ASA防火墙之透明模式的使用及配置

最新推荐文章于 2024-07-31 19:29:25 发布
最新推荐文章于 2024-07-31 19:29:25 发布
阅读量7.7k 收藏 25
点赞数 5
文章标签: 路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stephen_jj/article/details/106055146
版权

ASA防火墙之透明模式的使用及配置

本篇讲一下ASA防火墙的透明模式的使用和实例配置分析,这篇之前我讲的所以内容都是路由模式进行配置的,透明模式在ASA防火墙有着不同的用法。下面我们具体分析一下。

透明模式的介绍

在这里插入图片描述
我们知道路由模式一般是部署在三层设备之间的,即充当防火墙的流量限制隔离,也能做路由的限制。而透明模式一般部署在二层之间的设备,充当交换机,但仍能做区域隔离。下面介绍其几个特性。

透明模式的优缺点

  1.  	易于部署,无需改变网络拓扑结构,无需更改原有的IP编址方案。

  2.     允许非IP流量穿越防火墙。默认是拒绝的,比如Appale Talk,IPX,STP BPDUs和MPLS。这些流量可以通过配置Ether-Type ACL而被允许通过透明模式防火墙。

  3.     支持很多在路由模式下支持的特性,比如Failover,NAT(版本8),状态过滤,标准和扩展ACL,CTP,WEB内容过滤,MPF等等。

限制:
在这里插入图片描述

模式切换

Firewall transport //切换到透明模式
No Firewall transport //切换到路由模式
Clear config all
注意切换模式会默认清除配置,且多模式得防火墙只支持一种类型。
在这里插入图片描述

对outbound的流量处理

在这里插入图片描述
简单的来讲就是,ASA防火墙会对发送过滤的arp数据包进行查询,若mac地址表不存在,则会直接丢包,不会去帮你泛洪,并且自身会发送arp数据包给目的地址。以便存储在mac地址表,方便下次建立连接。

配置指南

在这里插入图片描述
在这里插入图片描述

基本实例配置

在这里插入图片描述

需求:在透明模式下,使得R1可以telnetR2。

  1. 配置好R1,R2的IP地址,这里省略。
  2. 配置ASA防火墙的接口名字,这里省略。
    配置好后,让R1pingR2查看一下arp表。
    在这里插入图片描述
    这里我们可以发现,ping不通,也是获取不到mac地址的。
  3. 配置网关IP。
    ASA(config)# int bVI 100
    ASA(config-if)# ip address 192.168.1.100 255.255.255.0 //地址需与路由器的网段一致,方便不同的网段的PC网管ASA防火墙。
  4. 将ASA的g0 、g1 划分到网管IP地址。
    ASA(config)# int g 0
    ASA(config-if)# bridge-group 100
    ASA(config)# int g 1
    ASA(config-if)# bridge-group 100
    配置完成后,再次让R1telnetR2。
    在这里插入图片描述
    可以发现,成功telnet上,到此,ASA透明模式的基础配置完成。

组播流量放行

在这里插入图片描述

需求:在路由器配置动态路由协议,对ASA透明模式配置,使得放行组播流量,R1与R2成功形成对应路由。

  1. 在R1,R2配置ospf,这里不再介绍。
  2. ASA内部放行OSPF流量。
    access-list out extended permit ospf any any
    access-list in extended permit ospf any any
    access-group in in interface inside
    access-group out in interface outside
  3. 放行内部的icmp流量,方便测试ping。
    access-list out extended permit icmp any any
    access-list in extended permit icmp any any
    配置完成,来查看R1,R2邻居表和路由表
    在这里插入图片描述
    在这里插入图片描述

可以发现,成功形成对应的路由条目,下面我们继续测试1.1.1.1ping2.2.2.2。
在这里插入图片描述
很明显,成功ping成功,说明组播流量放行成功,路由生成。

arp特性

  1. clear arp //清楚arp缓存表,注意需将接口重新启动。
    arp-inspection outside enable //默认情况下开启flood,开启arp的监控。
    此时测试R1pingR2
    在这里插入图片描述
    在这里插入图片描述
    可以发现,成功ping通,且学习到mac地址表。
    将fool修改成no-flood,重新清楚arp表再次查看R1pingR2。
    在这里插入图片描述
    在这里插入图片描述

此时已经ping不通了,且mac地址学习不到。原因是没有找到条目
所以,若是想让其通信,学习到对应的mac地址表,需手动添加条目。
arp inside 192.168.1.1 c200.18fc.0000
arp outside 192.168.1.2 c201.18fc.0000
再次查看R1pingR2
在这里插入图片描述
可以发现,此时可以ping通,出现对应的mac地址。

当然,mac地址表也是可以关闭自动学习的,
mac-learn inside disable
mac-learn outside disable

关闭之后则需手动添加
mac-address-table static inside 1.1.1
mac-address-table static outside 2.2.2

成禾
关注
  • 5
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asa清空配置_Cisco ASA 高级配置
weixin_32263265的博客
02-06 955
Cisco ASA 高级配置一、防范IP分片攻击1、Ip分片的原理;2、Ip分片的安全问题;3、防范Ip分片。这三个问题在之前已经详细介绍过了,在此就不多介绍了。详细介绍请查看上一篇文章:IP分片原理及分析。二、URL过滤利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。实施URL过滤一般分为以下三个步骤:(1) 创建class-map (类映射),识别传输...
ASA防火墙基本配置管理
01-30
注意:security-level配置安全级别。默认外网接口为0/0 安全级别默认为0内网接口为0/1安全级别默认为100dmz接口为0/2安全级别默认为50默认情况下,相同安全级别接口之间不允许通信,可以使用以下命令:#same-security-trafficpermitinterface //允许相同安全级别接口之间互相通信。较高安全接口访问较低安全接口:允许所有基于IP的数据流通过,除非有ACL访问控制列表,认证或授权的限制。较低安全接口访
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf
09-29
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
实战 F1060防火墙透明模式典型组网配置案例(trunk)_防火墙透传模式
2401_84563354的博客
05-10 477
温馨提示:如果要实现防火墙的远程登陆管理,建议新增一条链路连接到交换机或者路由器,做带外管理即可。
ASA Transparent Mode【基于8.0系列透明防火墙
网络之路Blog(其他平台同名)
03-14 475
简介 Transparent Mode也就是透明防火墙,它是为了解决在一个稳定的网络中,需要增加安全特性的时候一种解决方案,它能基于不改变网络部署和IP规划的情况下,进行连接,来提供内部网络的安全。其实它就相当于一个二层安全特性的交换机。 在做Transparent Mode注意的地方。 1、Transparent mode 一样遵循ASA自适应算法。 从高流量到低流量 而且在检测引擎中,那么默认是放行的,从低到高全部deny。除非ACL放行。 2、官方建议三层流量,在Transparent m.
PPPOE拨号之二:Cisco ASA防火墙 PPPOE拨号配置
网络之路Blog(其他平台同名)
03-02 2375
拓扑 在工作中,很有可能遇到的外网接入方式就是ADSL拨号了,虽然看着简单,但是这里讲讲Cisco 防火墙ASA上面的一些注意事项与配置。 1、PPPOE配置部分 Router-ASA(config)# vpdn group isp request dialout pppoe Router-ASA(config)# vpdn group isp ppp authentication pap Router-ASA(config)# vpdn username ccieh3c password ccie
关于思科pt模拟器,asa5505防火墙配置问题
weixin_54233716的博客
02-25 509
PT模拟器中的防火墙是不是不支持透明模式部署,大神解答一下。
asa 防火墙基本配置管理
pimg2005的专栏
12-25 271
一、基本配置#hostname name //名字的设置#interface gigabitethernet0/0 //进入接口0/0#nameif outside //配置接口名为outside#security-level 0 //设...
防火墙的两种组网模式:三层路由网关模式、二层透明网桥模式
网络技术联盟站
05-06 2442
在三层路由网关模式中,防火墙配置网络的三层路由网关,与原有的路由器相比,它不仅能够实现路由功能,还具备了防火墙的安全防护能力。通过这种模式防火墙能够在网络中充当数据包的传输节点,负责对数据包进行路由和安全检查,从而保障网络的安全性。在二层透明网桥模式中,防火墙作为二层透明网桥接入网络,不会改变原有的网络结构,同时可以与路由模式共存。在这种模式下,防火墙会学习网络中的MAC地址,并根据预设的安全策略对数据包进行转发或丢弃,实现网络安全防护。
防火墙ASA)高级配置之URL过滤、日志管理、透明模式
weixin_34008784的博客
11-23 1022
对于防火墙产品来说,最重要的一个功能就是对事件进行日志记录。本篇博客将介绍如何对ASA进行日志管理与分析、ASA透明模式的原理与配置、利用ASA防火墙的IOS特性实施URL过滤。 一、URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的。 实施URL过滤一般分为以下三个步骤: (...
思科ASA防火墙的搭建和配置.doc
04-24
其实网络也是需要防护的,而说到防护,防火墙就不得不派出用场了呢,今天就来学习一下思科ASA防火墙如何服务器上成功搭建并且完成基础配置的!
ASA防火墙配置命令5512,5515,5525,5545.rar
09-03
ASA防火墙配置命令5512,5515,5525,5545.rar
思科ASA 9.14防火墙配置文档
04-29
Cisco ASA Series Firewall CLI Configuration Guide, 9.14 思科2019年4月最新发布文档,用于思科ASA 9.14防火墙特性命令行配置,共464页。
ASA防火墙
Pespi_Co1a的博客
01-03 6375
一、防火墙的四种类型 无状态包过滤(statless packet)---ACL 状态监控包过滤(stateful packet) 运用层监控和控制的状态包过滤(stateful packet filtering with application inspection and control) 代理服务器(proxy server)   #无状态包过滤 特性:(1)依赖于静态的策略来允...
武汉中继者-原创-透明模式防火墙
cnvw3365的博客
03-13 1023
作者:三石 曾经就职于联想、锐捷等知名厂商,目前在武汉中继者IT培训中心负责思科、华为的IE课程的开发和培训,具有6年以上的网络技术从业经验,先后获取CCIE RS等证书。 一.防火墙...
2.4G-WiFi连接路由器过程
weixin_39270987的博客
02-13 3412
WiFi的数据通信基于802.11协议进行,无线AP在工作时会定时向空中发送beacon数据包,基站(STA)从beacon中解析出AP的名称、加密方式等信息,从而发起连接。
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!
最新发布
互联网架构小马的博客
07-31 464
网络就像一把双刃剑,给我们的生活、交流、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全和安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议。
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 424
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值