搜索
CCNPSecurityV4ASA第五天:透明防火墙与多模防火墙第五天课程介绍•透明防火墙简介•透明防火墙3-7层访问控制•透明防火墙2层访问控制•多模式防火墙第一部分透明防火墙介绍透明防火墙介绍•CiscoASA可以运行两种模式:•1.路由模式:也就是3层防火墙,基于IP地址转发流量。•2.透明模式:也就是2层防火墙,基于MAC地址转发流量。•由邻居路由器和主机做路由决定透明防火墙的限制•1.只支持2接口(8.4以后引入bridge-group概念,每一个bridge-group内可以支持多个接口)•2.不支持以下特性:•---DHCPreley•---Dynamicroutingprotocols•---DynamicDNS•---MulticastIProuting•---QOS•---VPNtermination(exceptformanagementtraffic)•3.从8.2(1)开始,透明防火墙能够支持IPv6透明防火墙对Outbound流量处理•1.ASA添加源MAC地址到MAC地址表中•2.如果目的MAC地址在MAC地址表中,ASA从适当的接口转发这个包出去•3.如果目的MAC地址不在MAC地址表,ASA则尝试查询这个MAC地址透明防火墙对Inbound流量处理•1.ASA添加源MAC地址到MAC地址表中•2.如果目的MAC地址在MAC地址表中,ASA从适当的接口转发这个包出去•3.如果目的MAC地址不在MAC地址表中,ASA则尝试查询这个MAC地址透明墙配置指南(一)•内外接口直连网络必须在相同的子网内部•必须要配置一个网管IP(重要)•网管IP必须要和内外网段相同•网管IP不能够作为网关使用•组播和广播流量需要明确放行(穿越)透明墙配置指南(二)•6.可以指定一个特定接口抵达的IP为默认网关,这条路由只起到网管作用•7.每一个接口必须在不同的VLAN•8.所有的流量都可以通过ACL(forIPtraffic)或者EtherTypeACL(fornoIPtraffic)来放行•9.ARP默认能够穿越防火墙,可以通过ARPinspection这个技术来控制•10.CDP是无法穿越的透明墙配置拓扑切换到透明墙•使用firewalltransparent切换到透明墙•切换回routedfirewall•--nofirewalltransparent•--clearconfigall•多模式防火墙只能支持一种类型•切换模式会丢失所有配置,需要提前备份配置初始化路由器初始化交换机配置Bridge-group配置Bridge-Group第二部分透明防火墙3-7层访问控制配置IOS3-7层访问控制•1.能够使用所有的访问控制技术,也就是说这些技术在透明模式和路由模式下一样有效。•--访问列表•--应用层监控和控制•--基于用户的策略•--IPS和防病毒模块•2.这些访问控制和路由模式的安全设备上配置是完全一样的•3.透明模式能够转发一些不能再路由模式转发的流量透明防火墙默认的安全策略•1.单播IP流量和路由模式一样,遵循相同的安全级别和ACL规则•2.ARP流量是默认被双向通过的•3.广播和组播的IP流量(路由协议,组播数据流)必须使用ACL在全部接口明确放行才可以通过•4.在所有接口使用以太网类型的ACL放行其他的非IP协议允许组播和广播的流量•1.使用接口访问控制列表•--使用目的地址255.255.255.255来允许3层的广播穿越设备•--使用目的地址设置为组播地址来允许组播流量•--访问控制列表必须在两个接口上被运用•--允许DHCPEIGRPOSPFRIPHSRP广播和组播数据流•2.例如:一个OSPF的路由协议可以穿越设备建立邻居关系OSPF穿越透明墙内外都要放行OSPF流量(组播流量需要明确放行)access-listout2permitospfanyanyaccess-listin2permitospfanyanyaccess-groupout2ininterfaceb2-outsideaccess-groupin2ininterfaceb2-inside测试穿越流量inbound流量B2.out:telnet202.100.2.1(通)telnet2.2.2.2/source-interfacelo0(不通)outbound流量B2.intelnet202.100.1.1(不通)telnet1.1.1.1/source-interfacelo0(不通)放行outbound流量:access-listin2permittcphost202.100.2.2host202.100.2.1eqtelnetaccess-listin2permittcphost2.2.2.2host1.1.1.1eqtelnet允许Non-IPtraffic•执行以太网类型ACL•--以太网类型的ACL必须运用到所有接口•ASAOS8.4之后可以允许BPDU的流量穿越防火墙PPPOE穿越防火墙拓扑PPPOE穿越防火墙配置EtherTypeACL放行PPPOE•access-listout1-etherethertypepermit8863•access-listout1-etherethertypepermit8864•access-listin1-etherethertypepermit8863•access-listin1-etherethertypepermit8864•access-groupout1-etherininterfaceoutside•access-groupin1-etherininterfaceinsideARPInspection•1.ARP欺骗•---ARP欺骗能被使用来执行中间人攻击•---攻击者欺骗ARP回复或者免费ARP•2.CiscoASA在透明模式能配置ARP监控•--错误映射的ARP包被丢弃•--配置静态ARP映射•--激活ARP监控测试ARP监控测试ARPInspection测试ARPInspection测试ARPInspectionMACAddresstable•1.MAC地址表,经常被用于基于目的MAC地址来查找出接口•2.CAM表根据收到的帧的二层MAC地址动态构建•3.如果目的MAC地址在CAM表中没有被找到,不泛洪这个帧(丢弃)MACAddressTable•1.动态MAC地址学习功能是可以关闭的•2.能够阻止使用MAC地址欺骗技术而造成的DOS攻击•3.能够阻止通过MAC地址泛洪而造成的CAM表溢出攻击•4.所有连接到ASA的设备MAC地址需要手动被配置静态添加MAC地址•mac-address-tablestaticb2-inside0002.0002.0002mac-address-tablestaticb2-outside0001.0001.0001禁用MAC地址学习功能•mac-learnb2-outsidedisable•mac-learnb2-insidedisable第四部分多模式防火墙Cisco防火墙虚拟化概述•1.一个单一CiscoASA可以划分多个虚拟防火墙,被称为子防火墙(Securitycontext)•2.每一个子墙都拥有自己的接口和安全策略•3.子墙能够共享接口子防火墙配置文件•多模式的CiscoASA有如下配置文件:•1.每一个子墙都有自己的配置文件•2.CiscoASA也有一个系统配置,它包含CiscoASA的基本配置,包括一个关于子墙的列表(创建子防火墙,关联接口,存盘目录)多模墙部署指导方针•在Cisco防火墙上使用多模式,考虑如下的部署指导方针:•1.当使用透明模式的多模防火墙时,防火墙模式设置会影响整个Cisco防火墙(不能一部分路由,一部分透明)•2.当使用透明的多模式防火墙时,首先改变防火墙的模式并创建子墙•3.当使用透明多模式的防火墙时,不能使用共享接口•4.当使用共享接口(或子接口)的时候,要为每一个子防火墙的共享接口指定不同的MAC地址•5.考虑配置子墙资源管理是为了防止一个子墙耗尽整个防火墙的系统资源子防火墙的局限性•1.ASA5505不支持子墙(多模墙)•2.可用的子墙数量,依赖于选购的License和ASA的硬件模式•3.使用子墙(多模式),不支持如下特性:•--Dynamicroutingprotocol•--MulticastIProuting•--Threatdetection•--VPN•--Phoneproxy配置多模式防火墙(一)•1.改变防火墙单模到多模式•-创建一个名为admin的子墙•-单模式的“runningconfiguration”将会转换到systemconfiguration(系统配置)和admin.cfg(子防火墙配置)•-原始的runningconfiguration被保存为“old_running.cfg”•-单模墙的runningconfiguration被应用到admincontext(管理类型的子墙)配置多模式防火墙(二)•2.分配接口到一个子防火墙•-在单一模式被激活接口指派到admincontext。在单一模式关闭的接口将不会被指定到任何子墙。•-创建一个新的子墙,它默认没有被关联到任何接口,必须在系统配置下指派接口到子墙•-在系统配置下激活一个接口•-在路由模式,能够指派相同的接口到多个子墙指定Startconfiguration配置•3.指定startconfiguration位置•一个新的子墙在你指定startupconfiguration存盘位置之前是不能操作的。•存储位置被指定一个URL•能够指定如下的URL类型•1.disk0/flash:配置文件存储在设备上的flash中•2.disk1:配置文件存储在设备上的CF卡中•3.tftp:配置文件存储在外部的TFTP服务器上•4.ftp:配置文件存储在外部FTP服务器上•5.http(s):配置文件存储在外部http服务器上(只读)配置多模式防火墙(四)•4.配置管理类型的子墙•是一个特殊的,具有管理角色的子墙•1.系统配置没有可转发流量的接口,它使用管理子墙的策略和接口来和其他设备通信•2.管理子墙用于查询其他子墙的配置和发送系统级别的日志信息•3.用户登入管理类型的子墙上可以访问系统配置和所有的其他子墙•5.管理类型的子墙去除掉它对系统的意义,它可以像一个普通防火墙一样被使用•默认,管理类型的子墙只作为管理角色出现多模式防火墙的包归类•1.路由模式允许在子墙共享接口•2.防火墙必须决定由哪个子墙去发送包•3每一个进入防火墙的包,都必须通过分类进入一个子防火墙•4.防火墙对包的分类有以下三种:——唯一的接口——唯一的MAC地址——唯一的全局IP地址(NAT配置)•5.如果子墙使用一个共享MAC地址的共享接口,并且NAT没有被使用,则包无法被分类包归类示意图多模式防火墙配置实例逻辑图多模式防火墙配置实例物理图如何切换到多模式•ASA(config)#modemultiple•当单模式转换到多模式,配置会被清空,系统会把原来的running进行备份•新的多模式里面会出现一个系统全局配置和一个admincontext的配置查看防火墙模式•查看防火墙类型(Route/Transparent)•ASA#showfirewall•查看防火墙模式(multiple/Single)•ASA#showmode初始化接口•系统全局配置模式:•hostnameMFW•interfaceEthernet0/0•noshutdown•interfaceEthernet0/1•noshutdown•interfaceEthernet0/1.3•vlan3•interfaceEthernet0/1.4•vlan4•interfaceEthernet0/1.5•vlan5创建子防火墙admin•系统全局配置模式:•ASA(config)#deleteflash:/admin.cfg•Deletefilename[admin.c