Tweet
RAVPN và Access Control Policies
Mặc định, mọi traffic đi qua Remote Access VPN (RAVPN) sau khi được giải mã (decrypt) đều phải chịu sự kiểm soát bởi Access Control Policy (ACP) trên thiết bị Cisco Secure Firewall Threat Defense (FTD).
Điều này có nghĩa là lưu lượng phát sinh từ client kết nối VPN sẽ được xử lý giống như bất kỳ lưu lượng nội bộ nào khác đi qua firewall – bao gồm các cơ chế Security Intelligence, Identity Services, File Policy, và Snort IPS.
1. Kiểm soát toàn bộ traffic bằng cách tắt Split Tunneling
Một chiến lược bảo mật phổ biến là tắt split tunneling, buộc toàn bộ traffic (cả Internet và nội bộ) phải đi qua tunnel RAVPN.
2. Bypass Access Control Policy cho traffic RAVPN
Ngược lại, nếu tổ chức muốn tối ưu hiệu năng, có thể cấu hình để bỏ qua Access Control Policy đối với traffic RAVPN.
Góc nhìn thực tiễn
👉 Đây chính là bài toán cân bằng giữa hiệu năng và bảo mật: bật kiểm soát ACP sẽ nặng tài nguyên nhưng an toàn, còn bypass ACP sẽ nhẹ thiết bị nhưng rủi ro cao hơn.
Mặc định, mọi traffic đi qua Remote Access VPN (RAVPN) sau khi được giải mã (decrypt) đều phải chịu sự kiểm soát bởi Access Control Policy (ACP) trên thiết bị Cisco Secure Firewall Threat Defense (FTD).
Điều này có nghĩa là lưu lượng phát sinh từ client kết nối VPN sẽ được xử lý giống như bất kỳ lưu lượng nội bộ nào khác đi qua firewall – bao gồm các cơ chế Security Intelligence, Identity Services, File Policy, và Snort IPS.
1. Kiểm soát toàn bộ traffic bằng cách tắt Split Tunneling
Một chiến lược bảo mật phổ biến là tắt split tunneling, buộc toàn bộ traffic (cả Internet và nội bộ) phải đi qua tunnel RAVPN.
- Ưu điểm:
- Đảm bảo mọi lưu lượng đều được kiểm soát và giám sát qua firewall.
- Cho phép áp dụng toàn bộ tập chính sách bảo mật (ACP, IPS, File Policy, SI…).
- Nhược điểm:
- Làm tăng đáng kể overhead lên thiết bị FTD.
- Có thể gây độ trễ cao đối với lưu lượng đi Internet (ví dụ: truy cập web, dịch vụ cloud công cộng).
2. Bypass Access Control Policy cho traffic RAVPN
Ngược lại, nếu tổ chức muốn tối ưu hiệu năng, có thể cấu hình để bỏ qua Access Control Policy đối với traffic RAVPN.
- Ưu điểm:
- Tăng hiệu năng cho lưu lượng VPN, đặc biệt khi số lượng client lớn.
- Thích hợp khi coi client VPN như một phần nội bộ tin cậy, tương tự như kết nối LAN.
- Nhược điểm:
- Toàn bộ traffic từ VPN không được kiểm soát bảo mật bởi ACP.
- Giảm khả năng phát hiện và ngăn chặn các mối đe dọa đến từ client VPN.
Góc nhìn thực tiễn
- Nếu bạn đang triển khai RAVPN cho người dùng từ xa, thiết bị BYOD, hoặc môi trường Zero Trust, không nên bypass ACP, vì client VPN là bề mặt tấn công tiềm ẩn.
- Nếu VPN chỉ phục vụ thiết bị quản trị an toàn, máy tính công ty đã hardening, hoặc traffic có tính chất tin cậy, thì có thể xem xét bypass để tối ưu hiệu năng.
- Nên cân nhắc triển khai split tunneling có kiểm soát: chỉ buộc các subnet quan trọng (private/internal) đi qua tunnel, trong khi Internet traffic đi trực tiếp – đồng thời vẫn giữ DNS bảo mật và cơ chế kiểm tra endpoint.
👉 Đây chính là bài toán cân bằng giữa hiệu năng và bảo mật: bật kiểm soát ACP sẽ nặng tài nguyên nhưng an toàn, còn bypass ACP sẽ nhẹ thiết bị nhưng rủi ro cao hơn.
Attached Files