Tweet
Cisco Secure Firewall Threat Defense – Prefilter Policies
Trong Cisco Secure Firewall Threat Defense (FTD), khi một gói tin đến interface của firewall, nó sẽ được xử lý bởi ASA engine (LINA) trước, sau đó mới chuyển tiếp sang Snort engine nếu cần kiểm tra chuyên sâu. Trong quy trình này, Prefilter Policy đóng vai trò là “tuyến phòng thủ đầu tiên”, quyết định nhanh số phận gói tin dựa trên các điều kiện Layer 3/Layer 4 đơn giản. 1. Lý do sử dụng Prefilter Policy
Có hai mục đích chính:
Các loại tunnel không mã hóa được hỗ trợ:
Một Prefilter Policy gồm nhiều rule, được đánh giá theo thứ tự từ trên xuống (top-down). Mỗi rule bao gồm điều kiện match và hành động.
Prefilter Policy được thực thi trong ASA engine, trước khi traffic được chuyển đến Snort. Dựa vào rule match:
✅ Kết luận dành cho Network & Security Engineers
Prefilter Policy là “bộ lọc thô” giúp giảm tải cho Snort, đặc biệt hữu ích trong:
Nó giống như Access Control List tăng cường, nhưng nằm trong pipeline của FTD, cho phép quyết định sớm và tối ưu hóa hiệu năng tổng thể của firewall.
Trong Cisco Secure Firewall Threat Defense (FTD), khi một gói tin đến interface của firewall, nó sẽ được xử lý bởi ASA engine (LINA) trước, sau đó mới chuyển tiếp sang Snort engine nếu cần kiểm tra chuyên sâu. Trong quy trình này, Prefilter Policy đóng vai trò là “tuyến phòng thủ đầu tiên”, quyết định nhanh số phận gói tin dựa trên các điều kiện Layer 3/Layer 4 đơn giản. 1. Lý do sử dụng Prefilter Policy
Có hai mục đích chính:
- Tối ưu hiệu năng: Loại bỏ sớm traffic không mong muốn hoặc miễn trừ traffic khỏi việc kiểm tra Snort, tránh tốn tài nguyên.
- Xử lý traffic dạng tunnel: Cho phép kiểm soát dựa trên điểm đầu/cuối tunnel, IP, VLAN, encapsulation type. Với các loại tunnel không mã hóa, prefilter rule áp dụng trên outer header. Nếu action chọn Analyze, gói tin sẽ được gửi sang Snort để áp dụng ACP rule dựa trên inner header.
Các loại tunnel không mã hóa được hỗ trợ:
- GRE (Generic Routing Encapsulation)
- IP-in-IP
- IPv6-in-IPv4
- Teredo
Một Prefilter Policy gồm nhiều rule, được đánh giá theo thứ tự từ trên xuống (top-down). Mỗi rule bao gồm điều kiện match và hành động.
- Điều kiện match:
- Với prefilter rules: security zones, source/destination IP, VLAN, protocol, port.
- Với tunnel rules: security zones, tunnel endpoints, VLAN, encapsulation type, port.
- Hành động có thể áp dụng:
- Block – Loại bỏ traffic ngay, không qua Snort.
- Fastpath – Cho phép traffic đi qua, bỏ qua Snort. Trên một số platform, luồng fastpathed có thể được offload trực tiếp xuống NIC, giảm tải CPU.
- Analyze – Gửi traffic sang Snort để áp dụng Access Control Policy (ACP) cho phân tích chuyên sâu.
Prefilter Policy được thực thi trong ASA engine, trước khi traffic được chuyển đến Snort. Dựa vào rule match:
- Traffic có thể bị loại bỏ ngay,
- Đi qua Snort để phân tích sâu hơn,
- Hoặc chuyển tiếp thẳng sang bước xử lý tiếp theo mà không cần kiểm tra.
✅ Kết luận dành cho Network & Security Engineers
Prefilter Policy là “bộ lọc thô” giúp giảm tải cho Snort, đặc biệt hữu ích trong:
- Môi trường có nhiều tunnel (GRE, IP-in-IP, Teredo).
- Các hệ thống yêu cầu hiệu năng cao (high throughput).
- Tình huống cần loại bỏ nhanh traffic không hợp lệ ngay tại L3/L4.
Nó giống như Access Control List tăng cường, nhưng nằm trong pipeline của FTD, cho phép quyết định sớm và tối ưu hóa hiệu năng tổng thể của firewall.
Attached Files