Layer 2 firewall

[nhanld83]

- Bắt đầu phiên bản IOS version 12.3(7), Cisco giới thiệu khái niệm Transparent Firewall hay IOS Based Layer 2 Firewall. Đây là firewall hoạt động ở layer 2 của mô hình OSI. Nó hỗ trợ khả năng lọc các IP packet (bao gồm IP, TCP, UDP và ICMP). Transparent Firewall thực chất chỉ là tính năng Layer 2 Brigde kết hợp với tính năng filter trên nền IP bằng cách sử dụng tính năng Context Based Access Control.
- Một firewall layer 3 cổ điển filter packet khi các gói này đi ngang qua nó và đi từ một IP subnet này sang một IP subnet khác. Firewall layer 2 thì nó có những điểm thuận lợi riêng khi ta thêm nó vào một network đã có sẵn mà ta không cần phải thay đổi địa chỉ IP hay không cần phải cấu hình lại các thiết bị mạng khác. Nói tóm lại là ta có thể thêm vào một firewall giữa các thiết bị neighbor trên cùng đường mạng.
- Một lý do khác để ta sử dụng layer 2 firewall là để cung cấp sử bảo ngay cả khi các network protocol không thực sự là bảo mật. Giả sử ta có một ứng dụng hoạt động trên nền tảng là broadcast và được truyền từ server đến client. Nhưng ta cần phải bảo vệ server này thoát khỏi các cuộc tấn công từ client. Nếu như ta dùng Layer 3 firewall trong trường hợp này firewall sẽ làm cho ứng dụng này không hoạt động được. Chọn lựa cho ta trong trường hợp này sẽ là Transparent Firewall.
- Để cấu hình Transparent Firewall ta cấu hình transparent bridge trên hai cổng của router. Sau đó, ta cần cấu hình Integrated Routing and Bridging (IRB) và tạo ra BVI interface. Như vậy kết quả là ta đã tạo cầu nối hai interface này với nhau.
Sau khi đã cấu hình transparent bridging, ta cấu hình CBAC và cấu hình ACL trên router.
Ta cấu hình như sau:

R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#bridge 1 protocol ieee
R1(config)#interface FastEthernet0/0
R1(config-if)#description Internal
R1(config-if)#bridge-group 1
R1(config-if)#description External
R1(config-if)#interface FastEthernet0/1
R1(config-if)#bridge-group 1
R1(config-if)#exit
R1(config)#bridge irb
R1(config)#bridge 1 route ip
R1(config)#interface BVI1
R1(config-if)#ip address 172.25.1.101 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#end
R1#

- Cấu hình CBAC và Access Rule trên router 1 như sau

R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip inspect name Test tcp
R1(config)#ip inspect name Test udp
R1(config)#ip inspect name Test icmp
R1(config)#interface FastEthernet0/0
R1(config-if)#ip inspect Test in
R1(config-if)#exit
R1(config)#ip access-list extended internal
R1(config-ext-acl)#deny tcp any host 172.25.1.102 eq 23
R1(config-ext-acl)#permit ip any any
R1(config-ext-acl)#exit
R1(config)#ip access-list extended external
R1(config-ext-acl)#permit icmp any any packet-too-big
R1(config-ext-acl)#deny ip any any log
R1(config-ext-acl)#exit
R1(config)#interface FastEthernet0/0
R1(config-if)#ip access-group internal in
R1(config-if)#interface FastEthernet0/1
R1(config-if)#ip access-group external in
R1(config-if)#end
R1#

- Để kiểm tra session trên router ta dùng lệnh sau

R1#show ip inspect session detail