Cisco Firewall Các loại License hỗ trợ cho hệ thống Cisco Firewall

AnhTuIS

AnhTuIS

Moderator

Các loại License cho Cisco Firewall​


- Khi triển khai tường lửa Cisco, một trong những vấn đề quan trọng nhất nhưng cũng dễ gây nhầm lẫn nhất chính là license. Việc chọn đúng license không chỉ quyết định tính năng bạn có thể sử dụng mà còn ảnh hưởng đến chi phí và khả năng vận hành của toàn hệ thống.

- Bài viết này sẽ giúp chúng ta hệ thống lại các loại license chính cho dòng tường lửa Cisco, đặc biệt là với sự chuyển dịch từ ASA truyền thống sang FTD hiện đại.

- Mình có 1 bài viết liên quan đến Active license cho Cisco FTD các bạn có thể xem ở đây Hướng dẫn Renew và Transfer License trên Cisco Firepower Threat Defense


Mục lục




I. Tổng quan về phương thức cấp phép của Cisco​

- Cisco đã và đang trong quá trình chuyển đổi từ mô hình cấp phép truyền thống sang một mô hình thông minh và linh hoạt hơn.

1. Traditional Licensing (PAK - Product Activation Key)​

- Đây là phương thức cũ, chủ yếu áp dụng cho các dòng ASA cũ.
  • Cơ chế: Mỗi thiết bị sẽ đi kèm một mã PAK. Quản trị viên phải dùng mã này trên cổng thông tin của Cisco để tạo ra một file license (.lic) duy nhất, gắn liền với số serial của thiết bị đó.
  • Nhược điểm: Kém linh hoạt. Khi thay thế phần cứng (RMA), việc chuyển license rất thủ công và thường cần sự can thiệp của Cisco TAC. Việc quản lý hàng trăm thiết bị với hàng trăm file license khác nhau là một cơn ác mộng.
1763277366392.png

2. Smart Licensing​

- Đây là phương thức cấp phép hiện đại và là tiêu chuẩn cho các dòng sản phẩm mới như Cisco FTD.
  • Cơ chế: Tất cả license bạn mua sẽ được tập trung vào một tài khoản trung tâm gọi là Cisco Smart Software Manager (CSSM). Thiết bị sẽ "giao tiếp" với CSSM qua internet để đăng ký và xác thực việc sử dụng license.
  • Ưu điểm:
    • Linh hoạt: License không còn bị "trói" vào một phần cứng cụ thể. Bạn có thể dễ dàng gán hoặc thu hồi license giữa các thiết bị.
    • Quản lý tập trung: Cung cấp một cái nhìn tổng quan về tất cả license bạn sở hữu, tình trạng sử dụng và ngày hết hạn.
    • Đơn giản hóa: Khi thay thế thiết bị, bạn chỉ cần hủy đăng ký thiết bị cũ và đăng ký thiết bị mới vào kho license chung.
Thiết kế chưa có tên.png

II. Các loại License chính trên Cisco FTD​

- Với FTD, license được chia làm hai phần rõ rệt: giấy phép nền tảng và các giấy phép tính năng nâng cao.

1. Base License (Giấy phép cơ bản)​

- Khi bạn mua một thiết bị Cisco Secure Firewall, nó đã bao gồm sẵn Base License. Giấy phép này không hết hạn và cung cấp các tính năng tường lửa cơ bản, bao gồm:
  • Tường lửa trạng thái (Stateful Firewall)
  • Kiểm soát ứng dụng (Application Visibility and Control - AVC)
  • Định tuyến (Routing) và NAT
  • VPN Site-to-Site

2. Feature Subscription Licenses (Giấy phép tính năng theo gói)​

- Đây là các license dạng thuê bao (thường có thời hạn 1, 3 hoặc 5 năm) để kích hoạt các tính năng bảo mật thế hệ mới. Mỗi thiết bị cần được quản lý phải có giấy phép cho từng tính năng được sử dụng. Các gói phổ biến bao gồm:
  • Threat (T): Kích hoạt hệ thống ngăn chặn xâm nhập (NGIPS) để phát hiện và ngăn chặn các cuộc tấn công vào lỗ hổng hệ thống.
  • Malware (M): Kích hoạt tính năng Advanced Malware Protection (AMP), giúp phân tích, phát hiện và ngăn chặn các file chứa mã độc.
  • URL Filtering (C): Cho phép kiểm soát truy cập web của người dùng dựa trên danh mục (VD: mạng xã hội, tin tức, cờ bạc...) và danh tiếng của trang web.
- Cisco thường cung cấp các gói kết hợp (bundle) để tiết kiệm chi phí, ví dụ: TC (Threat + URL), TM (Threat + Malware), hoặc TMC (Threat + Malware + URL).

III. Các chế độ Smart Licensing cho môi trường đặc biệt​


- Không phải mạng nào cũng có thể kết nối trực tiếp ra Internet để xác thực license. Cisco cung cấp các giải pháp cho những môi trường "air-gapped" (mạng cách ly).

1. Specific License Reservation (SLR)​


- SLR cho phép bạn “đặt trước” các license cụ thể (ví dụ: Threat, URL Filtering…) cho từng thiết bị mà không cần thiết bị phải kết nối Internet hay liên lạc với CSSM. Quy trình gồm việc tạo Request Code trên thiết bị, nhập lên CSSM để lấy Authorization Code, sau đó cài lại vào thiết bị.


- Giải pháp này phân bổ license chính xác theo nhu cầu, phù hợp các môi trường air-gapped, yêu cầu bảo mật cao và cần vận hành ổn định lâu dài. Tuy nhiên, SLR có hạn chế như: thao tác thủ công cho từng thiết bị, mỗi lần thay đổi số lượng license đều phải tạo lại request mới, khi thay đổi phần cứng cần return license, không tự động như Smart Licensing Online và chỉ cấp đúng số lượng license đã mua chứ không mở toàn bộ tính năng.

1763278792750.png

2. Permanent License Reservation (PLR)​

- PLR là chế độ cấp phép đặc biệt cho phép thiết bị mở toàn bộ tính năng bảo mật (IPS, Malware Defense, URL Filtering, AMP, Security Intelligence, VPN…) không giới hạn số lượng license và không cần bất kỳ kết nối nào đến Internet, Smart Account hay CSSM. Cơ chế của PLR tương tự SLR, nhưng thay vì đặt trước từng gói tính năng, CSSM cấp một Authorization Code duy nhất để mở khóa toàn bộ khả năng của thiết bị vĩnh viễn. Quy trình gồm: bật PLR mode → tạo Request Code → tải lên CSSM bằng tài khoản có quyền PLR → nhận Authorization Code → kích hoạt trên thiết bị, sau đó thiết bị trở thành “fully enabled firewall”.


- PLR chỉ được cấp cho các tổ chức đặc thù như chính phủ, quốc phòng, tài chính hoặc môi trường tuyệt đối cách ly, và yêu cầu mua Cisco Universal License hoặc gói PLR tương ứng. Ưu điểm của PLR là mở toàn bộ tính năng, không giới hạn license, thao tác đơn giản hơn SLR và phù hợp với hệ thống an ninh – quân sự. Tuy nhiên, PLR có hạn chế lớn: giá rất cao, chỉ được phân phối theo thẩm định đặc biệt, khó hoàn trả, và bị hạn chế ở một số quốc gia.

1763279716115.png

IV. Kết luận​

- Cơ chế cấp phép đóng vai trò quan trọng trong việc đảm bảo hệ thống Cisco Firewall vận hành đầy đủ tính năng và tuân thủ đúng mô hình bảo mật. Smart Licensing đang trở thành chuẩn chung cho các nền tảng thế hệ mới như FTD và FMC, giúp việc quản lý license tập trung, minh bạch và dễ mở rộng hơn so với mô hình truyền thống.

- Trong quá trình triển khai, tổ chức cần xác định rõ yêu cầu bảo mật thực tế để lựa chọn đúng loại license — từ Threat, Malware, đến URL Filtering — nhằm tối ưu chi phí và tránh vượt phạm vi cần thiết. Với các môi trường đặc thù, đặc biệt là các hệ thống air-gapped hoặc hạ tầng có yêu cầu an ninh nghiêm ngặt, các chế độ offline như SLR và PLR mang lại khả năng kích hoạt linh hoạt mà vẫn đáp ứng tiêu chuẩn bảo mật cao.

- Hiểu đúng kiến trúc cấp phép và chọn lựa mô hình phù hợp sẽ giúp doanh nghiệp duy trì hoạt động ổn định, đảm bảo khả năng mở rộng và tối ưu hóa mức đầu tư cho toàn bộ vòng đời của hệ thống tường lửa Cisco.
 
Bài viết liên quan
Tìm Hiểu Các Lệnh CLI Cơ Bản và Nâng Cao trên Cisco FTD (Dành cho Troubleshoot) bởi AnhTuIS,
Tìm hiểu Cisco FTD, FDM và FMC: Kiến trúc & Mô hình Quản lý bởi AnhTuIS,
[Chapter 13.2] Monitor and debug Virtual Firewall ASA bởi root,
[Chapter 7.2] Cisco ASA NAT configuration bởi root,
Tổng hợp các bài lý thuyết Cisco ASA bởi root,
[Chapter 8] Configure Acess List Cisco ASA bởi root,
Được quan tâm
Tìm Hiểu Các Lệnh CLI Cơ Bản và Nâng Cao trên Cisco FTD (Dành cho Troubleshoot) bởi AnhTuIS,
Bài viết mới
Tìm Hiểu Các Lệnh CLI Cơ Bản và Nâng Cao trên Cisco FTD (Dành cho Troubleshoot) bởi AnhTuIS,
Tìm hiểu Cisco FTD, FDM và FMC: Kiến trúc & Mô hình Quản lý bởi AnhTuIS,
[Chapter 13.2] Monitor and debug Virtual Firewall ASA bởi root,
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 7.2] Cisco ASA NAT configuration bởi root,
[Chapter 4.4] Dynamic Routing Protocols bởi root,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top