Check Point NGFW Tìm hiểu về cách xử lý gói tin của của NGFW Firewall CheckPoint

I. Tổng quan​

Quy trình xử lý gói tin (Packet Flow) trên tường lửa thế hệ mới (NGFW) của Check Point là một hệ thống đa lớp, kết hợp giữa khả năng kiểm tra an ninh toàn diện và cơ chế tối ưu hóa hiệu năng.
Kiến trúc này được chia thành hai luồng chính:
  1. Logical Flow (Luồng logic): Trình tự kiểm tra bảo mật chi tiết từ Layer 3 đến Layer 7 để đảm bảo tính hợp lệ và an toàn của dữ liệu.
  2. Acceleration Architecture Flow (Luồng tăng tốc): Cơ chế tăng tốc xử lý lưu lượng bằng SecureXL kết hợp CoreXL và PSL nhằm tối ưu hiệu năng xử lý mà vẫn đảm bảo khả năng kiểm tra bảo mật.

II. Quy trình xử lý gói tin​

Khi một gói tin đi vào cổng mạng (Ingress), tùy thuộc vào Security Policy và các Software Blade được kích hoạt, gói tin sẽ lần lượt đi qua các bước kiểm tra dưới đây trước khi được chuyển tiếp hoặc loại bỏ.
1783288813162.png

Bước 1: Anti-Spoofing​

Đây là lớp phòng thủ đầu tiên ở cấp độ giao diện mạng (Interface). Tường lửa kiểm tra địa chỉ IP nguồn của gói tin có hợp lệ với cổng mà nó vừa đi vào hay không. Nếu phát hiện IP giả mạo (ví dụ: IP nội bộ nhưng đi vào từ cổng Internet), gói tin sẽ bị Drop ngay lập tức.

Bước 2: Session Lookup​

Thiết bị tra cứu Bảng trạng thái (State Table) để phân loại gói tin:
  • Nó thuộc về một kết nối đã được thiết lập trước đó (Established Session).
  • Hay là một gói tin khởi tạo kết nối hoàn toàn mới (New Session - ví dụ: TCP SYN).

Bước 3: Security Policy Lookup​

Đối với kết nối mới, hệ thống sẽ trích xuất 5-tuple (IP Nguồn, IP Đích, Cổng Nguồn, Cổng Đích, Giao thức) để đối chiếu với bảng Rule từ trên xuống dưới. Nếu không có Rule nào cho phép (Allow), gói tin sẽ bị từ chối theo nguyên tắc ngầm định (Implicit Deny).

Bước 4: Identity Awareness​

(Nếu Policy có sử dụng Identity Awareness)Thay vì chỉ quản lý bằng IP tĩnh, Check Point tích hợp với Active Directory (AD) hoặc LDAP để xác thực User hoặc Group đang gửi gói tin. Chính sách bảo mật lúc này được áp dụng dựa trên danh tính người dùng thực tế.

Bước 5: Routing Decision​

Tường lửa tra cứu Bảng định tuyến (Routing Table) để xác định xem gói tin sẽ được đẩy ra ở cổng giao diện (Egress Interface) nào để đến được đích.

Bước 6: NAT Processing​

Tùy thuộc vào cấu hình rule thực tế, hệ thống sẽ thực hiện biên dịch địa chỉ linh hoạt để đảm bảo lưu lượng được định tuyến chính xác:
  • Destination NAT: Dịch Public IP thành Private IP.
  • Source NAT: Dịch Private IP thành Public IP.
Lưu ý: Thứ tự thực tế của Routing và NAT có thể thay đổi tùy thuộc vào loại NAT (Automatic NAT, Manual NAT Before/After Rulebase) và cấu hình Rule Base.

Bước 7: Content Inspection​

Gói tin được đưa qua Content Inspection Engine để phân tích chi tiết bằng các Software Blades:
  • HTTPS Inspection: Giải mã lưu lượng SSL/TLS để kiểm tra nội dung mã hóa bên trong.
  • Application Control: Nhận diện chính xác ứng dụng đang chạy (Zalo, Facebook, YouTube...).
  • URL Filtering: Lọc web và kiểm soát nội dung truyền tải.
  • IPS (Intrusion Prevention System): Phát hiện và ngăn chặn các nỗ lực khai thác lỗ hổng.
  • Anti-Virus & Anti-Bot: Quét mẫu mã độc, virus và chặn kết nối đến máy chủ C&C.

Bước 8: Threat Prevention​

Hệ thống sử dụng các công nghệ tiên tiến để xử lý các mối đe dọa chưa từng được biết đến (Zero-day) hoặc các tệp tin nguy hiểm, nổi bật với các Blade:
  • Threat Emulation: Đưa tệp tin vào môi trường Sandboxing ảo hóa để thực thi và quan sát hành vi độc hại.
  • Threat Extraction: Chủ động loại bỏ các thành phần có khả năng chứa mã độc (như macro, script ẩn) khỏi tài liệu và cung cấp cho người dùng một bản sao an toàn (Clean Document).
  • Các Blade Threat Emulation và Threat Extraction thuộc nhóm Threat Prevention, hoạt động dựa trên thông tin Threat Intelligence do Check Point ThreatCloud cung cấp.

Bước 9: VPN / Encryption​

Nếu đích đến của gói tin nằm ở một chi nhánh khác và yêu cầu đi qua đường hầm IPsec VPN, thiết bị sẽ thực hiện mã hóa toàn bộ gói tin để đảm bảo an toàn trên môi trường Internet công cộng.

Bước 10: Egress​

Sau khi hoàn tất các bước kiểm tra bảo mật và được xử lý theo Security Policy, gói tin sẽ được chuyển tới giao diện đầu ra (Egress Interface) để tiếp tục đến đích. Đối với các kết nối sử dụng VPN, gói tin sẽ được mã hóa trước khi rời khỏi thiết bị; còn với các kết nối thông thường, gói tin sẽ được chuyển tiếp theo kết quả định tuyến và NAT đã được xác định ở các bước trước.

III. Kiến trúc tối ưu hiệu năng​

1783288859421.png

Với khối lượng xử lý khổng lồ ở phần Content Inspection, Check Point sử dụng cơ chế phân luồng chuyên sâu nhằm đảm bảo hệ thống không bị quá tải. Kiến trúc này được chia thành 3 luồng (Path) chính:

SecureXL là cơ chế tăng tốc xử lý lưu lượng ở Kernel Space, giúp các phiên đã được xác thực có thể đi theo Fast Path nhằm giảm tải cho Firewall Kernel.

CoreXL là công nghệ xử lý đa nhân của Check Point. Các Firewall Kernel Instance (FWK) được phân phối trên nhiều lõi CPU khác nhau, giúp tăng khả năng xử lý song song đối với các phiên yêu cầu kiểm tra chuyên sâu.

Trong quá trình xử lý, SecureXL chịu trách nhiệm tăng tốc các phiên phù hợp bằng cách xử lý trực tiếp những lưu lượng không cần kiểm tra chuyên sâu, trong khi CoreXL đảm nhận việc phân phối các tác vụ kiểm tra bảo mật lên nhiều Firewall Kernel Instance (FWK). Hai công nghệ này phối hợp chặt chẽ nhằm giảm tải cho CPU, tăng khả năng xử lý song song và duy trì hiệu năng cao ngay cả khi nhiều Software Blade được kích hoạt đồng thời.

1. Slow Path (F2F - Forward to Firewall)​

  • Đối tượng: Gói tin đầu tiên của một kết nối hoàn toàn mới (ví dụ TCP SYN).
  • Cơ chế xử lý: Gói tin bắt buộc phải được đẩy thẳng lên nhân tường lửa chính (Firewall Kernel / CoreXL) để phân tích toàn bộ Security Policy và xử lý Routing/NAT.
  • Đặc điểm: Đảm bảo tính bảo mật tuyệt đối cho khâu khởi tạo, nhưng tiêu tốn tài nguyên CPU nhất.

2. Fast Path (Accelerated Path)​

  • Đối tượng: Các gói tin tiếp theo của một phiên đã được cấp phép và không yêu cầu kiểm tra nội dung chuyên sâu.
  • Cơ chế xử lý: Sau khi phiên đã được Firewall Kernel xử lý và đưa vào bảng kết nối, các gói tiếp theo của phiên có thể được SecureXL xử lý mà không cần thực hiện lại toàn bộ quá trình kiểm tra.
  • Đặc điểm: Tốc độ cực cao (wire-speed), độ trễ thấp nhất.

3. Medium Path (PXL - PacketXL)​

  • Đối tượng: Các gói tin tiếp theo của một phiên đã được cho phép, nhưng có yêu cầu quét sâu ở lớp ứng dụng (bật IPS, Anti-Virus, App Control...).
  • Cơ chế xử lý: SecureXL sẽ xử lý phần Header (L3/L4) để phân loại gói tin, sau đó truyền luồng dữ liệu theo mô hình: Firewall Kernel → PSL → Software Blades.
  • Vai trò của PSL: PSL (Packet Streaming Layer) chịu trách nhiệm tái lắp ráp (TCP Stream Reassembly), duy trì trạng thái luồng dữ liệu và cung cấp dữ liệu liên tục cho các Software Blade như IPS, Application Control và HTTPS Inspection. PSL không thực hiện kiểm tra bảo mật mà đóng vai trò lớp trung gian (streaming layer), chuẩn hóa và tái lắp ráp luồng dữ liệu trước khi chuyển đến các Software Blade để phân tích.
  • Đặc điểm: Cân bằng hoàn hảo giữa hiệu năng truyền tải mạng và mức độ bảo mật chuyên sâu.

IV. Kết luận​

Quy trình Packet Flow của Check Point NGFW được thiết kế theo mô hình nhiều lớp, kết hợp giữa cơ chế kiểm tra bảo mật toàn diện và kiến trúc tăng tốc xử lý. Mỗi gói tin được đánh giá thông qua Security Policy, NAT, Content Inspection và Threat Prevention trước khi được chuyển tiếp. Đồng thời, SecureXL, CoreXL và PSL phối hợp để tối ưu việc phân phối tải, giảm độ trễ và tận dụng hiệu quả tài nguyên phần cứng. Nhờ kiến trúc này, Check Point NGFW có thể đáp ứng đồng thời yêu cầu về hiệu năng mạng và khả năng phòng chống các mối đe dọa hiện đại trong môi trường doanh nghiệp.
 
Back
Top