透明模式防火墙
一.防火墙模式的介绍
防火墙为网络安全中必不可少的部分,为了保障三层网络和二层网络的安全,ASA 防火墙提供了Routed(路由)和Transparent(透明)两种工作模式。
1. 路由模式和透明模式介绍
- 路由模式:Cisco ASA的默认工作模式,俗称3层防火墙模式,ASA所有接口均为3层接口。用于3层网络的安全隔离。如图1所示。
如图下所示,Routed 模式中,ASA每个接口都配置IP地址,将网络分成了3个广播域。
图1:路由模式连接
- 透明模式:透明模式的ASA,接口无法配置IP地址,唯一IP地址配置在Management 接口,用于设备的管理。用于2层网络的安全隔离。如图2所示。
如下图所示,Transparent模式中,ASA为2层接口,无IP地址,控制同一局域网内部安全访问。
图2:透明模式连接
2. 路由模式和透明模式流量转发
-
路由模式流量转发:与路由器类似,接口分配不同网段IP,通过目的IP转发数据包。
-
透明模式流量转发:与交换机类似,接口无IP地址,通过目的MAC地址转发数据帧。
3. 透明模式中,当接收到的数据帧目的MAC不在ASA本地MAC地址表项中,ASA将做如下尝试:
-
ARP request : 当目的IP地址为本地直连网段时,ASA将发送该目的地的ARP请求消息,收到目的地ARP Reply后,刷新本地MAC地址表项。
-
Ping request: 当目的IP地址非本地网段时,ASA将向此目的地发送ICMP echo request消息,当收到目的设备或者路由器的ICMP echo reply时,刷新本地MAC地址表。
二.透明模式部署要求
- 软件版本必须8.4(1)及以后版本。
- 透明模式中ASA 接口必须加入到逻辑的bridge Group(类似与交换的VLAN)中 。
- 每个Bridge Group 中必须最少包含2个接口,最多包含4个接口。
- 每个bridge Group是一个独立的透明防火墙,默认情况,Bridge Group之间无法互访。
- 每个物理ASA中最多同时支持8个Bridge Group。
三.路由模式和透明模式的对比
| 路由模式 | 透明模式 |
|---|---|
| 当只检查IP数据包时使用 | 当必须转发非ip数据包时使用 |
| 必须重新做IP地址规划 | 不需要重新做IP地址规划 |
| 所有接口都可以使用 | 每个Bridge Group中只有2-4个可使用 |
| 所有ASA的特性都支持 | 不支持特性:动态路由,DDNS,DHCP中继,多播路由,QOS,VPN termination |
四.配置透明模式防火墙
1. 查看当前防火墙工作模式
ciscoasa# show firewall
Firewall mode: Router
ciscoasa#
2. 配置ASA为透明模式
ciscoasa(config)# firewall transparent
配置完透明模式后,设备无需重启。因透明模式和路由模式使用不同安全模块,所以必须提前保存配置到本地硬盘或者第三方设备。
3. 配置说明
- 将Ethernet0/0和Ethernet0/1加入到bridge group 1,设置安全基本,命名。
CISCOASA(config)# interface ethernet0/0
CISCOASA(config-if)# nameif outside
CISCOASA(config-if)# security-level 0
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown
CISCOASA(config)# interface ethernet0/1
CISCOASA(config-if)# nameif inside
CISCOASA(config-if)# security-level 100
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown
- 为bridge group分配一个IP地址,仅用在管理流量,此处BVI,类似与交换机的SVI接口.
CISCOASA(config)# interface BVI 1
CISCOASA(config-if)# ip address 192.168.1.1 255.255.255.0
五.透明模式防火墙中的流量控制
1. 与路由模式一样如下:
- 透明模式也可以执行安全策略,允许单播流量中高安全级别的接口到低安全级别的接口。
- 当来自于低安全级别接口的流量访问高安全级别接口时,默认不允许,需要ACL放行。
- 数据包同路由模式一样,被状态化监控。
2. 与路由模式不同如下
- 当无ACL情况下,允许ARP数据包在所有接口传递。可配置ARP检测技术,
- 默认情况,多播和广播流量不允许通过,可以用ACL放行。
- 运用二层ACL可以放行非IP流量
六.ARP检测
1. 问题:当ASA处于透明模式时,一个接口收到的所有ARP报文时,都从其他接口发送出去。那么可能会存在ARP欺骗的问题,如下图所示:
图片3
当PC对路由发起访问,因为不知道目的MAC地址,所以发送ARP Request查询路由器IP所对应的MAC地址
ASA从inside接口 收到ARP Request消息后会从outside接口转发,outside为非信任网络,存在一个攻击者,则此时会伪装大量ARP Replay消息发送给PC,此时PC学习到192.168.100.1(路由器MAC地址)的MAC地为0000.9999.9999(攻击者MAC地址)。则导致PC访问路由的流量被转发到攻击者。
2. 解决方案:在透明模式ASA中部署ARP Inspection,在inside和outside接口做ARP Inspection,手动指定允许接口的IP地址所对应的MAC地址。
- 如果ASA收到数据帧的源IP和MAC的对应关系,可以与本地单一ARP条目一致,则允许通过。
- 如果ASA收到数据帧的源IP和MAC只有其中一个与定义的ARP单一条目一致,则不允许通过。
- 如果ASA收到数据帧的源IP和MAC在定义的ARP对应关系中都无法一致。则自定义动作(泛洪或者非泛红)
3. 配置说明
- 在inside和outside接口绑定允许放行的IP和MAC对应关系,并开启ARP Inspection功能。
CISCOASA(config)# arp inside 192.168.100.222 0000.2222.2222
CISCOASA(config)# arp outside 192.168.100.1 0000.1111.1111
CISCOASA(config)# arp-inspection inside enable
CISCOASA(config)# arp-inspection outside enable
七.透明模式防火墙实验
1. 实验拓扑
图片4
2. 设备IP地址规划
| 设备 | 接口 | IP地址 |
|---|---|---|
| R1 | Ethernet 0/0 | 192.168.1.1/24 |
| R1 | Loopback 0 | 1.1.1.1/24 |
| R2 | Ethernet 0/0 | 192.168.1.2/24 |
| R2 | Loopback 0 | 2.2.2.2/24 |
| ASA | eth1 | - |
| ASA | eth2 | - |
| ASA | BVI | 192.168.100.100/24 |
3. 实验需求
- R1模拟outside网络,R2模拟Inside网络
- R1与R2之间运行OSPF协议,相互传递环回口路由。
- ASA部署透明模式,eth1连接outside网络,eth2连接inside网络
- R2环回口可以telnet到R1.
4. 实验步骤
- R1 IP地址配置,OSPF配置,激活接口,并开启Telnet服务。
hostname R1
interface Loopback0
ip address 1.1.1.1 255.255.255.255
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
router ospf 100
router-id 1.1.1.1
network 1.1.1.1 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
line vty 0 4
password cisco
login
transport input telnet
- R2IP地址配置,运行OSPF协议,激活接口。
hostname R2
interface Loopback0
ip address 2.2.2.2 255.255.255.255
interface Ethernet0/0
ip address 192.168.1.2 255.255.255.0
router ospf 100
router-id 2.2.2.2
network 2.2.2.2 0.0.0.0 area 0
network 192.168.1.0 0.0.0.255 area 0
- 配置ASA为透明模式,将ASA接口加入到Bridge Group 1,并为BVI配置IP地址。
firewall transparent
interface Ethernet1
nameif outside
bridge-group 1
security-level 0
interface Ethernet2
nameif inside
bridge-group 1
security-level 100
interface BVI1
ip address 192.168.100.100 255.255.255.0
- 默认情况透明模式防火墙不放行多播流量,会导致R1与R2 OSPF邻居关系无法建立,此处需要放行inside接口和outside接口去往224.0.0.5和224.0.0.6(OSPF建立邻居时,报文发送目的地。)的多播流量。
access-list EXTRA-TRAFFIC extended permit ospf any host 224.0.0.5
access-list EXTRA-TRAFFIC extended permit ospf any host 224.0.0.6
access-group EXTRA-TRAFFIC in interface outside
access-group EXTRA-TRAFFIC in interface inside
