透明防火墙


很明显转发方式不同,功能也有些限制(毕竟不能当路由器用了),访问控制技术都有效



流量处理

添加源mac到mac地址表中

若mac表中存在目的mac则转发

若无则尝试查询

在同一网段,发arp请求

不在同一网段,ping该IP



配置要求

内外接口直连网络必须在相同的子网内部,每一个接口必须在不同的VLAN

必须要配置一个网管IP (重要),可以指定一个特定接口抵达的IP为默认网关,这条路由只起到网管作用,网管IP必须要和内外网段相同,且不能做为网关

组播和广播流量,即便是高到低,需要明确放行(穿越)

单播和路由模式一样,高到低和acl

所有的流量都可以通过extended accesslist(ACL)(for IP traffic)或者EtherTypeACL(for no IP traffic)来放行

ARP默认能够穿越防火墙(双向),可以通过ARPinspection这个技术来控制。

CDP是无法穿越的



实验图

三到七层配置

切换到透明墙ciscoasa(config)#firewalltransparent切换回路由模式ciscoasa(config)#nofirewalltransparentciscoasa(config)#clearconfigureall查看当前模式ciscoasa(config)#showfirewallFirewallmode:Router配置接口interfaceGigabitEthernet0/0nameifDMZbridge-group1security-level50!interfaceGigabitEthernet0/1nameifoutsidebridge-group1security-level0!interfaceGigabitEthernet0/2nameifinsidebridge-group1security-level100ciscoasa(config)#interfacebVI1//这个对应相应的bridge-groupID号ciscoasa(config-if)#ipaddress10.1.10.139255.255.255.0//必须配,否则各个接口通不了现在高安全到低安全能通信,低到高需明确放行ciscoasa(config)#access-listdmz-insideline1extendedpermittcphost10.1.10.17host10.1.10.12eqtelnetciscoasa(config)#access-groupdmz-insideininterfacedmzciscoasa(config)#showconn1inuse,23mostusedTCPDMZ10.1.10.17:23519inside10.1.10.12:23,idle0:02:08,bytes115,flagsUIOB


ospf穿越transport asa

ciscoasa(config)#access-listin-ospf-dmzpermitospfanyanyciscoasa(config)#access-groupin-ospf-dmzininterfaceinsideciscoasa(config)#access-listdmz-ospf-inpermitospfanyanyciscoasa(config)#access-groupdmz-ospf-inininterfacedmZ此时已经能看到ospf路由inside#showiprouteospfO7.7.7.7[110/2]via10.1.10.17,00:01:08,FastEthernet0/0DMZ#showiprouteospfO2.2.2.2[110/2]via10.1.10.12,00:00:52,FastEthernet0/0但却不能通信,默认高到低是能通的,但如果自己接口写了acl(之前放行ospf),那么就不存在默认,必须自己写intelnetdmzaccess-listin-ospf-dmzextendedpermittcpanyanyeqtelnetaccess-groupin-ospf-dmzininterfaceinsidedmztelnetinaccess-listdmz-ospf-inextendedpermittcpanyanyeqtelnetaccess-groupdmz-ospf-inininterfaceDMZintelnetdmz时的表项ciscoasa(config)#showconnTCPDMZ7.7.7.7:23inside10.1.10.12:49046,idle0:00:03,bytes112,flagsUIO

二层配置(即非IP流量)

默认非IP流量不放行

PPPOEPPPOE服务器配置:usernamepppoeuserpassword0cisco!bba-grouppppoeglobalvirtual-template1!interfaceFastEthernet0/0ipadd10.1.10.16255.255.255.0noshupppoeenablegroupglobal!interfaceVirtual-Template1ipunnumberedFastEthernet0/0peerdefaultipaddresspoolippoolpppauthenticationpap!iplocalpoolippool10.1.10.10010.1.10.110PPPOE客户端配置:interfaceFastEthernet0/0noipaddnoshupppoe-clientdial-pool-number1!interfaceDialer1ipaddressnegotiatedipmtu1492encapsulationpppdialerpool1ppppapsent-usernamepppoeuserpassword0cisco在asa放行非IP流量PPPOEaccess-listin-l2-outethertypepermit8863access-listin-l2-outethertypepermit8864access-listout-l2-inethertypepermit8863access-listout-l2-inethertypepermit8864access-groupout-l2-inininterfaceoutsideaccess-groupin-l2-outininterfaceinside查看inside#showipinterbInterfaceIP-AddressOK?MethodStatusProtocolFastEthernet0/0unassignedYESmanualupupDialer110.1.10.100YESIPCPupupVirtual-Access1unassignedYESunsetupup

注:在一个接口的一个方向只能应用三个acl,类型分别为:ipv4-acl 、ipv6-acl 、二层-acl


ARP Inspection


错误映射的ARP包被丢弃配置静态ARP映射激活ARP监控

arp-inspectionDMZenableno-flood//no-flood表示有表就查,没就丢弃arp-inspectionoutsideenableno-flood由于asa上没有写静态ARP映射所以通不了DMZ#showarpProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet10.1.10.160IncompleteARPA//最终arp表项建立失败Internet10.1.10.17-0007.0007.0007ARPAFastEthernet0/0arp-inspectionDMZenableflood//flood表示有表就查,没就放行arp-inspectionoutsideenableflood没有静态ARP映射的arp直接放行DMZ#showarpProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet10.1.10.1600006.0006.0006ARPAFastEthernet0/0Internet10.1.10.17-0007.0007.0007ARPAFastEthernet0/0写静态ARP映射ciscoasa(config)#arpdmz10.1.10.169.9.9//我们在dmz口上写一个错误的表项DMZ#showarp//无论是flood还是no-flood,第一先查表ProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet10.1.10.160IncompleteARPAInternet10.1.10.17-0007.0007.0007ARPAFastEthernet0/0

在outside口抓包,可以看到其实outside是回复了正确的arp响应,但该包里的ip和mac对应关系与ASA表项不符,直接丢弃

ciscoasa(config)#showarp-inspectionciscoasa(config)#showarpciscoasa(config)#showmac-address-tableciscoasa(config)#cleararp


MAC Address Table


cam表主要来自动态学习

收到未知目的mac的包直接丢弃

ciscoasa(config)#mac-learndmzdisable//关闭mac动态学习,可以防止mac的***,当然你得自己添加静态表项ciscoasa(config)#mac-address-tablestaticdmz0001.0001.0001//静态添加cam表项ciscoasa(config)#arpdmzipmac//写静态arp也能添到cam表中,但这arp是需要ip的,cam不需要




多模式防火墙


一个防火墙虚拟多个虚拟防火墙