Check Point NGFW Tìm hiểu các mode hoạt động của NGFW CheckPoint

A

Anh Quốc

Intern

Mục lục​

I. Giới thiệu
II. Các mode hoạt động phổ biến
III. Bảng so sánh nhanh
IV. Kết luận

I. Giới thiệu​

Trong hệ thống mạng doanh nghiệp hiện đại, firewall không còn chỉ đơn giản là thiết bị dùng để cho phép hoặc chặn traffic. Với sự phát triển của các cuộc tấn công mạng, firewall ngày nay đã trở thành một thành phần quan trọng trong kiến trúc bảo mật tổng thể.
Check Point NGFW là một trong những giải pháp tường lửa thế hệ mới được sử dụng rộng rãi trong doanh nghiệp, datacenter, ngân hàng, ISP và các hệ thống yêu cầu mức độ bảo mật cao.
Khi triển khai Check Point NGFW, việc lựa chọn mode hoạt động phù hợp là yếu tố rất quan trọng. Mode triển khai sẽ ảnh hưởng trực tiếp đến cách firewall xử lý traffic, khả năng routing, mức độ thay đổi hệ thống mạng hiện tại và khả năng mở rộng trong tương lai.
Trong bài viết này, chúng ta sẽ cùng tìm hiểu 4 mode hoạt động phổ biến của Check Point NGFW:
  • Routed Mode
  • Bridge Mode
  • ClusterXL
  • VSX Mode

1778853721171.png

II. Các mode hoạt động phổ biến​

1. Routed Mode — Layer 3 Mode​

Routed Mode là mode triển khai phổ biến nhất của Check Point Firewall. Ở mode này, firewall hoạt động tương tự như một thiết bị router Layer 3.
Mỗi interface trên firewall sẽ có một địa chỉ IP riêng. Firewall tham gia trực tiếp vào quá trình routing giữa các network, đồng thời thực hiện kiểm tra security policy, NAT và các tính năng bảo mật khác.

Đặc điểm chính​

  • Firewall đóng vai trò như default gateway.
  • Hỗ trợ Static Route, OSPF, BGP.
  • Hỗ trợ NAT và routing linh hoạt.
  • Phù hợp với hệ thống có nhiều VLAN hoặc subnet.

Khi nào nên dùng?​

Routed Mode phù hợp với các hệ thống doanh nghiệp, datacenter hoặc môi trường cần firewall kiểm soát traffic giữa nhiều vùng mạng khác nhau.
Ví dụ:
LAN → Check Point Firewall → Internet

Ưu điểm​

  • Routing linh hoạt.
  • Dễ kiểm soát traffic giữa các subnet.
  • Hỗ trợ NAT tốt.
  • Phù hợp môi trường enterprise.

Nhược điểm​

  • Có thể cần thay đổi gateway hoặc topology mạng.
  • Cần cấu hình routing chính xác để tránh mất kết nối.

2. Bridge Mode — Layer 2 Mode​

Bridge Mode cho phép Check Point Firewall hoạt động ở Layer 2, tương tự như một thiết bị bridge trong suốt.
Điểm hay của mode này là firewall có thể được chèn vào hệ thống mạng hiện tại mà không cần thay đổi nhiều về IP hoặc default gateway. Traffic vẫn đi qua firewall để được kiểm tra policy, nhưng firewall không đóng vai trò router chính như Routed Mode.

Đặc điểm chính​

  • Hoạt động ở Layer 2.
  • Ít thay đổi hạ tầng mạng hiện tại.
  • Phù hợp khi cần triển khai firewall nhanh.
  • Có thể dùng cho mô hình kiểm tra IPS/IDS inline.

Khi nào nên dùng?​

Bridge Mode phù hợp khi doanh nghiệp muốn bổ sung firewall vào hệ thống đang chạy ổn định nhưng không muốn thay đổi topology mạng.
Ví dụ:
LAN Switch → Check Point Firewall → Router

Ưu điểm​

  • Không cần đổi IP network.
  • Ít ảnh hưởng hệ thống hiện tại.
  • Triển khai nhanh hơn Routed Mode.

Nhược điểm​

  • Hạn chế hơn về routing.
  • Khó mở rộng trong hệ thống lớn.
  • Một số tính năng có thể bị giới hạn tùy mô hình triển khai.

3. ClusterXL — High Availability Mode​

ClusterXL là công nghệ High Availability của Check Point, cho phép nhiều firewall hoạt động cùng nhau để tăng độ sẵn sàng cho hệ thống.
Trong mô hình phổ biến, một firewall sẽ hoạt động ở trạng thái Active, firewall còn lại ở trạng thái Standby. Khi thiết bị Active gặp sự cố, thiết bị Standby sẽ tự động takeover để đảm bảo traffic vẫn tiếp tục được xử lý.

Đặc điểm chính​

  • Hỗ trợ failover tự động.
  • Đồng bộ session giữa các firewall.
  • Giảm downtime khi một thiết bị gặp lỗi.
  • Phù hợp hệ thống yêu cầu uptime cao.

Khi nào nên dùng?​

ClusterXL thường được dùng trong datacenter, ngân hàng, doanh nghiệp lớn hoặc các hệ thống không được phép gián đoạn dịch vụ.
Ví dụ:
Mã: 
User → Firewall Active
           |
       Firewall Standby

Ưu điểm​

  • Tăng tính sẵn sàng.
  • Giảm rủi ro downtime.
  • Phù hợp môi trường production.

Nhược điểm​

  • Cần ít nhất 2 firewall.
  • Cấu hình và troubleshooting phức tạp hơn firewall đơn.

4. VSX Mode — Virtual System Extension​

VSX cho phép tạo nhiều firewall ảo trên cùng một thiết bị firewall vật lý. Mỗi virtual firewall có thể có policy riêng, routing riêng và interface riêng.
Nói dễ hiểu, VSX giống như việc chia một firewall vật lý thành nhiều firewall logic độc lập. Điều này rất hữu ích trong môi trường datacenter, ISP hoặc hệ thống multi-tenant.

Đặc điểm chính​

  • Tạo nhiều virtual firewall trên một thiết bị vật lý.
  • Mỗi virtual system có policy và routing riêng.
  • Quản lý tập trung.
  • Tối ưu tài nguyên phần cứng.

Khi nào nên dùng?​

VSX phù hợp với các môi trường cần tách biệt nhiều hệ thống, nhiều khách hàng hoặc nhiều vùng mạng nhưng vẫn muốn quản lý tập trung trên cùng một nền tảng Check Point.
Ví dụ:
Mã: 
Physical Check Point Firewall
 ├── Virtual Firewall 1
 ├── Virtual Firewall 2
 └── Virtual Firewall 3

Ưu điểm​

  • Tiết kiệm phần cứng.
  • Dễ quản lý nhiều firewall logic.
  • Phù hợp datacenter, ISP, cloud hoặc multi-customer environment.

Nhược điểm​

  • Cần hiểu rõ thiết kế hệ thống.
  • Cấu hình phức tạp hơn mode thông thường.
  • Yêu cầu tài nguyên phần cứng đủ mạnh.

III. Bảng so sánh nhanh​

ModeLayer / Kiểu hoạt độngRoutingĐiểm nổi bậtPhù hợp với
Routed ModeLayer 3Routing, NAT mạnhEnterprise, Datacenter
Bridge ModeLayer 2Hạn chếÍt thay đổi hạ tầngMạng đang hoạt động
ClusterXLHA ModeTăng độ sẵn sàngHệ thống production
VSX ModeVirtualizedNhiều firewall ảoDatacenter, ISP

IV. Kết luận​

Mỗi mode hoạt động của Check Point NGFW được thiết kế để phù hợp với từng nhu cầu triển khai khác nhau.
Nếu cần firewall đóng vai trò gateway và kiểm soát routing giữa nhiều mạng, Routed Mode là lựa chọn phổ biến nhất. Nếu muốn chèn firewall vào hệ thống hiện tại mà ít thay đổi IP, Bridge Mode sẽ phù hợp hơn. Với các hệ thống yêu cầu tính sẵn sàng cao, ClusterXL giúp giảm downtime nhờ khả năng failover tự động. Còn trong môi trường datacenter hoặc multi-tenant, VSX giúp tối ưu tài nguyên bằng cách tạo nhiều firewall ảo trên cùng một thiết bị vật lý.

Trong thực tế doanh nghiệp, mô hình thường gặp nhất là Routed Mode kết hợp ClusterXL, vì vừa đảm bảo khả năng routing linh hoạt, vừa tăng độ ổn định cho hệ thống.
 
Bài viết liên quan
#2 - [Maestro Hyperscale]: Các cổng kết nối trên Check Point Maestro Hyperscale Firewall bởi The Maestro,
#1 - [Maestro Hyperscale]: Giới thiệu về Check Point Maestro Hyperscale Firewall bởi The Maestro,
Tìm hiểu về cách xử lý gói tin của của NGFW Firewall CheckPoint bởi Anh Quốc,
Tìm hiểu kiến trúc và các thành phần cốt lõi của NGFW Check Point bởi Anh Quốc,
TÌM HIỂU CÁC MODE HOẠT ĐÔNG CỦA NGFW CHECK POINT bởi Nguyễn Thành Công,
Tìm hiểu về cách xử lý gói tín của của NGFW bởi Nguyễn Thành Công,
Được quan tâm
Tìm hiểu kiến trúc và các thành phần cốt lõi của NGFW Check Point bởi Anh Quốc,
#1 - [Maestro Hyperscale]: Giới thiệu về Check Point Maestro Hyperscale Firewall bởi The Maestro,
#2 - [Maestro Hyperscale]: Các cổng kết nối trên Check Point Maestro Hyperscale Firewall bởi The Maestro,
Tìm hiểu về cách xử lý gói tin của của NGFW Firewall CheckPoint bởi Anh Quốc,
Bài viết mới
#2 - [Maestro Hyperscale]: Các cổng kết nối trên Check Point Maestro Hyperscale Firewall bởi The Maestro,
#1 - [Maestro Hyperscale]: Giới thiệu về Check Point Maestro Hyperscale Firewall bởi The Maestro,
Tìm hiểu về cách xử lý gói tin của của NGFW Firewall CheckPoint bởi Anh Quốc,
Tìm hiểu kiến trúc và các thành phần cốt lõi của NGFW Check Point bởi Anh Quốc,
TÌM HIỂU CÁC MODE HOẠT ĐÔNG CỦA NGFW CHECK POINT bởi Nguyễn Thành Công,
Tìm hiểu về cách xử lý gói tín của của NGFW bởi Nguyễn Thành Công,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top