Tweet
Xây dựng Platform Settings Policy trong Cisco Secure Firewall
Khi đã tạo mới chính sách platform settings (đặt tên, mô tả, và gán cho thiết bị), bạn sẽ được chuyển tới giao diện Platform Settings Policy Editor. Đây là nơi cấu hình chi tiết các thiết lập nền tảng cho hệ thống.
Giao diện quản lý chính sách
Các tính năng trong Platform Policy (cho Threat Defense)
1. ARP Inspection
Ngăn chặn kẻ tấn công giả mạo địa chỉ MAC/IP để thực hiện ARP Spoofing. Đây là cơ chế bảo vệ chống “man-in-the-middle attack”, thường thấy khi attacker muốn chặn và thay đổi lưu lượng của host trước khi gửi tiếp đến router.
2. Banners
Cấu hình thông điệp hiển thị khi user đăng nhập vào CLI. Đây là biện pháp vừa tăng tính cảnh báo, vừa đảm bảo tuân thủ (ví dụ: legal banner).
3. DNS
Khai báo DNS server để thiết bị có thể phân giải hostname → IP. Lưu ý, cấu hình này chỉ ảnh hưởng đến dịch vụ dùng FQDN như Access Control Rules, Remote Access VPN, chứ không áp dụng cho traffic quản trị nội bộ (Management Center, database update).
4. External Authentication
Cho phép xác thực quản trị viên bằng hệ thống bên ngoài như LDAP hoặc RADIUS. Điều này giúp tích hợp với hạ tầng AAA tập trung.
5. Fragment Settings
Theo mặc định:
Nếu không có ứng dụng nào cần fragment (ví dụ NFS/UDP), nên giảm xuống Chain value = 1 để tránh nguy cơ DoS bằng gói fragment.
6. HTTP/HTTPS Access
Cho phép truy cập HTTPS vào thiết bị (ví dụ: để tải packet capture). Cần cấu hình rõ interface nào mở cho HTTPS.
7. ICMP Access
Mặc định thiết bị phản hồi ICMP cho IPv4/IPv6, nhưng:
8. SSH Access
Cấu hình chính sách cho phép truy cập SSH đến các interface dữ liệu của thiết bị.
9. SMTP Server
Nếu bạn muốn gửi email cảnh báo từ Syslog, phải khai báo SMTP server. Địa chỉ nguồn email phải hợp lệ trong hệ thống mail server này.
10. SNMP
Cho phép giám sát thiết bị bởi các SNMP Management Station. Đây là chuẩn phổ biến để monitor router, switch, firewall.
11. SSL Settings
Cấu hình các tham số SSL/TLS/DTLS, bao gồm cả Diffie-Hellman parameters, để mã hóa traffic quản trị hoặc VPN SSL.
12. Syslog
Kích hoạt và điều chỉnh logging. Có thể gửi log hệ thống, log bảo mật tới Syslog server để phân tích tập trung.
13. Global Timeout Values
Quản lý timeout toàn cục cho:
Nếu session idle quá lâu → giải phóng resource.
14. Time Synchronization (NTP)
Cấu hình NTPv4 server để đồng bộ thời gian.
Khuyến nghị: mọi thiết bị FTD và FMC nên cùng tham chiếu một NTP server. Nếu NTP unreachable → FTD sẽ đồng bộ với FMC.
15. Time Zone
Mặc định hệ thống dùng UTC. Có thể chỉnh về múi giờ địa phương.
16. UCAPL/CC Compliance
Hỗ trợ tiêu chuẩn bảo mật:
Nhận xét chuyên gia
Đây là lớp “nền tảng quản trị” mà các network/security engineer cần đồng bộ trên toàn bộ FTD.
👉 Trong thực tế, tôi thường khuyên anh em nên chuẩn hóa một Global Platform Policy cho toàn hệ thống FTD/FMC, sau đó tùy biến chi tiết bằng Access Control Policy (ACP) hoặc Object Policy.
Khi đã tạo mới chính sách platform settings (đặt tên, mô tả, và gán cho thiết bị), bạn sẽ được chuyển tới giao diện Platform Settings Policy Editor. Đây là nơi cấu hình chi tiết các thiết lập nền tảng cho hệ thống.
Giao diện quản lý chính sách
- Góc phải trên: hiển thị số lượng thiết bị đã được áp dụng chính sách. Khi click vào liên kết này, bạn có thể thay đổi danh sách thiết bị áp dụng.
- Thanh menu bên trái: chứa các nhóm tính năng mà bạn có thể cấu hình.
- Nếu bạn tạo chính sách cho Threat Defense Settings, bạn sẽ thấy danh sách khác so với Firepower Settings.
Các tính năng trong Platform Policy (cho Threat Defense)
1. ARP Inspection
Ngăn chặn kẻ tấn công giả mạo địa chỉ MAC/IP để thực hiện ARP Spoofing. Đây là cơ chế bảo vệ chống “man-in-the-middle attack”, thường thấy khi attacker muốn chặn và thay đổi lưu lượng của host trước khi gửi tiếp đến router.
2. Banners
Cấu hình thông điệp hiển thị khi user đăng nhập vào CLI. Đây là biện pháp vừa tăng tính cảnh báo, vừa đảm bảo tuân thủ (ví dụ: legal banner).
3. DNS
Khai báo DNS server để thiết bị có thể phân giải hostname → IP. Lưu ý, cấu hình này chỉ ảnh hưởng đến dịch vụ dùng FQDN như Access Control Rules, Remote Access VPN, chứ không áp dụng cho traffic quản trị nội bộ (Management Center, database update).
4. External Authentication
Cho phép xác thực quản trị viên bằng hệ thống bên ngoài như LDAP hoặc RADIUS. Điều này giúp tích hợp với hạ tầng AAA tập trung.
5. Fragment Settings
Theo mặc định:
- Cho phép tối đa 24 fragments/IP packet.
- Cho phép 200 fragments đang chờ lắp ghép.
Nếu không có ứng dụng nào cần fragment (ví dụ NFS/UDP), nên giảm xuống Chain value = 1 để tránh nguy cơ DoS bằng gói fragment.
6. HTTP/HTTPS Access
Cho phép truy cập HTTPS vào thiết bị (ví dụ: để tải packet capture). Cần cấu hình rõ interface nào mở cho HTTPS.
7. ICMP Access
Mặc định thiết bị phản hồi ICMP cho IPv4/IPv6, nhưng:
- Không trả lời ICMP gửi tới địa chỉ broadcast.
- Chỉ trả lời ICMP đến chính interface nhận gói (không forward qua interface khác).
Có thể áp dụng rule để giới hạn ICMP theo host, network hoặc loại ICMP.
8. SSH Access
Cấu hình chính sách cho phép truy cập SSH đến các interface dữ liệu của thiết bị.
9. SMTP Server
Nếu bạn muốn gửi email cảnh báo từ Syslog, phải khai báo SMTP server. Địa chỉ nguồn email phải hợp lệ trong hệ thống mail server này.
10. SNMP
Cho phép giám sát thiết bị bởi các SNMP Management Station. Đây là chuẩn phổ biến để monitor router, switch, firewall.
11. SSL Settings
Cấu hình các tham số SSL/TLS/DTLS, bao gồm cả Diffie-Hellman parameters, để mã hóa traffic quản trị hoặc VPN SSL.
12. Syslog
Kích hoạt và điều chỉnh logging. Có thể gửi log hệ thống, log bảo mật tới Syslog server để phân tích tập trung.
13. Global Timeout Values
Quản lý timeout toàn cục cho:
- Kết nối
- Phiên dịch địa chỉ (NAT translation)
- Session console quản trị
Nếu session idle quá lâu → giải phóng resource.
14. Time Synchronization (NTP)
Cấu hình NTPv4 server để đồng bộ thời gian.
Khuyến nghị: mọi thiết bị FTD và FMC nên cùng tham chiếu một NTP server. Nếu NTP unreachable → FTD sẽ đồng bộ với FMC.
15. Time Zone
Mặc định hệ thống dùng UTC. Có thể chỉnh về múi giờ địa phương.
16. UCAPL/CC Compliance
Hỗ trợ tiêu chuẩn bảo mật:
- Common Criteria (CC): chuẩn toàn cầu về đánh giá sản phẩm bảo mật.
- UCAPL: danh sách sản phẩm được DISA (Mỹ) phê duyệt cho hạ tầng quân sự.
Nhận xét chuyên gia
Đây là lớp “nền tảng quản trị” mà các network/security engineer cần đồng bộ trên toàn bộ FTD.
- Các cấu hình như NTP, Syslog, AAA, SNMP là xương sống cho quản trị tập trung.
- Các tính năng như ARP Inspection, Fragment Settings, ICMP Restriction đóng vai trò hardening để giảm thiểu bề mặt tấn công.
- Tính năng Banner, Compliance (UCAPL/CC) giúp đảm bảo tính pháp lý và tuân thủ trong môi trường doanh nghiệp hoặc chính phủ.
👉 Trong thực tế, tôi thường khuyên anh em nên chuẩn hóa một Global Platform Policy cho toàn hệ thống FTD/FMC, sau đó tùy biến chi tiết bằng Access Control Policy (ACP) hoặc Object Policy.
Attached Files