欢迎来到天天文库
浏览记录
ID:27689438
大小:186.50 KB
页数:11页
时间:2018-12-03
《asa透明模式防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、ASA透明模式防火墙技术(图)安全中Mwww.anqn.com更新时间:2010-01-0901:17:16贵任编辑:池天热点:路巾模式VS透明模式路由模式,防火墙扮演一个三层设备,基于目的1P地址转发数据包。透明模式,防火墙扮演一个二层设备,如同桥或交换机,基于0的MAC地址转发以太网帧。桥模式VS透明模式需要注意的是,虽然透明模式防火墙工作在第二层,但是,它的工作方式并不完全与二层交换机或桥相同。透明模式防火墙在处理流:W:时仍然与交换机有一些不同。交换机三个主要功能1.学习与毎个端口匹配的MAC地址,并
2、将它们存储在MAC地址表屮(有时一叫做CAM表)。.智能地使用MAC地址表转发流量,但是会泛洪米知0的的单播、组播、广播地址。3.使用生成树协议(STP)来打破第二层环路,保证在源和FI的之间只有一条活动路径存在。像交换机一样,透明模式防火墙也会完成第一点:当一个帧进入一个接口,设备会比较帧中的源MAC地址,并且把它添加到MAC地址表中(如果MAC地址表屮没有这个地址)。防火墙同样使用MAC地址表,智能地基于帧的0的MAC地址进行转发;但是,防火墙不会泛洪MAC地址表不存在的未知的0的单播MAC地址。防火墙假
3、设,如果设备使用TCP/IP,可以通过ARP进程来发现与三层IP地址相匹配的0的MAC地址。如果一台设备打破了这个预期(准则),并且使用了一个防火墙没有学到(动态或静态)的MAC地址,防火墙将丢弃未知的目的MAC地址。简单的说,就是不泛洪未知的0的MAC地址。第二点与二层设备不同的是,防火墙不参与生成树(STP)。因此,必须保证在使用透明模式防火墙时,不能故意增加二层环路。如果有环路,你会很快的该设备和交换机的CPU利用率会增加到100%。VLAN10ApplianceManagementIP10.0.125
4、3Subnet10.0.L0/24VLAN20DefaultGateway10.0.1.254www.anqn.com中国最大网络安全门户Figure21-2.Transparentmode,broadcastdomains,andVLANs上图中,建议在交换机的连接透明防火墙的两个端口上过滤BPDUs,或禁用STP,來缓解交换机从不同的端口看到自己的BPDUs的W惑。同样,必须保证不要增加第二层环路。第三点与交换机不同的是,交换机在第一层和第二层处理流:U:,透明模式防火墙可以在第一层到第七层处理流量。因为
5、,透明模式防火墙既可以基于第二层信息转发流量,又可以基于Ether-TypeACLs、IPACLs、甚至应用层策略(MPF)来转发流量。透明模式防火墙高不支持的特性1.仅支持两个接口(物理的或遭辑的),在使用Context时,每个Context仅支持两个端口。•不能终止VPN,比如IPSec和WEBVPNo3.CDP和IPv6数据包会被丢弃。4.Eternetframesthatdon,thaveavalidEther-Typegreaterthanorequalto0x600aredroped;howeve
6、r,youcanmakeexceptionsforSTPBPDUsandcertainnon-TPprotocols.5.从版本7,不支持NAT;在版本8,NAT是可选的。6.在策略中不支持LLQ的QoS。7.设备不能扮演DHCPrelay。因为DHCPrequests是广播的,允许被泛洪通过透明模式防火墙。8.不能配罝俎播命令。因为纟11播会被泛洪。9.不支持动态路由协议。因为设备工作做第二层。透明模式防火墙的优点1.易于部署,无需改变网络拓扑结构,无需更改原有的IP编址方案。.允许非IP流量穿越防火墙。默
7、认是拒绝的,比如AppaleTalk,IPX,STPBPDUs和MPLS。这些流量可以通过K置Ether-TypeACL而被允许通过透明模式防火墙。3.支持很多在路由模式下支持的特性,比如Failover,NAT(版本8),状态过滤,标准和扩展ACL,CTP,WEB内容过滤,MPF等等。数据流和ACL思科仍然在透明模式防火墙使用安全等力(securitylecels)在接口之间控制流量,规则是:1.外山的连接默认是允许的,除1h被限制.进入的连接默认是拒绝的,除非被允许有一个例外是,默认总是被允许的,用于学习
8、设备的地址。可以被配置为受限制。配置透明模式防火墙防火墙启动时默认为路由模式,配罝为透明模式(无需重启)。Firewalltransparent#ShowfirewallFirewallmode:Transparent配罝管理地址、静态路由或默认路由全局配置TP地址,而不是在某个接口下面I番InteONameifoutsideNoshutiIntelNameifinsideNoshutiTpadd1
此文档下载收益归作者所有