ASA 透明模式防火墙技术介绍

首先，透明模式和其它模式的 pk: 路由模式 VS 透明模式 路由模式，

防火墙扮演一个三层设备，基于目的 IP 地址转发数据包。 透明模

式，防火墙扮演一个二层设备，如同桥或交换机，基于目的 MAC 地

址转发以太网??桥模式 VS 透明模式 需要注意的是，虽然透明模式

防火墙

首先，透明模式和其它模式的 pk:

路由模式 VS 透明模式

路由模式，防火墙扮演一个三层设备，基于目的 IP 地址转发数据包。

透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的

MAC 地址转发以太网帧。

桥模式 VS 透明模式

需要注意的是，虽然透明模式防火墙工作在第二层，但是，它的工

作方式并不完全与二层交换机或桥相同。透明模式防火墙在处理流

量时仍然与交换机有一些不同。
交换机三个主要功能

1. 学习与每个端口匹配的 MAC 地址，并将它们存储在 MAC 地址表中

（有时一叫做 CAM 表）。

智能地使用 MAC 地址表转发流量，但是会泛洪未知目的的单播、组

播、广播地址。

3. 使用生成树协议（STP）来打破第二层环路，保证在源和目的之

间只有一条活动路径存在。

像交换机一样，透明模式防火墙也会完成第一点：当一个帧进入一

个接口，设备会比较帧中的源 MAC 地址，并且把它添加到 MAC 地址

表中（如果 MAC 地址表中没有这个地址）。

防火墙同样使用 MAC 地址表，智能地基于帧的目的 MAC 地址进行转

发；但是，防火墙不会泛洪 MAC 地址表不存在的未知的目的单播 MAC

地址。防火墙假设，如果设备使用 TCP/IP，可以通过 ARP 进程来发

现与三层 IP 地址相匹配的目的 MAC 地址。如果一台设备打破了这个

预期（准则），并且使用了一个防火墙没有学到（动态或静态）的

MAC 地址，防火墙将丢弃未知的目的 MAC 地址。

简单的说，就是不泛洪未知的目的 MAC 地址。

第二点与二层设备不同的是，防火墙不参与生成树（STP）。因此，

必须保证在使用透明模式防火墙时，不能故意增加二层环路。如果

有环路，你会很快的该设备和交换机的 CPU 利用率会增加到 100％。

上图中，建议在交换机的连接透明防火墙的两个端口上过滤

BPDUs，或禁用 STP，来缓解交换机从不同的端口看到自己的 BPDUs

的困惑。同样，必须保证不要增加第二层环路。

第三点与交换机不同的是，交换机在第一层和第二层处理流量，透

明模式防火墙可以在第一层到第七层处理流量。因为，透明模式防

火墙既可以基于第二层信息转发流量，又可以基于 Ether-Type

ACLs、IP ACLs、甚至应用层策略（MPF）来转发流量。

透明模式防火墙高不支持的特性

1. 仅支持两个接口（物理的或逻辑的），在使用 Context 时，每个

Context 仅支持两个端口。

不能终止 VPN，比如 IPSec 和 WEBVPN。

3. CDP 和 IPv6 数据包会被丢弃。

4. Eternet frames that don’t have a valid Ether-Type

greater than or equal to 0x600 are droped; however, you can

make exceptions for STP BPDUs and certain non-IP protocols.

5. 从版本 7，不支持 NAT；在版本 8，NAT 是可选的。

6. 在策略中不支持 LLQ 的 QoS。

7. 设备不能扮演 DHCP relay。因为 DHCP requests 是广播的，允许

被泛洪通过透明模式防火墙。

8. 不能配置组播命令。因为组播会被泛洪。

9. 不支持动态路由协议。因为设备工作做第二层。

透明模式防火墙的优点

1. 易于部署，无需改变网络拓扑结构，无需更改原有的 IP 编址方

案。

允许非 IP 流量穿越防火墙。默认是拒绝的，比如 Appale

Talk,IPX,STP BPDUs 和 MPLS。这些流量可以通过配置 Ether-Type

ACL 而被允许通过透明模式防火墙。

3. 支持很多在路由模式下支持的特性，比如 Failover，NAT（版本

8），状态过滤，标准和扩展 ACL，CTP，WEB 内容过滤，MPF 等等。

数据流和 ACL

思科仍然在透明模式防火墙使用安全等力（security lecels）在接

口之间控制流量，规则是：

1. 外出的连接默认是允许的，除非被限制

. 进入的连接默认是拒绝的，除非被允许
有一个例外是，默认总是被允许的，用于学习设备的地址。可以被

配置为受限制。

配置透明模式防火墙

防火墙启动时默认为路由模式，配置为透明模式（无需重启）。

Firewall transparent

#Show firewall

Firewall mode: Transparent

配置管理地址、静态路由或默认路由

全局配置 IP 地址，而不是在某个接口下面

Int e0

Nameif outside

No shut

Int e1

Nameif inside

No shut

Ip add 1.1.1.1 255.255.255.0 standby 1.1.1.2

!
Route inside 2.2.2.0 255.255.255.0 1.1.1.3

Route outside 0.0.0.0 0.0.0.0 1.1.1.254

注：standby 用于 Failover 配置时标识 stanbdy unit。

MAC 地址表和学习

MAC 地址表条目的默认空闲时间是 5 分钟

Mac-address-table aging-time minuts

静态添加 MAC 地址（用于某些设备不支持 ARP 影响，否则某些数据

包会因未知的单播 MAC 地址而被丢弃）。

Mac-address-table static logical_if_name mac_address

有时，为了防止对于默认网关和 DHCP 服务器的 MAC 地址嘲讽攻击，

而关闭 MAC 地址学习功能,这是必须手工配置必要的 MAC 地址条目。

Mac-learn logical_if_name disable

使用 Debug 命令来查看 MAC 地址学习功能

Debug mac-addtrss-table
!

额外的第二层特性

非 IP 流量和 Ether-Type ACLs

非 IP 流量在透明模式防火墙下默认是被拒绝的，需要配置 ether-

Type ACLs 来允许、

Access-list ACL_ID ethertype {deny | permit} {ipx | bpdu |

mpls-unicast | mpls-multicast | any | hex_#_of_protocol}

{log}

Access-group ACL_ID in interface logical_if_name

注：对于允许非 IP 流量，需要将 ACL 用于双向的接口上。

ARP Inspection 配置

减少 ARP 嘲讽对业务的影响。默认是关闭的。

Arp-inspection logical_if_name enable {flood | no-flood}

默认是 flood，即泛洪从该接口上收到的所有 ARP 数据包。当使用

no-flood 时，必须手工添加静态的 ARP 条目。

Arp logical_if_name IP_address MAC-address

!
Show arp-inspaection

Show arp

Debug arp-inspection

透明模式防火墙配置举例

防火墙只有一个物理接口连接到交换机，使用 802.1q trunk，vlan

10 是 non-trusted，vlan 20 是 trusted。

Firewall transparent

Int e0

No shut

Int e0.10

Vlan 10

Nameif outside

Security-level 0

Int e0.20

Vlan 20

Nameif inside

Swcurity-level 100
!

Ip address 10.0.1.253 255.255.255.0

Access-list ACLoutside permit icmp any any

Access-list ACLoutside permit tcp any any eq 80

Access-list ACLoutside permit tcp any any eq 21

Access-list ACLoutside permit tap any any eq 25

Access-list ACLoutside permit tcp any any eq 53

Access-list ACLoutside deby ip any any

Access-group ACLoutside in interface outside