Cisco ASA [Chapter 12] Transparent Firewall on Cisco ASA

Discussion in 'Lý Thuyết' started by root, Jun 17, 2014.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,179
    Likes Received:
    34
    Trophy Points:
    38
    1. Overview Transparent Firewall
    • Khi các bạn muốn đặt Firewall vào hệ thống mà bạn không muốn thay đổi cấu trúc các lớp mạng có sẵn. Bạn có thể đưa con Firewall về thành mode Transparent để Firewall hoạt động giống như 1 con Switch. Lúc này các lớp mạng trên interface inside và outside của Firewall sẽ có cùng 1 subnet.
    • Khi ở mode Transparent mặc dù Firewall hoạt động như con Switch nhưng nó vẫn phân tích được IP, kiểm soát được đến layer 7, inspection application…
    • Transparent Firewall có thể làm được tất cả các chức năng bên Routed mode của Firewall như ACL, inspection… , trừ những việc liên quan tới định tuyến, Multicast, QoS…

      [​IMG]

    2. Cơ chế ARP trên của Transparent Firewall
    - Tương tự như Switch, Firewall cũng có 1 bảng CAM để thực hiện chuyển mạch ở lớp 2.
    • Bước 1: Mở Source MAC ra xem và học vào trong bảng CAM
    • Bước 2: Mở Des MAC và tra vào trong bảng CAM
    • Bước 3: Tiến hành Switch gói tin qua cổng cần thiết
    - Nếu Des MAC chưa có thông thì Switch sẽ Flood ra các interface.
    - Nhưng đối với Firewall khi trong bảng CAM không có Des MAC nó sẽ không tiến hành Flood như Switch mà nó sẽ tìm cho ra Des MAC đó. Để tìm ra Des MAC sẽ có 2 tình huống

    a. TH1: Des IP cùng lớp mạng với Source IP
    - Ví dụ: 192.168.1.1 source MAC là A và 192.168.1.2 có Source MAC là B. PC A muốn truy cập tới pc B nó sẽ thực hiện 1 ARP request broadcast tới Firewall để tim MAC của pc B
    • Firewall thấy Souce IP và Des IP của gói tin ARP request của PC A cùng subnet
    • Firewall sẽ chủ động tiến hành ARP request tới PC B để lấy MAC của pc B
    • PC B trả lời về gói ARP reply.
    • Firewall mở gói tin ARP reply và học Source MAC của pc B ở interface nào vào bảng CAM
    b. TH2: Source IP và Des IP khác lớp mạng
    • Khác lớp mạng thì không thể dùng ARP được vì gói ARP là gói broadcast sẽ bị chặn.
    • Lúc này Firewall sẽ tiến hành ping Des IP để nó tra ra được next hop của nó
    • Sau khi biết IP next hop nó sẽ tiến hành ARP next hop
    - Mục đích của việc Firewall chủ động ARP để bảo mật hơn
    • Đối với Switch: thì nó Flood gói ARP của User ra toàn bộ các interface nên có thể bị capture. Data của user vào 1 cổng và ra nhiều cổng
    • Đối với Firewall nó sẽ giữ data của user lại và dùng gói ARP của chính nó để tìm pc B, sau khi tìm xong nó mới thực hiện forward data của pc A trên đến chính xác cổng của pc B. Như vậy dữ liệu của user sẽ không bị flood ra các interface. Data của user sẽ vào 1 cổng và ra chính xác 1 cổng
    3. Config Virtual Firewall
    - Những ASA từ 8.4 trở về sau chỉ cho transparent trên 1 interface
    - Từ ASA 8.4 cho phép group nhiều interface gọi là Bridge-group. Ví dụ nhóm 2 interface e0/0 và e0/1 vào 1 Bridge-group 1
    Code:
    CISCOASA(config)# interface ethernet0/0
    CISCOASA(config-if)# nameif outside
    CISCOASA(config-if)# security-level 0
    CISCOASA(config-if)# bridge-group 1
    
    CISCOASA(config)# interface ethernet0/1
    CISCOASA(config-if)# nameif inside
    CISCOASA(config-if)# security-level 100
    CISCOASA(config-if)# bridge-group 1
    CISCOASA(config-if)# no shutdown
    - Để kiểm tra firewall đang ở mdoe nào
    Code:
    Show firewall
    - Để chuyển qua mode transparent bạn dùng câu lệnh. Việc chuyển qua mode transparent không cần phải reboot lại
    Code:
    firewall transparent
    - Khi ở mode transparent Firewall cũng cần 1 IP để quản lý như telnet, SSH… IP sẽ được đặt ở mode config
    Code:
    CISCOASA(config)# interface BVInumber
    ciscoasa(config-if)# ip address ip-address subnet-mask

     
    Last edited: Jul 27, 2016

Share This Page