secure Firewall Threat Defense (FTD) khi được quản lý tập trung qua Secure Firewall Management Center (FMC) cung cấp nhiều cơ chế chính sách linh hoạt. Các chính sách này phối hợp giữa LINA engine (ASA engine) và Snort engine để xử lý gói tin, đảm bảo vừa tối ưu hiệu năng vừa duy trì mức độ bảo mật sâu. 1. Prefilter Policies – Chính sách tiền xử lý
    • Được thực thi trong LINA engine, cho phép fastpath gói tin, tức là bỏ qua kiểm tra bởi Snort.
    • Dùng cho các tình huống như GRE, IP-in-IP tunneling, dựa vào header ngoài cùng để quyết định có fastpath hay không.
    • Giúp giảm tải Snort cho các lưu lượng không cần phân tích sâu.
    2. Security Intelligence
    • Không hẳn là “policy” nhưng hoạt động tương tự: lọc bỏ hoặc chặn các lưu lượng đã được xác định là độc hại.
    • Có thể block theo IP, URL, Domain dựa trên Cisco Talos threat intelligence.
    • Nếu bị chặn ở lớp này, gói tin sẽ không còn đi qua Access Policy (ACP), File Policy hay IPS.
    3. DNS Policy
    • Giám sát các DNS request từ mạng nội bộ.
    • Nếu phát hiện yêu cầu tới domain độc hại, FTD có thể:
      • Trả lời NXDOMAIN (“Domain Not Found”) → chặn kết nối nhưng không biết host nào phát sinh.
      • Hoặc Sinkhole → chuyển hướng đến máy chủ giả lập để xác định PC nào bị nhiễm malware.
    • Lợi ích chính: tạo Indicator of Compromise (IoC) để truy vết hệ thống bị lây nhiễm.
    4. Access Control Policy (ACP)
    • Trung tâm điều khiển của firewall, áp dụng kiểm tra tới Layer 7.
    • Cho phép tích hợp:
      • Danh sách URL để kiểm soát truy cập web.
      • IPS Policy, File Policy gắn vào rule để có hiệu lực.
    • Dữ liệu threat intel từ Cisco Talos bao phủ 80+ danh mục website200 triệu URL.
    5. File Policies
    • Phân tích file trong payload:
      • Theo đuôi file (.PST, .RTF, .DOCX, .ZIP, …).
      • Theo nhóm file (ví dụ Office document, archive).
    • Hỗ trợ giải nén archive tới 3 lớp.
    • Có thể gửi file tới Threat Grid để phân tích hành vi (sandbox).
    • Mục tiêu: File Control + Malware Protection.
    6. Intrusion Policies & Network Analysis
    • Cung cấp tính năng Cisco Secure IPS (Snort).
    • Network Analysis Policy (NAP) tiền xử lý:
      • Chuẩn hóa header & payload.
      • Bao gồm IP Defragmentation, TCP reassembly, checksum verification.
    • Sau đó Snort rule trong Intrusion Policy mới áp dụng hiệu quả.
    7. SSL Policy – Giải mã SSL/TLS
    • Xác định cách xử lý lưu lượng mã hóa SSL/TLS:
      • Decrypt để ACP/File/IPS có thể kiểm tra L7.
      • Bypass, Block, hoặc Block & Reset khi không thể giải mã.
    • Tiêu chí match rule: zone, network, VLAN, user, certificate DN, cipher suite, TLS version…
    • Trên appliance vật lý, SSL decryption được thực thi bằng hardware acceleration → hiệu năng cao.
    8. Network Discovery Policy
    • Tự động phát hiện host, user, ứng dụng trong mạng.
    • Chính sách mặc định phân tích toàn bộ traffic, có thể điều chỉnh phạm vi bằng rule bổ sung.
    9. Correlation Policy
    • Theo dõi sự kiện (connection, IPS, network discovery event) để đưa ra hành động real-time.
    • Ví dụ: nếu traffic vượt ngưỡng băng thông, hệ thống có thể gửi syslog alert.
    • Giúp tự động phản ứng khi có hành vi bất thường.
    10. Identity Policy
    • Gán danh tính người dùng vào lưu lượng.
    • Tích hợp với LDAP/Active Directory Realm.
    • Có thể lọc theo VLAN, network, port, zone.
    • Dữ liệu danh tính được sử dụng trong ACP để áp dụng chính sách chi tiết theo user/group.
    Chuỗi xử lý gói tin
    • Gói tin đi qua một loạt chính sách theo thứ tự.
    • Nếu bị block bởi Security Intelligence → không qua ACP/File/IPS.
    • Nếu bị block bởi ACP → cũng không tới File Policy hay IPS.
    • SSL Policy nằm trước ACP/File/IPS để đảm bảo traffic được giải mã và phân tích ở L7.

    ✅ Với hệ sinh thái Cisco Secure Firewall Threat Defense, các chính sách này kết hợp tạo nên lớp phòng thủ nhiều tầng: từ chặn lưu lượng thô (prefilter, SI), tới kiểm soát ứng dụng (ACP), phân tích tập tin (File Policy), IPS chuyên sâu (Intrusion Policy), và cuối cùng là định danh + tương quan sự kiện (Identity & Correlation Policy).
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X