Tính năng ZBF này là lấy router ra làm firewall. Trong SDWAN, con router CEdge nó cũng có chức năng firewall. Đó chính là ZBF. Cấu hình ZBF cũng khá dễ. Định nghĩa các ZONE và các policy giữa các zone.

Zone Based Firewall – Một Giải Pháp Chuẩn Mực Cho Tuân Thủ PCI ở Bảo mật mạng ở Chi Nhánh


Trong bối cảnh các tổ chức tài chính và kỹ thuật ngày càng bị siết chặt bởi các tiêu chuẩn bảo mật như PCI-DSS, việc triển khai firewall đúng cách tại chi nhánh không chỉ là nên làm mà là bắt buộc. Và đó là lúc Zone Based Firewall (ZBF) trên router Cisco phát huy vai trò then chốt!

Tình huống thực tế trong hình:

• VPN1 (Finance) và VPN2 (Engineering) chia sẻ cùng một router tại chi nhánh.

• Tất cả traffic, dù đi Internet hay quay về trung tâm dữ liệu (Data Centre), đều được định tuyến và kiểm soát theo zone.

• Lưu lượng đi HQ (màu xanh) được đưa về trung tâm để truy cập ứng dụng nội bộ.

• Lưu lượng truy cập Internet từ nhân viên (màu cam) sẽ được kiểm tra kỹ lưỡng qua các thành phần tuân thủ như tường lửa nhận diện ứng dụng (App Aware FW) và Hệ thống IPS.

Điểm mấu chốt:



Zone Based Firewall không đơn thuần là chặn/cho, mà là xây dựng chính sách dựa trên zone-to-zone, rất phù hợp cho các thiết kế SD-WAN kiểu phân tán, trong đó traffic cần xử lý khác nhau giữa các nhóm người dùng (tài chính, kỹ thuật...).

Ưu điểm:

• Không cần phải mua thêm firewall chuyên dụng cho mỗi chi nhánh.

• Có thể áp dụng Controller Mode hoặc Autonomous Mode tùy theo mô hình SD-WAN bạn đang triển khai.

• Tích hợp dễ dàng với các chính sách bảo mật PCI hiện hành.

Anh em nào đang triển khai chi nhánh có chia theo VPN/VRF mà chưa áp dụng ZBF thì nên tham khảo kỹ bài toán này. Rất thực tế, đặc biệt với các ngành tài chính, ngân hàng, fintech!