Chung Anh Kiệt
Intern
MỤC LỤC
I - Tổng Quan: Tầm Quan Trọng Của Packet Flow
II - Phân Tích: Hành Trình Của Một Gói Tin Trong Sophos XG
IV - Kết Luận
Khi hệ thống mạng gặp sự cố (ví dụ: kết nối VPN bị chập chờn, hoặc một ứng dụng nội bộ không thể truy cập), câu hỏi đầu tiên của một kỹ sư Security không phải là "Lỗi ở đâu?", mà là "Gói tin đang bị drop ở chốt trạm nào?". Việc không nắm rõ đường đi của dữ liệu (Packet Flow) sẽ khiến quá trình xử lý sự cố (Troubleshooting) rơi vào bế tắc. Bài viết này sẽ mổ xẻ chi tiết từng trạm kiểm duyệt mà một gói tin phải đi qua trong kiến trúc Xstream Architecture của Sophos.
1. Giai đoạn 1: Ingress (Nhập cảnh và Kiểm tra sơ bộ)
Ngay khi gói tin chạm vào cổng mạng (Interface IN), nó sẽ được đưa vào khối x86 SlowPath để làm các thủ tục cơ bản nhất:
- Kiểm tra tính hợp lệ (DoS/Spoof Check): Loại bỏ ngay các gói tin dị dạng, sai định dạng Lớp 2/3 để chống tấn công từ chối dịch vụ.
- Đối chiếu Rule & Định tuyến (Routing): Thiết bị tra bảng Routing để biết hướng đi (Zone đích). Quan trọng nhất, nó áp dụng các Firewall Rules (Lớp 4: IP nguồn, IP đích, Port). Nếu Rule quy định là "Drop", gói tin bị hủy ngay lập tức, tiết kiệm tối đa tài nguyên cho thiết bị.
- Áp dụng NAT: Tra cứu các chính sách DNAT (Destination NAT) để chuyển đổi địa chỉ nếu cần.
2. Giai đoạn 2: Quyết định Phân Luồng (Offloading Decision)
Đây là điểm mấu chốt làm nên sự khác biệt của kiến trúc Xstream. Sau khi qua vòng gửi xe (Ingress), gói tin đầu tiên (First Packet) của mọi phiên kết nối đều phải đi qua CPU chính để xác định xem nó là ứng dụng gì.Từ gói tin thứ 2 trở đi, hệ thống sẽ ra quyết định phân luồng:
- Đẩy xuống FastPath (Offload): Nếu lưu lượng được xác định là an toàn (Trusted Traffic), ứng dụng thời gian thực (như VoIP, Zoom, MS Teams), hoặc dữ liệu đã được mã hóa bằng IPsec VPN, Sophos sẽ tự động "đẩy" luồng này thẳng xuống vi xử lý NPU (Network Processing Unit). Quá trình này gọi là FastPath Offloading.
- Giữ lại SlowPath: Nếu là lưu lượng web (HTTP/HTTPS) chưa rõ nguồn gốc, tải file, hoặc ứng dụng cần giám sát, nó sẽ bị chuyển tiếp sang giai đoạn 3.
3. Giai đoạn 3: DPI Engine (Cách ly và Quét sâu)
Những gói tin không được Offload sẽ đi vào khối Deep Packet Inspection (DPI Engine). Tại đây, thiết bị vắt kiệt sức mạnh của vi xử lý (x86 CPU) để bóc tách:
- Giải mã SSL/TLS: Bung mã hóa gói tin HTTPS.
- Quét an ninh đồng thời: Gói tin được đưa qua các engine quét Malware (Antivirus), dò tìm dấu hiệu tấn công (IPS), kiểm tra danh mục web (Web Filtering) và nhận dạng chức năng ứng dụng (App Control).
- Nếu phát hiện mã độc, luồng kết nối bị ngắt (Drop & Log). Nếu an toàn, gói tin được mã hóa lại.
4. Giai đoạn 4: Egress (Đóng gói và Xuất cảnh)
Sau khi qua mọi khâu kiểm duyệt:
- Gói tin (từ cả luồng FastPath lẫn SlowPath) được hội tụ lại.
- Hệ thống áp dụng SNAT (Source NAT) nếu dữ liệu đi ra môi trường Internet.
- Áp dụng các luật định tuyến chất lượng dịch vụ QoS / Traffic Shaping (giới hạn băng thông hoặc ưu tiên gói tin).
- Đóng gói lại địa chỉ MAC Address và đẩy ra khỏi cổng giao tiếp (Interface OUT).
Ở bài viết tiếp theo (Task 3), chúng ta sẽ bước ra khỏi "kiến trúc bên trong" để tìm hiểu về Các Mode hoạt động (Gateway, Bridge, Discover) nhằm chuẩn bị cho việc đấu nối thiết bị Firewall vào các mô hình mạng nội bộ khác nhau.
I - Tổng Quan: Tầm Quan Trọng Của Packet Flow
II - Phân Tích: Hành Trình Của Một Gói Tin Trong Sophos XG
1. Giai đoạn 1: Ingress (Nhập cảnh và Kiểm tra sơ bộ)
2. Giai đoạn 2: Quyết định Phân Luồng (Offloading)
3. Giai đoạn 3: DPI Engine (Cách ly và Quét sâu)
4. Giai đoạn 4: Egress (Đóng gói và Xuất cảnh)
III - So Sánh Cấu Trúc: Xstream FastPath vs. DPI Engine (SlowPath)IV - Kết Luận
I. Tổng Quan: Tầm Quan Trọng Của Packet Flow
Chào mọi người, tiếp nối chuỗi bài về NGFW, hôm nay chúng ta sẽ đi sâu vào "nội soi" cách một thiết bị tường lửa cụ thể xử lý dữ liệu. Đối tượng thực hành của chúng ta là dòng Sophos XG/XGS.Khi hệ thống mạng gặp sự cố (ví dụ: kết nối VPN bị chập chờn, hoặc một ứng dụng nội bộ không thể truy cập), câu hỏi đầu tiên của một kỹ sư Security không phải là "Lỗi ở đâu?", mà là "Gói tin đang bị drop ở chốt trạm nào?". Việc không nắm rõ đường đi của dữ liệu (Packet Flow) sẽ khiến quá trình xử lý sự cố (Troubleshooting) rơi vào bế tắc. Bài viết này sẽ mổ xẻ chi tiết từng trạm kiểm duyệt mà một gói tin phải đi qua trong kiến trúc Xstream Architecture của Sophos.
II. Phân Tích: Hành Trình Của Một Gói Tin Trong Sophos XG
Để tối ưu hóa cả bảo mật lẫn hiệu năng, Sophos không đưa mọi gói tin vào chung một bộ vi xử lý. Hành trình của một gói tin (Life of a Packet) được chia thành 4 giai đoạn nghiêm ngặt:1. Giai đoạn 1: Ingress (Nhập cảnh và Kiểm tra sơ bộ)
Ngay khi gói tin chạm vào cổng mạng (Interface IN), nó sẽ được đưa vào khối x86 SlowPath để làm các thủ tục cơ bản nhất:
- Kiểm tra tính hợp lệ (DoS/Spoof Check): Loại bỏ ngay các gói tin dị dạng, sai định dạng Lớp 2/3 để chống tấn công từ chối dịch vụ.
- Đối chiếu Rule & Định tuyến (Routing): Thiết bị tra bảng Routing để biết hướng đi (Zone đích). Quan trọng nhất, nó áp dụng các Firewall Rules (Lớp 4: IP nguồn, IP đích, Port). Nếu Rule quy định là "Drop", gói tin bị hủy ngay lập tức, tiết kiệm tối đa tài nguyên cho thiết bị.
- Áp dụng NAT: Tra cứu các chính sách DNAT (Destination NAT) để chuyển đổi địa chỉ nếu cần.
2. Giai đoạn 2: Quyết định Phân Luồng (Offloading Decision)
Đây là điểm mấu chốt làm nên sự khác biệt của kiến trúc Xstream. Sau khi qua vòng gửi xe (Ingress), gói tin đầu tiên (First Packet) của mọi phiên kết nối đều phải đi qua CPU chính để xác định xem nó là ứng dụng gì.Từ gói tin thứ 2 trở đi, hệ thống sẽ ra quyết định phân luồng:
- Đẩy xuống FastPath (Offload): Nếu lưu lượng được xác định là an toàn (Trusted Traffic), ứng dụng thời gian thực (như VoIP, Zoom, MS Teams), hoặc dữ liệu đã được mã hóa bằng IPsec VPN, Sophos sẽ tự động "đẩy" luồng này thẳng xuống vi xử lý NPU (Network Processing Unit). Quá trình này gọi là FastPath Offloading.
- Giữ lại SlowPath: Nếu là lưu lượng web (HTTP/HTTPS) chưa rõ nguồn gốc, tải file, hoặc ứng dụng cần giám sát, nó sẽ bị chuyển tiếp sang giai đoạn 3.
3. Giai đoạn 3: DPI Engine (Cách ly và Quét sâu)
Những gói tin không được Offload sẽ đi vào khối Deep Packet Inspection (DPI Engine). Tại đây, thiết bị vắt kiệt sức mạnh của vi xử lý (x86 CPU) để bóc tách:
- Giải mã SSL/TLS: Bung mã hóa gói tin HTTPS.
- Quét an ninh đồng thời: Gói tin được đưa qua các engine quét Malware (Antivirus), dò tìm dấu hiệu tấn công (IPS), kiểm tra danh mục web (Web Filtering) và nhận dạng chức năng ứng dụng (App Control).
- Nếu phát hiện mã độc, luồng kết nối bị ngắt (Drop & Log). Nếu an toàn, gói tin được mã hóa lại.
4. Giai đoạn 4: Egress (Đóng gói và Xuất cảnh)
Sau khi qua mọi khâu kiểm duyệt:
- Gói tin (từ cả luồng FastPath lẫn SlowPath) được hội tụ lại.
- Hệ thống áp dụng SNAT (Source NAT) nếu dữ liệu đi ra môi trường Internet.
- Áp dụng các luật định tuyến chất lượng dịch vụ QoS / Traffic Shaping (giới hạn băng thông hoặc ưu tiên gói tin).
- Đóng gói lại địa chỉ MAC Address và đẩy ra khỏi cổng giao tiếp (Interface OUT).
III. So Sánh Cấu Trúc: Xstream FastPath vs. DPI Engine (SlowPath)
Để các bạn dễ hình dung sự khác biệt giữa hai con đường xử lý bên trong lõi của Sophos Firewall, hãy xem bảng so sánh dưới đây:| Tiêu chí | DPI Engine (SlowPath) | Xstream FastPath |
| Vi xử lý đảm nhiệm | x86 CPU (Vi xử lý trung tâm) | NPU / Xstream Flow Processor (Chip phần cứng chuyên dụng) |
| Mục đích chính | Phân tích sâu, rà quét an ninh Lớp 7. | Tăng tốc độ chuyển tiếp, giảm độ trễ, giảm tải cho CPU. |
| Độ trễ (Latency) | Cao (Do phải bóc tách, giải mã và quét nội dung gói tin). | Cực thấp (Xử lý với tốc độ dây cáp - Wire speed). |
| Kiểm tra bảo mật (DPI) | Có (Quét IPS, Antivirus, Web/App Control, SSL Decryption). | Không (Chỉ xử lý Forwarding, Routing, NAT mức cơ bản). |
| Loại Traffic điển hình | Lướt Web HTTP/HTTPS, tải file, Email, ứng dụng chưa xác định. | Video Streaming (Netflix, Youtube), VoIP/Zoom, IPsec VPN Traffic, các ứng dụng đã được đánh dấu "Trusted". |
IV. Kết Luận
Nắm vững luồng xử lý Packet Flow không chỉ giúp chúng ta chẩn đoán lỗi mạng nhanh hơn (ví dụ: biết dùng công cụ Packet Capture ở cổng Ingress hay DPI), mà còn mở ra tư duy tối ưu hóa hiệu năng hệ thống. Bằng cách thiết lập các chính sách (FastPath Rules) hợp lý để đẩy (offload) các luồng dữ liệu an toàn sang NPU, chúng ta có thể giữ cho mức tải CPU của Firewall luôn ở trạng thái lý tưởng, từ đó tăng độ bền cho thiết bị phần cứng.Ở bài viết tiếp theo (Task 3), chúng ta sẽ bước ra khỏi "kiến trúc bên trong" để tìm hiểu về Các Mode hoạt động (Gateway, Bridge, Discover) nhằm chuẩn bị cho việc đấu nối thiết bị Firewall vào các mô hình mạng nội bộ khác nhau.
Bài viết liên quan
Được quan tâm