Mục lục
I.Tiếp nhận và Tiền xử lý (Ingress & Pre-processing)II. Định tuyến và Xử lý Phiên (Routing & The 3 Paths)
III. Security Inspection & Egress Processing
Quá trình một gói tin đi qua Check Point được thiết kế dựa trên kiến trúc phân luồng linh hoạt (SecureXL và CoreXL), cho phép các tác vụ xử lý được đẩy xuống phần cứng (tăng tốc) hoặc phân bổ song song cho nhiều nhân CPU ảo nhằm giảm tối đa độ trễ.
1. Tiếp nhận và Tiền xử lý (Ingress & Pre-processing)
Khi một gói tin (packet) chạm đến giao diện mạng (interface) của Check Point, hệ thống sẽ thực hiện các bước kiểm tra ban đầu (tương ứng với giai đoạn Pre-Inbound) trước khi quyết định luồng đi cho nó:- Kiểm tra tính hợp lệ (Sanity Check): Loại bỏ các gói tin bị lỗi cấu trúc (malformed packets).
- Chống giả mạo (Anti-Spoofing): Kiểm tra xem IP nguồn của gói tin có hợp lệ và đi vào đúng cổng mạng (interface) được quy định hay không, giúp ngăn chặn tức thời các cuộc tấn công IP spoofing.
- Giải mã VPN (IPsec Decryption): Nếu gói tin là một phần của luồng VPN IPsec gửi đến, nó sẽ được giải mã tại bước này trước khi đưa vào luồng kiểm tra thông thường.
- Điều phối (SND - Secure Network Distributor): Thành phần cốt lõi này sẽ tiếp nhận ngắt phần cứng (IRQ) từ card mạng và quyết định xem gói tin sẽ được xử lý tối ưu ở cấp độ phần cứng hay bắt buộc phải đưa lên CPU chính.
Hình 1: Tổng quan luồng xử lý packet trong Check Point NGFW với SecureXL, CoreXL và Security Inspection.
2. Định tuyến và Xử lý Phiên (Routing & The 3 Paths)
Ở giai đoạn này, dựa vào quyết định của bộ điều phối SND, Check Point sẽ kiểm tra xem gói tin này thuộc về một phiên (session) đã tồn tại hay là một phiên mới hoàn toàn để phân vào 3 luồng (Paths) tương ứng:- Trường hợp 1: Phiên đã tồn tại và an toàn (Fast Path / Accelerated Path)
- Nếu gói tin thuộc về một luồng dữ liệu đã được xác thực trước đó và không yêu cầu kiểm tra bảo mật sâu.
- Chế độ Fast Path sẽ sử dụng engine SecureXL để xử lý toàn bộ quá trình định tuyến và đẩy gói tin đi thẳng ra cổng xuất, bỏ qua CPU chính để đạt tốc độ đường truyền (wire-speed).
- Trường hợp 2: Phiên đã tồn tại nhưng cần kiểm tra sâu (Medium Path / PXL)
- Luồng dữ liệu đã được thiết lập, nhưng chính sách bảo mật yêu cầu phải quét nội dung (Layer 7).
- SecureXL sẽ chặn gói tin lại và đẩy payload vào các module trung gian (PSL/CPAS) để các engine bảo mật tiến hành phân tích mà không làm gián đoạn toàn bộ luồng.
- Trường hợp 3: Phiên mới hoàn toàn (Slow Path / F2F)
- Hệ thống nhận diện đây là gói tin khởi tạo kết nối (ví dụ: TCP SYN đầu tiên).
- Gói tin bắt buộc phải được chuyển lên CoreXL FW Instance (nhân CPU ảo) để tra cứu chính sách bảo mật (Access Control) xem Source/Destination/Port này có được phép hay không. Nếu hợp lệ, hệ thống tạo một mục mới trong bảng trạng thái phiên.
3. Security Inspection & Egress Processing
Đối với các gói tin phải đi qua CPU, nếu được phép đi tiếp, hệ thống sẽ thực hiện các tác vụ NAT, định tuyến và kiểm tra nâng cao:- Inbound & Destination NAT: Sau khi qua luật Access Control, nếu có cấu hình dịch địa chỉ đích (như Port Forwarding cho Web Server), IP đích sẽ được thay đổi ngay tại đây.
- Tra cứu định tuyến (OS Routing): Hệ điều hành (Gaia OS) tra cứu bảng định tuyến để xác định cổng xuất (egress interface) phù hợp nhất.
- Kiểm tra luồng sâu (Threat Prevention): Các gói tin được tái tổ hợp (reassembly) thành luồng hoàn chỉnh để chống lại các kỹ thuật trốn tránh (fragmentation evasion). Các engine như Application Control, URL Filtering, Antivirus, IPS sẽ can thiệp để quét mã độc.
- Outbound & Source NAT: Cuối cùng, trước khi đẩy gói tin xuống phần cứng để rời đi, Check Point sẽ thực hiện dịch địa chỉ IP nguồn (SNAT - như Hide NAT để thiết bị nội bộ ra Internet) hoặc tiến hành mã hóa lại nếu luồng dữ liệu cần đi qua kênh VPN.
Bài viết liên quan
Được quan tâm
Bài viết mới