Cấu hình tường lửa Firewall Cisco ASA ở chế độ Transparent Mode (trong suốt)

Thảo luận trong 'Firewall Cisco' bắt đầu bởi vietnamnetwork, 26/9/17.

Tags:
  1. vietnamnetwork

    vietnamnetwork New Member

    Theo mặc định, tường lửa mạng hoạt động ở chế độ được định tuyến lớp 3 (Routed Mode).

    Tường lửa trong suốt (transparent firewall) hoạt động giống như một “tường lửa tàng hình” ở lớp 2 và không được coi là next hop Lớp 3 tới các thiết bị được kết nối.

    Tường lửa Firewall Cisco ASA cũng vậy: có thể hoạt động ở Chế độ tường lửa định tuyến (Routed Mode) theo mặc định hoặc ở Chế độ tường lửa trong suốt (Transparent Mode).

    Chế độ tường lửa định tuyến (Routed Firewall Mode):

    Sơ đồ bên dưới tường lửa Firewall Cisco ASA hoạt động ở chế độ định tuyến (Routed Mode).
    [​IMG]
    Như bạn có thể thấy, có hai mạng con khác nhau. Mạng bên trong (10.20.20.0/24) và Mạng bên ngoài (10.10.10.0/24).

    Có hai vlans lớp 2 khác nhau (Vlan20 cho mạng bên trong và Vlan10 cho mạng bên ngoài). Tất cả các máy nằm trong mạng nội bộ phải thuộc mạng con 10.20.20.0 và có cổng mặc định là IP nội bộ của ASA (10.20.20.1).

    Chế độ tường lửa trong suốt (Transparent Firewall Mode):

    Sơ đồ tường lửa Firewall Cisco ASA ở chế độ trong suốt Lớp 2 (transparent mode).
    [​IMG]
    Như bạn có thể thấy, chỉ có một mạng Lớp 3 (10.10.10.0/24) NHƯNG PHẢI có hai Vlan Lớp 2 khác nhau (Vlan20 cho vùng bên trong và Vlan10 cho vùng bên ngoài).

    Tất cả các máy phải nằm trong phạm vi mạng 10.10.10.0 và các thiết bị phải có cổng mặc định là địa chỉ IP của bộ định tuyến bên ngoài (10.10.10.2).

    Ngoài ra, địa chỉ IP quản lý PHẢI được cấu hình trên tường lửa ASA (trong mạng 10.10.10.0).

    Đặc điểm của chế độ trong suốt (Transparent Mode)

    • Chế độ tường lửa trong suốt chỉ hỗ trợ hai giao diện (bên trong và bên ngoài)

    • Tường lửa kết nối các gói từ VLAN này sang VLAN khác thay vì định tuyến chúng.

    • Tra cứu MAC được thực hiện thay vì tra cứu bảng định tuyến.

    • Có thể chạy trong ngữ cảnh tường lửa đơn hoặc trong nhiều ngữ cảnh tường lửa.

    • Địa chỉ IP quản lý là bắt buộc trên ASA.

    • Địa chỉ IP quản lý phải nằm trong cùng một mạng con với mạng được kết nối.

    • Mỗi giao diện của ASA phải là một giao diện VLAN khác nhau.

    • Mặc dù thiết bị hoạt động như một cầu nối Lớp 2, nhưng lưu lượng truy cập Lớp 3 không thể đi qua thiết bị bảo mật từ cấp độ bảo mật thấp hơn đến giao diện cấp độ bảo mật cao hơn.

    • Tường lửa có thể cho phép bất kỳ lưu lượng truy cập nào đi qua bằng cách sử dụng Danh sách kiểm soát truy cập (ACL) mở rộng thông thường.

    Cấu hình tưởng lửa Firewal Cisco ASA ở chế độ transparent mode:

    ASA-TGM(config)# firewall transparent

    ! Cấu hình IP quản lý
    ASA-TGM(config)# ip address 10.10.10.1 255.255.255.0

    ! Cấu hình interface outside

    ASA-TGM(config)# interface Ethernet0/0
    ASA-TGM(config-if)# nameif outside
    ASA-TGM(config-if)# security-level 0

    ! Cấu hình interface inside
    ASA-TGM(config)# interface Ethernet0/1
    ASA-TGM(config-if)# nameif inside
    ASA-TGM(config-if)# security-level 100

    Chúc các bạn thực hiện thành công!
     
    vietnamnetwork, 26/9/17
    #1

trang này