Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Prefilter Policies – Tình huống triển khai thực tế

    Prefilter Policies – Tình huống triển khai thực tế trên Cisco Secure Firewall Threat Defense


    Trong hệ thống Cisco Secure Firewall Threat Defense (FTD), prefilter policy đóng vai trò là lớp xử lý đầu tiên, diễn ra trong ASA/LINA engine trước khi traffic được gửi qua Snort inspection. Điều này giúp giảm tải, tối ưu hiệu năng và kiểm soát những loại lưu lượng đặc biệt (tunnel, ứng dụng tin cậy, hay lưu lượng cần block ngay lập tức).

    Dưới đây là một ví dụ về prefilter policy được cấu hình, bao gồm bốn rule: 1. Rule 1 – Block Telnet
    • Rule này chặn Telnet (TCP/23) từ zone InZone sang DmzZone.
    • Lưu ý: TELNET ở đây chỉ là port object, không phải application object.
    2. Rule 2 – Fastpath cho Voice
    • Rule này cho phép voice traffic (UDP ports) từ InZone → DmzZone đi qua fastpath, tức là bỏ qua Snort inspection.
    • Đây là cách xử lý tối ưu cho ứng dụng data-intensive (cần nhiều băng thông) hoặc delay-sensitive (nhạy cảm với độ trễ) mà ta tin tưởng là không chứa payload độc hại.
    3. Rule 3 – Analyze GRE Tunnel
    • Rule này match GRE traffic, sau đó chuyển tiếp traffic này tới Access Control Policy (ACP) để phân tích sâu hơn dựa trên inner header.
    • Snort engine sẽ thực hiện inspection chi tiết với lưu lượng bên trong tunnel.
    4. Rule 4 – Block Teredo IPv6 Tunnels
    • Rule này chặn ngay lập tức Teredo IPv6 tunnel traffic mà không phân tích thêm.
    5. Lưu lượng không match rule
    • Với nontunnel traffic: nếu không khớp rule nào thì mặc định sẽ được gửi đến ACP để Snort kiểm tra.
    • Với tunnel traffic: ta có thể chọn default action trong policy (ví dụ: analyze all tunnel traffic hoặc block all tunnel traffic). Trong ví dụ này, hệ thống được cấu hình analyze all other tunnel traffic.
    6. Gắn Prefilter Policy vào ACP
    • Một prefilter policy được áp vào Access Control Policy (ACP).
    • ACP sau đó được gán lên thiết bị FTD.
    • Ta có thể thay đổi prefilter policy áp dụng bằng cách nhấn vào link trong ACP và chọn policy khác.
    Câu hỏi ôn tập


    Trong một prefilter rule, những action nào hợp lệ? (Chọn 3)
    • Permit
    • Deny
    • Block
    • Fastpath
    • Allow
    • Drop
    • Analyze
    • Slowpath

    👉 Đáp án đúng:
    • Block
    • Fastpath
    • Analyze

    🔑 Kết luận cho kỹ sư an ninh mạng: Prefilter policy là công cụ cực kỳ hữu ích để tối ưu hiệu năng firewall và xử lý linh hoạt các trường hợp đặc biệt. Với prefilter, bạn có thể:
    • Block ngay lập tức traffic không mong muốn.
    • Fastpath cho lưu lượng tin cậy, nhạy cảm với độ trễ.
    • Analyze cho các tunnel traffic cần soi chi tiết.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X