Stratix 5950工业防火墙透明模式使用

JZGKCHINA

工控技术分享平台

工业防火墙为工业网络安全中必不可少的部分，工业控制的二层网络的安全，Stratix5950工业防火墙提供了Transparent（透明）工作模式。

Ⅰ

透明模式介绍

1、透明模式：透明模式的工业防火墙，接口无法配置IP地址，唯一IP地址配置在Management 接口，用于设备的管理。用于2层工业控制网络的安全隔离。如图所示。

如下图所示，Transparent模式中，Stratix5950为2层接口，无IP地址，控制工业控制网内部安全访问。

2、透明模式流量转发：与交换机类似，接口无IP地址，通过目的MAC地址转发数据帧。

3. 透明模式中，当接收到的数据帧目的MAC不在工业防火墙本地MAC地址表项中，Stratix5950将做如下尝试：

ARP request : 当目的IP地址为本地直连网段时，Stratix5950将发送该目的地的ARP请求消息，收到目的地ARP Reply后，刷新本地MAC地址表项。

Ping request: 当目的IP地址非本地网段时，Stratix5950将向此目的地发送ICMP echo request消息，当收到目的设备的ICMP echo reply时，刷新本地MAC地址表。

Ⅱ

透明模式部署要求

透明模式中Stratix5950 接口必须加入到逻辑的bridge Group（类似与交换的VLAN）中 。

每个Bridge Group 中必须最少包含2个接口，最多包含4个接口。

每个bridge Group是一个独立的透明防火墙，默认情况，Bridge Group之间无法互访。

Ⅲ

配置透明模式工业防火墙

1. 查看Stratix5950 工作模式

Stratix# show firewall

Firewall mode: Router

Stratix#

2. 配置Stratix5950 为透明模式

Stratix(config)# firewall transparent

配置完透明模式后，设备无需重启。因透明模式和路由模式使用不同安全模块，所以必须提前保存配置到本地硬盘或者第三方设备。

3. 配置说明

将Gi 0/0和Gi 0/1加入到bridge group 1，设置安全基本，命名。

Stratix(config)# interface Gi 0/0

Stratix(config-if)# nameif outside

Stratix(config-if)# security-level 0

Stratix(config-if)# bridge-group 1

Stratix(config-if)# no shutdown

Stratix(config)# interface Gi 0/1

Stratix(config-if)# nameif inside

Stratix(config-if)# security-level 100

Stratix(config-if)# bridge-group 1

Stratix(config-if)# no shutdown

为bridge group分配一个IP地址，仅用在管理流量，此处BVI，类似与交换机的SVI接口.

Stratix(config)# interface BVI 1

Stratix(config-if)# ip address 192.168.1.1 255.255.255.0

Ⅳ

透明模式防火墙中的流量控制

1. 透明模式可以执行安全策略，允许单播流量中高安全级别的接口到低安全级别的接口。当来自于低安全级别接口的流量访问高安全级别接口时，默认不允许，需要ACL放行。

2. 当无ACL情况下，允许ARP数据包在所有接口传递。可配置ARP检测技术，默认情况，多播和广播流量不允许通过，可以用ACL放行。运用二层ACL可以放行非IP流量

Ⅴ

ARP检测

1. 问题：当Stratix5950 处于透明模式时，一个接口收到的所有ARP报文时，都从其他接口发送出去。那么可能会存在ARP欺骗的问题，如下图所示：

当PC对路由发起访问，因为不知道目的MAC地址，所以发送ARP Request查询路由器IP所对应的MAC地址

Stratix5950 从inside接口 收到ARP Request消息后会从outside接口转发，outside为非信任网络，存在一个攻击者，则此时会伪装大量ARP Replay消息发送给PC，此时PC学习到192.168.100.1（路由器MAC地址）的MAC地为0000.9999.9999（攻击者MAC地址）。则导致PC访问路由的流量被转发到攻击者。

2. 解决方案：在透明模式Stratix5950 中部署ARP Inspection，在inside和outside接口做ARP Inspection，手动指定允许接口的IP地址所对应的MAC地址。

如果Stratix5950 收到数据帧的源IP和MAC的对应关系，可以与本地单一ARP条目一致，则允许通过。

如果Stratix5950 收到数据帧的源IP和MAC只有其中一个与定义的ARP单一条目一致，则不允许通过。

如果Stratix5950 收到数据帧的源IP和MAC在定义的ARP对应关系中都无法一致。则自定义动作。

3. 配置说明

在inside和outside接口绑定允许放行的IP和MAC对应关系，并开启ARP Inspection功能。

Stratix(config)# arp inside 192.168.100.222 0000.2222.2222

Stratix(config)# arp outside 192.168.100.1 0000.1111.1111

Stratix(config)# arp-inspection inside enable

Stratix(config)# arp-inspection outside enable

Ⅵ

透明模式防火墙实验

1. 实验拓扑

2. 设备IP地址规划

3. 实验需求

PC2模拟outside网络，PC1模拟Inside网络

Stratix5950部署透明模式，Gi 0/1连接outside网络，Gi 0/2连接inside网络

PC1可以Ping到PC2.

4. 实验步骤

配置Stratix5950为透明模式，将Stratix5950接口加入到Bridge Group 1，并为BVI配置IP地址。

firewall transparent

interface Gi 0/1

nameif outside

bridge-group 1

security-level 0

interface Gi 0/2

nameif inside

bridge-group 1

security-level 100

interface BVI1

ip address 192.168.100.100 255.255.255.0

默认情况透明模式防火墙不放行Ping流量，会导致PC1与PC2无法Ping，此处需要放行inside接口和outside接口Ping流量。

access-list EXTRA-TRAFFIC extended permit icmp any 192.168.1.2 192.168.1.1

access-list EXTRA-TRAFFIC extended permit icmp any 192.168.1.1 192.168.1.2

access-group EXTRA-TRAFFIC in interface outside

access-group EXTRA-TRAFFIC in interface inside

作者简介：

剑思庭，工控安全研究员，熟悉S7协议和CIP协议，主要从事工业安全渗透和防御。