Cisco ASA [Chapter 12] Transparent Firewall on Cisco ASA

  • Thread starter Thread starter root
  • Ngày gửi Ngày gửi

root

Specialist
1. Overview Transparent Firewall
  • Khi các bạn muốn đặt Firewall vào hệ thống mà bạn không muốn thay đổi cấu trúc các lớp mạng có sẵn. Bạn có thể đưa con Firewall về thành mode Transparent để Firewall hoạt động giống như 1 con Switch. Lúc này các lớp mạng trên interface inside và outside của Firewall sẽ có cùng 1 subnet.
  • Khi ở mode Transparent mặc dù Firewall hoạt động như con Switch nhưng nó vẫn phân tích được IP, kiểm soát được đến layer 7, inspection application…
  • Transparent Firewall có thể làm được tất cả các chức năng bên Routed mode của Firewall như ACL, inspection… , trừ những việc liên quan tới định tuyến, Multicast, QoS…

    5obyUhmClFmnShOoeafvsQADnh_eHToK7JT-fNJz-MlQYz-56silwjdQb3vC_eGBR6gft9enltpgmTGNpFu_0jdXEtHpSP5ts_jy-NJoiZnP5WD22NCMeOzag1NG6unatKPy79Ymxyh7NUguVg

2. Cơ chế ARP trên của Transparent Firewall
- Tương tự như Switch, Firewall cũng có 1 bảng CAM để thực hiện chuyển mạch ở lớp 2.
  • Bước 1: Mở Source MAC ra xem và học vào trong bảng CAM
  • Bước 2: Mở Des MAC và tra vào trong bảng CAM
  • Bước 3: Tiến hành Switch gói tin qua cổng cần thiết
- Nếu Des MAC chưa có thông thì Switch sẽ Flood ra các interface.
- Nhưng đối với Firewall khi trong bảng CAM không có Des MAC nó sẽ không tiến hành Flood như Switch mà nó sẽ tìm cho ra Des MAC đó. Để tìm ra Des MAC sẽ có 2 tình huống

a. TH1: Des IP cùng lớp mạng với Source IP
- Ví dụ: 192.168.1.1 source MAC là A và 192.168.1.2 có Source MAC là B. PC A muốn truy cập tới pc B nó sẽ thực hiện 1 ARP request broadcast tới Firewall để tim MAC của pc B
  • Firewall thấy Souce IP và Des IP của gói tin ARP request của PC A cùng subnet
  • Firewall sẽ chủ động tiến hành ARP request tới PC B để lấy MAC của pc B
  • PC B trả lời về gói ARP reply.
  • Firewall mở gói tin ARP reply và học Source MAC của pc B ở interface nào vào bảng CAM
b. TH2: Source IP và Des IP khác lớp mạng
  • Khác lớp mạng thì không thể dùng ARP được vì gói ARP là gói broadcast sẽ bị chặn.
  • Lúc này Firewall sẽ tiến hành ping Des IP để nó tra ra được next hop của nó
  • Sau khi biết IP next hop nó sẽ tiến hành ARP next hop
- Mục đích của việc Firewall chủ động ARP để bảo mật hơn
  • Đối với Switch: thì nó Flood gói ARP của User ra toàn bộ các interface nên có thể bị capture. Data của user vào 1 cổng và ra nhiều cổng
  • Đối với Firewall nó sẽ giữ data của user lại và dùng gói ARP của chính nó để tìm pc B, sau khi tìm xong nó mới thực hiện forward data của pc A trên đến chính xác cổng của pc B. Như vậy dữ liệu của user sẽ không bị flood ra các interface. Data của user sẽ vào 1 cổng và ra chính xác 1 cổng
3. Config Virtual Firewall
- Những ASA từ 8.4 trở về sau chỉ cho transparent trên 1 interface
- Từ ASA 8.4 cho phép group nhiều interface gọi là Bridge-group. Ví dụ nhóm 2 interface e0/0 và e0/1 vào 1 Bridge-group 1
Mã:
CISCOASA(config)# interface ethernet0/0
CISCOASA(config-if)# nameif outside
CISCOASA(config-if)# security-level 0
CISCOASA(config-if)# bridge-group 1

CISCOASA(config)# interface ethernet0/1
CISCOASA(config-if)# nameif inside
CISCOASA(config-if)# security-level 100
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown
- Để kiểm tra firewall đang ở mdoe nào
Mã:
Show firewall

- Để chuyển qua mode transparent bạn dùng câu lệnh. Việc chuyển qua mode transparent không cần phải reboot lại
Mã:
firewall transparent

- Khi ở mode transparent Firewall cũng cần 1 IP để quản lý như telnet, SSH… IP sẽ được đặt ở mode config
Mã:
CISCOASA(config)# interface BVInumber
ciscoasa(config-if)# ip address ip-address subnet-mask


 
Sửa lần cuối:
Back
Top