Trong Cisco Secure Firewall Threat Defense, Access Control Policy (ACP) là thành phần trung tâm để cấu hình chức năng tường lửa. Đây là cơ chế policy-based, hierarchical cho phép bạn xác định, giám sát, phân tích và xử lý lưu lượng mạng theo nhiều mức độ từ cơ bản đến nâng cao.

Mỗi thiết bị Cisco Secure Firewall Threat Defense (FTD) chỉ có thể gán một ACP duy nhất, nhưng hệ thống quản lý như Cisco Secure Firewall Management Center (FMC) hoặc Cisco Cloud Defense Orchestrator có thể quản lý nhiều ACP và nhiều thiết bị cùng lúc.

---

Vai trò của ACP


ACP được sử dụng để:

• Kiểm soát lưu lượng: Cho phép hoặc chặn dựa trên các đặc tính của gói tin (IP, port, ứng dụng, user, v.v.).
• Phân tích nâng cao: Gửi lưu lượng đến các engine như IPS hoặc File Policy để phát hiện và chặn mã độc.
• Ghi log & phân tích sự kiện: Xác định hành vi log (connection events, security events).
• Tích hợp tính năng nâng cao: Quản lý Security Intelligence, SSL decryption, xác thực người dùng, và các tùy chọn IPS khác.

Điểm mạnh của ACP so với firewall truyền thống chính là application-aware – có khả năng nhận diện, phân loại và kiểm soát lưu lượng ở tầng ứng dụng thay vì chỉ dựa vào IP/port.

---

Cơ chế xử lý trong ACP

• Top-down, first match: Các rule trong ACP được xử lý từ trên xuống, gặp rule khớp đầu tiên thì áp dụng action (Allow, Block, Inspect).
• Monitor exception: Action kiểu Monitor không dừng ở rule đó, mà chỉ ghi log rồi tiếp tục so khớp xuống các rule bên dưới.
• Default Action: Nếu không có rule nào match, thì traffic sẽ bị xử lý theo Default Action của ACP.

---

Thành phần của ACP


Một ACP có thể bao gồm nhiều lớp thành phần:

1. Rules: Tập hợp các rule xác định điều kiện match (IP, port, ứng dụng, user). Đây là nơi định nghĩa logic kiểm soát lưu lượng.
2. Prefilter Policy: Xử lý trước ACP, cho phép fastpath (bypass inspection) hoặc drop sớm trước khi đi vào pipeline phân tích sâu.
3. Default Action: Quyết định xử lý cuối cùng khi không có rule nào match.
4. Security Intelligence: Lọc bỏ traffic “xấu” ngay từ đầu dựa trên reputation của IP, URL, DNS. Đây là lớp bảo mật cực kỳ quan trọng để giảm thiểu tải cho hệ thống phân tích phía sau.

---

Hierarchy và Multitenancy


Cisco cho phép triển khai ACP theo dạng hierarchical để phục vụ môi trường đa tenant hoặc hệ thống lớn. Một ACP có thể inherit rule và setting từ ACP cha, nhờ đó dễ dàng áp dụng chính sách bảo mật chung, đồng thời cho phép tinh chỉnh theo từng môi trường con.

Trong mỗi ACP, rule có thể được sắp xếp vào hai nhóm:

• Mandatory Rules: Luôn được xử lý trước.
• Default Rules: Xử lý sau.

Ở môi trường nhỏ, vị trí rule có thể không quan trọng. Nhưng trong môi trường phức tạp hoặc có ACP inheritance, việc phân biệt Mandatory và Default sẽ ảnh hưởng lớn đến kết quả xử lý lưu lượng.

---

Kết luận


Access Control Policy (ACP) trong Cisco Secure Firewall Threat Defense là trái tim của kiến trúc firewall hiện đại – cung cấp khả năng kiểm soát từ lớp mạng đến lớp ứng dụng, kết hợp với IPS, SSL inspection và Security Intelligence.
Nắm vững cách cấu hình, tổ chức rule, và triển khai ACP theo mô hình hierarchical sẽ giúp kỹ sư bảo mật vừa đảm bảo hiệu năng, vừa tối ưu hóa khả năng phát hiện – ngăn chặn tấn công trong hệ thống thực tế.
​