透明式防火墙功能

概要

在接口间通过桥接,对通过的数据包进行过滤,提供透明式防火墙功能。

路由式的防火墙功能时,连接路由器的网络必须为不同的网段。因此,只是想要使用防火墙功能时也必须在各接口划分不同的IP地址,有时在现有网络中增加防火墙功能会非常困难。

这种情况,使用透明式防火墙功能可以在不改变现有路由器和PC的设置的情况下设置防火墙功能。不想变更已经设置有internet连接的路由器,多地点想同时增加防火墙功能等,可以使用透明式防火墙功能来简单导入。

对于各种过滤的设置,路由式和透明式都是一样的。习惯了路由式防火墙设置的人,可以不必在意运行模式的不同进行设置。

注意事项

  • 不支持PPPoE。
    因此,不能放置在internet侧(WAN侧)。
  • 不能在LAN1的各端口间适用过滤。

支持的机型和固件版本

雅马哈RT系列的以下机型和固件版本支持此功能。

机型 固件
RTX820 Rev.11.03.16以后

详细

透明式防火墙和桥接接口

适用透明式防火墙功能,需要使用桥接接口。桥接接口是指,在接口间实现桥接功能的虚拟接口。以下的说明中,将收容在桥接接口中的实际接口称为:收容接口。

例如在桥接接口中收容实际接口时,使用以下的设置。

bridge member bridge1 lan1 lan2

命令的方法在桥接接口中有详细的说明,此处只需确认为了使用桥接接口而指定了lan1、lan2的实际接口就行了。在这个例子中,lan1、lan2是收容接口,bridge1是收容他们的桥接接口。

通过在收容接口间进行桥接,收容接口连接成为单一的网段。某一个从收容接口接收的数据包,遵从桥接接口的设置和终点MAC地址,决定输出目的地。在这个过程中适用各种过滤,就可以实现透明式防火墙的功能。请注意,LAN1为交换式HUB的各端口间,不适用过滤。过滤只适用于跨越收容接口间的通信。

过滤的处理过程

不管是路由式还是透明式,过滤的适用是一样的。所以路由式和透明式的过滤处理过程也大致相同。

以太网过滤非法访问检测入站过滤、和URL过滤是以接口为单位进行处理的过滤。因此,这些过滤在透明式的时候,也和路由式一样,可以在接收发送数据包的接口进行设置。

另一方面,策略过滤是以连接为单位进行处理的过滤。以连接为单位进行过滤时,必须决定输入的数据包从哪里输出。因此,进行策略过滤前的处理,路由式和透明式是不同的。路由式在策略过滤之前进行路由的处理,透明式时为桥接。

他们的差别在于决定输出的接口时,是参考IP层的地址还是参考数据链路层的地址,从策略过滤的角度来看,关于输入输出接口,由什么来决定输出接口其实并不重要。

因此,在定义策略过滤中的策略时,不管哪种模式,只要指定接收发送数据包的实际接口就可以了。

桥接接口和各过滤的详细信息,请参考关联文档

透明式防火墙的设置

透明式防火墙的设置大致按照以下的顺序进行。

  1. 桥接接口的设置
  2. 过滤的设置
    1. 对收容接口设置过滤
    2. 连接为单位的过滤的设置

和路由式不同的只有桥接接口的设置。过滤的设置和路由式时的设置相同。

接下来假象一下具体的情况,说明透明式防火墙的设置。这里,考虑一下在已经设置了WAN(Internet)侧的路由器(192.168.100.1)和L2交换机之间设置透明式防火墙的情况。

lan2连接路由器,lan1连接L2交换机。

桥接接口的设置

首先,设置桥接接口。桥接lan1和lan2时,如下设置。

# bridge member bridge1 lan1 lan2

将lan1和lan2设置为收容接口,收容在名为bridge1的桥接接口中。

以lan1和lan2自身为端点收发IP数据包必要时,请设置桥接接口的IP地址。

# ip bridge1 address 192.168.100.100/24

lan1和lan2收容在bridge1中,各自连接的物理网段为192.168.100.0/24的网络。

同时,默认路由和DNS服务器地址为192.168.100.1时,如下所示设置默认路由和DNS服务器。

# ip route default gateway 192.168.100.1
# dns server 192.168.100.1

对收容接口设置过滤

除去策略过滤,各种过滤均按接口为单位进行设置。不管路由式还是透明式都是相同的。

设置为透明式防火墙时,在每个收容接口上设置这些过滤。本例为在lan1或lan2上适用过滤。

以太网过滤

要进行以太网级别的过滤时,使用以太网过滤。本例中,因为lan1连接了L2交换机,所以在lan1上适用以太网过滤。

例如,要丢弃终端的MAC地址为00:a0:de:01:02:03以外的数据包时,如下设置。

# ethernet filter 1 pass-nolog 00:a0:de:01:02:03
# ethernet filter 100 reject-log *
# ethernet lan1 filter in 1 100

入站过滤

想要尽早丢弃在收容接口处接收的数据包时,请使用入站过滤功能。入站过滤是IP层的过滤,可以基于接收的数据包的IP地址等进行过滤。

例如,不从路由器侧接收Windows文件共享相关的数据包时,在lan2中进行以下设置。

# ip lan2 inbound filter list 1001 1002 1003 1004 1005 1006 1100
# ip inbound filter 1001 reject-nolog * * tcp,udp * 135
# ip inbound filter 1002 reject-nolog * * tcp,udp 135 *
# ip inbound filter 1003 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
# ip inbound filter 1004 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
# ip inbound filter 1005 reject-nolog * * tcp,udp * 445
# ip inbound filter 1006 reject-nolog * * tcp,udp 445 *
# ip inbound filter 1100 pass-nolog * * * * *

非法访问检测

和入站过滤相同,运行非法访问检测时,在路由器侧的收容接口lan2上设置非法访问检测是典型的使用方法。

例如检测ICMP相关的攻击时,如下设置。

# ip lan2 intrusion detection in on
# ip lan2 intrusion detection in icmp on reject=off
# ip lan2 intrusion detection in default off

URL过滤

内部数据库参考型URL过滤也和非法访问检测相同。

例如,屏蔽访问www.example.com时,在lan2上设置如下的内部数据库参考型URL过滤。

# url filter 1 reject www.example.com
# url filter 100 pass *
# url lan2 filter out 1 100

连接为单位的过滤的设置

策略过滤

Stateful Inspection方式的过滤,策略过滤是以连接为单位进行处理的过滤。透明式时使用时,和路由式时相同,可以对桥接的数据包进行基于策略的Stateful Inspection方式的过滤。

指定桥接的连接需要指定接收接口和发送接口,这时请指定收容接口。

例如,想要丢弃WAN侧的telnet连接时,接收接口为lan2,发送接口为lan1,进行如下的策略设置。

# ip policy filter 1000 reject-nolog lan2 lan1 * * telnet

关联文档

返回顶部Return to Top