透明模式防火墙

一.防火墙模式的介绍

防火墙为网络安全中必不可少的部分,为了保障三层网络和二层网络的安全,ASA 防火墙提供了Routed(路由)和Transparent(透明)两种工作模式。

1. 路由模式和透明模式介绍

  • 路由模式:Cisco ASA的默认工作模式,俗称3层防火墙模式,ASA所有接口均为3层接口。用于3层网络的安全隔离。如图1所示。

如图下所示,Routed 模式中,ASA每个接口都配置IP地址,将网络分成了3个广播域。

透明模式防火墙_第1张图片
图1:路由模式连接
  • 透明模式:透明模式的ASA,接口无法配置IP地址,唯一IP地址配置在Management 接口,用于设备的管理。用于2层网络的安全隔离。如图2所示。

如下图所示,Transparent模式中,ASA为2层接口,无IP地址,控制同一局域网内部安全访问。

透明模式防火墙_第2张图片
图2:透明模式连接

2. 路由模式和透明模式流量转发

  • 路由模式流量转发:与路由器类似,接口分配不同网段IP,通过目的IP转发数据包。

  • 透明模式流量转发:与交换机类似,接口无IP地址,通过目的MAC地址转发数据帧。

3. 透明模式中,当接收到的数据帧目的MAC不在ASA本地MAC地址表项中,ASA将做如下尝试:

  • ARP request : 当目的IP地址为本地直连网段时,ASA将发送该目的地的ARP请求消息,收到目的地ARP Reply后,刷新本地MAC地址表项。

  • Ping request: 当目的IP地址非本地网段时,ASA将向此目的地发送ICMP echo request消息,当收到目的设备或者路由器的ICMP echo reply时,刷新本地MAC地址表。

二.透明模式部署要求

  1. 软件版本必须8.4(1)及以后版本。
  2. 透明模式中ASA 接口必须加入到逻辑的bridge Group(类似与交换的VLAN)中 。
  3. 每个Bridge Group 中必须最少包含2个接口,最多包含4个接口。
  4. 每个bridge Group是一个独立的透明防火墙,默认情况,Bridge Group之间无法互访。
  5. 每个物理ASA中最多同时支持8个Bridge Group。

三.路由模式和透明模式的对比

路由模式 透明模式
当只检查IP数据包时使用 当必须转发非ip数据包时使用
必须重新做IP地址规划 不需要重新做IP地址规划
所有接口都可以使用 每个Bridge Group中只有2-4个可使用
所有ASA的特性都支持 不支持特性:动态路由,DDNS,DHCP中继,多播路由,QOS,VPN termination

四.配置透明模式防火墙

1. 查看当前防火墙工作模式

ciscoasa# show firewall
Firewall mode: Router
ciscoasa#

2. 配置ASA为透明模式

ciscoasa(config)# firewall transparent

配置完透明模式后,设备无需重启。因透明模式和路由模式使用不同安全模块,所以必须提前保存配置到本地硬盘或者第三方设备。

3. 配置说明

  • 将Ethernet0/0和Ethernet0/1加入到bridge group 1,设置安全基本,命名。
CISCOASA(config)# interface ethernet0/0
CISCOASA(config-if)# nameif outside
CISCOASA(config-if)# security-level 0
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown

CISCOASA(config)# interface ethernet0/1
CISCOASA(config-if)# nameif inside
CISCOASA(config-if)# security-level 100
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown
  • 为bridge group分配一个IP地址,仅用在管理流量,此处BVI,类似与交换机的SVI接口.
CISCOASA(config)# interface BVI 1

CISCOASA(config-if)# ip address 192.168.1.1 255.255.255.0

五.透明模式防火墙中的流量控制

1. 与路由模式一样如下:

  • 透明模式也可以执行安全策略,允许单播流量中高安全级别的接口到低安全级别的接口。
  • 当来自于低安全级别接口的流量访问高安全级别接口时,默认不允许,需要ACL放行。
  • 数据包同路由模式一样,被状态化监控。

2. 与路由模式不同如下

  • 当无ACL情况下,允许ARP数据包在所有接口传递。可配置ARP检测技术,
  • 默认情况,多播和广播流量不允许通过,可以用ACL放行。
  • 运用二层ACL可以放行非IP流量

六.ARP检测

1. 问题:当ASA处于透明模式时,一个接口收到的所有ARP报文时,都从其他接口发送出去。那么可能会存在ARP欺骗的问题,如下图所示:

透明模式防火墙_第3张图片
图片3

当PC对路由发起访问,因为不知道目的MAC地址,所以发送ARP Request查询路由器IP所对应的MAC地址

ASA从inside接口 收到ARP Request消息后会从outside接口转发,outside为非信任网络,存在一个攻击者,则此时会伪装大量ARP Replay消息发送给PC,此时PC学习到192.168.100.1(路由器MAC地址)的MAC地为0000.9999.9999(攻击者MAC地址)。则导致PC访问路由的流量被转发到攻击者。

2. 解决方案:在透明模式ASA中部署ARP Inspection,在inside和outside接口做ARP Inspection,手动指定允许接口的IP地址所对应的MAC地址。

  • 如果ASA收到数据帧的源IP和MAC的对应关系,可以与本地单一ARP条目一致,则允许通过。
  • 如果ASA收到数据帧的源IP和MAC只有其中一个与定义的ARP单一条目一致,则不允许通过。
  • 如果ASA收到数据帧的源IP和MAC在定义的ARP对应关系中都无法一致。则自定义动作(泛洪或者非泛红)

3. 配置说明

  • 在inside和outside接口绑定允许放行的IP和MAC对应关系,并开启ARP Inspection功能。
CISCOASA(config)# arp inside 192.168.100.222 0000.2222.2222
CISCOASA(config)# arp outside 192.168.100.1 0000.1111.1111
CISCOASA(config)# arp-inspection inside enable
CISCOASA(config)# arp-inspection outside enable

七.透明模式防火墙实验

1. 实验拓扑

透明模式防火墙_第4张图片
图片4

2. 设备IP地址规划

设备 接口 IP地址
R1 Ethernet 0/0 192.168.1.1/24
R1 Loopback 0 1.1.1.1/24
R2 Ethernet 0/0 192.168.1.2/24
R2 Loopback 0 2.2.2.2/24
ASA eth1 -
ASA eth2 -
ASA BVI 192.168.100.100/24

3. 实验需求

  • R1模拟outside网络,R2模拟Inside网络
  • R1与R2之间运行OSPF协议,相互传递环回口路由。
  • ASA部署透明模式,eth1连接outside网络,eth2连接inside网络
  • R2环回口可以telnet到R1.

4. 实验步骤

  • R1 IP地址配置,OSPF配置,激活接口,并开启Telnet服务。
hostname R1

interface Loopback0
 ip address 1.1.1.1 255.255.255.255

interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0

router ospf 100
 router-id 1.1.1.1
 network 1.1.1.1 0.0.0.0 area 0
 network 192.168.1.0 0.0.0.255 area 0
 
  line vty 0 4
 password cisco
 login
 transport input telnet
  • R2IP地址配置,运行OSPF协议,激活接口。
hostname R2

interface Loopback0
 ip address 2.2.2.2 255.255.255.255

interface Ethernet0/0
 ip address 192.168.1.2 255.255.255.0
 
 router ospf 100
 router-id 2.2.2.2
 network 2.2.2.2 0.0.0.0 area 0
 network 192.168.1.0 0.0.0.255 area 0
  • 配置ASA为透明模式,将ASA接口加入到Bridge Group 1,并为BVI配置IP地址。
firewall transparent

interface Ethernet1
 nameif outside
 bridge-group 1
 security-level 0

interface Ethernet2
 nameif inside
 bridge-group 1
 security-level 100
 
  interface BVI1
 ip address 192.168.100.100 255.255.255.0
  • 默认情况透明模式防火墙不放行多播流量,会导致R1与R2 OSPF邻居关系无法建立,此处需要放行inside接口和outside接口去往224.0.0.5和224.0.0.6(OSPF建立邻居时,报文发送目的地。)的多播流量。
access-list EXTRA-TRAFFIC extended permit ospf any host 224.0.0.5 
access-list EXTRA-TRAFFIC extended permit ospf any host 224.0.0.6 

access-group EXTRA-TRAFFIC in interface outside
access-group EXTRA-TRAFFIC in interface inside

你可能感兴趣的:(透明模式防火墙)