Trong môi trường mạng hiện đại, các mối đe dọa không còn đơn giản là truy cập trái phép hay quét cổng. Các cuộc tấn công ngày nay tinh vi hơn, tàng hình hơn và vượt qua được các lớp bảo vệ truyền thống. Đó là lý do Tường lửa Thế hệ Tiếp theo (Next-Generation Firewall – NGFW) ra đời, nhằm cung cấp một lớp bảo vệ hợp nhất, thông minh và theo ngữ cảnh hơn.
NGFW là gì?
Không giống như tường lửa truyền thống chỉ lọc lưu lượng dựa trên địa chỉ IP, cổng và giao thức, NGFW mang lại khả năng nhận diện và điều khiển sâu hơn. Một NGFW hiện đại như Firepower có thể:
Nhận diện và kiểm soát ứng dụng (Layer 7)
Lọc URL và phân loại nội dung web
Phát hiện và chặn tệp độc hại
Tích hợp sandboxing để phân tích hành vi phần mềm không xác định
Sử dụng thông tin tình báo về mối đe dọa (Threat Intelligence)
Kết hợp cả tường lửa (ASA) và IPS (Snort) trong một nền tảng duy nhất
Các chế độ triển khai phổ biến của NGFW
Firepower NGFW có thể triển khai theo hai chế độ chính:
Chế độ định tuyến (Routed Mode)
Thiết bị NGFW hoạt động như một router L3 thực thụ.
Mỗi giao diện nằm trong một subnet riêng biệt, thực hiện định tuyến giữa các vùng mạng.
Có thể áp dụng các chính sách NAT, VPN, OSPF, BGP, định tuyến tĩnh, v.v.
Ví dụ: Một công ty chia mạng thành các vùng như "User LAN", "DMZ", "WAN". Firepower sẽ định tuyến và lọc lưu lượng giữa các vùng này.
Chế độ trong suốt (Transparent Mode)
NGFW hoạt động ở Lớp 2, giống như một switch bridge hay thiết bị "bump in the wire".
Các gói tin đi qua mà không cần thay đổi IP hoặc cấu trúc mạng hiện có.
Rất phù hợp khi bạn không muốn làm gián đoạn cấu trúc mạng, nhưng vẫn muốn kiểm tra lưu lượng.
Ví dụ: Một tổ chức muốn kiểm tra lưu lượng giữa core switch và internet router mà không thay đổi thiết kế IP – chỉ cần “cắm” Firepower giữa hai thiết bị.
Dòng dữ liệu (Data Path) qua Cisco Firepower NGFW
Kiến trúc nội bộ của Firepower NGFW độc đáo ở chỗ kết hợp 2 engine bảo mật mạnh mẽ:
LINA Engine (ASA)
Xử lý các chức năng truyền thống: định tuyến IP, NAT, ACL, VPN, High Availability (HA).
Là lõi của Cisco ASA truyền thống.
Snort Engine (FTD)
Thực thi các kiểm tra nâng cao: IPS, AMP (Anti-Malware Protection), URL Filtering, Threat Intelligence.
Dựa trên hệ thống phát hiện xâm nhập mã nguồn mở nổi tiếng Snort, nhưng được mở rộng và tích hợp mạnh hơn trong FTD.
Cách gói tin được xử lý
Khi gói tin đi qua Firepower NGFW, dòng xử lý có thể mô tả như sau:
Gói tin đến: Được nhận trên một interface (ví dụ từ người dùng).
LINA xử lý sơ cấp:
Kiểm tra ACL Layer 3/4
NAT, VPN, định tuyến, phân đoạn
Chuyển đến DAQ (Data Acquisition Library):
Phân tích gói tin xem có cần kiểm tra nâng cao không
Snort xử lý nâng cao:
So khớp với Threat Intelligence (IP/domain/URL blacklist)
Kiểm tra chính sách kiểm soát truy cập (Access Control Policy)
Kiểm tra tệp, chống malware, sandbox nếu có
Áp dụng quy tắc IPS
Quan trọng: Thứ tự xử lý quyết định hiệu quả bảo vệ
Nếu một gói bị chặn bởi Threat Intelligence, nó sẽ không đi tiếp đến chính sách kiểm soát truy cập.
Nếu bị chặn bởi Access Control Policy, sẽ không tiếp tục kiểm tra IPS hoặc AMP.
Ví dụ thực tế
Giả sử một người dùng nội bộ truy cập một website bị nhiễm mã độc:
Firepower nhận gói tin HTTP.
LINA kiểm tra ACL, NAT và định tuyến.
Gói được đẩy vào Snort để kiểm tra URL.
URL bị trùng khớp với danh sách đen trong Threat Intelligence.
Gói bị chặn tại bước đầu tiên, không cần tải file hay phân tích tiếp.
Ngược lại, nếu URL hợp lệ nhưng tệp tải về có hành vi đáng ngờ, AMP sẽ xử lý tệp này qua sandbox hoặc so khớp với dấu hiệu malware đã biết.
Kết luận cho kỹ sư mạng & bảo mật
Firepower NGFW = firewall + IPS. Việc hiểu rõ chế độ hoạt động (routed vs transparent) và kiến trúc xử lý dữ liệu (LINA vs Snort) sẽ giúp bạn:
Thiết kế mạng an toàn, hiệu quả và dễ bảo trì
Gỡ lỗi chính xác khi gặp sự cố chặn traffic
Tối ưu hóa chính sách kiểm soát truy cập và hiệu suất hệ thống
