防火墙透明模式

防火墙透明模式

概述

当部署一个防火墙时,其默认具备路由模式,即具备三层及其以上功能,支持路由协议、NAT、ACL等;而交换模式,就是这里要说的透明模式,不再具备三层及其以上功能,运行效果类似交换机。

应用场景

同网段的两个路由器之间部署一台开启透明模式的防火墙,在不改变原本拓扑的情况下,保证两台路由器背后主机的数据流量的安全。

特征

1、 3层流量要明确放行(ospf,eigrp),要想跨防火墙建邻居,两边都要permit;
2、直连的 outside 和 inside 网络必须属于相同子网,并且只支持两个接口;
3、必须要配置一个网管 ip 地址;
4、网管 ip 和内外网 ip 在同一段;
5、管理 ip 不能做内网网关;
6、可以配置网关,但是只做网管用,远程访问防火墙用;
7、每个接口必须在不同 vlan;
8、所有流量都可由 ip acl 和 ethernet acl 控制是否放行,eth acl 只能管二层流量,但是如果 deny any了,则 2,3层都不过;
9、arp 不需要放行就可以过去,除 arp 外,所有二层流量默认都不通;
10、cdp (思科发现协议)不可以过;
11、透明模式不支持:nat, dynamic routing protocol,ipv6, dhcp relay,qos, multicast, 不能终结vpn。

部署

PIX1(config)# firewall transparent
pixfirewall(config)# ip address 192.168.1.100 255.255.255.0

interface Ethernet0
nameif inside
security-level 100

interface Ethernet1
nameif outside
security-level 0

fixup protocol icmp

access-list OSPF extended permit ospf any any
access-group OSPF in interface inside(未必要写)
access-group OSPF in interface outside

严谨风格:
写一条OSPF列表,放开外部到内部的OSPF协商包
access-list OSPF extended permit ospf any any
access-group OSPF in interface outside //调用在外部口

写一条OPEN列表,明确放开OSPF流量,并且放开默认其他流量
access-list OPEN extended permit ospf any any //强调
access-list OPEN extended permit ip any any
access-group OPEN in interface inside //调用在内部口

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 数字20 设计师:CSDN官方博客 返回首页