資源描述:
《asa透明模式防火墻技術(shù)》由會員上傳分享��,免費在線閱讀����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1�����、ASA透明模式防火墻技術(shù)(圖)安全中Mwww.anqn.com更新時間:2010-01-0901:17:16貴任編輯:池天熱點:路巾模式VS透明模式路由模式�,防火墻扮演一個三層設(shè)備��,基于目的1P地址轉(zhuǎn)發(fā)數(shù)據(jù)包�。透明模式���,防火墻扮演一個二層設(shè)備�,如同橋或交換機���,基于0的MAC地址轉(zhuǎn)發(fā)以太網(wǎng)幀���。橋模式VS透明模式需要注意的是,雖然透明模式防火墻工作在第二層��,但是���,它的工作方式并不完全與二層交換機或橋相同���。透明模式防火墻在處理流:W:時仍然與交換機有一些不同�����。交換機三個主要功能1.學(xué)習(xí)與毎個端口匹配的MAC地址�,并
2����、將它們存儲在MAC地址表屮(有時一叫做CAM表)。.智能地使用MAC地址表轉(zhuǎn)發(fā)流量�����,但是會泛洪米知0的的單播��、組播��、廣播地址�。3.使用生成樹協(xié)議(STP)來打破第二層環(huán)路,保證在源和FI的之間只有一條活動路徑存在����。像交換機一樣,透明模式防火墻也會完成第一點:當(dāng)一個幀進入一個接口,設(shè)備會比較幀中的源MAC地址�,并且把它添加到MAC地址表中(如果MAC地址表屮沒有這個地址)。防火墻同樣使用MAC地址表��,智能地基于幀的0的MAC地址進行轉(zhuǎn)發(fā)���;但是��,防火墻不會泛洪MAC地址表不存在的未知的0的單播MAC地址�。防火墻假
3�、設(shè),如果設(shè)備使用TCP/IP�����,可以通過ARP進程來發(fā)現(xiàn)與三層IP地址相匹配的0的MAC地址���。如果一臺設(shè)備打破了這個預(yù)期(準則),并且使用了一個防火墻沒有學(xué)到(動態(tài)或靜態(tài))的MAC地址����,防火墻將丟棄未知的目的MAC地址。簡單的說����,就是不泛洪未知的0的MAC地址����。第二點與二層設(shè)備不同的是����,防火墻不參與生成樹(STP)。因此�,必須保證在使用透明模式防火墻時,不能故意增加二層環(huán)路��。如果有環(huán)路�,你會很快的該設(shè)備和交換機的CPU利用率會增加到100%。VLAN10ApplianceManagementIP10.0.125
4�、3Subnet10.0.L0/24VLAN20DefaultGateway10.0.1.254www.anqn.com中國最大網(wǎng)絡(luò)安全門戶Figure21-2.Transparentmode,broadcastdomains,andVLANs上圖中,建議在交換機的連接透明防火墻的兩個端口上過濾BPDUs,或禁用STP,來緩解交換機從不同的端口看到自己的BPDUs的W惑���。同樣����,必須保證不要增加第二層環(huán)路�����。第三點與交換機不同的是,交換機在第一層和第二層處理流:U:�����,透明模式防火墻可以在第一層到第七層處理流量�。因為
5、��,透明模式防火墻既可以基于第二層信息轉(zhuǎn)發(fā)流量�����,又可以基于Ether-TypeACLs����、IPACLs、甚至應(yīng)用層策略(MPF)來轉(zhuǎn)發(fā)流量����。透明模式防火墻高不支持的特性1.僅支持兩個接口(物理的或遭輯的)��,在使用Context時����,每個Context僅支持兩個端口。?不能終止VPN,比如IPSec和WEBVPNo3.CDP和IPv6數(shù)據(jù)包會被丟棄。4.Eternetframesthatdon,thaveavalidEther-Typegreaterthanorequalto0x600aredroped;howeve
6���、r,youcanmakeexceptionsforSTPBPDUsandcertainnon-TPprotocols.5.從版本7,不支持NAT;在版本8,NAT是可選的����。6.在策略中不支持LLQ的QoS�����。7.設(shè)備不能扮演DHCPrelay�����。因為DHCPrequests是廣播的�����,允許被泛洪通過透明模式防火墻�。8.不能配罝俎播命令。因為纟11播會被泛洪�����。9.不支持動態(tài)路由協(xié)議����。因為設(shè)備工作做第二層���。透明模式防火墻的優(yōu)點1.易于部署,無需改變網(wǎng)絡(luò)拓撲結(jié)構(gòu)��,無需更改原有的IP編址方案����。.允許非IP流量穿越防火墻。默
7����、認是拒絕的,比如AppaleTalk,IPX,STPBPDUs和MPLS�。這些流量可以通過K置Ether-TypeACL而被允許通過透明模式防火墻。3.支持很多在路由模式下支持的特性�����,比如Failover,NAT(版本8)�,狀態(tài)過濾,標(biāo)準和擴展ACL,CTP,WEB內(nèi)容過濾,MPF等等��。數(shù)據(jù)流和ACL思科仍然在透明模式防火墻使用安全等力(securitylecels)在接口之間控制流量����,規(guī)則是:1.外山的連接默認是允許的,除1h被限制.進入的連接默認是拒絕的�,除非被允許有一個例外是,默認總是被允許的����,用于學(xué)習(xí)
8、設(shè)備的地址����。可以被配置為受限制���。配置透明模式防火墻防火墻啟動時默認為路由模式��,配罝為透明模式(無需重啟)�。Firewalltransparent#ShowfirewallFirewallmode:Transparent配罝管理地址����、靜態(tài)路由或默認路由全局配置TP地址,而不是在某個接口下面I番InteONameifoutsideNoshutiIntelNameifinsideNoshutiTpadd1
