Check Point NGFW Tìm hiểu kiến trúc của NGFW và các thành phần cốt lõi (Document)

1. Khái niệm​

Tường lửa thế hệ tiếp theo (Next-Generation Firewall - NGFW) là thiết bị bảo mật mạng được phát triển dựa trên tường lửa trạng thái (Stateful Firewall), đồng thời tích hợp nhiều cơ chế bảo mật hiện đại như kiểm tra gói tin sâu (Deep Packet Inspection - DPI), hệ thống ngăn chặn xâm nhập (Intrusion Prevention System - IPS), nhận dạng ứng dụng (Application Awareness), quản lý danh tính người dùng (User Identity Management), kiểm soát nội dung và các cơ chế phát hiện mã độc nâng cao.

Không giống các tường lửa truyền thống chỉ kiểm soát lưu lượng dựa trên địa chỉ IP, cổng (Port) và giao thức (Protocol), NGFW có khả năng phân tích lưu lượng ở tầng ứng dụng (Layer 7 của mô hình OSI), từ đó nhận biết chính xác người dùng, ứng dụng đang sử dụng và nội dung của dữ liệu truyền qua mạng. Điều này giúp xây dựng các chính sách bảo mật chi tiết, linh hoạt và hiệu quả hơn.


2. Kiến trúc xử lý của NGFW​

Kiến trúc của NGFW được thiết kế nhằm xử lý khối lượng lớn lưu lượng mạng trong khi vẫn duy trì hiệu năng cao và độ trễ thấp. Hai mô hình xử lý phổ biến bao gồm:

2.1 Kiến trúc Multi-Pass​

Trong kiến trúc Multi-Pass, mỗi gói tin sẽ lần lượt đi qua từng mô-đun bảo mật theo trình tự, ví dụ:
Firewall → IPS → Antivirus → Application Control → URL Filtering
Mỗi mô-đun sẽ phân tích lại gói tin trước khi chuyển sang mô-đun tiếp theo.

Ưu điểm
  • Thiết kế đơn giản.
  • Dễ phát triển và bảo trì.
  • Có thể bổ sung thêm các mô-đun mới.
Nhược điểm
  • Gói tin phải được xử lý nhiều lần.
  • Tiêu tốn tài nguyên CPU và bộ nhớ.
  • Hiệu năng giảm khi bật đồng thời nhiều tính năng bảo mật.

2.2 Kiến trúc Single-Pass​

Trong kiến trúc Single-Pass, gói tin chỉ được giải mã và phân tích một lần. Sau đó, toàn bộ các mô-đun bảo mật sẽ khai thác chung dữ liệu đã được phân tích để thực hiện đồng thời nhiều chức năng như:
  • Stateful Inspection
  • IPS
  • Antivirus
  • Application Control
  • URL Filtering
  • Threat Prevention
Kiến trúc này giúp giảm đáng kể số lần xử lý gói tin, từ đó tăng hiệu năng và giảm độ trễ.

Ưu điểm
  • Hiệu suất xử lý cao.
  • Độ trễ thấp.
  • Tiết kiệm tài nguyên hệ thống.
  • Phù hợp với các hệ thống mạng có lưu lượng lớn.
Hiện nay, phần lớn các giải pháp NGFW hiện đại đều áp dụng kiến trúc Single-Pass Processing.


3. Các thành phần cốt lõi của NGFW​

3.1 Stateful Inspection (Kiểm tra trạng thái)​

Stateful Inspection là nền tảng của mọi NGFW. Cơ chế này theo dõi trạng thái của từng phiên kết nối (Session) từ khi được thiết lập đến khi kết thúc.
Thay vì kiểm tra từng gói tin riêng lẻ, NGFW lưu thông tin phiên làm việc trong bảng trạng thái (State Table), chỉ cho phép các gói tin thuộc những kết nối hợp lệ đi qua và tự động loại bỏ các kết nối bất thường hoặc giả mạo.


3.2 Deep Packet Inspection (DPI)​

Deep Packet Inspection (DPI) là kỹ thuật kiểm tra toàn bộ nội dung của gói tin, bao gồm:
  • Header
  • Payload
Khác với Packet Filtering truyền thống chỉ kiểm tra Header, DPI có khả năng phát hiện:
  • Mã độc
  • Dữ liệu bất thường
  • Lưu lượng được ngụy trang
  • Các mẫu tấn công (Attack Pattern)
DPI là nền tảng để triển khai các tính năng IPS, Antivirus và Application Control.


3.3 Intrusion Prevention System (IPS)​

IPS là hệ thống phát hiện và ngăn chặn các cuộc tấn công mạng theo thời gian thực.

IPS hoạt động dựa trên nhiều phương pháp:
  • Signature-based Detection
  • Behavior-based Detection
  • Anomaly-based Detection
Khi phát hiện dấu hiệu khai thác lỗ hổng (Exploit) hoặc hành vi tấn công, IPS có thể:
  • Chặn gói tin.
  • Reset phiên TCP.
  • Ghi log.
  • Cảnh báo quản trị viên.

3.4 Application Awareness & Control​

Một trong những điểm nổi bật nhất của NGFW là khả năng nhận dạng ứng dụng.

NGFW không chỉ dựa vào Port Number mà còn phân tích:
  • Signature của ứng dụng
  • Hành vi lưu lượng
  • Giao thức thực tế
Ví dụ:
  • Facebook chạy trên HTTPS (Port 443).
  • Zalo chạy trên HTTPS.
  • Microsoft Teams chạy trên HTTPS.
Mặc dù cùng sử dụng Port 443, NGFW vẫn có thể phân biệt chính xác từng ứng dụng.
Nhờ đó, quản trị viên có thể xây dựng các chính sách như:
  • Cho phép Facebook nhưng chặn Facebook Messenger.
  • Cho phép Google Drive nhưng cấm Upload File.
  • Chỉ cho phép Microsoft Teams trong giờ làm việc.

3.5 User Identity Management​

NGFW có thể tích hợp với các hệ thống xác thực như:
  • Active Directory
  • LDAP
  • RADIUS
Qua đó, địa chỉ IP sẽ được liên kết với tài khoản người dùng.
Thay vì xây dựng chính sách theo IP, quản trị viên có thể tạo chính sách theo:
  • Người dùng
  • Nhóm người dùng
  • Phòng ban
  • Chức vụ
Ví dụ:
  • Phòng Kế toán được truy cập Internet Banking.
  • Phòng Marketing được phép sử dụng Facebook.
  • Nhân viên thực tập không được tải phần mềm.

3.6 Threat Intelligence và Sandboxing​

Threat Intelligence​

NGFW liên tục cập nhật cơ sở dữ liệu về:
  • Địa chỉ IP độc hại
  • Domain độc hại
  • URL độc hại
  • Malware
  • Botnet
  • Command & Control Server (C&C)
Nguồn dữ liệu thường đến từ các trung tâm Threat Intelligence của nhà sản xuất.


Sandboxing​

Đối với các tệp tin chưa từng được nhận diện (Unknown File hoặc Zero-day Malware), NGFW sẽ gửi chúng vào môi trường ảo hóa (Sandbox).
Trong Sandbox, tệp sẽ được thực thi để quan sát các hành vi như:
  • Mã hóa dữ liệu.
  • Tự sao chép.
  • Thay đổi Registry.
  • Kết nối đến máy chủ C&C.
  • Tải thêm mã độc.
Nếu phát hiện hành vi nguy hiểm, NGFW sẽ chặn tệp và cập nhật cơ sở dữ liệu phòng chống mã độc.


3.7 SSL/TLS Decryption​

Hiện nay, phần lớn lưu lượng Internet đều sử dụng giao thức HTTPS.
Nếu không giải mã lưu lượng HTTPS, NGFW sẽ không thể kiểm tra nội dung bên trong.
SSL/TLS Decryption hoạt động như một cơ chế trung gian (Forward Proxy hoặc Reverse Proxy tùy mô hình triển khai), cho phép:
  1. Giải mã lưu lượng SSL/TLS.
  2. Chuyển dữ liệu đã giải mã cho IPS, Antivirus và các mô-đun bảo mật khác phân tích.
  3. Mã hóa lại dữ liệu trước khi gửi đến máy khách hoặc máy chủ.
Nhờ đó, NGFW có thể phát hiện mã độc, ransomware và các cuộc tấn công được ẩn bên trong các kết nối HTTPS.


4. Kết luận​

NGFW là giải pháp bảo mật mạng hiện đại, tích hợp nhiều cơ chế bảo vệ trong cùng một thiết bị. Bên cạnh chức năng kiểm soát truy cập truyền thống, NGFW còn có khả năng nhận diện ứng dụng, xác thực người dùng, phân tích nội dung gói tin, phát hiện và ngăn chặn tấn công, cũng như xử lý các mối đe dọa nâng cao thông qua Threat Intelligence và Sandboxing. Với khả năng bảo vệ toàn diện ở nhiều lớp, NGFW đã trở thành thành phần quan trọng trong hạ tầng an ninh mạng của các doanh nghiệp và tổ chức hiện nay.
 
Back
Top