Tweet
Trong các triển khai SD-WAN hiện đại, tường lửa nhận biết ứng dụng (Application-Aware Enterprise Firewall) là lớp bảo mật quan trọng giúp kiểm soát lưu lượng không chỉ dựa trên địa chỉ IP hay cổng, mà còn dựa trên chính ứng dụng đang chạy.
Tường lửa này là tường lửa dựa trên vùng (zone-based firewall), hỗ trợ hơn 1400 ứng dụng được định nghĩa sẵn và cho phép tạo ứng dụng tùy chỉnh.
Nguyên tắc hoạt động & ánh xạ vùng
Trong Cisco SD-WAN, quá trình triển khai tường lửa nhận biết ứng dụng thường đi qua các bước logic sau:
Chính sách & hành động
Một chính sách tường lửa gồm:
Self-Zone – Bảo vệ chính thiết bị
Ngoài các Zone chứa VPN, tường lửa hỗ trợ Self-Zone để bảo vệ lưu lượng:
Khác biệt giữa IOS XE & Viptela OS
Một số khác biệt đáng chú ý:
IOS XE 17.4:
Ghi nhật ký Tốc độ Cao (High-Speed Logging – HSL)
💡 Kinh nghiệm triển khai thực tế
Tường lửa này là tường lửa dựa trên vùng (zone-based firewall), hỗ trợ hơn 1400 ứng dụng được định nghĩa sẵn và cho phép tạo ứng dụng tùy chỉnh.
- IOS XE SD-WAN Edge → hỗ trợ tường lửa nhận biết ứng dụng đầy đủ.
- Viptela OS SD-WAN Edge → chỉ hỗ trợ tường lửa dựa trên vùng, không có khả năng nhận biết ứng dụng.
Nguyên tắc hoạt động & ánh xạ vùng
Trong Cisco SD-WAN, quá trình triển khai tường lửa nhận biết ứng dụng thường đi qua các bước logic sau:
- Ánh xạ giao diện dịch vụ (các interface) → VPN (VPN trong SDWAN là VRF)
- Ánh xạ VPN → Zone
- Áp dụng chính sách firewall giữa các cặp Zone
Một Zone có thể chứa nhiều VPN, nhưng một VPN chỉ thuộc duy nhất một Zone.
Chính sách & hành động
Một chính sách tường lửa gồm:
- Các quy tắc (rules) khớp điều kiện (match conditions)
- Hành động (action) cho từng quy tắc
- Hành động mặc định (default action) nếu không match quy tắc nào
- Drop → chặn hoàn toàn gói tin.
- Inspect → kiểm tra trạng thái (stateful inspection), cho phép lưu lượng trả về của kết nối hợp lệ.
- Pass → cho phép gói tin đi qua một chiều mà không kiểm tra, bắt buộc tạo rule riêng cho chiều ngược lại.
Self-Zone – Bảo vệ chính thiết bị
Ngoài các Zone chứa VPN, tường lửa hỗ trợ Self-Zone để bảo vệ lưu lượng:
- Quản lý (management traffic)
- Điều khiển (control traffic)
- Nguồn hoặc đích là chính router
Khác biệt giữa IOS XE & Viptela OS
Một số khác biệt đáng chú ý:
IOS XE 17.4:
- Reusable Lists → tái sử dụng danh sách prefix, protocol, port giúp chính sách gọn hơn.
- Rule Sets → nhóm nhiều rule cùng hành động, giảm số lượng class-map/ACE.
- Geo-based Firewall Rules → lọc lưu lượng theo quốc gia/châu lục (source/destination). Tường lửa dùng cơ sở dữ liệu ánh xạ IP → vị trí địa lý.
Ghi nhật ký Tốc độ Cao (High-Speed Logging – HSL)
- Mặc định: Firewall log dưới dạng Syslog, có rate-limit.
- IOS XE: Có thể bật HSL để xuất log dưới dạng NetFlow v9.
- Hỗ trợ 1 Flow Collector cho mỗi chính sách hoặc thiết bị.
- Chỉ hỗ trợ IPv4.
- Viptela OS: Không hỗ trợ HSL.
💡 Kinh nghiệm triển khai thực tế
- Khi thiết kế Zone-based Firewall cho SD-WAN, nên phân chia Zone hợp lý ngay từ đầu để tránh việc phải chỉnh sửa lại ánh xạ VPN → Zone khi mở rộng.
- Với hành động Pass, đừng quên tạo rule ngược lại nếu cần lưu lượng 2 chiều.
- Khi dùng Geo-IP filtering, hãy đảm bảo cơ sở dữ liệu được cập nhật định kỳ để tránh lọc sai.
Attached Files