美文网首页网络技术
透明模式防火墙

透明模式防火墙

作者: 武汉中继者 | 来源:发表于2019-01-30 18:29 被阅读0次

一.防火墙模式的介绍

防火墙为网络安全中必不可少的部分,为了保障三层网络和二层网络的安全,ASA 防火墙提供了Routed(路由)和Transparent(透明)两种工作模式。

1. 路由模式和透明模式介绍

  • 路由模式:Cisco ASA的默认工作模式,俗称3层防火墙模式,ASA所有接口均为3层接口。用于3层网络的安全隔离。如图1所示。

如图下所示,Routed 模式中,ASA每个接口都配置IP地址,将网络分成了3个广播域。

图1:路由模式连接
  • 透明模式:透明模式的ASA,接口无法配置IP地址,唯一IP地址配置在Management 接口,用于设备的管理。用于2层网络的安全隔离。如图2所示。

如下图所示,Transparent模式中,ASA为2层接口,无IP地址,控制同一局域网内部安全访问。

图2:透明模式连接

2. 路由模式和透明模式流量转发

  • 路由模式流量转发:与路由器类似,接口分配不同网段IP,通过目的IP转发数据包。

  • 透明模式流量转发:与交换机类似,接口无IP地址,通过目的MAC地址转发数据帧。

3. 透明模式中,当接收到的数据帧目的MAC不在ASA本地MAC地址表项中,ASA将做如下尝试:

  • ARP request : 当目的IP地址为本地直连网段时,ASA将发送该目的地的ARP请求消息,收到目的地ARP Reply后,刷新本地MAC地址表项。

  • Ping request: 当目的IP地址非本地网段时,ASA将向此目的地发送ICMP echo request消息,当收到目的设备或者路由器的ICMP echo reply时,刷新本地MAC地址表。

二.透明模式部署要求

  1. 软件版本必须8.4(1)及以后版本。
  2. 透明模式中ASA 接口必须加入到逻辑的bridge Group(类似与交换的VLAN)中 。
  3. 每个Bridge Group 中必须最少包含2个接口,最多包含4个接口。
  4. 每个bridge Group是一个独立的透明防火墙,默认情况,Bridge Group之间无法互访。
  5. 每个物理ASA中最多同时支持8个Bridge Group。

三.路由模式和透明模式的对比

路由模式 透明模式
当只检查IP数据包时使用 当必须转发非ip数据包时使用
必须重新做IP地址规划 不需要重新做IP地址规划
所有接口都可以使用 每个Bridge Group中只有2-4个可使用
所有ASA的特性都支持 不支持特性:动态路由,DDNS,DHCP中继,多播路由,QOS,VPN termination

四.配置透明模式防火墙

1. 查看当前防火墙工作模式

ciscoasa# show firewall
Firewall mode: Router
ciscoasa#

2. 配置ASA为透明模式

ciscoasa(config)# firewall transparent

配置完透明模式后,设备无需重启。因透明模式和路由模式使用不同安全模块,所以必须提前保存配置到本地硬盘或者第三方设备。

3. 配置说明

  • 将Ethernet0/0和Ethernet0/1加入到bridge group 1,设置安全基本,命名。
CISCOASA(config)# interface ethernet0/0
CISCOASA(config-if)# nameif outside
CISCOASA(config-if)# security-level 0
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown

CISCOASA(config)# interface ethernet0/1
CISCOASA(config-if)# nameif inside
CISCOASA(config-if)# security-level 100
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown
  • 为bridge group分配一个IP地址,仅用在管理流量,此处BVI,类似与交换机的SVI接口.
CISCOASA(config)# interface BVI 1

CISCOASA(config-if)# ip address 192.168.1.1 255.255.255.0

五.透明模式防火墙中的流量控制

1. 与路由模式一样如下:

  • 透明模式也可以执行安全策略,允许单播流量中高安全级别的接口到低安全级别的接口。
  • 当来自于低安全级别接口的流量访问高安全级别接口时,默认不允许,需要ACL放行。
  • 数据包同路由模式一样,被状态化监控。

2. 与路由模式不同如下

  • 当无ACL情况下,允许ARP数据包在所有接口传递。可配置ARP检测技术,
  • 默认情况,多播和广播流量不允许通过,可以用ACL放行。
  • 运用二层ACL可以放行非IP流量

六.ARP检测

1. 问题:当ASA处于透明模式时,一个接口收到的所有ARP报文时,都从其他接口发送出去。那么可能会存在ARP欺骗的问题,如下图所示:

图片3

当PC对路由发起访问,因为不知道目的MAC地址,所以发送ARP Request查询路由器IP所对应的MAC地址

ASA从inside接口 收到ARP Request消息后会从outside接口转发,outside为非信任网络,存在一个攻击者,则此时会伪装大量ARP Replay消息发送给PC,此时PC学习到192.168.100.1(路由器MAC地址)的MAC地为0000.9999.9999(攻击者MAC地址)。则导致PC访问路由的流量被转发到攻击者。

2. 解决方案:在透明模式ASA中部署ARP Inspection,在inside和outside接口做ARP Inspection,手动指定允许接口的IP地址所对应的MAC地址。

  • 如果ASA收到数据帧的源IP和MAC的对应关系,可以与本地单一ARP条目一致,则允许通过。
  • 如果ASA收到数据帧的源IP和MAC只有其中一个与定义的ARP单一条目一致,则不允许通过。
  • 如果ASA收到数据帧的源IP和MAC在定义的ARP对应关系中都无法一致。则自定义动作(泛洪或者非泛红)

3. 配置说明

  • 在inside和outside接口绑定允许放行的IP和MAC对应关系,并开启ARP Inspection功能。
CISCOASA(config)# arp inside 192.168.100.222 0000.2222.2222
CISCOASA(config)# arp outside 192.168.100.1 0000.1111.1111
CISCOASA(config)# arp-inspection inside enable
CISCOASA(config)# arp-inspection outside enable

七.透明模式防火墙实验

1. 实验拓扑

图片4

2. 设备IP地址规划

设备 接口 IP地址
R1 Ethernet 0/0 192.168.1.1/24
R1 Loopback 0 1.1.1.1/24
R2 Ethernet 0/0 192.168.1.2/24
R2 Loopback 0 2.2.2.2/24
ASA eth1 -
ASA eth2 -
ASA BVI 192.168.100.100/24

3. 实验需求

  • R1模拟outside网络,R2模拟Inside网络
  • R1与R2之间运行OSPF协议,相互传递环回口路由。
  • ASA部署透明模式,eth1连接outside网络,eth2连接inside网络
  • R2环回口可以telnet到R1.

4. 实验步骤

  • R1 IP地址配置,OSPF配置,激活接口,并开启Telnet服务。
hostname R1

interface Loopback0
 ip address 1.1.1.1 255.255.255.255

interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0

router ospf 100
 router-id 1.1.1.1
 network 1.1.1.1 0.0.0.0 area 0
 network 192.168.1.0 0.0.0.255 area 0
 
  line vty 0 4
 password cisco
 login
 transport input telnet
  • R2IP地址配置,运行OSPF协议,激活接口。
hostname R2

interface Loopback0
 ip address 2.2.2.2 255.255.255.255

interface Ethernet0/0
 ip address 192.168.1.2 255.255.255.0
 
 router ospf 100
 router-id 2.2.2.2
 network 2.2.2.2 0.0.0.0 area 0
 network 192.168.1.0 0.0.0.255 area 0
  • 配置ASA为透明模式,将ASA接口加入到Bridge Group 1,并为BVI配置IP地址。
firewall transparent

interface Ethernet1
 nameif outside
 bridge-group 1
 security-level 0

interface Ethernet2
 nameif inside
 bridge-group 1
 security-level 100
 
  interface BVI1
 ip address 192.168.100.100 255.255.255.0
  • 默认情况透明模式防火墙不放行多播流量,会导致R1与R2 OSPF邻居关系无法建立,此处需要放行inside接口和outside接口去往224.0.0.5和224.0.0.6(OSPF建立邻居时,报文发送目的地。)的多播流量。
access-list EXTRA-TRAFFIC extended permit ospf any host 224.0.0.5 
access-list EXTRA-TRAFFIC extended permit ospf any host 224.0.0.6 

access-group EXTRA-TRAFFIC in interface outside
access-group EXTRA-TRAFFIC in interface inside

相关文章

  • 防火墙的三种工作模式

    防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。如果防火墙以第三层对外连接(接口具有IP 地址),则认为...

  • 透明模式防火墙

    一.防火墙模式的介绍 防火墙为网络安全中必不可少的部分,为了保障三层网络和二层网络的安全,ASA 防火墙提供了Ro...

  • 彭壮说社群:社群赚钱靠系统

    1、 法律防火墙=小尾巴透明+小单系统+有公司章程; 道德防火墙=循环社会主旋律+积德行善+潜水下沉1000米20...

  • JDK+Hadoop安装配置、集群模式搭建

    JDK+Hadoop安装配置、集群模式搭建 1.关闭防火墙 firewall-cmd --state 显示防火墙状...

  • linux运维之Iptables(二)

    1.手动执行iptables命令配置企业生产环境下的防火墙 生产环境下的防火墙的两种模式: 逛公园及看电影两种模式...

  • 结构型模式:10-装饰模式

    透明装饰模式 在透明装饰模式中,要求客户端完全针对抽象编程; 而不应该使用如下代码: 半透明装饰模式 具体构件类型...

  • 防火墙的基本知识

    防火墙的功能 保护私有网络的安全 保护服务器的安全 开放对服务器对外提供的服务 防火墙的三种工作模式 路由模式 地...

  • 2020-07-15 CentOS 7 vsftpd配置

    默认为active 模式,但是如果client有防火墙的话,无法使用。 需要改为pass模式,修改配置,并开放服务...

  • 开启防火墙的情况下,vsftp服务器的相应配置

    问题:FTP不能使用,提示PASV模式失败,尝试PORT模式 原因:iptables防火墙挡住了PASV的端口 解...

  • 结构型模式:09-组合模式

    透明组合模式的完整结构 安全组合模式的完整结构

网友评论

    本文标题:透明模式防火墙

    本文链接:https://www.haomeiwen.com/subject/ygtajqtx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    网络技术

    关于我们|服务条款|联系我们|透明模式防火墙|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!