¶ 透明防火墙介绍
¶ Cisco的ASA可以运行两种模式
1.路由模式:也就是3层防火墙,基于IP地址转发流量。
2.透明模式:也就是2层防火墙,基于MAC地址转发流量。由邻居路由器和主机做路由决定。
¶ 透明防火墙的限制
1.只支持2接口(8.4以后引l入bridge-group概念,每一个bridge-group内可以支持最多64个接口lasa9.6.2)
2.不支持以下特性:
–DHCP reley
–DHCPv6staelessserver
–Dynamicrouting protocols
–Dynamic DNS
–Multicast Iprouting
–Quality of Service
3.从8.2(1)开始,透明防火墙能够支持IPv6
¶ 透明防火墙对Outbound流量处理
1.ASA添加源MAC地址到MAC地址表中
2.如果目的MAC地址在MAC地址表中,ASA从适当的接口转发这个包出去
3.如果目的MAC地址不在MAC地址表中,ASA则尝试查询这个MAC地址
¶ 透明墙配置指南
1.内外接口直连网络必须在相同的子网内部
2.必须要配置一个网管IP(重要)
3.网管IP必须要和内外网段相同返回到标签页
4.网管IP不能够作为网关使用
5.组播和广播流量需要明确放行行 (穿越)
6.可以指定一个特定接口抵达的IP为默认网关,这条路由只起到网管作用
7.每一个接口必须在不同的VLAN
8.所有的流量都可以通过extended access list(ACL)(for IP traffic)或者EtherTypeACL(for noIP traffic)来放行
9.ARP默认能够穿越防火墙,可以通过ARPinspection这个技术来控制。
10.CDP是无法穿越的
¶ 切换透明墙
使用(config)#firewall transparent切换到透明墙。
切换回routed firewall
no firewal ltransparent
clear config all
多模式防火墙只能够支持一种类标额
切换模式会丢失所有配置,需要提前备份配置。
在贴配置的时候,需要把firewalltransparent放在前边
¶ 配置ISO3-7层访问控制
1.你能够使用所有的访问控制技术。也就是说这些技术在透明模式和在路由模式下一样有效。访问列表应用层监控和控制基于用户的策略IPS和防病毒模块
2.这些访问控制和在路由模式的安全设备上配置是完全一样的。
3.透明模式能够转发一些不能在路由模式转发的流量。
¶ 透明防火墙默认的安全策略
1.单播IP流量和路由模式一样,遵循相同的安全级别和ACL规则
2.ARP流量是默认被允许双向通过的
3.广播和组播的IP流量(路由协议,组播数据流)必须使用ACL在全部接口明确放行才可以通过
4.在所有接口使用以太网类型的ACL放行其他的非IP协议
允许组播和广播的流量
1.使用接口访问控制列表
–使用目的地址255.255.255.255来允许3层的广播穿越设备
–使用目的地址设置为组播地址来允许组播流量
–访问控制列表必须在两个接口上被运用
–允许DHCP,EIGRP.OSPF,RIP,HSRP.广播和组播数据流
2.例如:一个OSPF的路由协议可以穿越设备建立邻居关系
¶ 透明墙2层访问控制
允许Non-IP Traffic
1.执行以太网类型的ACL
–以太网类型的ACL必须应用到所有接口
–可以允许比以太网类型的值0x600更高的任何以太网类型的协议
2.例如:允许BPDU的流量穿越防火墙(8.4以后)
arp 0806
pppoe 8863 8864
¶ ARP Inspection
1.ARP欺骗
—ARP欺骗能被使用来执行中间人攻击
—攻击者欺骗ARP回复或免费ARP
2.CisCOASA在透明模式能配置ARP监控
—错误映射的ARP包被丢弃
—配置静态ARP映射
—激活ARP监控
MAC Address Table
1.MAC地址表,经常被用于基于目的MAC地址来查找出接口
2.CAM表根据收到帧的二层MAC地址动态构建
3.如果目的MAC地址在CAM表中没有被找到,不泛洪这个帧(丢弃)
1.动态MAC地址学习功能是可以关闭的
2.能够阻止使用MAC地址欺骗技术而造成的DOS攻击
3.能够阻止通过MAC地址泛洪而造成的CAM表溢出攻击
4.所有连接到ASA上的设备MAC地址需要手动被配置
mac-learn b2-outside disable
mac-learn b2-inside disable
mac-address-table static b2-inside 0004.0004.0004
mac-address-table static b2-inside 0003.0003.0003
mac-address-table static b2-inside 0002.0002.0002
mac-address-table static b2-outside 0001.0001.0001
¶ 多模式防火墙
¶ Cisco防火墙虚拟化概述
1.一个单一Cisco ASA可以划分多个虚拟防火墙,被称为子防火墙(Securitycontext)
2.每一个子墙都拥有自己的接口和安全策略
3.子墙能共享接口
¶ 子防火墙配置文件
多模式的CiscOASA有如下配置文件:
1.每一个子墙都有自己的配置文件
2.CiscOASA也有一个系统配置,它包含CiscOASA的基本设置,包括一个关于子墙的列表 (创建子防火墙,关联接口,存盘目录)
多模墙部署指导方针
¶ 在cisco防火墙上使用多模式,考虑如下的部署指导方针:
1.当使用透明模式的多模式防火墙时,防火墙模式设置会影响整个Cisco防火墙(不能一部分路由,一部分透明)注意:9.1之后这个限制已经被取消,支持混合模式
2.当你希望使用透明的多模式防火墙时,需要创建子墙,然后切换到子墙,修改防火墙模式为透明墙。
3.当使用透明多模式的防火墙时,不能够使用共享接口
4.当使用共享接口(或子接口)的时候,要为每一个子防火墙的共享接口指定不同的MAC地址
5.考虑配置子墙资源管理是为了防止一个子墙耗尽整个防火墙的系统资源
¶ 配置多模式防火墙
ciscoasa# show mode
Security context mode: multiple
保存 write memory all
1.改变防火墙单模式到多模式
创建一个名为admin的子墙单模式的"runningconfiguration"将会转换到systemconfiguration(系统配置)和admin.cfg(子防火墙配置)
原始的runningconfiguration被保存为“old_running.cfg
单模墙的runningconfiguration被应用到admincontext(管理类型的子墙)
2.分配接口到一个子防火墙
在单一模式被激活接口指派到admincontext。在单一模式关闭的接口将不会被指定到任何子墙。
创建一个新的子墙,它默认没有被关联任何接口。必须在系统配置下指派接口到子墙。
在系统配置下激活一个接口
在路由模式,能够指派相同的接口到多个子墙。
3.指定Startupconfiguration位置一个新的子墙在你指定startupconfiguration存盘位置之前是不能够操作的。存储位置被指定为一个URL
能够指定如下的URL类型
disk0/flash:配置文件存储在设备上的FLASH中
disk1:配置文件存储在设备上的CF卡中
tftp:配置文件存储在外部TFTP服务器上
ftp:配置文件存储在外部FTP服务器上
http(s):配置文件存储在外部http服务器上(只读)
4.配置管理类型的子墙是一个特殊的,具有管理角色的子墙
系统配置没有可转发流量的接口,它使用管理子墙的策略和接口来和其他设备通信管理子墙用于查询其他子墙的配置和发送系统级别的日志消息用户登入管理类型的子墙上可以访问系统配置和所有的其他子墙管理类型的子墙去除掉它对系统的意义,它可以像一个普通防火墙一样被使用
默认,管理类型的子墙只作为管理角色出现
¶ 多模式防火墙的包归类
1.路由模式允许在子墙共享接口
2.防火墙必须决定由哪个子墙去发送包
3.每一个进入防火墙的包,都必须通过分类进入一个子防火墙
4.防火墙对包的分类有以下3种:
唯一的接口
唯一的MAC地址
FW(config)# mac-address auto
INFO: Converted to mac-address auto prefix 0
唯一的全局IP地址(NAT配置)
5.如果子墙使用一个共享MAC地址的共享接口,并且NAT没有被使用,则包无法被分类
普通子墙 无法切换system和Admin 子墙
多模式防火墙的资源管理
1.默认,子墙可以无限制的使用ASA的硬件资源
2.资源管理限制了每个子墙对硬件资源的使用
3.防止一个子墙把资源耗尽,这样可能会导致其他的子墙性能或连通性的问题
全局限制
¶ 防火墙默认的资源分类
1.CiscOASA通过指派子防火墙到资源类,来管理系统资源
2.默认情况下,每一个子墙属于一个默认分类,这个默认的分类是有预定义限制的
3.每一个新创建的资源分类都继承来自于默认分类的所有的限制