Loading...
Home>Kiến thức - Kỹ thuật>Đọc hiểu thông số Firewall Cisco NGFW, từ đó đưa ra lựa chọn hợp lý cho hệ thống mạng.

Đọc hiểu thông số Firewall Cisco NGFW, từ đó đưa ra lựa chọn hợp lý cho hệ thống mạng.

1. Tổng quan về cách đọc hiểu thông số Firewall Cisco NGFW

Trong các hệ thống mạng doanh nghiệp hiện đại, Next-Generation Firewall (NGFW) đóng vai trò quan trọng trong việc bảo vệ hệ thống trước các mối đe doạ như malware, ransomware, tấn công DDoS hoặc xâm nhập trái phép.

Các dòng Firewall NGFW của Cisco thường xuất hiện trong tài liệu kỹ thuật (datasheet) với nhiều thông số như:

  • Firewall Throughput

  • IPS Throughput

  • Threat Defense (NGFW) Throughput

  • VPN Throughput

  • Concurrent Sessions

  • New Connections Per Second

Tuy nhiên, nhiều doanh nghiệp khi lựa chọn thiết bị chỉ nhìn vào Firewall Throughput mà không hiểu rõ ý nghĩa thực tế của các thông số khác. Điều này có thể dẫn đến lựa chọn thiết bị không phù hợp với nhu cầu thực tế.

Bài viết này giúp bạn:

  • Hiểu đúng các thông số quan trọng trong firewall Cisco NGFW

  • Biết ý nghĩa của từng thông số khi triển khai thực tế

  • Từ đó chọn đúng thiết bị firewall cho hệ thống mạng doanh nghiệp

2. Các thông số quan trọng trong Firewall Cisco NGFW

2.1 Firewall Throughput (Hiệu năng tường lửa cơ bản)

Firewall Throughput là tốc độ xử lý tối đa của firewall khi thực hiện các chức năng cơ bản:

  • Stateful Inspection

  • Packet Filtering

  • NAT (Network Address Translation)

Đây là thông số thường được nhà sản xuất công bố cao nhất vì chưa bật các tính năng bảo mật nâng cao.

Ví dụ:

Thiết bịFirewall Throughput
Cisco Firepower Firewall 1120 ~2.3 Gbps
Cisco Firepower Firewall 1140 ~3.3 Gbps
Cisco Firepower Firewall 2110 ~3 Gbps

Lưu ý quan trọng

Trong môi trường thực tế, firewall hiếm khi chỉ chạy firewall cơ bản, vì vậy thông số này không phản ánh đầy đủ hiệu năng thật khi triển khai.

2.2 IPS Throughput (Hiệu năng hệ thống chống xâm nhập)

IPS Throughput thể hiện khả năng xử lý lưu lượng khi bật hệ thống Intrusion Prevention System.

IPS có nhiệm vụ:

  • Phát hiện tấn công mạng

  • Chặn exploit

  • Phân tích lưu lượng sâu (Deep Packet Inspection)

Ví dụ các mối đe doạ IPS có thể chặn:

  • SQL Injection

  • Malware download

  • Command & Control traffic

  • Exploit zero-day

Do phải phân tích sâu từng packet, throughput khi bật IPS thường giảm 20–50% so với Firewall Throughput.

Vì vậy khi thiết kế mạng doanh nghiệp, IPS Throughput mới là thông số cần quan tâm nhiều hơn.

2.3 Threat Defense (NGFW) Throughput (Hiệu năng bảo mật tổng thể)

Threat Defense Throughput là hiệu năng khi bật toàn bộ tính năng bảo mật nâng cao của firewall.

Bao gồm:

  • IPS

  • Application Control

  • URL Filtering

  • Malware Protection

  • SSL Inspection

Đây là thông số phản ánh gần đúng hiệu năng thực tế nhất khi firewall được triển khai trong doanh nghiệp.

Ví dụ thực tế:

ModelFirewallIPSThreat Defense (NGFW)
Cisco Firepower Firewall 2130 10 Gbps 5.4 Gbps 5.4 Gbps
Cisco Firepower Firewall 2140 20 Gbps 10.5 Gbps 10.4 Gbps

Vì vậy khi lựa chọn firewall cho doanh nghiệp, Threat Defense (NGFW) Throughput nên được dùng làm cơ sở chính.

2.4 Concurrent Sessions (Số phiên kết nối đồng thời)

Concurrent Sessions là số lượng kết nối mạng đồng thời mà firewall có thể xử lý.

Ví dụ:

Thiết bịConcurrent Sessions
Cisco Firepower Firewall 1120 ~200,000
Cisco Firepower Firewall 1140 ~400,000
Cisco Firepower Firewall 2110 ~1,000,000

Trong hệ thống thực tế:

  • Mỗi user có thể tạo 50–100 session

  • Một doanh nghiệp 500 user có thể tạo 25,000 – 50,000 session

Nếu firewall không đủ session capacity, hệ thống có thể gặp:

  • Mất kết nối

  • Delay mạng

  • Crash firewall

2.5 New Connections Per Second

Thông số này thể hiện số kết nối mới firewall có thể xử lý mỗi giây.

Đặc biệt quan trọng trong các hệ thống:

  • Web server

  • E-commerce

  • Cloud services

  • Data center

Ví dụ:

ModelConnections/sec
Cisco Firepower Firewall 1120 ~15,000
Cisco Firepower Firewall 1140 ~22,000
Cisco Firepower Firewall 2110 ~14,000

Nếu thông số này thấp, firewall có thể bị nghẽn khi có nhiều kết nối cùng lúc.

3. Cách lựa chọn Firewall Cisco NGFW cho hệ thống thực tế

Khi lựa chọn firewall cho hệ thống mạng doanh nghiệp, nên áp dụng các bước sau:

Bước 1: Xác định số lượng người dùng

Ví dụ:

Quy môUsers
Small Office 20 – 100
Medium Business 100 – 500
Enterprise 500+

Bước 2: Ước lượng băng thông Internet

Ví dụ:

UsersInternet bandwidth
100 300–500 Mbps
300 1 - 1.5 Gbps
500+ 2 Gbps+

Bước 3: Chọn firewall dựa trên Threat Defense Throughput

Quy tắc thực tế:

Threat Defense (NGFW) throughput nên gấp 1.5–2 lần băng thông Internet

Ví dụ:

InternetFirewall nên chọn
200 Mbps NGFW ≥ 400 Mbps
500 Mbps NGFW ≥ 1 Gbps
1 Gbps NGFW ≥ 2 Gbps

4. Ví dụ thiết kế thực tế

Ví dụ hệ thống:

  • 300 users

  • Internet: 1 Gbps

  • Có VPN cho nhân viên remote

  • Bật AVC + IPS + URL Filtering

Thiết bị phù hợp:

  • Cisco Firepower Firewall 1120

Lý do:

  • Threat Defense (NGFW) throughput ~2.3 Gbps

  • Concurrent sessions đủ lớn

  • Hỗ trợ VPN và các tính năng bảo mật nâng cao

5. Kết luận

Việc đọc hiểu đúng thông số firewall Cisco NGFW là yếu tố quan trọng để thiết kế hệ thống mạng an toàn và hiệu quả.

Khi lựa chọn firewall, doanh nghiệp cần chú ý:

  1. Không chỉ nhìn vào Firewall Throughput

  2. Ưu tiên Threat Defense (NGFW) Throughput

  3. Kiểm tra Concurrent Sessions

  4. Đánh giá Connections Per Second

  5. Lựa chọn thiết bị có hiệu năng dư 1.5–2 lần nhu cầu hiện tại

Cách tiếp cận này giúp hệ thống mạng:

  • Đảm bảo hiệu năng ổn định

  • Tăng khả năng bảo mật

  • Mở rộng dễ dàng trong tương lai

Xem thêm mã và giá các sản phẩm Firewall Cisco tại đây

Danh mục sản phẩm