Nguyễn Thành Công
Intern
Mục lục:
I: Giới thiệu.
II: Tìm hiểu chi tiết.
III Kết luận.
I. Giới thiệu.
Check Point là một trong những công ty về firewall hàng đầu thế giới, được tin dùng bởi hàng ngàn tổ chức, doanh nghiệp và cơ quan chính phủ trên toàn cầu. Khi triển khai Check Point firewall, một trong những quyết định đầu tiên và quan trọng nhất là lựa chọn chế độ hoạt động của nó.
Firewall Check point có 2 chế độ hoạt động cơ bản đó là: Routing Mode (Layer 3) hoặc Bridge Mode (Layer 2).
Mỗi chế độ hoạt động đều có đặc điểm riêng, lợi thế và hạn chế riêng, ảnh hưởng đến:
II. Tìm hiểu chi tiết.
2.1: Routing Mode (Layer 3 Mode) — Chế độ định tuyến
Khái niệm
Khái niệm
Tình huống sử dụng
III: Kết Luận.
Việc lựa chọn Routing Mode hay Bridge Mode không có đúng hay sai tuyệt đối, mà phụ thuộc vào:
I: Giới thiệu.
II: Tìm hiểu chi tiết.
III Kết luận.
I. Giới thiệu.
Check Point là một trong những công ty về firewall hàng đầu thế giới, được tin dùng bởi hàng ngàn tổ chức, doanh nghiệp và cơ quan chính phủ trên toàn cầu. Khi triển khai Check Point firewall, một trong những quyết định đầu tiên và quan trọng nhất là lựa chọn chế độ hoạt động của nó.
Firewall Check point có 2 chế độ hoạt động cơ bản đó là: Routing Mode (Layer 3) hoặc Bridge Mode (Layer 2).
Mỗi chế độ hoạt động đều có đặc điểm riêng, lợi thế và hạn chế riêng, ảnh hưởng đến:
- Cách firewall xử lý gói tin,
- Khả năng kiểm soát bảo mật,
- Cách thức triển khai vào hệ thống mạng hiện tại,
- Và trải nghiệm vận hành, quản trị trong dài hạn.
II. Tìm hiểu chi tiết.
2.1: Routing Mode (Layer 3 Mode) — Chế độ định tuyến
Khái niệm
Trong Routing Mode, Check Point firewall hoạt động như một router Layer 3 thực thụ. Tức là:
- Mỗi interface (cổng mạng) trên firewall sẽ có một địa chỉ IP.
- Firewall sẽ sử dụng bảng định tuyến (routing table) để xác định hướng đi cho các gói tin.
- Firewall đóng vai trò gateway cho các subnet nội bộ và định tuyến traffic ra bên ngoài hoặc giữa các mạng nội bộ.
Đây là chế độ hoạt động mặc định của Check Point khi cài đặt và được khuyến nghị sử dụng nếu bạn đang triển khai hạ tầng mạng từ đầu hoặc có quyền kiểm soát hoàn toàn hệ thống mạng.
Cách thức hoạt độngTường lửa sẽ:
- Nhận gói tin từ máy tính trong LAN,
- So sánh với policy, kiểm tra có được phép hay không (theo rule),
- Áp dụng NAT nếu có (ví dụ: hide NAT địa chỉ LAN ra địa chỉ public),
- Chuyển tiếp gói tin qua interface tiếp theo nếu hợp lệ.
Tất cả các tính năng bảo mật của Check Point như Firewalling, VPN, NAT, Threat Prevention, IPS, URL Filtering, Application Control đều được áp dụng trong Routing Mode.
Ưu và nhược điểmƯu điểm:
- Hỗ trợ đầy đủ tính năng của Check Point: VPN site-to-site, VPN remote access, NAT, định tuyến động (OSPF/BGP), v.v.
- Dễ dàng chia VLAN, phân vùng bảo mật nội bộ.
- Khả năng kiểm soát chặt chẽ mọi traffic qua firewall.
- Quản lý log, giám sát, kiểm toán chi tiết theo từng hop mạng.
Nhược điểm
- Yêu cầu thay đổi cấu trúc mạng hiện tại nếu bạn muốn chèn firewall vào một mạng đang hoạt động.
- Có thể gây gián đoạn nếu triển khai không đúng quy trình (vì phải thay gateway của các thiết bị).
Tình huống xử dụng phù hợp:
- Triển khai mạng mới, bạn muốn firewall đóng vai trò Default Gateway cho tất cả máy trạm, server, thiết bị IoT.
- Môi trường đòi hỏi tối đa hóa bảo mật và kiểm soát, như ngân hàng, chính phủ, trung tâm dữ liệu.
- Các hệ thống yêu cầu VPN, NAT, phân vùng mạng rõ ràng.
Khái niệm
Bridge Mode là chế độ hoạt động trong đó firewall không định tuyến gói tin mà chỉ hoạt động như một thiết bị Layer 2 (Data Link Layer) — tương tự như một switch hoặc cầu nối (bridge).
Trong chế độ này:
- Gói tin được chuyển tiếp từ interface này sang interface khác mà không bị thay đổi IP hoặc định tuyến.
- Firewall vẫn áp dụng chính sách bảo mật, kiểm tra gói tin, nhưng không can thiệp vào header IP.
- Không yêu cầu thay đổi IP hoặc gateway của các thiết bị trong mạng — rất lý tưởng khi chèn firewall vào giữa hệ thống đang chạy.
Ưu điểm:
- Triển khai "inline" mà không gián đoạn mạng — không cần đổi IP, không thay gateway.
- Phù hợp cho môi trường đang vận hành ổn định, nhưng cần tăng cường bảo mật.
- Có thể dùng để kiểm tra/test firewall trong hệ thống thật trước khi chuyển sang chế độ Routing.
Nhược điểm:
- Không hỗ trợ NAT hoặc VPN trực tiếp trên interface bridge.
- Không có khả năng định tuyến — firewall không thể chia subnet hoặc quản lý traffic giữa các mạng.
- Không phù hợp cho các mô hình mạng phức tạp yêu cầu chia tách vùng bảo mật (segmentation).
Tình huống sử dụng
- Chèn firewall vào hệ thống đang hoạt động mà không cần thay đổi IP, routing.
- Bảo vệ các server nội bộ (file server, database server, SCADA, hệ thống kế toán).
- Triển khai tường lửa kiểm thử (POC) hoặc dự phòng song song.
III: Kết Luận.
Việc lựa chọn Routing Mode hay Bridge Mode không có đúng hay sai tuyệt đối, mà phụ thuộc vào:
- Kiến trúc hệ thống mạng hiện tại
- Yêu cầu về bảo mật, tính năng
- Khả năng can thiệp vào hệ thống sản xuất
- Kỹ năng và kinh nghiệm của đội ngũ triển khai
| TIÊU CHÍ | Routing Mode (L3) | Bridge Mode (L2) |
| Tầng OSI | Layer 3 – Network | Layer 2 – Data Link |
| Địa chỉ IP Interface | Mỗi cổng có IP riêng | Không yêu cầu IP (trừ quản trị) |
| NAT | Có (hide, static, manual) | Không (hoặc rất giới hạn) |
| VPN | Hỗ trợ đầy đủ | Không hỗ trợ |
| Routing | Có: static, OSPF, BGP,… | Không |
| Khả năng chia subnet | Có | Không |
| Ảnh hưởng hạ tầng khi triển khai | Cao (thay gateway, cấu hình lại IP) | Thấp (không thay đổi IP) |
| Chính sách bảo mật | Đầy đủ | Gần như đầy đủ |
| Mức độ kiểm soát mạng | Toàn diện | Hạn chế hơn (không kiểm soát routing) |
| Ứng dụng chính | Triển khai toàn hệ thống, mạng phức tạp | Chèn firewall vào hệ thống hiện tại không gián đoạn |
Sửa lần cuối:
Bài viết liên quan
Bài viết mới