Lê Triệu Phú
Intern
Quá trình một gói tin đi qua FortiGate được thiết kế theo cấu trúc "Parallel Path Processing", cho phép các tác vụ bảo mật được thực hiện đồng thời hoặc đẩy xuống phần cứng (offloading) để giảm độ trễ.
1. Tiếp nhận và Tiền xử lý (Ingress & Pre-processing)
Khi một gói tin (packet) chạm đến giao diện mạng (interface) của FortiGate, hệ thống sẽ thực hiện các bước kiểm tra ban đầu trước khi cấp phát tài nguyên CPU cho nó:- Kiểm tra tính hợp lệ (Sanity Check): Loại bỏ các gói tin lỗi (malformed packets).
- DoS Sensor: Nếu chính sách chống tấn công Từ chối dịch vụ (DoS) được cấu hình, gói tin sẽ được đối chiếu với các ngưỡng (thresholds) bất thường (như SYN flood, UDP flood). Nếu vượt ngưỡng, gói tin bị rớt (drop) ngay lập tức tại cấp độ phần cứng (thường được xử lý bởi Network Processor - NP).
- Giải mã VPN (IPsec Decryption): Nếu gói tin là một phần của luồng VPN IPsec đi vào, nó sẽ được giải mã (thường do Content Processor - CP đảm nhiệm) trước khi đưa vào luồng kiểm tra thông thường.
2. Định tuyến và Xử lý Phiên (Routing & Session Setup)
Ở giai đoạn này, FortiGate hoạt động như một Stateful Firewall. Hệ thống sẽ kiểm tra xem gói tin này thuộc về một phiên (session) đã tồn tại hay là một phiên mới hoàn toàn:- Trường hợp 1: Phiên đã tồn tại (Existing Session / Fast Path)
- Nếu gói tin thuộc về một luồng dữ liệu đã được xác thực và không yêu cầu kiểm tra bảo mật sâu (hoặc đã quét xong), hệ thống sẽ đẩy (offload) luồng này xuống phần cứng xử lý mạng (Network Processor - NP).
- Chế độ Fast Path này bỏ qua CPU chính, giúp gói tin đi thẳng từ cổng nhận sang cổng xuất với tốc độ đường truyền.
- Trường hợp 2: Phiên mới
- Hệ thống tra cứu bảng định tuyến để xác định cổng đích.
- Tra cứu chính sách bảo mật để xem lưu lượng từ Source IP/Port đến Destination IP/Port này có được phép hay không.
- Nếu có chính sách cho phép, FortiGate tạo một mục mới trong bảng trạng thái phiên.
3. Kiểm tra Bảo mật (UTM / Security Inspection)
Nếu chính sách bảo mật áp dụng cho gói tin có bật các tính năng kiểm tra nâng cao (Application Control, Web Filtering, Antivirus, IPS), gói tin sẽ được chuyển đến engine bảo mật. FortiGate hỗ trợ hai chế độ kiểm tra chính:- Chế độ Flow-based (Kiểm tra theo luồng):
- Gói tin được phân tích theo thời gian thực khi đang đi qua tường lửa (Single-pass architecture).
- IPS Engine đóng vai trò trung tâm, bóc tách và kiểm tra nội dung gói tin mà không cần giữ lại toàn bộ file.
- Tốc độ xử lý rất nhanh, tiêu tốn ít bộ nhớ. Phù hợp cho Application Control, IPS và các chế độ quét nhanh.
- Chế độ Proxy-based (Kiểm tra qua Proxy):
- Tường lửa đóng vai trò trung gian (Man-in-the-Middle), thiết lập hai kết nối riêng biệt (một với Client, một với Server).
- FortiGate sẽ giữ các gói tin lại, tái tạo lại toàn bộ file hoặc trang web trong bộ nhớ đệm, sau đó quét sâu toàn diện (ví dụ: giải nén file zip để quét virus bên trong).
- Mức độ bảo mật cao nhất nhưng gây ra độ trễ lớn hơn.
4. Công nghệ Tăng tốc Phần cứng (Hardware Acceleration - SPU)
Điểm khác biệt cốt lõi trong kiến trúc FortiGate là việc sử dụng các Vi xử lý Bảo mật (SPU) chuyên dụng để gánh tải cho CPU chính:- Network Processor (NP): Chuyên xử lý định tuyến, chuyển tiếp gói tin (Fast Path), NAT và tăng tốc mã hóa/giải mã IPsec VPN.
- Content Processor (CP): Tối ưu hóa cho các tác vụ nặng về tính toán như giải mã SSL/TLS, quét chữ ký IPS (pattern matching), và tăng tốc Antivirus.
5. Xử lý NAT và Xuất gói tin (Egress & Forwarding)
Sau khi gói tin vượt qua tất cả các bài kiểm tra bảo mật:- Source NAT (SNAT): Nếu cấu hình yêu cầu, FortiGate sẽ dịch mã địa chỉ IP nguồn từ mạng nội bộ sang địa chỉ IP Public.
- Mã hóa VPN (IPsec Encryption): Nếu đích đến nằm qua đường hầm VPN, gói tin sẽ được mã hóa lại.
- Traffic Shaping: Áp dụng các chính sách giới hạn băng thông hoặc ưu tiên luồng dữ liệu (QoS).
- Gói tin cuối cùng được đẩy ra cổng xuất (Egress interface) để đi đến đích.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới