1.Tổng Quan
Với tình trạng tắc nghẽn mạng ngày càng gia tăng, việc có các công cụ để tối ưu hóa các ứng dụng kinh doanh quan trọng của bạn ngày càng trở nên quan trọng.
Trong phần thứ ba này trong loạt bài về cách tận dụng tối đa các tính năng mới tuyệt vời trong XG Firewall v18, chúng tôi sẽ tập trung vào các công cụ có sẵn cho bạn để tối ưu hóa lưu lượng ứng dụng kinh doanh quan trọng của bạn bằng cách sử dụng tính năng mới là Xstream Network Flow FastPath và tùy chọn SD-WAN Policy Based Routing.
2. Tính năng Xstream FastPath Application Acceleration
Trong hai bài viết trước, chúng tôi đã đề cập đến kiến trúc Xstream và công cụ DPI mới cũng như tính năng mới TLS Inspection trong XG Firewall v18. Network Flow FastPath là một thành phần quan trọng khác của kiến trúc Xstream mới và cung cấp khả năng tăng tốc lưu lượng cho ứng dụng đáng tin cậy.
Network Flow FastPath có thể hướng lưu lượng truy cập đáng tin cậy vào làn đường nhanh qua hệ thống mà không yêu cầu quét bảo mật. Điều này không chỉ giảm thiểu độ trễ và tăng tốc lưu lượng ứng dụng đó qua tường lửa, nó còn có thêm lợi ích là không sử dụng công cụ DPI và tài nguyên kiểm tra TLS đối với lưu lượng truy cập không yêu cầu kiểm tra.
Điều này giải phóng những tài nguyên đó cho lưu lượng truy cập thực sự cần nó – tạo thêm khoảng trống hiệu suất trong quá trình này.
3. Xstream FastPath Application Acceleration hoạt động như thế nào
Ban đầu, tất cả các luồng lưu lượng được xử lý bởi ngăn xếp Tường lửa và được chuyển đến công cụ DPI để xác định thêm. Khi một luồng lưu lượng ứng dụng được xác định là “đáng tin cậy”, Network Flow FastPath được chỉ đạo để xử lý luồng gói trực tiếp và đưa các gói đi qua FastPath, bỏ qua công cụ DPI.
Lưu lượng truy cập có thể được tăng tốc vào Network Flow FastPath theo hai cách:
- Tự động: Nếu ứng dụng khớp với Server Name Indicator (SNI) từ SophosLabs cho lưu lượng truy cập được coi là đáng tin cậy và bằng chứng giả mạo, chẳng hạn như dịch vụ phát trực tuyến video và âm thanh (Netflix, Spotify, Pandora, v.v.), các bản cập nhật an toàn được tải trực tiếp từ bên trong ứng dụng (từ Microsoft, Apple, Adobe, Sophos, v.v.) hoặc VoIP và các giao thức phát trực tuyến khác (chẳng hạn như SIP, FIX, RDP, v.v.).
- Chính sách: Nếu có một quy tắc tường lửa được liên kết với ứng dụng cụ thể thì lưu lượng của ứng dụng đó sẽ tăng tốc bằng FastPath bằng cách không gắn cờ nó để quét bảo mật.
Bạn có thể tự hỏi, khi nào thì việc tăng tốc lưu lượng ứng dụng trên FastPath là hợp lý, hay nói cách khác, điều gì có thể tin cậy được? Lưu lượng truy cập như phương tiện truyền trực tuyến không hoạt động dựa trên mã là một ví dụ hoàn hảo về lưu lượng truy cập có thể được tin cậy.
Do cấu trúc phát trực tuyến của lưu lượng truy cập và cách nó được tập hợp lại để phát lại, không thể đưa phần mềm độc hại vào loại luồng lưu lượng này khiến nó trở thành ứng cử viên lý tưởng để tăng tốc FastPath. Loại lưu lượng truy cập này bao gồm tất cả các dịch vụ phát trực tuyến phổ biến như Netflix và Spotify, cũng như các ứng dụng VoIP và cộng tác như Zoom, GotoMeeting, Skype for Business, Microsoft Teams Calls, v.v.
Và tất nhiên, các ứng dụng giao tiếp và cộng tác này là một trong những ứng dụng quan trọng nhất trong bất kỳ doanh nghiệp nào, điều này làm cho chúng trở nên lý tưởng để tăng tốc FastPath.
Các ứng dụng cho phép người dùng tải xuống các bản cập nhật hoặc tệp, KHÔNG phải là ứng cử viên tốt để tăng tốc FastPath vì tệp rõ ràng có thể chứa mã hoạt động và độc hại. Nói chung, vì lợi ích bảo mật, đừng bao giờ tạo quy tắc FastPath cho các trang web hoặc ứng dụng duyệt web hoặc chia sẻ tệp chung.
4. Cách cấu hình Fastpath bằng firewall rule trên XG Firewall V18
Các quy tắc tường lửa trong XG Firewall v18 rất giống trong cách xây dựng của chúng với các bản phát hành trước, giúp việc di chuyển trở nên dễ dàng. Video này cung cấp một cái nhìn sâu sắc về cấu hình tường lửa và quy tắc NAT trong XG Firewall v18:
Chúng tôi sẽ đề cập đến các quy tắc NAT trong một bài viết trong tương lai của loạt bài này nhưng hôm nay, hãy cùng xem lại cách tạo quy tắc tường lửa để tăng tốc lưu lượng truy cập đáng tin cậy trên FastPath. Nó không thể đơn giản và trực quan hơn: chỉ cần xác định mạng ứng dụng đích (FQDN) hoặc dịch vụ…
Và chọn “Không” cho Tính năng bảo mật và không chọn bất kỳ hộp kiểm nào. Điều này sẽ đảm bảo rằng lưu lượng truy cập sẽ được tăng tốc trên FastPath và không bị chuyển hướng qua công cụ DPI để quét bảo mật không cần thiết.
Sau đó, kiểm tra xem tăng tốc FastPath đã được bật trong Advanced threat > Advanced threat protection như hình bên dưới (nó phải được đặt theo mặc định). Nó rất dễ để cấu hình!
5. Tính năng Application SD-WAN Policy Based Routing
Một tính năng mới và cải tiến khác trong XG Firewall v18 là SD-WAN Policy Based Routing (PBR). Cũng giống như việc bạn mong muốn lưu lượng của ứng dụng kinh doanh quan trọng của mình qua tường lửa được tối ưu hóa và tăng tốc trên FastPath, bạn cũng mong muốn lưu lượng của ứng dụng đến đám mây hoặc văn phòng chi nhánh cũng được tối ưu hóa tương tự. Đó là nơi mà SD-WAN PBR xuất hiện.
XG Firewall v18 thêm tiêu chí lựa chọn lưu lượng dựa trên người dùng, nhóm và ứng dụng vào cấu hình định tuyến SD-WAN của XG Firewall. Điều này cho phép bạn định tuyến lưu lượng ứng dụng kinh doanh quan trọng đến liên kết WAN ISP ưu tiên hoặc kết nối VPN văn phòng chi nhánh trong khi lưu lượng ít quan trọng hơn sử dụng một tuyến đường khác.
Video này cung cấp tổng quan tuyệt vời về cách tận dụng các khả năng SD-WAN PBR mới trong XG Firewall v18 để tối ưu hóa ứng dụng và định tuyến SD-WAN.
6. Tính năng Synchronized SD-WAN
XG Firewall v18 SD-WAN đã phát triển hơn nữa với sự ra đời của Synchronized SD-WAN, một tính năng Sophos Synchronized Security mới mang lại lợi ích bổ sung với việc định tuyến ứng dụng SD-WAN. SD-WAN được đồng bộ hóa thúc đẩy sự rõ ràng và đáng tin cậy của nhận dạng ứng dụng đi kèm với việc chia sẻ thông tin Kiểm soát ứng dụng được đồng bộ hóa giữa các điểm cuối do Sophos quản lý và Tường lửa XG.
Kiểm soát ứng dụng được đồng bộ hóa có thể xác định 100% tất cả các ứng dụng được nối mạng, bao gồm các ứng dụng né tránh, mã hóa, che khuất và tùy chỉnh và giờ đây các ứng dụng chưa được xác định trước đây này cũng có thể được thêm vào chính sách định tuyến SD-WAN. Điều này cung cấp mức độ kiểm soát định tuyến ứng dụng và độ tin cậy mà các tường lửa khác không thể sánh được.
Nếu bạn chưa quen với Sophos XG Firewall, hãy tìm hiểu thêm về những lợi ích và tính năng tuyệt vời mà XG Firewall có thể mang lại cho mạng của bạn thông qua các bài viết của chúng tôi.