Cisco ASA [Chapter 12] Transparent Firewall on Cisco ASA

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
1. Overview Transparent Firewall
  • Khi các bạn muốn đặt Firewall vào hệ thống mà bạn không muốn thay đổi cấu trúc các lớp mạng có sẵn. Bạn có thể đưa con Firewall về thành mode Transparent để Firewall hoạt động giống như 1 con Switch. Lúc này các lớp mạng trên interface inside và outside của Firewall sẽ có cùng 1 subnet.
  • Khi ở mode Transparent mặc dù Firewall hoạt động như con Switch nhưng nó vẫn phân tích được IP, kiểm soát được đến layer 7, inspection application…
  • Transparent Firewall có thể làm được tất cả các chức năng bên Routed mode của Firewall như ACL, inspection… , trừ những việc liên quan tới định tuyến, Multicast, QoS…

    5obyUhmClFmnShOoeafvsQADnh_eHToK7JT-fNJz-MlQYz-56silwjdQb3vC_eGBR6gft9enltpgmTGNpFu_0jdXEtHpSP5ts_jy-NJoiZnP5WD22NCMeOzag1NG6unatKPy79Ymxyh7NUguVg

2. Cơ chế ARP trên của Transparent Firewall
- Tương tự như Switch, Firewall cũng có 1 bảng CAM để thực hiện chuyển mạch ở lớp 2.
  • Bước 1: Mở Source MAC ra xem và học vào trong bảng CAM
  • Bước 2: Mở Des MAC và tra vào trong bảng CAM
  • Bước 3: Tiến hành Switch gói tin qua cổng cần thiết
- Nếu Des MAC chưa có thông thì Switch sẽ Flood ra các interface.
- Nhưng đối với Firewall khi trong bảng CAM không có Des MAC nó sẽ không tiến hành Flood như Switch mà nó sẽ tìm cho ra Des MAC đó. Để tìm ra Des MAC sẽ có 2 tình huống

a. TH1: Des IP cùng lớp mạng với Source IP
- Ví dụ: 192.168.1.1 source MAC là A và 192.168.1.2 có Source MAC là B. PC A muốn truy cập tới pc B nó sẽ thực hiện 1 ARP request broadcast tới Firewall để tim MAC của pc B
  • Firewall thấy Souce IP và Des IP của gói tin ARP request của PC A cùng subnet
  • Firewall sẽ chủ động tiến hành ARP request tới PC B để lấy MAC của pc B
  • PC B trả lời về gói ARP reply.
  • Firewall mở gói tin ARP reply và học Source MAC của pc B ở interface nào vào bảng CAM
b. TH2: Source IP và Des IP khác lớp mạng
  • Khác lớp mạng thì không thể dùng ARP được vì gói ARP là gói broadcast sẽ bị chặn.
  • Lúc này Firewall sẽ tiến hành ping Des IP để nó tra ra được next hop của nó
  • Sau khi biết IP next hop nó sẽ tiến hành ARP next hop
- Mục đích của việc Firewall chủ động ARP để bảo mật hơn
  • Đối với Switch: thì nó Flood gói ARP của User ra toàn bộ các interface nên có thể bị capture. Data của user vào 1 cổng và ra nhiều cổng
  • Đối với Firewall nó sẽ giữ data của user lại và dùng gói ARP của chính nó để tìm pc B, sau khi tìm xong nó mới thực hiện forward data của pc A trên đến chính xác cổng của pc B. Như vậy dữ liệu của user sẽ không bị flood ra các interface. Data của user sẽ vào 1 cổng và ra chính xác 1 cổng
3. Config Virtual Firewall
- Những ASA từ 8.4 trở về sau chỉ cho transparent trên 1 interface
- Từ ASA 8.4 cho phép group nhiều interface gọi là Bridge-group. Ví dụ nhóm 2 interface e0/0 và e0/1 vào 1 Bridge-group 1
Code:
CISCOASA(config)# interface ethernet0/0
CISCOASA(config-if)# nameif outside
CISCOASA(config-if)# security-level 0
CISCOASA(config-if)# bridge-group 1

CISCOASA(config)# interface ethernet0/1
CISCOASA(config-if)# nameif inside
CISCOASA(config-if)# security-level 100
CISCOASA(config-if)# bridge-group 1
CISCOASA(config-if)# no shutdown
- Để kiểm tra firewall đang ở mdoe nào
Code:
Show firewall

- Để chuyển qua mode transparent bạn dùng câu lệnh. Việc chuyển qua mode transparent không cần phải reboot lại
Code:
firewall transparent

- Khi ở mode transparent Firewall cũng cần 1 IP để quản lý như telnet, SSH… IP sẽ được đặt ở mode config
Code:
CISCOASA(config)# interface BVInumber
ciscoasa(config-if)# ip address ip-address subnet-mask


 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu