透明模式防火墙

一.防火墙模式的介绍

防火墙为网络安全中必不可少的部分，为了保障三层网络和二层网络的安全，ASA 防火墙提供了Routed(路由)和Transparent（透明）两种工作模式。

1. 路由模式和透明模式介绍

• 路由模式：Cisco ASA的默认工作模式，俗称3层防火墙模式，ASA所有接口均为3层接口。用于3层网络的安全隔离。如图1所示。

如图下所示，Routed 模式中，ASA每个接口都配置IP地址，将网络分成了3个广播域。

图1：路由模式连接

• 透明模式：透明模式的ASA，接口无法配置IP地址，唯一IP地址配置在Management 接口，用于设备的管理。用于2层网络的安全隔离。如图2所示。

如下图所示，Transparent模式中，ASA为2层接口，无IP地址，控制同一局域网内部安全访问。

图2：透明模式连接

2. 路由模式和透明模式流量转发

• 路由模式流量转发：与路由器类似，接口分配不同网段IP，通过目的IP转发数据包。

• 透明模式流量转发：与交换机类似，接口无IP地址，通过目的MAC地址转发数据帧。

3. 透明模式中，当接收到的数据帧目的MAC不在ASA本地MAC地址表项中，ASA将做如下尝试：

• ARP request : 当目的IP地址为本地直连网段时，ASA将发送该目的地的ARP请求消息，收到目的地ARP Reply后，刷新本地MAC地址表项。

• Ping request: 当目的IP地址非本地网段时，ASA将向此目的地发送ICMP echo request消息，当收到目的设备或者路由器的ICMP echo reply时，刷新本地MAC地址表。

二.透明模式部署要求

1. 软件版本必须8.4(1)及以后版本。
2. 透明模式中ASA 接口必须加入到逻辑的bridge Group（类似与交换的VLAN）中 。
3. 每个Bridge Group 中必须最少包含2个接口，最多包含4个接口。
4. 每个bridge Group是一个独立的透明防火墙，默认情况，Bridge Group之间无法互访。
5. 每个物理ASA中最多同时支持8个Bridge Group。

三.路由模式和透明模式的对比

路由模式	透明模式
当只检查IP数据包时使用	当必须转发非ip数据包时使用
必须重新做IP地址规划	不需要重新做IP地址规划
所有接口都可以使用	每个Bridge Group中只有2-4个可使用
所有ASA的特性都支持	不支持特性：动态路由，DDNS，DHCP中继，多播路由，QOS，VPN termination

四.配置透明模式防火墙

1. 查看当前防火墙工作模式

ciscoasa# show firewall
Firewall mode: Router
ciscoasa#

2. 配置ASA为透明模式

ciscoasa(config)# firewall transparent

配置完透明模式后，设备无需重启。因透明模式和路由模式使用不同安全模块，所以必须提前保存配置到本地硬盘或者第三方设备。

3. 配置说明

• 将Ethernet0/0和Ethernet0/1加入到bridge group 1，设置安全基本，命名。

CISCOASA(config)# interface ethernet0/0
CISCOASA(config-if)# nameif outside
CISCOASA(config-if)# security-level 0
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown

CISCOASA(config)# interface ethernet0/1
CISCOASA(config-if)# nameif inside
CISCOASA(config-if)# security-level 100
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown

• 为bridge group分配一个IP地址，仅用在管理流量，此处BVI，类似与交换机的SVI接口.

CISCOASA(config)# interface BVI 1

CISCOASA(config-if)# ip address 192.168.1.1 255.255.255.0

五.透明模式防火墙中的流量控制

1. 与路由模式一样如下：

• 透明模式也可以执行安全策略，允许单播流量中高安全级别的接口到低安全级别的接口。
• 当来自于低安全级别接口的流量访问高安全级别接口时，默认不允许，需要ACL放行。
• 数据包同路由模式一样，被状态化监控。

2. 与路由模式不同如下

• 当无ACL情况下，允许ARP数据包在所有接口传递。可配置ARP检测技术，
• 默认情况，多播和广播流量不允许通过，可以用ACL放行。
• 运用二层ACL可以放行非IP流量

六.ARP检测

1. 问题：当ASA处于透明模式时，一个接口收到的所有ARP报文时，都从其他接口发送出去。那么可能会存在ARP欺骗的问题，如下图所示：

图片3

当PC对路由发起访问，因为不知道目的MAC地址，所以发送ARP Request查询路由器IP所对应的MAC地址

ASA从inside接口 收到ARP Request消息后会从outside接口转发，outside为非信任网络，存在一个攻击者，则此时会伪装大量ARP Replay消息发送给PC，此时PC学习到192.168.100.1（路由器MAC地址）的MAC地为0000.9999.9999（攻击者MAC地址）。则导致PC访问路由的流量被转发到攻击者。

2. 解决方案：在透明模式ASA中部署ARP Inspection，在inside和outside接口做ARP Inspection，手动指定允许接口的IP地址所对应的MAC地址。

• 如果ASA收到数据帧的源IP和MAC的对应关系，可以与本地单一ARP条目一致，则允许通过。
• 如果ASA收到数据帧的源IP和MAC只有其中一个与定义的ARP单一条目一致，则不允许通过。
• 如果ASA收到数据帧的源IP和MAC在定义的ARP对应关系中都无法一致。则自定义动作（泛洪或者非泛红）

3. 配置说明

• 在inside和outside接口绑定允许放行的IP和MAC对应关系，并开启ARP Inspection功能。

CISCOASA(config)# arp inside 192.168.100.222 0000.2222.2222
CISCOASA(config)# arp outside 192.168.100.1 0000.1111.1111
CISCOASA(config)# arp-inspection inside enable
CISCOASA(config)# arp-inspection outside enable

七.透明模式防火墙实验

1. 实验拓扑

图片4

2. 设备IP地址规划

设备	接口	IP地址
R1	Ethernet 0/0	192.168.1.1/24
R1	Loopback 0	1.1.1.1/24
R2	Ethernet 0/0	192.168.1.2/24
R2	Loopback 0	2.2.2.2/24
ASA	eth1	-
ASA	eth2	-
ASA	BVI	192.168.100.100/24

3. 实验需求

• R1模拟outside网络，R2模拟Inside网络
• R1与R2之间运行OSPF协议，相互传递环回口路由。
• ASA部署透明模式，eth1连接outside网络，eth2连接inside网络
• R2环回口可以telnet到R1.

4. 实验步骤

• R1 IP地址配置，OSPF配置，激活接口，并开启Telnet服务。

hostname R1

interface Loopback0
 ip address 1.1.1.1 255.255.255.255

interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0

router ospf 100
 router-id 1.1.1.1
 network 1.1.1.1 0.0.0.0 area 0
 network 192.168.1.0 0.0.0.255 area 0
 
  line vty 0 4
 password cisco
 login
 transport input telnet

• R2IP地址配置，运行OSPF协议，激活接口。

hostname R2

interface Loopback0
 ip address 2.2.2.2 255.255.255.255

interface Ethernet0/0
 ip address 192.168.1.2 255.255.255.0
 
 router ospf 100
 router-id 2.2.2.2
 network 2.2.2.2 0.0.0.0 area 0
 network 192.168.1.0 0.0.0.255 area 0

• 配置ASA为透明模式，将ASA接口加入到Bridge Group 1，并为BVI配置IP地址。

firewall transparent

interface Ethernet1
 nameif outside
 bridge-group 1
 security-level 0

interface Ethernet2
 nameif inside
 bridge-group 1
 security-level 100
 
  interface BVI1
 ip address 192.168.100.100 255.255.255.0

• 默认情况透明模式防火墙不放行多播流量，会导致R1与R2 OSPF邻居关系无法建立，此处需要放行inside接口和outside接口去往224.0.0.5和224.0.0.6（OSPF建立邻居时，报文发送目的地。）的多播流量。

access-list EXTRA-TRAFFIC extended permit ospf any host 224.0.0.5 
access-list EXTRA-TRAFFIC extended permit ospf any host 224.0.0.6 

access-group EXTRA-TRAFFIC in interface outside
access-group EXTRA-TRAFFIC in interface inside