Hiểu rõ cách mà Cisco Secure Firewall Threat Defense (FTD) xử lý một gói tin là điều cực kỳ quan trọng. Nguyên nhân là vì có nhiều loại chính sách (policies) khác nhau được áp dụng, và cách ta cấu hình các chính sách này sẽ ảnh hưởng trực tiếp đến quy trình xử lý gói tin trong hệ thống.
1. Hai bộ máy lõi của ftd: LINA và Snort
Phần mềm của FTD chạy trên hai engine chính:
-
LINA engine (ASA engine): Là “trái tim” kế thừa từ ASA, chịu trách nhiệm các xử lý truyền thống như: IP routing, L3/L4 ACL filtering, NAT, VPN. Đây là tầng xử lý cơ bản và tốc độ cao.
-
Snort engine: Đảm nhận deep packet inspection – nơi diễn ra các chức năng bảo mật nâng cao như Security Intelligence, IPS, Cisco Secure Endpoint, Cisco URL Filtering, Application Detection. Snort được kích hoạt khi traffic cần phân tích vượt ra ngoài header L3/L4.
Luồng cơ bản: gói tin vào interface → qua LINA → nếu cần phân tích sâu → chuyển sang Snort → trả kết quả → quay lại LINA để egress.
2. Trình tự xử lý gói tin
Quá trình xử lý có thể chia thành các bước sau:
-
Kiểm tra session: Thiết bị kiểm tra xem gói tin có thuộc một kết nối đã tồn tại không. Nếu có, gói tin có thể bỏ qua nhiều bước xử lý nặng như Prefilter, ACL, hay định tuyến lại.
-
VPN decryption: Nếu traffic đi qua VPN, thiết bị tiến hành giải mã (IKEv1, IKEv2, IPsec site-to-site, SSL VPN remote access). Hỗ trợ tương thích cả với thiết bị VPN third-party.
-
Routing check: Nếu gói tin là new flow, hệ thống sẽ tra bảng định tuyến để tìm egress interface. Với NAT, bước này cũng quyết định interface dựa trên NAT rule. Nếu có Destination NAT (UN-NAT), quyết định egress dựa vào cấu hình NAT.
-
Quyết định chuyển sang Snort: Nếu Access Control Policy (ACP) yêu cầu deep inspection (ví dụ: URL Filtering, Application ID, IPS, File Policy), DAQ sẽ chuyển gói sang Snort engine.
3. Ý nghĩa với triển khai thực tế
