root
Specialist
1. Overview Transparent Firewall
2. Cơ chế ARP trên của Transparent Firewall
- Tương tự như Switch, Firewall cũng có 1 bảng CAM để thực hiện chuyển mạch ở lớp 2.
- Nhưng đối với Firewall khi trong bảng CAM không có Des MAC nó sẽ không tiến hành Flood như Switch mà nó sẽ tìm cho ra Des MAC đó. Để tìm ra Des MAC sẽ có 2 tình huống
a. TH1: Des IP cùng lớp mạng với Source IP
- Ví dụ: 192.168.1.1 source MAC là A và 192.168.1.2 có Source MAC là B. PC A muốn truy cập tới pc B nó sẽ thực hiện 1 ARP request broadcast tới Firewall để tim MAC của pc B
- Những ASA từ 8.4 trở về sau chỉ cho transparent trên 1 interface
- Từ ASA 8.4 cho phép group nhiều interface gọi là Bridge-group. Ví dụ nhóm 2 interface e0/0 và e0/1 vào 1 Bridge-group 1
- Để kiểm tra firewall đang ở mdoe nào
- Để chuyển qua mode transparent bạn dùng câu lệnh. Việc chuyển qua mode transparent không cần phải reboot lại
- Khi ở mode transparent Firewall cũng cần 1 IP để quản lý như telnet, SSH… IP sẽ được đặt ở mode config
- Khi các bạn muốn đặt Firewall vào hệ thống mà bạn không muốn thay đổi cấu trúc các lớp mạng có sẵn. Bạn có thể đưa con Firewall về thành mode Transparent để Firewall hoạt động giống như 1 con Switch. Lúc này các lớp mạng trên interface inside và outside của Firewall sẽ có cùng 1 subnet.
- Khi ở mode Transparent mặc dù Firewall hoạt động như con Switch nhưng nó vẫn phân tích được IP, kiểm soát được đến layer 7, inspection application…
- Transparent Firewall có thể làm được tất cả các chức năng bên Routed mode của Firewall như ACL, inspection… , trừ những việc liên quan tới định tuyến, Multicast, QoS…
2. Cơ chế ARP trên của Transparent Firewall
- Tương tự như Switch, Firewall cũng có 1 bảng CAM để thực hiện chuyển mạch ở lớp 2.
- Bước 1: Mở Source MAC ra xem và học vào trong bảng CAM
- Bước 2: Mở Des MAC và tra vào trong bảng CAM
- Bước 3: Tiến hành Switch gói tin qua cổng cần thiết
- Nhưng đối với Firewall khi trong bảng CAM không có Des MAC nó sẽ không tiến hành Flood như Switch mà nó sẽ tìm cho ra Des MAC đó. Để tìm ra Des MAC sẽ có 2 tình huống
a. TH1: Des IP cùng lớp mạng với Source IP
- Ví dụ: 192.168.1.1 source MAC là A và 192.168.1.2 có Source MAC là B. PC A muốn truy cập tới pc B nó sẽ thực hiện 1 ARP request broadcast tới Firewall để tim MAC của pc B
- Firewall thấy Souce IP và Des IP của gói tin ARP request của PC A cùng subnet
- Firewall sẽ chủ động tiến hành ARP request tới PC B để lấy MAC của pc B
- PC B trả lời về gói ARP reply.
- Firewall mở gói tin ARP reply và học Source MAC của pc B ở interface nào vào bảng CAM
- Khác lớp mạng thì không thể dùng ARP được vì gói ARP là gói broadcast sẽ bị chặn.
- Lúc này Firewall sẽ tiến hành ping Des IP để nó tra ra được next hop của nó
- Sau khi biết IP next hop nó sẽ tiến hành ARP next hop
- Đối với Switch: thì nó Flood gói ARP của User ra toàn bộ các interface nên có thể bị capture. Data của user vào 1 cổng và ra nhiều cổng
- Đối với Firewall nó sẽ giữ data của user lại và dùng gói ARP của chính nó để tìm pc B, sau khi tìm xong nó mới thực hiện forward data của pc A trên đến chính xác cổng của pc B. Như vậy dữ liệu của user sẽ không bị flood ra các interface. Data của user sẽ vào 1 cổng và ra chính xác 1 cổng
- Những ASA từ 8.4 trở về sau chỉ cho transparent trên 1 interface
- Từ ASA 8.4 cho phép group nhiều interface gọi là Bridge-group. Ví dụ nhóm 2 interface e0/0 và e0/1 vào 1 Bridge-group 1
Mã:
CISCOASA(config)# interface ethernet0/0
CISCOASA(config-if)# nameif outside
CISCOASA(config-if)# security-level 0
CISCOASA(config-if)# bridge-group 1
CISCOASA(config)# interface ethernet0/1
CISCOASA(config-if)# nameif inside
CISCOASA(config-if)# security-level 100
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown
Mã:
Show firewall
Mã:
firewall transparent
Mã:
CISCOASA(config)# interface BVInumber
ciscoasa(config-if)# ip address ip-address subnet-mask
Sửa lần cuối:
Bài viết liên quan
Bài viết mới