V. ỨỐLP 1ÙL 7CỸ ỨỦẶ ỨPỤC 7CÔL ẬÌÔ ỨCOLN
2.4.7.Chế độ trong suốt (Transparent Mode)
Hình 2.6 Công nghệ hoạt động ở chế đó Transparent
Đinh Hoăng Thâi - 41 -
Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520
Mặc định thì Cisco Firewall hoạt động như một thiết bị lớp 3. Nó định tuyến (routing) vă chuyển đổi địa chỉ (Translation) câc lưu lượng đi qua nó. Tuy nhiín, cấu hình mặc định năy có thể yíu cầu phải thay đổi câc thănh phần của mạng khi Firewall được triển khai trong hệ thống mạng có từ trước (như hệ thống địa chỉ IP, cấu hình NAT). Vấn đề năy có thể được khắc phục bằng câch cấu hình Cisco Firewall hoạt động ở chế độ trong suốt (transparent mode).
Với cấu hình transparent mode, Cisco Firewall sẽ hoạt động như một thiết bị ở lớp 2. Nó sẽ chuyển mạch (switching) câc gói tin thay vì định tuyến chúng. Cisco Firewall chuyển mạch câc gói tin từ Interface năy sang một Interface khâc. Câc Interface năy thường nằm trong cùng một VLAN (Virtual Local Area Network - mạng nội bộ ảo) hay mạng con.
Trong chế độ năy, Cisco Firewall quản lý câc lưu lượng đi qua nó dựa trín địa chỉ MAC thay vì địa chỉ IP. Mặc định thì Cisco Firewall sẽ tự động học địa chỉ MAC. Tuy nhiín cấu hình năy có thể bị Hacker khai thâc bằng câch đóng giả địa chỉ MAC đê kết nối đến mạng hoặc sử dụng địa chỉ MAC ngẫu nhiín để truy cập văo mạng. Để đảm bảo an toăn cho hệ thống mạng, người quản trị có thể tắt bỏ chế độ học địa chỉ MAC tự động, vă chỉ sử dụng câc địa chỉ MAC được cấu hình tĩnh bởi quản trị viín.
Lưu ý lă khi thay đổi sang chế độ trong suốt thì sẽ loại bỏ hoặc hạn chế một số tính năng sau của Cisco Firewall:
Giới hạn interface (Interface limit): tường lửa trong suốt (transparent Firewall) chỉ có thể hoạt động với 2 interface cho mỗi ngữ cảnh đơn (Single Context). Nếu có đa ngữ cảnh (Multiple Context) thì mỗi Context sẽ được sử dụng 2 interface. Câc interface năy chỉ được sử dụng bởi một Context duy nhất vă không thể chia sẽ giữa câc Context.
NAT: cấu hình NAT không được hỗ trợ trong chế độ năy. NAT chỉ được hỗ trợ với chế độ hoạt động ở lớp 3.
Câc giao thức định tuyến động (dynamic routing Protocol): ASA/PIX Firewall trong chế độ năy hoạt động như lă thiết bị lớp 2. Nó chuyển mạch gói tin thay vì định tuyến chúng. Vì vậy, chế độ trong suốt không hỗ trợ câc giao thức định tuyến động.
DHCP: transparent Firewall không thể hoạt động với chức năng lă DHCP relay (DHCP chuyển tiếp), mặc dù có thể cấu hình lăm DHCP Server.
Multicast: mặc định thì chế độ năy không hỗ trợ lưu lượng multicast. Để cho phĩp lưu lượng multicast đi qua, phải sử dụng danh sâch truy cập mở rộng (extended Access List).
Đinh Hoăng Thâi - 42 -
Đồ ân tốt nghiệp Tìm hiểu Firewall Cisco ASA5520