Professional Documents
Culture Documents
ASA透明模式防火墙技术介绍
ASA透明模式防火墙技术介绍
式,防火墙扮演一个二层设备,如同桥或交换机,基于目的 MAC 地
防火墙
首先,透明模式和其它模式的 pk:
路由模式 VS 透明模式
路由模式,防火墙扮演一个三层设备,基于目的 IP 地址转发数据包。
透明模式,防火墙扮演一个二层设备,如同桥或交换机,基于目的
MAC 地址转发以太网帧。
桥模式 VS 透明模式
需要注意的是,虽然透明模式防火墙工作在第二层,但是,它的工
作方式并不完全与二层交换机或桥相同。透明模式防火墙在处理流
量时仍然与交换机有一些不同。
交换机三个主要功能
播、广播地址。
3. 使用生成树协议(STP)来打破第二层环路,保证在源和目的之
间只有一条活动路径存在。
像交换机一样,透明模式防火墙也会完成第一点:当一个帧进入一
预期(准则),并且使用了一个防火墙没有学到(动态或静态)的
第二点与二层设备不同的是,防火墙不参与生成树(STP)。因此,
必须保证在使用透明模式防火墙时,不能故意增加二层环路。如果
的困惑。同样,必须保证不要增加第二层环路。
第三点与交换机不同的是,交换机在第一层和第二层处理流量,透
明模式防火墙可以在第一层到第七层处理流量。因为,透明模式防
火墙既可以基于第二层信息转发流量,又可以基于 Ether-Type
ACLs、IP ACLs、甚至应用层策略(MPF)来转发流量。
透明模式防火墙高不支持的特性
Context 仅支持两个端口。
被泛洪通过透明模式防火墙。
8. 不能配置组播命令。因为组播会被泛洪。
9. 不支持动态路由协议。因为设备工作做第二层。
透明模式防火墙的优点
1. 易于部署,无需改变网络拓扑结构,无需更改原有的 IP 编址方
案。
ACL 而被允许通过透明模式防火墙。
3. 支持很多在路由模式下支持的特性,比如 Failover,NAT(版本
数据流和 ACL
思科仍然在透明模式防火墙使用安全等力(security lecels)在接
口之间控制流量,规则是:
1. 外出的连接默认是允许的,除非被限制
. 进入的连接默认是拒绝的,除非被允许
有一个例外是,默认总是被允许的,用于学习设备的地址。可以被
配置为受限制。
配置透明模式防火墙
防火墙启动时默认为路由模式,配置为透明模式(无需重启)。
Firewall transparent
#Show firewall
配置管理地址、静态路由或默认路由
全局配置 IP 地址,而不是在某个接口下面
Int e0
Nameif outside
No shut
Int e1
Nameif inside
No shut
!
Route inside 2.2.2.0 255.255.255.0 1.1.1.3
MAC 地址表和学习
MAC 地址表条目的默认空闲时间是 5 分钟
Debug mac-addtrss-table
!
额外的第二层特性
非 IP 流量在透明模式防火墙下默认是被拒绝的,需要配置 ether-
{log}
ARP Inspection 配置
减少 ARP 嘲讽对业务的影响。默认是关闭的。
!
Show arp-inspaection
Show arp
Debug arp-inspection
透明模式防火墙配置举例
10 是 non-trusted,vlan 20 是 trusted。
Firewall transparent
Int e0
No shut
Int e0.10
Vlan 10
Nameif outside
Security-level 0
Int e0.20
Vlan 20
Nameif inside
Swcurity-level 100
!