Cisco FTD Transparent Mode เป็นอีกวิธีหนึ่งในการ Deploy ไฟร์วอลล์ในเครือข่ายคอมพิวเตอร์ ในโหมด Transparent ตัว FTD จะทำหน้าที่คล้ายกับการทำงานของสวิตช์ ซึ่งไม่จำเป็นต้องกำหนด IP Address ในแต่ละอินเทอร์เฟซ และการทำ Routing เส้นทางเครือข่ายด้วยเช่นเดียวกันครับ
Cisco FTD Transparent Mode vs Routed Mode
ในไดอะแกรมด้านล่างนี้ แสดงความแตกต่างระหว่างไฟร์วอลล์ใน Route Mode และ Transparent Mode
ในโหมด Transparent ได้รับการกำหนดค่าเหมือนกับสวิตช์ และไม่มีการกำหนดที่อยู่ IP ให้กับอินเทอร์เฟซใดๆ ยกเว้นไฟร์วอลล์เอง
ในตัวอย่างของเรา อินเทอร์เฟซภายในและภายนอกอยู่ในซับเน็ตเดียวกันคือ 192.168.1.0/24 และการรับส่งข้อมูลจะ (ไม่ได้กำหนดเส้นทาง) ผ่านไฟร์วอลล์เพื่อทำการตรวจสอบก่อนเข้าและออกไปสู่อินเตอร์เน็ต และข้อจำกัดของการทำ Transparent มีดังต่อไปนี้
1.No Multicast/Unicast Routing
2.No DHCP Relay
3.No VPN Termination
*** แต่เรายังสามารถใช้งาน NAT ได้อยู่ครับ
หากต้องการใช้โหมด Transparent เราต้องกำหนดค่า Bridge Group และเพิ่มอินเทอร์เฟซใน Bridge Group แต่ละกลุ่มก็เหมือนกับสวิตช์แยกไปหนึ่งตัว โดยในแต่ละกลุ่ม เราต้องกำหนดค่า Bridge Virtual Interface (BVI) ใช้ IP Address ของ BVI เป็นที่อยู่ต้นทางสำหรับแพ็กเก็ตที่มาจาก Bridge Group IP Address ของ BVI ต้องอยู่บนเครือข่ายย่อยเดียวกันกับอินเทอร์เฟซสมาชิกของ Bridge Group เราสามารถสร้าง Bridge Group ได้สูงสุด 250 กลุ่ม โดยมี 4 อินเทอร์เฟซต่อกลุ่ม
วิธีการ Configure Transparent Mode ให้กับ FMC และ FTD ทำได้ดังต่อไปนี้
ไปยัง CLI ของอุปกรณ์ Firewall FTD โดยใช้คำสั่ง configure manager add เพื่อทำการเพิ่ม FTD ใน FMC หลังจากนั้นก็ใช้ FMC ไป Add FTD เข้ามา โดยใช้ password ที่ตรงกัน ตามตัวอย่างด้านล่าง 192.168.200.100 เป็น IP Address ของ FMC นั่นเองครับ
ไปยัง FMC>Device และกดปุ่ม Add เพิ่มนำ FTD เข้ามาบริหารจัดการ โดย IP Address ของ FMC เป็น 192.168.200.101 และเลือก Create new policy
Add Device โดยใช้ IP Address
ทำการสร้างชื่อของ Policy ตามตัวอย่างด้านล่างจะเป็น Default หลังจากนั้นกดปุ่ม Save และกดปุ่ม OK
เราสามารถกลับไปตรวจสอบจาก FTD ได้ โดยการใช้คำสั่ง show managers จะเห็น Status ของการ Register อุปกรณ์เข้าไปยัง FMC เรียบร้อยแล้ว
ในขั้นตอนถัดไป เราจะเพิ่ม Bridge Group และ Bridge Virtual Interface โดยทำการเลือก Bridge Group id 1 เราเพิ่มอินเทอร์เฟซ GE0/0 และ GE0/1 ลงใน Bridge Group เป็นอินเทอร์เฟซภายนอกและภายใน
IP Address จะเป็น 192.168.1.101 ถูกกำหนดให้กับ BVI (bridge group virtual interface) ซึ่งอยู่ในเครือข่ายย่อยเดียวกันกับลิงก์ที่เชื่อมต่อกับ Bridge Group นั่นเองครับ
เปิด Enable อินเทอร์เฟซให้กับ Bridge Group ด้วย
กำหนด Gateway ให้กับ FTD โดยการ Add default gateway ใน Bridge Group
จากนั้นเราจะเพิ่ม Policy และ Access Rule ซึ่งในไฟร์วอลล์แบบ Transparent การรับส่งข้อมูล ARP และ BPDU จะได้รับอนุญาตตามค่า Default และจะไม่อนุญาตให้ใช้การรับส่งข้อมูลแบบ Multicast และ Broadcast โดย Default เช่นกัน
สำหรับตัวอย่างของเรา จะทำการเพิ่ม Rule เพื่ออนุญาตการรับส่งข้อมูลทั้งหมดก่อนครับ
หลังจานี้เพื่อให้แน่ใจว่าทุกอย่างทำงานได้ตามที่เราตั้งค่าไว้ เราจะตรวจสอบการเชื่อมต่อจากคอมพิวเตอร์ในโซนภายในไปยังปลายทางในโซนภายนอก จะเห็นได้ว่า สามารถ ping ออกไปข้างนอกได้ และมี Log ขึ้น
ตามข้างต้นเป็นแค่ตัวอย่างวิธีการทำนะครับ จะมีประโยชน์มากสำหรับ Partner ที่ต้องการนำ Firewall FTD ไปวางเพื่อ POC ให้กับทางลูกค้า หรือบางไซต์งานที่ไม่ต้องการเปลี่ยน IP Address ในส่วนของขา WAN ก็สามารถใช้การทำ Transparent Mode แบบนี้ได้ครับ
หากสงสัย หรือมีข้อแนะนำส่วนไหนก็สามารถติดต่อเข้ามาได้นะครับ ขอบคุณมากครับ