Transparent Firewall – Stealth Mode – فايروال نامرعی – شفاف

به رسم و سنت پيشين هميشه Firewall ها بصورت Routed عمل ميکردند؛ يعنی خود يک Hop در شبکه بوده و نقش Gateway را ايفا کرده Packet ها را از يک Interface در شبکه داخلی به Interface خارجی متصل به اينترنت Route کرده و يا NAT ميکنند.

 

Cisco ASA علاوه بر Routed Mode قابليتی بنام Transparent Firewall داردو نهايتا فايروال بصورت  يا Routed و يا Transparent تنظيم ميشود. در حالت Transparent نيازی نيست Subnetting و آدرس های شبکه را برای نصب فايروال تغيير دهيم و تنها فايروال را سر راه اينترنت با دو پورت ورودی و خروجی متصل و دستور زير را ميزنيم:

firewall transparent

سپس دو Interface را برای ترافيک Inside (داخل شبکه)  و Outside (شبکه بيرونی يا اينترنت) تعريف ميکنيم:

interface Ethernet0

 nameif outside

 security-level 0

!

interface Ethernet1

 nameif inside

 security-level 100

در حالت نرمال تنها ترافيکی که از داخل به خارج رفته حق بازگشت دارد (Stateful Firewall) و اگر تمايل داشتيم ترافيکی از بيرون به داخل راه پيدا کند به آن به کمک Access-list اجازه ورود ميدهيم:

access-list 1 extended permit icmp any any echo-reply

!

access-group 1 in interface outside

 

به فايروال يک IP ميدهيم که برای Telnet و SSH (کلا Management) بتوان با آن کار کرد؛ اين IP به هر دو پورت، Bind ميشود زيرا فايرول بين دو پورت خود Bridge ميکند.

ip address 192.168.1.254 255.255.255.0

 

کل تنظيم جهت نمونه:

 

PIX Version 7.2(2)10

!

firewall transparent

hostname pixfirewall

enable password 8Ry2YjIyt7RRXU24 encrypted

names

!

interface Ethernet0

 nameif outside

 security-level 0

!

interface Ethernet1

 nameif inside

 security-level 100

!

interface Ethernet2

 shutdown

 no nameif

 no security-level

!

interface Ethernet3

 shutdown

 no nameif

 no security-level

!

interface Ethernet4

 shutdown

 no nameif

 no security-level

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

access-list 1 extended permit icmp any host 192.168.1.2 echo-reply

pager lines 24

logging console emergencies

logging monitor emergencies

mtu outside 1500

mtu inside 1500

ip address 192.168.1.254 255.255.255.0

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

access-group 1 in interface outside

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

telnet timeout 5

ssh timeout 5

console timeout 0

!

!

prompt hostname context

~ توسط Shafagh در نوامبر 12, 2008.

نوشته شده در Security

پاسخی بگذارید