安全 : Cisco PIX 500 系列安全设备

PIX/ASA:透明防火墙配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

通常,防火墙是一个路由跃点,充当连接到其屏蔽子网之一的主机的默认网关。另一方面,透明防火墙是第 2 层防火墙,作用类似于“线路插件”或“隐藏防火墙”,并不视为到连接设备的路由器跃点。安全设备的内部端口和外部端口连接相同的网络。由于防火墙不是路由跃点,因此,可以很容易地将透明防火墙引入到现有网络,再寻址IP是多余的。

由于没有复杂的路由模式进行故障排除,且无需配置 NAT,因此便于维护。

即使透明模式充当网桥,第 3 层流量(例如 IP 流量)也无法通过安全设备,除非您使用扩展访问列表明确允许其通过。无需访问列表即允许通过透明防火墙的唯一流量是 ARP 流量。ARP 流量可以由 ARP 检查功能控制。

在路由模式下,即使您在访问列表中允许某些类型的流量,这些类型的流量也无法通过安全设备。透明防火墙也可以使用扩展访问列表(用于 IP 流量)或 Ethertype 访问列表(用于非 IP 流量)允许任何流量通过。

例如,可以通过透明防火墙建立路由协议邻接;您可以根据扩展访问列表,允许 VPN (IPSec)、OSPF、RIP、EIGRP 或者 BGP 流量通过。同样,HSRP 或 VRRP 等协议也可以通过安全设备。

可以使用 Ethertype 访问列表,配置非 IP 流量(例如,AppleTalk、IPX、BPDU 和 MPLS)通过。

对于透明防火墙上没有直接支持的功能,您可以允许流量通过,以便上游路由器和下游路由器能够支持该功能。例如,可以使用扩展访问列表,允许 DHCP 流量(而非不受支持的 DHCP 中继功能)或多播流量(如 IP/TV 创建的流量)通过。

当安全设备在透明模式下运行时,数据包的出站接口通过 MAC 地址查找确定,而不是通过路由查找确定。虽然仍可以配置路由语句,但是它们只适用于源于安全设备的流量。例如,如果 syslog 服务器位于远程网络,则必须使用静态路由,这样安全设备才能访问该子网。

您可以设置自适应安全设备,使其在默认的路由防火墙模式或透明防火墙模式下运行。更改模式时,自适应安全设备会清除配置,因为许多命令在这两种模式中不受支持。如果您已拥有填充配置,则在更改模式之前务必备份此配置;创建新配置时,可以使用此备份配置作为参考。

对于多上下文模式,只能对所有上下文使用一种防火墙模式。您必须在系统执行空间中设置该模式。对于多上下文模式,将清除系统配置,这样会删除所有上下文。如果重新添加具有现有配置的上下文,而该配置是针对错误模式创建的,则上下文配置无法正常运行。

注意: 重新添加上下文配置之前,请务必针对正确的模式创建上下文配置,或者为新配置添加具有新路径的新上下文。

注意: 如果使用 firewall transparent 命令将文本配置下载到更改模式的安全设备,请务必将该命令置于配置顶部;执行该命令后,自适应安全设备会立即更改模式,然后继续读取您下载的配置。如果该命令位于配置中的稍后位置,则自适应安全设备会清除配置中之前的所有行。

为了在透明防火墙中配置多上下文模式,请参阅具有外部访问权限的多模式透明防火墙

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • ASA 7.x 及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置也可用于以下硬件和软件版本:

  • PIX 安全设备 7.x 及更高版本

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

透明防火墙

指南

规划透明防火墙网络时,请遵循以下指南:

  • 需要管理 IP 地址;对于多上下文模式,每个上下文都需要一个 IP 地址。

    路由模式的每个接口都需要一个 IP 地址,而与路由模式不同的是,透明防火墙为整个设备分配一个 IP 地址。安全设备将此 IP 地址用作安全设备上始发的数据包(例如系统消息或 AAA 通信)的源地址。

    管理 IP 地址与连接的网络必须位于相同的子网。您不能将该子网设置为主机子网 (255.255.255.255)。

  • 透明安全设备仅使用一个内部接口和一个外部接口。如果您的平台包括一个专用管理接口,则也可以仅为管理流量配置该管理接口或子接口。

    在单一模式中,即使安全设备包含两个以上的接口,您也只能使用两个数据接口和专用管理接口(如果可用)。

  • 每个直接连接的网络必须位于相同的子网。

  • 请勿将安全设备管理 IP 地址指定为连接设备的默认网关;设备需要将安全设备另一端的路由器指定为默认网关。

  • 对于多上下文模式,每个上下文必须使用不同的接口;您无法在上下文之间共享接口。

  • 对于多上下文模式,每个上下文通常会使用不同的子网。您可以使用重叠的子网,但是网络拓扑需要路由器和 NAT 配置,以便进行路由。

  • 您必须使用扩展访问列表来允许第 3 层流量(例如 IP 流量)通过安全设备。

    此外,还可以选择性地使用 Ethertype 访问列表来允许非 IP 流量通过。

允许的 MAC 地址

以下目标 MAC 地址允许通过透明防火墙。不在此列表上的所有 MAC 地址将被丢弃。

  • 等于 FFFF.FFFF.FFFF 的 TRUE 广播目标 MAC 地址

  • 范围从 0100.5E00.0000 到 0100.5EFE.FFFF 的 IPv4 多播 MAC 地址

  • 范围从 3333.0000.0000 到 3333.FFFF.FFFF 的 IPv6 多播 MAC 地址

  • 等于 0100.0CCC.CCCD 的 BPDU 多播地址

  • 范围从 0900.0700.0000 到 0900.07FF.FFFF 的 AppleTalk 组播 MAC 地址

不支持的功能

在透明模式下不支持以下功能:

  • NAT/PAT

    NAT 是在上游路由器上执行的。

    注意: 从 ASA/PIX 8.0(2) 开始,透明防火墙支持 NAT/PAT。在透明模式的参考的NAT欲知更多信息。

  • 动态路由协议(例如 RIP、EIGRP、OSPF)

    您可以为安全设备上始发的流量添加静态路由。此外,还可以使用扩展访问列表,允许动态路由协议通过安全设备。

    注意: IS-IS 是 IP 协议 124(is-is 基于 ipv4)。可以允许 IS-IS 临时数据包以 ACL 形式(允许协议 124)通过透明模式。透明模式支持所有 255 种 IP 协议。

  • IPv6

  • DHCP 中继

    透明防火墙可以作为 DHCP 服务器,但它不支持 DHCP 中继命令。由于您可以使用扩展访问列表来允许 DHCP 流量通过,因此不需要 DHCP 中继。

  • 服务质量 (QoS)

  • 组播

    如果在扩展访问列表中允许多播流量,则可以允许多播流量通过安全设备。在透明防火墙中,访问列表必须将多播流量从较高安全区域传递到较低安全区域,以及从较低安全区域传递到较高安全区域。在正常防火墙中,则不需要从较高安全区域传递到较低安全区域。有关详细信息,请参阅“防火墙服务模块透明防火墙配置示例”中的通过流量部分。

  • 通过流量的 VPN 终止

    透明防火墙支持仅用于管理连接的站点到站点的 VPN 隧道。它不会终止通过安全设备的流量的 VPN 连接。您可以使用扩展访问列表让 VPN 流量通过安全设备,但它不会终止非管理连接。

注意: 透明模式安全设备不会传递 CDP 数据包,也不会传递没有大于或等于 0x600 的有效 Ethertype 的任何数据包。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

网络图显示了一个典型的透明防火墙网络,其中外部设备与内部设备位于相同的子网。内部路由器和主机显示为直接连接到外部路由器。

/image/gif/paws/97853/Transparent-firewall-1.gif

配置

ASA 8.x
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!

!--- In order to set the firewall mode to transparent mode

firewall transparent
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500


!--- IP Address for the Management. 
!---  Avoid using this IP Address as a default gateway.
!---  The security appliance uses this address as the source address
!---  for traffic originating on the security appliance, such as system 
!---  messages or communications with AAA servers. You can also use this 
!---  address for remote management access. 


ip address 192.168.1.1 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1



!--- Output Suppressed



service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa(config)#

数据在不同的情况下通过透明防火墙

内部用户访问外部电子邮件服务器

内部网络上的用户访问置于 Internet(外部)中的电子邮件服务器。安全设备会接收数据包,并将源 MAC 地址添加到 MAC 地址表(如有需要)。由于它是新会话,因此会根据安全策略(访问列表、过滤器或 AAA)的条款来验证是否允许数据包。

注意: 对于多上下文模式,安全设备首先会根据唯一的接口将数据包分类。

安全设备将对会话建立情况进行记录。如果目标 MAC 地址位于安全设备的表中,则安全设备会转发外部接口之外的数据包。目标 MAC 地址是上游路由器 192.168.1.2 的地址。如果目标 MAC 地址不在安全设备的表中,安全设备将会尝试在发送 ARP 请求和 ping 时发现该 MAC 地址。第一个数据包将被丢弃。

电子邮件服务器会响应请求;由于已建立会话,因此数据包将绕过与新连接相关联的许多查找。安全设备会将数据包转发给内部用户。

内部用户使用 NAT 访问 Web 服务器

如果在 Internet 路由器中启用 NAT,则通过 Internet 路由器的数据包流会稍有变化。

内部网络上的用户访问置于 Internet(外部)中的电子邮件服务器。安全设备会接收数据包,并将源 MAC 地址添加到 MAC 地址表(如有需要)。由于它是新会话,因此会根据安全策略(访问列表、过滤器或 AAA)的条款来验证是否允许数据包。

注意: 对于多上下文模式,安全设备首先会根据唯一的接口将数据包分类。

Internet 路由器会将主机 A (192.168.1.5) 的实际地址转换为 Internet 路由器 (172.16.1.1) 的映射地址。由于映射地址与外部接口位于不同的网络上,请确保上游路由器具有到指向安全设备的映射网络的静态路由。

安全设备将对会话建立情况进行记录并转发外部接口的数据包。如果目标 MAC 地址位于安全设备的表中,则安全设备会转发外部接口之外的数据包。目标 MAC 地址是上游路由器 172.16.1.1 的地址。如果目标 MAC 地址不在安全设备的表中,安全设备将会尝试在发送 ARP 请求和 ping 时发现该 MAC 地址。第一个数据包将被丢弃。

电子邮件服务器会响应请求;由于已建立会话,因此数据包将绕过与新连接相关联的许多查找。安全设备会在将映射地址转换为实际地址 192.168.1.5 时执行 NAT。

内部用户访问内部 Web 服务器

如果主机 A 尝试访问内部 Web 服务器 (10.1.1.1),则主机 A (192.168.1.5) 会通过 ASA 从内部向外部将请求数据包发送到 Internet 路由器(因为它是默认网关)。然后,数据包会通过 ASA(从外部向内部)和内部路由器重定向到 Web 服务器 (10.1.1.1)。

/image/gif/paws/97853/Transparent-firewall-1.gif

注意: 只有当 ASA 具有允许从外部到内部的流量的访问列表,请求数据包才能返回 Web 服务器。

为了解决此问题,请将主机 A (10.1.1.1) 的默认网关更改为内部路由器 (192.168.1.3),而不是 Internet 路由器 (192.168.1.2)。这样可避免将任何不必要的流量发送到外部网关,以及可重定向外部路由器(Internet 路由器)上出现的流量。它也会反向解析,亦即,当 Web 服务器或内部路由器中存在的任何主机 (10.1.1.0/24) 尝试访问主机 A (192.168.1.5) 时。

外部用户访问内部网络上的 Web 服务器

以下步骤描述了数据如何通过安全设备:

外部网络中的用户向内部 Web 服务器请求一个网页。安全设备会接收数据包,并将源 MAC 地址添加到 MAC 地址表(如有需要)。由于它是新会话,因此会根据安全策略(访问列表、过滤器或 AAA)的条款来验证是否允许数据包。

注意: 对于多上下文模式,安全设备首先会根据唯一的接口将数据包分类。

只有当外部用户具有访问内部 Web 服务器的有效权限时,安全设备才会对会话建立情况进行记录。必须将访问列表配置为允许外部用户访问 Web 服务器。

如果目标 MAC 地址位于安全设备的表中,则安全设备会转发内部接口之外的数据包。目标 MAC 地址是下游路由器 192.168.1.3 的地址。

如果目标 MAC 地址不在安全设备的表中,安全设备将会尝试在发送 ARP 请求和 ping 时发现该 MAC 地址。第一个数据包将被丢弃。

Web 服务器会响应请求;由于已建立会话,因此数据包将绕过与新连接相关联的许多查找。安全设备会将数据包转发给外部用户。

外部用户尝试访问内部主机

外部网络中的用户尝试访问内部主机。安全设备会接收数据包,并将源 MAC 地址添加到 MAC 地址表(如有需要)。由于它是新会话,因此会根据安全策略(访问列表、过滤器或 AAA)的条款来验证是否允许数据包。

注意: 对于多上下文模式,安全设备首先会根据唯一的接口将数据包分类。

由于外部用户没有访问内部主机的权限,因此数据包将被拒绝,并且安全设备会丢弃数据包。如果外部用户试图攻击内部网络,安全设备将采用多种方法来确定数据包是否对已建立的会话有效。

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

ciscoasa(config)# sh firewall
Firewall mode: Transparent

故障排除

目前没有针对此配置的故障排除信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 97853