ASA透明防火墻_06

透明防火墻

很明顯轉(zhuǎn)發(fā)方式不同，功能也有些限制（畢竟不能當(dāng)路由器用了），訪問(wèn)控制技術(shù)都有效

流量處理

添加源mac到mac地址表中

若mac表中存在目的mac則轉(zhuǎn)發(fā)

若無(wú)則嘗試查詢(xún)

    在同一網(wǎng)段，發(fā)arp請(qǐng)求

    不在同一網(wǎng)段，ping該IP

配置要求

1. 內(nèi)外接口直連網(wǎng)絡(luò)必須在相同的子網(wǎng)內(nèi)部，每一個(gè)接口必須在不同的VLAN

2. 必須要配置一個(gè)網(wǎng)管IP （重要），可以指定一個(gè)特定接口抵達(dá)的IP為默認(rèn)網(wǎng)關(guān)，這條路由只起到網(wǎng)管作用，網(wǎng)管IP必須要和內(nèi)外網(wǎng)段相同，且不能做為網(wǎng)關(guān)

3. 組播和廣播流量，即便是高到低，需要明確放行（穿越）

4. 單播和路由模式一樣，高到低和acl
   

5. 所有的流量都可以通過(guò)extended access list(ACL)(for IP traffic)或者EtherType ACL(for no IP traffic)來(lái)放行

6. ARP默認(rèn)能夠穿越防火墻（雙向），可以通過(guò)ARP inspection這個(gè)技術(shù)來(lái)控制。

7. CDP是無(wú)法穿越的

實(shí)驗(yàn)圖

三到七層配置

切換到透明墻
ciscoasa(config)# firewall transparent
切換回路由模式
ciscoasa(config)# no firewall transparent 
ciscoasa(config)# clear configure all
查看當(dāng)前模式
ciscoasa(config)# show firewall 
Firewall mode: Router

配置接口
interface GigabitEthernet0/0
 nameif DMZ
 bridge-group 1
 security-level 50
!
interface GigabitEthernet0/1
 nameif outside
 bridge-group 1
 security-level 0
!
interface GigabitEthernet0/2
 nameif inside
 bridge-group 1
 security-level 100
 
 
ciscoasa(config)# interface bVI 1        //這個(gè)對(duì)應(yīng) 相應(yīng)的bridge-group ID號(hào)
ciscoasa(config-if)# ip address 10.1.10.139 255.255.255.0    //必須配，否則各個(gè)接口通不了


現(xiàn)在高安全到低安全 能通信，低到高需明確放行
ciscoasa(config)#access-list dmz-inside line 1 extended permit tcp host 10.1.10.17 host 10.1.10.12 eq telnet
ciscoasa(config)# access-group dmz-inside in interface dmz

ciscoasa(config)# show conn
1 in use, 23 most used

TCP DMZ  10.1.10.17:23519 inside  10.1.10.12:23, idle 0:02:08, bytes 115, flags UIOB

ospf穿越transport asa

ciscoasa(config)# access-list in-ospf-dmz permit ospf any any
ciscoasa(config)# access-group in-ospf-dmz in interface inside 

ciscoasa(config)# access-list dmz-ospf-in permit ospf any any 
ciscoasa(config)# access-group dmz-ospf-in in interface dmZ

此時(shí)已經(jīng)能看到ospf路由
inside#show ip route ospf
O        7.7.7.7 [110/2] via 10.1.10.17, 00:01:08, FastEthernet0/0
DMZ#show ip route ospf
O        2.2.2.2 [110/2] via 10.1.10.12, 00:00:52, FastEthernet0/0

但卻不能通信，默認(rèn)高到低是能通的，但如果自己接口寫(xiě)了acl（之前放行ospf），那么就不存在默認(rèn)，必須自己寫(xiě)

in telnet dmz
access-list in-ospf-dmz extended permit tcp any any eq telnet
access-group in-ospf-dmz in interface inside

dmz telnet in
access-list dmz-ospf-in extended permit tcp any any eq telnet
access-group dmz-ospf-in in interface DMZ

in telnet dmz 時(shí)的表項(xiàng)
ciscoasa(config)# show conn 
TCP DMZ  7.7.7.7:23 inside  10.1.10.12:49046, idle 0:00:03, bytes 112, flags UIO

二層配置（即非IP流量）

默認(rèn)非IP流量不放行

PPPOE

PPPOE服務(wù)器配置:
username pppoeuser password 0 cisco
!
bba-group pppoe global
virtual-template 1
!
interface FastEthernet0/0
ip add 10.1.10.16 255.255.255.0
no shu	
pppoe enable group global
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool ippool
ppp authentication pap
!
ip local pool ippool 10.1.10.100 10.1.10.110
PPPOE客戶(hù)端配置:
interface FastEthernet0/0
no ip add 
no shu
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip mtu 1492
encapsulation ppp
dialer pool 1
ppp pap sent-username pppoeuser password 0 cisco

在asa放行非IP流量 PPPOE

access-list in-l2-out ethertype permit 8863 
access-list in-l2-out ethertype permit 8864

access-list out-l2-in ethertype permit 8863 
access-list out-l2-in ethertype permit 8864

access-group out-l2-in in interface outside
access-group in-l2-out in interface inside

查看
inside#show ip inter b
Interface              IP-Address      OK? Method Status                Protocol
FastEthernet0/0        unassigned      YES manual up                    up       
Dialer1                10.1.10.100     YES IPCP   up                    up         
Virtual-Access1        unassigned      YES unset  up                    up

注：在一個(gè)接口的一個(gè)方向只能應(yīng)用三個(gè)acl，類(lèi)型分別為：ipv4-acl 、ipv6-acl 、二層-acl

ARP Inspection

錯(cuò)誤映射的ARP包被丟棄 配置靜態(tài)ARP映射 激活A(yù)RP監(jiān)控

arp-inspection DMZ enable no-flood            //no-flood表示有表就查，沒(méi)就丟棄
arp-inspection outside enable no-flood
由于asa上沒(méi)有寫(xiě)靜態(tài)ARP映射所以通不了
DMZ#show arp 
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.10.16              0   Incomplete      ARPA           //最終arp表項(xiàng)建立失敗
Internet  10.1.10.17              -   0007.0007.0007  ARPA   FastEthernet0/0


arp-inspection DMZ enable flood            //flood表示有表就查，沒(méi)就放行
arp-inspection outside enable flood
沒(méi)有靜態(tài)ARP映射的arp直接放行
DMZ#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.10.16              0   0006.0006.0006  ARPA   FastEthernet0/0
Internet  10.1.10.17              -   0007.0007.0007  ARPA   FastEthernet0/0


寫(xiě)靜態(tài)ARP映射
ciscoasa(config)# arp dmz 10.1.10.16 9.9.9    //我們?cè)赿mz口上寫(xiě)一個(gè)錯(cuò)誤的表項(xiàng)

DMZ#show arp                                 //無(wú)論是flood還是no-flood，第一先查表
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.10.16              0   Incomplete      ARPA   
Internet  10.1.10.17              -   0007.0007.0007  ARPA   FastEthernet0/0

在outside口抓包，可以看到其實(shí)outside是回復(fù)了正確的arp響應(yīng)，但該包里的ip和mac對(duì)應(yīng)關(guān)系與ASA表項(xiàng)不符，直接丟棄

ciscoasa(config)# show arp-inspection
ciscoasa(config)# show arp 
ciscoasa(config)# show mac-address-table 
ciscoasa(config)# clear arp

MAC Address Table

cam表主要來(lái)自動(dòng)態(tài)學(xué)習(xí)

收到未知目的mac的包直接丟棄

ciscoasa(config)# mac-learn dmz disable  //關(guān)閉mac動(dòng)態(tài)學(xué)習(xí)，可以防止mac的***，當(dāng)然你得自己添加靜態(tài)表項(xiàng)
ciscoasa(config)# mac-address-table static dmz 0001.0001.0001   //靜態(tài)添加cam表項(xiàng)
ciscoasa(config)# arp dmz ip mac        //寫(xiě)靜態(tài)arp 也能添到cam表中，但這arp是需要ip的，cam不需要

多模式防火墻

一個(gè)防火墻虛擬多個(gè)虛擬防火墻