Sophos NGFW Tìm hiểu về cách xử lý gói tín của của NGFW Sophos

Tổng quan về Kiến trúc Xstream của Sophos NGFW​

Đối với các dòng Sophos Firewall chạy hệ điều hành SFOS hiện đại (đặc biệt là dòng XGS Series), cơ chế xử lý gói tin dựa trên Kiến trúc Xstream (Xstream Architecture). Kiến trúc này sử dụng mô hình xử lý kép (Dual-Processor) chia làm hai luồng chính:

• SlowPath: Do CPU x86 đảm nhiệm, chịu trách nhiệm xử lý các gói tin đầu tiên để thiết lập kết nối, định tuyến và phân tích bảo mật sâu.
• FastPath (Xstream FastPath): Do chip xử lý chuyên dụng (NPU - Xstream Flow Processor) đảm nhiệm. Luồng này giúp tăng tốc và giải phóng tải cho CPU bằng cách xử lý các gói tin tiếp theo của một kết nối đã được xác thực là an toàn ở tốc độ phần cứng (Wire speed).

Chi tiết Vòng đời của một Gói tin (Life of a Packet)​

Quá trình xử lý một gói tin đi qua Sophos Firewall diễn ra qua các giai đoạn cốt lõi sau:

1. Giai đoạn Ingress & Xử lý SlowPath (Cho gói tin đầu tiên)​

Khi gói tin đầu tiên của một Session (kết nối) đi vào thiết bị, nó luôn đi qua SlowPath để kiểm tra trạng thái (Stateful Inspection):

• Kiểm tra cơ bản (Sanity Check): Xác thực checksum, header của gói tin để loại bỏ ngay các gói tin lỗi hoặc bị biến dạng.
• Áp dụng chính sách DoS: Kiểm tra xem gói tin có vi phạm các cấu hình chống tấn công từ chối dịch vụ (Denial of Service) hay không.
• Tra cứu Firewall Rule: So khớp gói tin với các quy tắc tường lửa để quyết định Accept (Chấp nhận) hay Drop/Reject (Loại bỏ).
• Áp dụng DNAT: Nếu có cấu hình Port Forwarding hoặc Destination NAT, địa chỉ IP đích sẽ được thay đổi tại đây.
• Ra quyết định L2/L3: Thực hiện định tuyến (Routing), chuyển mạch (Switching), hoặc chuyển tiếp qua các kết nối VPN/RED.

2. Chuyển tiếp sang DPI Engine (Deep Packet Inspection)​

Nếu Firewall Rule yêu cầu kiểm tra bảo mật nâng cao (Web filtering, IPS, App Control...), SlowPath sẽ chuyển gói tin qua tầng DAQ (Data Acquisition) để đưa vào DPI Engine:

• Xstream TLS Inspection: Nếu là traffic mã hóa (HTTPS/TLS) và có chính sách giải mã, DPI Engine sẽ thực hiện giải mã để kiểm tra nội dung sâu bên trong.
• Single-Engine Processing: Điểm mạnh của Sophos là tích hợp toàn bộ các tính năng bao gồm: IPS (Intrusion Prevention), Application Control, Web Filtering, và Antivirus (gồm cả Zero-day protection) vào một bộ máy quét duy nhất. Gói tin chỉ cần được stream qua bộ máy này một lần thay vì phải chuyển qua lại giữa nhiều proxy riêng lẻ như kiến trúc cũ.

3. Ra quyết định Offload (Chuyển sang FastPath)​

• DPI Engine thường phân tích khoảng vài gói tin đầu tiên của một luồng để xác định định danh ứng dụng và độ an toàn của kết nối.
• Nếu kết nối được xác định là an toàn hoặc đáng tin cậy (Trusted traffic): SlowPath sẽ "găm" thông tin kết nối này vào bộ đệm (Connection Cache) của FastPath.
• Các gói tin tiếp theo (Subsequent packets) của session đó sẽ đi thẳng qua FastPath (NPU xử lý trực tiếp), bỏ qua hoàn toàn cả tầng kernel của SlowPath lẫn DPI Engine. Điều này giúp tối ưu hóa hiệu năng tối đa và giảm độ trễ xuống mức thấp nhất.

4. Giai đoạn Egress (Gói tin đi ra)​

Trước khi rời khỏi tường lửa, gói tin (dù đi qua SlowPath hay FastPath) đều sẽ được xử lý nốt các bước cuối:

• Áp dụng Source NAT (SNAT): Thay đổi IP nguồn (ví dụ: NAT từ IP mạng nội bộ ra IP Public để đi Internet).
• Áp dụng QoS (Traffic Shaping): Giới hạn hoặc ưu tiên băng thông theo cấu hình chính sách.
• Đóng gói lại header và đẩy ra ngoài qua Interface đích.

Tóm tắt cơ chế hoạt động bằng bảng so sánh​

Đặc điểm	SlowPath (Firewall Stack & DPI)	FastPath (Xstream FastPath)
Thành phần xử lý	CPU x86 (Multi-core)	NPU (Xstream Flow Processor)
Loại gói tin xử lý	Gói tin đầu tiên (Handshake/Initial packets)	Các gói tin tiếp theo của session đã phân loại
Nhiệm vụ chính	Định tuyến, NAT, Giải mã TLS, Quét Malware/IPS	Chuyển tiếp gói tin ở tốc độ phần cứng
Tác động hiệu năng	Tiêu tốn nhiều tài nguyên CPU	Cực kỳ nhanh, giải phóng tài nguyên hệ thống