Các quy tắc tường lửa được cấu hình trên Meraki MR Access Point và MX Security Appliance được thực thi theo thứ tự từ trên xuống, với các rule Layer 3 xử lý trước, sau đó là rule Layer 7. Nếu traffic không bị chắn bởi ít nhất một rule, nó sẽ được cho phép đi qua bởi Allow All Rule theo mặc định. _‼_ Những tính năng filtering khác của thiết bị bảo mật Meraki MX, như Content Filtering – lọc theo nội dụng, được vận hành riêng biệt với các Firewall rule L3 và cả L7. Nên nếu traffic được cho phép thông qua bằng một tính năng này nhưng bị chặn bởi cái khác, traffic đó vẫn sẽ bị chặn lại. _‼_ Các rule Layer 3 được cấu hình trên trang Firewall của phần Security Appliance là ở dạng "Stateful" trong khi đó rule Layer 7 là "Stateless". Ngoài ra, các rule Layer 3 và Layer 7 được cấu hình trên cả Group Policy Firewall và Wireless Firewall đều là dạng "Stateless". _‼_ Với bất kể Firewall Rule nào, chỉ áp dụng được cho traffic đi qua thiết bị firewall. Do đó, các firewall rule không áp dụng cho traffic bắt nguồn từ (như liên kết LDAP) hoặc kết thúc (như client VPN) tại thiết bị firewall. Thêm vào đó, các VLAN interface và địa chỉ WAN IP của chỉnh Meraki MX cũng không thể đưa vào được trong Allow hay Deny rule. Tham khảo các rule L3 và L7 cho cấu hình demo sau đây: - Như ví dụ sau, các firewall rule Layer 3 (L3) và Layer 7 (L7) đã hiển thị trong hình sẽ được sử dụng, với một thiết bị bảo vệ Meraki MX cho bài viết này. Lưu lượng được cho phép (Allow) ở mặc định: - Theo mặc định, outbound traffic sẽ được cho phép đi qua firewall nếu không bị chặn một cách rõ ràng bởi tối thiểu một rule L3 hoặc L7. Trong ví dụ, traffic SSH (TCP port 22) sẽ được cho phép đi qua firewall vì không có cấu hình rule L3 hay L7 nào hoạt động trên nó. Layer 3 Rules 1# Không có điều kiện trùng khớp 2# Không có điều kiện trùng khớp 3# Không có điều kiện trùng khớp Layer 7 Rules 1# Không có điều kiện trùng khớp Traffic bị chặn (Block) bởi rule Layer 3: - Trong ví dụ này, SMTP traffic (TCP port 25) sẽ bị chặn bởi L3 firewall, vì rule #3 bên dưới Layer 3 được xác định rõ ràng sẽ chặn giao thức này. Rule Layer 7 sẽ bị bỏ qua vì traffic này đã bị chặn rồi. Layer 3 Rules 1# Không có điều kiện trùng khớp 2# Không có điều kiện trùng khớp 3# Trùng khớp – Traffic sẽ bị chặn. Layer 7 Rules 1# Không xử lý vì traffic đã bị chặn rồi. Traffic bị chặn (Block) bởi rule Layer 7: - Ở đây sẽ có sự khác nhau một chút giữa hai loại thiết bị Meraki MR và MX trong quá trình xử lý của các firewall rule L7 ngay sau firewall L3. Trên MR, nếu traffic trùng khớp với một rule "Allow" trên L3 firewall, thì traffic đó sẽ bỏ qua toàn bộ firewall L7. _‼_ Trên MR, rule L3 mặc định không hoạt động để vượt qua các rule L7. Mà nó chỉ cho phép các rule "Allow" theo tùy chọn bỏ qua các rule L7. - Trên thiết bị bảo vệ mạng Meraki MX, nếu traffic trùng khớp với một rule "Allow" trên firewall L3, nó có thể vẫn bị chặn bởi firewall rule L7. - Trên MX, HTTP traffic (TCP port 80) tới Facebook.com sẽ bị chặn bởi firewall L7, vì rule #1 bên dưới L7 đã được cấu hình chặn nó, mặc dù traffic đã được cho phép thông qua firewall rule L3. Layer 3 Rules 1# Trùng khớp – Traffic được cho phép đi qua firewall L3. 2# Không xử lý 3# Không xử lý Layer 7 Rules 1# Trùng khớp – Traffic bị chặn. - Trên MR, HTTP traffic (TCP port 80) tói Facebook.com sẽ được cho phép thông qua firewall, ví rule# 1 dưới L3 đã "Allow" nó. Layer 3 Rules 1# Trùng khớp – Traffic được cho phép đi qua firewall L3. 2# Không xử lý 3# Không xử lý Layer 7 Rules 1# Không xử lý vì traffic đã được cho phép đi qua. Sơ Đồ Luồng Xử Lý của Meraki MX: ! Khi sử dụng Group Policy cho cả firewall rule L3 và L7, chúng cũng sẽ được xử lý giống với biểu đồ trên. Sơ Đồ Luồng Xử Lý của Meraki MR: ---- Cám ơn bạn đã xem bài viết này ---- ********
