В продолжение темы IOS Firewall мне бы хотелось поговорить с Вами об еще одной технологии, которая называется Cisco IOS Transparent Firewall.
Данная функция была впервые внедрена в маршрутизаторы Cisco в IOS 12.3(7)T. Она позволяет проводить фильтрацию трафика и осуществлять динамическую инспекцию приложений, когда маршрутизатор выступает в роли L2-моста.
В прозрачном (transparent) режиме маршрутизатор не осуществляет маршрутизацию, а просто изучает MAC-адреса на всех своих интерфейсах подобно коммутатору. Когда Вы конфигурируете прозрачный фаирвол на Cisco IOS, прежде всего необходимо определиться с типом бриджирования, которое будет осуществлять маршрутизаторах. Таких типов два: CRB и IRB. Что же это за звери такие? Поговорим об этом подробнее.
- CRB (Concurrent Routing and Bridging) режим включается командой bridge crb. Позволяет маршрутизатору коммутировать фреймы между интерфейсами, которые являются членами одной мостовой группы (bridge group). Интерфейсы, которые не являются членами никакой мостовой группы и на которые назначены IP-адреса могут принимать и перенаправлять IP-пакеты. Т.е. в этом режиме маршрутизатор выступает в роли моста для одного набора интерфейсов и в роли обычного L3-устройства для других интерфейсов.
- IRB (Integrated Routing and Bridging) режим включается командой bridge irb. Позволяет сконфигурировать специальный интерфейс BVI (Bridge Virtual Interface) для каждой мостовой группы. Данный интерфейс представляет маршрутизатор как L3-устройство для определенной мостовой группы. Все устройства внутри группы, которые знают MAC-адрес BVI-интерфейса, могут отправлять маршрутизатору IP-пакеты и общаться с другими сетевыми устройствами данного L2-домена. Этот режим позволяет маршрутизатору производить коммутацию между своими интерфейсами и маршрутизировать пакеты для членов мостовой группы, которые знают о данной службе.
В целом, для простоты понимания, Вы можете сравнить BVI с SVI (Switch Virtual Interface) на L3-коммутаторе. В дополнение ко всему, вместе с командой bridge irb Вам необходимо добавить команду bridge <NUMBER> route ip, где NUMBER – номер мостовой группы. В противном случае, BVI-интерфейс не будет маршрутизировать IP-пакеты.
Вы можете применять правила классического фаирволла для динамической инспекции приложении и списки доступа на интерфейсы. Например:
bridge irb bridge-group 1 protocol ieee bridge 1 route ip ! ip inspect name FIRE tcp ip inspect name FIRE udp ip inspect name FIRE icmp ! ip access-list extended ACL_OUTSIDE-IN deny ip any any ! interface FastEthernet 1/0 bridge-group 1 ip inspect FIRE out interface FastEthernet 1/1 bridge-group 1 ip access-group ACL_OUTSIDE-IN inВ прозрачном режиме поддерживается инспекция только для TCP/UDP и ICMP. Все не IP-пакеты по-умолчанию разрешены (ARP, STP и т.д.). Если Вы хотите заблокировать не IP-трафик, необходимо применить список доступа к мостовому интерфейсу. Эти списки доступа основываются на значениях Ethertype. Например, следующий список доступа разрешает весь IP-трафик и ARP, но блокирует WOL Magic packet:
access-list 250 permit 0x0800 access-list 250 permit 0x0806 access-list 250 deny 0x0842 access-list 250 permit 0x0 0xFFFF bridge-group 1 input-type-list 250Прим.: Ethertype – двух байтовое поле в Ethernet-заголовке. Располагается сразу после поля «Source MAC». Используется для того, чтобы показать какой протокол инкапсулирован в Ethernet фрейм.
Фаирволл в прозрачном режиме не инспектирует multicast Ethernet фреймы – они разрешены независимо от того, что сконфигурировано во входящих списках доступа. Однако широковещательные фреймы проходят проверку в списках доступа. Для DHCP-пакетов фаирволл предоставляет специальное средство обработки (т.к. DHCP является важной составляющей сетевой инфраструктуры). Для разрешения прохождения DHCP-сообщений через фаирволл (опять же, независимо от того, что сконфигурировано в списках доступа) используйте команду ip inspect l2-transparent dhcp-passthrough.
И на последок скажу пару слов об IP-адресах, которые назначаются на BVI-интерфейс. Этот адрес должен быть внутри той же сети, что и защищаемый сегмент. Здесь вполне можно провести аналогию с фаирволлом Cisco ASA, когда та работает в прозрачном режиме и имеет единственный IP-адрес для управления.
Прим.: трафик, сгенерированный самим маршрутизатором не проходит проверку в списках доступа, которые назначены на интерфейсы в мостовой группе. Для контроля трафика управления Вам необходимо создать отдельный список доступа и применить его на BVI-интерфейс.
Метки: firewall, Transparent
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы
Может так?
interface FastEthernet 1/0
ip inspect FIRE in
или
interface FastEthernet 1/1
ip access-group ACL_OUTSIDE-IN in
ip inspect FIRE out