headermask image

Notice: Undefined variable: t in /var/www/user97185/data/www/system-administrators.info/yandex-ad.php on line 15

Notice: Undefined variable: r in /var/www/user97185/data/www/system-administrators.info/yandex-ad.php on line 15
Рекомендую: Фриланс-биржа | Кэшбэк-сервис | Интернет-бухгалтерия

Уровни безопасности в PIX и ASA

В этой статье мы рассмотрим концепцию уровней безопасности (Security Levels) в устройствах защиты Сisco (фаерволах и устройств серии Cisco ASA).

Уровень безопасности – это значение от 0 до 100, назначаемое администратором на интерфейсе Cisco ASA либо фаервола. Уровень безопасности определяет доверяем ли мы данному интерфейсу (те он более защищен) либо не доверяем (менее защищен) относительно другого интерфейса.

1203236920_security-levels.gif

Определенный интерфейс считается более защищенным (и доверие к нему больше) по сравнению с другим интерфейсом, если его уровень безопасности выше. Соответственно, интерфейс считается незащищенным (с меньшей степенью доверия) по сравнению с другим интерфейсом, если его уровень безопасности ниже. Вот такая вот простая истина.

Смысл данной концепции заключается в том, что интерфейс с более высоким уровнем безопасности (защищенный интерфейс) может обмениваться данными с интерфейсом, чей уровень безопасности ниже (незащищенный), а вот течение трафика с незащищенного интерфейса на защищенный невозможны без задания аксесс листов (ACL) и других параметров.

Уровень безопасности 100: Самый высокий уровень безопасности устройства защиты. По умолчанию назначен внутреннему (inside) интерфейсу устройства. Так как 100 определяет самую защищенную сеть, ваша корпоративная сеть должна быть за этим интерфейсом. Никто не сможет получить доступ к этой сети без созданных вами разрешений, при этом устройства вашей сети смогут иметь доступ на другие (внешние) интерфейсы.

Уровень безопасности 0: Это наименьший уровень безопасности. По умолчанию назначен внешнему (outside) интерфейсу устройства. Так как 0 является самым низким значением, за ним должна находится самая незащищенная сеть (например, инет), чтобы никто из этой сети не получил доступа к другим интерфейсам без явного вашего разрешения.

Уровни безопасности 1-99: Эти уровни безопасности вы можете назначать на другие интерфейсы (интерфейсы периметра), если они задействованы на устройстве защиты cisco. Значения будут зависеть от типа доступа, который вы желаете предоставить.

Примеры соединений

Рассмотрим три простых примера соединений:

1. Соединения с защищенного (более высокий уровень безопасности) на незащищенный (меньший уровень безопасности) интерфейс:

Трафик, например, исходящий с внутреннего (inside) интерфейса с уровнем безопасности 100 на внешний (outside) интерфейс с уровнем безопасности 0, подчиняется правилу: Разрешить весь IP трафик, если он явно не ограничен аксесс листами (ACLs), идентификацией (authentication) либо авторизацией (authorization).

2. Соединения с незащищенного интерфейса на защищенный: Трафик, например, исходящий с внешнего (outside) интерфейса с уровнем безопасности 0 на внутренний (inside) интерфейс с уровнем безопасности 100, подчиняется правилу: Отбрасывать все пакеты, если они явно не разрешены аксесс листами. Далее трафик ограничить идентификацией (authentication) либо авторизацией (authorization), если таковые имеют место быть.

3. Соединения с с интерфейсов с одинаковым уровнем безопасности: Течение трафика между данными интерфейсами по умолчанию запрещено.

По материалам: cisco-train.com

Похожие посты
  • Уникальные настройки безопасности групповой политики
  • Горячая десятка настроек безопасности для Active Directory
  • Функции безопасности в Outlook Web Access (часть 1)
  • Больше VOIP, больше безопасности: что нужно сделать для защиты VOIP
  • Пять главных параметров безопасности в групповой политике для Windows Server 2008
  • Пять основных причин безопасности для использования Windows Vista
  • Обзор брандмауэра Windows Server 2008 Firewall с расширенной безопасностью, часть 1: Установка умолчаний брандмауэра и безопасности подключений IPsec
  • Обеспечение безопасности DNS для Windows
  • Longhorn — новый уровень информационной безопасности?
  • Обеспечение безопасности LDAP
  • 3 комментов оставлено (Add 1 more)

    1. исходя из каких соображений закрыли трафик м\у одинаковыми интерфейсами по безопасности. Спасибо.

      1. nikita on June 10th, 2010 at 3:24 pm
    2. Поправил

      2. molse on March 10th, 2008 at 3:58 pm
    3. В первой строчке опечатка: Securiyu Levels

      А за статью спасибо. Полезная.

      з.ы. можете удалить комментарий после исправления опечатки.

      3. wax on March 10th, 2008 at 12:45 am