asa防火墙技术

876581197

首要，透明方法和其它方法的pk:
路由方法VS透明方法

路由方法，扮演一个三层设备，依据目的IP地址转发数据包。
透明方法，防火墙扮演一个二层设备，如同桥或交换机，依据目的MAC地址转发以太网帧。
桥方法VS透明方法
需要注重的是，虽然透明方法防火墙作业在第二层，可是，它的作业方法并不完全与二层交换机或桥一样。透明方法防火墙在处置流量时仍然与交换机有一些不一样。
交换机三个首要功用
1. 学习与每个端口匹配的MAC地址，并将它们存储在MAC地址表中（有时一叫做CAM表）。
. 智能地运用MAC地址表转发流量，可是会泛洪不知道目的的单播、组播、广播地址。
3. 运用生成树协议（STP）来打破第二层环路，保证在源和目的之间只需一条活动方法存在。
像交换机一样，透明方法防火墙也会结束第一点：当一个帧进入一个接口，设备会比较帧中的源MAC地址，并且把它添加到MAC地址表中（假若MAC地址表中没有这个地址）。
防火墙一样运用MAC地址表，智能地依据帧的目的MAC地址进行转发；可是，防火墙不会泛洪MAC地址表不存在的不知道的目的单播MAC地址。防火墙假定，假若设备运用TCP/IP，可以颠末ARP进程来发现与三层IP地址相匹配的目的MAC地址。假若一台设备打破了这个预期（准则），并且运用了一个防火墙没有学到（动态或静态）的MAC地址，防火墙将丢弃不知道的目的MAC地址。
简略的说，就是不泛洪不知道的目的MAC地址。
第二点与二层设备不一样的是，防火墙不参与生成树（STP）。因此，有必要保证在运用透明方法防火墙时，不能故意添加二层环路。假若有环路，你会很快的该设备和交换机的CPU利用率会添加到100％。


上图中，主张在交换机的联接透明防火墙的两个端口上过滤BPDUs，或禁用STP，来减轻交换机从不一样的端口看到自己的BPDUs的利诱。一样，有必要保证不要添加第二层环路。
第三点与交换机不一样的是，交换机在第一层和第二层处置流量，透明方法防火墙可以在第一层到第七层处置流量。因为，透明方法防火墙既可以依据第二层信息转发流量，又可以依据Ether-Type ACLs、IP ACLs、甚至应用层战略（MPF）来转发流量。
透明方法防火墙高不支撑的特性
1. 仅支撑两个接口（物理的或逻辑的），在运用Context时，每个Context仅支撑两个端口。
. 不能中止VPN，比如IPSec和WEBVPN。
3. CDP和IPv6数据包会被丢弃。
4. Eternet frames that don’t have a valid Ether-Type greater than or equal to 0x600 are droped; however, you can make exceptions for STP BPDUs and certain non-IP protocols.
5. 从版别7，不支撑NAT；在版别8，NAT是可选的。
6. 在战略中不支撑LLQ的QoS。
7. 设备不能扮演DHCP relay。因为DHCP requests是广播的，容许被泛洪颠末透明方法防火墙。
8. 不能配备组播指令。因为组播会被泛洪。
9. 不支撑动态路由协议。因为设备作业做第二层。
透明方法防火墙的利益
1. 易于安置，无需改动网络拓扑规划，无需更改原有的IP编址方案。
. 容许非IP流量穿越防火墙。默许是拒绝的，比如Appale Talk,IPX,STP BPDUs和MPLS。这些流量可以颠末配备Ether-Type ACL而被容许颠末透明方法防火墙。
3. 支撑很多在路由方法下支撑的特性，比如Failover，NAT（版别8），情况过滤，标准和扩展ACL，CTP，WEB内容过滤，MPF等等。
数据流和ACL
思科仍然在透明方法防火墙运用安全等力（security lecels）在接口之间控制流量，规则是：
1. 外出的联接默许是容许的，除非被束缚
. 进入的联接默许是拒绝的，除非被容许
有一个破例是，默许总是被容许的，用于学习设备的地址。可以被配备为受束缚。
配备透明方法防火墙
防火墙启动时默许为路由方法，配备为透明方法（无需重启）。
!
Firewall transparent
!
#Show firewall
Firewall mode: Transparent
配备管理地址、静态路由或默许路由
全局配备IP地址，而不是在某个接口下面
!
Int e0
Nameif outside
No shut
!
Int e1
Nameif inside
No shut
!
Ip add 1.1.1.1 255.255.255.0 standby 1.1.1.2
!
Route inside 2.2.2.0 255.255.255.0 1.1.1.3
Route outside 0.0.0.0 0.0.0.0 1.1.1.254
!
注：standby用于Failover配备时标识stanbdy unit。
MAC地址表和学习

MAC地址表条目的默许空闲时辰是5分钟
!
Mac-address-table aging-time minuts
!
静态添加MAC地址（用于某些设备不支撑ARP影响，否则某些数据包会因不知道的单播MAC地址而被丢弃）。
!
Mac-address-table static logical_if_name mac_address
!
有时，为了防止关于默许网关和DHCP服务器的MAC地址嘲讽侵犯，而关闭MAC地址学习功用,这是有必要手工配备必要的MAC地址条目。
!
Mac-learn logical_if_name disable
!
运用Debug指令来查看MAC地址学习功用
!
Debug mac-addtrss-table
!
额外的第二层特性
非IP流量和Ether-Type ACLs
非IP流量在透明方法防火墙下默许是被拒绝的，需要配备ether-Type ACLs来容许、
!
Access-list ACL_ID ethertype {deny | permit} {ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_#_of_protocol} {log}
Access-group ACL_ID in interface logical_if_name
!
注：关于容许非IP流量，需要将ACL用于双向的接口上。
ARP Inspection配备
减少ARP嘲讽对业务的影响。默许是关闭的。
!
Arp-inspection logical_if_name enable {flood | no-flood}
!
默许是flood，即泛洪从该接口上收到的全部ARP数据包。当运用no-flood时，有必要手工添加静态的ARP条目。
！
Arp logical_if_name IP_address MAC-address
!
Show arp-inspaection
Show arp
Debug arp-inspection
!
透明方法防火墙配备举例
防火墙只需一个物理接口联接到交换机，运用802.1q trunk，vlan 10是non-trusted，vlan 20是trusted。
！
Firewall transparent
!
Int e0
No shut
!
Int e0.10
Vlan 10
Nameif outside
Security-level 0
!
Int e0.20
Vlan 20
Nameif inside
Swcurity-level 100
!
Ip address 10.0.1.253 255.255.255.0
!
Access-list ACLoutside permit icmp any any
Access-list ACLoutside permit tcp any any eq 80
Access-list ACLoutside permit tcp any any eq 21
Access-list ACLoutside permit tap any any eq 25
Access-list ACLoutside permit tcp any any eq 53
Access-list ACLoutside deby ip any any
Access-group ACLoutside in interface outside