Anticisco blogs - blog archive - ios transparent firewall
В продовження теми IOS Firewall мені б хотілося поговорити з Вами про ще однією технологією, яка називається Cisco IOS Transparent Firewall.
Ця функція була вперше впроваджена в маршрутизатори Cisco в IOS 12.3 (7) T. Вона дозволяє проводити фільтрацію трафіку і здійснювати динамічну інспекцію додатків, коли маршрутизатор виступає в ролі L2-моста.
В цілому, для простоти розуміння, Ви можете порівняти BVI з SVI (Switch Virtual Interface) на L3-комутаторі. На додаток до всього, разом з командою bridge irb Вам необхідно додати команду bridge
Ви можете застосовувати правила класичного фаірволла для динамічної інспекції додатку і списки доступу на інтерфейси. наприклад:
bridge irb bridge-group 1 protocol ieee bridge 1 route ip! ip inspect name FIRE tcp ip inspect name FIRE udp ip inspect name FIRE icmp! ip access-list extended ACL_OUTSIDE-IN deny ip any any! interface FastEthernet 1/0 bridge-group 1 ip inspect FIRE out interface FastEthernet 1/1 bridge-group 1 ip access-group ACL_OUTSIDE-IN in
У прозорому режимі підтримується інспекція тільки для TCP / UDP і ICMP. Все не IP-пакети по-замовчуванню дозволені (ARP, STP і т.д.). Якщо Ви хочете заблокувати НЕ IP-трафік, необхідно застосувати список доступу до мостового інтерфейсу. Ці списки доступу ґрунтуються на значеннях Ethertype. Наприклад, наступний список доступу розв'язує всі IP-трафік і ARP, але блокує WOL Magic packet:
access-list 250 permit 0x0800 access-list 250 permit 0x0806 access-list 250 deny 0x0842 access-list 250 permit 0x0 0xFFFF bridge-group 1 input-type-list 250
Прим.: Ethertype- двох байтовое поле вEthernet-заголовку. Розташовується відразу після поля «SourceMAC». Використовується для того, щоб показати який протокол инкапсулирован вEthernetфрейм.
Фаірволл в прозорому режимі не інспектує multicast Ethernet фрейми - вони дозволені незалежно від того, що налаштоване у вхідних списках доступу. Однак широкомовні фрейми проходять перевірку в списках доступу. Для DHCP-пакетів фаірволл надає спеціальний засіб обробки (тому що DHCP є важливою складовою мережевої інфраструктури). Для вирішення проходження DHCP-повідомлень через фаірволл (знову ж таки, незалежно від того, що налаштоване в списках доступу) використовуйте команду ip inspect l2-transparent dhcp-passthrough.
Прим. трафік, згенерований самим маршрутизатором не проходить перевірку в списках доступу, які призначені на інтерфейси в бруківці групі. Для контролю трафіку управління Вам необхідно створити окремий список доступу і застосувати його наBVI-інтерфейс.