Tweet
ACP Rules – Further Inspection (Kiểm tra bổ sung trong ACP)
Khi một Access Control Policy (ACP) rule được cấu hình với action Allow hoặc Interactive Block, bạn có thể gắn thêm các chính sách kiểm tra nâng cao (further inspections) để tăng cường khả năng phát hiện mối đe dọa:
👉 Cả IPS và File/Malware Policy đều được gắn ở Inspection tab của rule trong ACP.
ACP Rules – Logging (Ghi log trong ACP)
Thiết bị Cisco Secure Firewall Threat Defense có khả năng ghi log mọi lưu lượng đi qua và gửi về:
Khi cấu hình logging trong ACP:
Connection Events được sinh ra khi có log:
Ngoài ra, hệ thống tự động log khi phát hiện: prohibited file, malware, hoặc intrusion attempt, ngay cả khi bạn không bật log thủ công.
ACP Use Case – Ví dụ triển khai
Yêu cầu:
Cấu hình ACP ví dụ:
👉 Đây là kiến trúc điển hình để vừa kiểm soát chặt chẽ, vừa đảm bảo dịch vụ hợp lệ vẫn chạy.
Content Review Question
Hỏi: Hành động nào trong ACP rule cho phép lưu lượng mạng được phát hiện và gửi đến IPS policy?
Đáp án đúng: ✅ Allow
(Vì với Allow, traffic được permit đi qua, đồng thời có thể áp dụng further inspections như IPS policy hoặc File/Malware policy. Các action khác như Block/Deny sẽ không invoke IPS).
Khi một Access Control Policy (ACP) rule được cấu hình với action Allow hoặc Interactive Block, bạn có thể gắn thêm các chính sách kiểm tra nâng cao (further inspections) để tăng cường khả năng phát hiện mối đe dọa:
- IPS Policy
- Sử dụng các Snort intrusion rules để kiểm tra gói tin, phát hiện tấn công và khai thác.
- Có thể được kích hoạt từ rule cụ thể hoặc từ default action của ACP.
- File and Malware Policy
- Cho phép phát hiện và block một số loại file cụ thể.
- Có thể phân tích file để tìm mã độc.
👉 Cả IPS và File/Malware Policy đều được gắn ở Inspection tab của rule trong ACP.
ACP Rules – Logging (Ghi log trong ACP)
Thiết bị Cisco Secure Firewall Threat Defense có khả năng ghi log mọi lưu lượng đi qua và gửi về:
- Management Center (FMC)
- Syslog server
- SNMP trap receiver
Khi cấu hình logging trong ACP:
- Bạn chọn log at beginning hoặc log at end của kết nối.
- Với Block rule: chỉ có thể log tại beginning (vì kết nối bị chặn ngay).
- Với Allow rule: thường log tại end, vì sẽ có nhiều thông tin hơn sau khi session kết thúc. Tuy nhiên, các kết nối dài (long-lived connections) có thể ít thấy log nếu chọn log at end.
- Logging cũng có thể áp dụng theo default action.
Connection Events được sinh ra khi có log:
- Bao gồm thông tin cơ bản: timestamp, source/destination IP, ingress/egress zone, thiết bị xử lý.
- Có thể chứa thêm thông tin nâng cao: application, URL, user identity.
- Metadata: rule nào match, action là allow hay block, lý do log.
Ngoài ra, hệ thống tự động log khi phát hiện: prohibited file, malware, hoặc intrusion attempt, ngay cả khi bạn không bật log thủ công.
ACP Use Case – Ví dụ triển khai
Yêu cầu:
- Inside network truy cập Internet, nhưng cấm Telnet trên mọi port.
- Inside network cấm truy cập social networking sites.
- Inside network vẫn phải truy cập được các dịch vụ trên DMZ server.
- Internet users truy cập dịch vụ trên DMZ server (theo DMZ_SERVICES định nghĩa).
- Mọi traffic khác phải bị block bởi default action.
Cấu hình ACP ví dụ:
- Rule 1: Block Telnet application từ Inside → Outside.
- Dùng application condition ⇒ match Telnet trên bất kỳ port.
- Traffic bị block và log.
- Rule 2: Block Inside → Outside nếu URL thuộc social networking category.
- Rule 3: Allow Inside → Outside cho tất cả outbound Internet traffic khác.
- Rule 4: Allow Outside → DMZ server, nhưng chỉ với các dịch vụ trong DMZ_SERVICES object.
- Rule 5: Allow Inside → DMZ server, cũng chỉ với các dịch vụ trong DMZ_SERVICES object.
- Default Action: Block all other traffic.
👉 Đây là kiến trúc điển hình để vừa kiểm soát chặt chẽ, vừa đảm bảo dịch vụ hợp lệ vẫn chạy.
Content Review Question
Hỏi: Hành động nào trong ACP rule cho phép lưu lượng mạng được phát hiện và gửi đến IPS policy?
Đáp án đúng: ✅ Allow
(Vì với Allow, traffic được permit đi qua, đồng thời có thể áp dụng further inspections như IPS policy hoặc File/Malware policy. Các action khác như Block/Deny sẽ không invoke IPS).
Attached Files