Cisco Secure Firewall Threat Defense – Routed Mode -

Khái niệm cơ bản

Đặc điểm chính

• Mỗi interface phải nằm trên một mạng con (subnet) khác nhau.

• Firewall thực hiện định tuyến IP giữa các vùng mạng, đồng thời áp dụng các chính sách an ninh (ACL, inspection, IPS, URL filtering, v.v.).

• Có thể triển khai song song với các giao thức định tuyến động (OSPF, BGP, EIGRP) hoặc định tuyến tĩnh, tùy thuộc vào yêu cầu hạ tầng.

Tình huống sử dụng phổ biến

• Perimeter Security (bảo mật biên mạng): Khi triển khai firewall ở biên mạng, giữa mạng nội bộ và Internet, routed mode là mô hình mặc định. Nó đảm bảo mọi lưu lượng ra/vào đều được kiểm soát ở tầng IP.

• Data Center Segmentation: Firewall được đặt giữa Data Center và phần còn lại của mạng doanh nghiệp. Việc tách biệt các subnet bằng routed mode giúp kiểm soát luồng lưu lượng và bảo vệ các tài nguyên trọng yếu.

• Inter-VLAN Routing kết hợp bảo mật: Thay vì để switch L3 thực hiện toàn bộ định tuyến giữa các VLAN, firewall ở chế độ routed có thể làm gateway để áp chính sách an ninh chi tiết hơn cho từng VLAN.

Nhận xét

• Đây là chế độ được sử dụng nhiều nhất trong các triển khai thực tế, bởi vì nó tích hợp đồng thời chức năng định tuyến và bảo mật.

• Tuy nhiên, vì firewall là router hop, nên cần chú ý đến hiệu năng và độ trễ, đặc biệt trong các mạng tốc độ cao hoặc data center có lưu lượng lớn.

• Một số trường hợp firewall triển khai ở chế độ transparent mode (Layer 2) có thể phù hợp hơn, ví dụ khi muốn firewall “ẩn mình” trong luồng lưu lượng mà không thay đổi kiến trúc IP hiện tại.