交换机防火墙配置管理的注意事项
防火墙的透明模式
特性介绍:从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。只支持两个接口inside和outside,当然可以配置一个管理接口,但是管理接口不能用于处理用户流量,在多context模式下不能复用物理端口。
由于连接的是同一地址段的网络,所以不支持NAT,虽然没有IP地址但是同样可以配置ACL来检查流量。进入交换机防火墙配置 Firewall(config)# firewall transparent(show firewall 来验证当前的工作模式,由于路由模式和透明模式工作方式不同,所以互相切换的.时候会清除当前配置文件)。
交换机防火墙配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level
交换机防火墙配置注:不用配置IP地址信息,但是其它的属性还是要配置的,接口的安全等级一般要不一样,
same-security-traffic permit inter-interface命令可以免除此限制。
配置管理地址 Firewall(config)# ip address ip_address subnet_mask
Firewall(config)# route; if_name; foreign_network;foreign_mask gateway [metric]
MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间
Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目
Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证)
ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目
Firewall(config)# arp-inspection if_name enable;[flood | no-flood]
交换机防火墙配置端口启用ARP检查为非IP协议配置转发策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype}
Firewall(config)# access-group acl_id {in | out} interface if_name。
该方式下, 首先将L2与L3的内部接口作成以太通道,然后,在L3上创建一个虚拟的通道接口,在该接口下开子接口为各个VLAN提供三层路由功能。