10.1 思科ASA：路由防火墙与透明防火墙的主要区别（默认处于路由模式，show firewall 进行查看）

10.1  思科ASA：路由防火墙与透明防火墙的主要区别（默认处于路由模式，show firewall 进行查看）

查看ASA防火墙工作在路由模式还是透明模式

路由模式

ciscoasa# show firewall

Firewall mode: Router

ciscoasa#

透明模式：

ciscoasa(config)# show firewall

Firewall  mode: Transparent

ASA安全设备可以工作在两种模式下，即路由模式和透明模式，默认情况下ASA处于路由模式。

切换到透明模式：

asa(config)# firewall  transparent

需要注意的是：切换时会清除当前的配置。
如果要重新切换到路由模式，需要使用命令：no  firewall  transparent。

透明防火墙也称为二层防火墙或者隐形防火墙。

1、如果运行在单防火墙下，每台安全设备上最多有8个桥组。如果运行在多防火墙模式下，那么每台虚拟防火墙最多可以有8个桥组。

2、BVI=桥组虚拟接口（Bridge-Group Virtual Interface）

透明模式的优缺点

（1）易于部署，无需改变网络拓扑结构，无需更改原有的IP编址方案。

（2）允许非IP流量穿越防火墙。默认是拒绝的，比如Appale Talk,IPX,STP BPDUs和MPLS。这些流量可以通过配置Ether-Type ACL而被允许通过透明模式防火墙。

（3）支持很多在路由模式下支持的特性，比如Failover，NAT（版本8），状态过滤，标准和扩展ACL，CTP，WEB内容过滤，MPF等等。

两种工作模式：

透明模式概述

ASA从7.0版本开始支持透明模式。

在路由默认下，ASA充当一个三层设备，基于目的Ip地址转发数据包；在透明模式下，ASA充当一个二层设备，基于目的MAC地址转发数据桢（没有配置NAT时）。

在8.0之前的版本中，透明模式下不支持NAT，8.0及其后续版本支持NAT配置。如果配置了NAT，ASA转发数据包仍然使用路由查找。

处于透明模式下的ASA虽然是一个二层设备，但与交换机处理数据桢存在着不同。

1）对于目的MAC地址未知的单播数据桢，ASA不会泛洪而是直接丢弃。

2）ASA不参与STP（生成树协议）。

透明模式下默认允许穿越的目的MAC地址如下：

1）广播MAC地址：FFFF.FFFF.FFFF

2）Ipv4组播MAC地址从0100.5E00.0000到0100.5EFE.FFFF。

3）Ipv6组播MAC地址从3333.0000.0000到3333.FFFF.FFFF。

4）BPDU组播MAC地址：0100.0CCC.CCCD （Cisco私有）。

5）AppleTalk组播MAC地址从0900.0700.0000到0900.07FF.FFFF。

透明模式下默认允许的三层流量如下：

1）允许Ipv4流量自动从高级别接口到低级别接口，而不必配置ACL。

2）允许ARP流量双向穿越，而不必配置ACL。

ASA在透明模式下运行时，继续使用应用层智能执行状态检测和各项常规防火墙功能，但只支持两个区域。

透明模式下不需要再接口上配置Ip地址，这样就不用重新设计现有的Ip网络，方便部署。

思科Cisco ASA防火墙（列表、list、全）asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html