Навигация
Системное Администрирование Решения на открытых кодах Структура сети Компьютерные сети малых предприятий Сеть с централизованным управлением Управление с помощью групповых политик Организация почтового обслуживания Взаимодействие с глобальной сетью Безопасность Виртуализация Парядок настройки и определения неисправностей Средства управления системами Автоматизация установки программного обестичения Решение проблем с компьютером Разное
 
 
Избранное
Pathping. Traceroute на стероидах.
FreeNAS: создаём сетевое хранилище (NAS)
Iperf - утилита для тестирования пропускной способности сети.
Средство против «сетевой слепоты»
Преимущества и недостатки RAID 6
Дисковые массивы RAID
Надежнее, чем RAID 5
Унификация корпоративных коммуникаций
Exchange и SAN: не все так просто
Cisco против Meru
 
 
Сеть с централизованным управлением » CISCO - Уровни безопасности в PIX и ASA

В этой статье мы рассмотрим концепцию уровней безопасности (Security Levels) в устройствах защиты Сisco (фаерволах и устройств серии Cisco ASA).

Уровень безопасности - это значение от 0 до 100, назначаемое администратором на интерфейсе Cisco ASA либо фаервола. Уровень безопасности определяет доверяем ли мы данному интерфейсу (те он более защищен) либо не доверяем (менее защищен) относительно другого интерфейса.

Уровни безопасности в PIX и ASA

Определенный интерфейс считается более защищенным (и доверие к нему больше) по сравнению с другим интерфейсом, если его уровень безопасности выше. Соответственно, интерфейс считается незащищенным (с меньшей степенью доверия) по сравнению с другим интерфейсом, если его уровень безопасности ниже. Вот такая вот простая истина.

Смысл данной концепции заключается в том, что интерфейс с более высоким уровнем безопасности (защищенный интерфейс) может обмениваться данными с интерфейсом, чей уровень безопасности ниже (незащищенный), а вот течение трафика с незащищенного интерфейса на защищенный невозможны без задания аксесс листов (ACL) и других параметров.

Уровень безопасности 100: Самый высокий уровень безопасности устройства защиты. По умолчанию назначен внутреннему (inside) интерфейсу устройства. Так как 100 определяет самую защищенную сеть, ваша корпоративная сеть должна быть за этим интерфейсом. Никто не сможет получить доступ к этой сети без созданных вами разрешений, при этом устройства вашей сети смогут иметь доступ на другие (внешние) интерфейсы.

Уровень безопасности 0: Это наименьший уровень безопасности. По умолчанию назначен внешнему (outside) интерфейсу устройства. Так как 0 является самым низким значением, за ним должна находится самая незащищенная сеть (например, инет), чтобы никто из этой сети не получил доступа к другим интерфейсам без явного вашего разрешения.

Уровни безопасности 1-99: Эти уровни безопасности вы можете назначать на другие интерфейсы (интерфейсы периметра), если они задействованы на устройстве защиты cisco. Значения будут зависеть от типа доступа, который вы желаете предоставить.

Примеры соединений

Рассмотрим три простых примера соединений:

1. Соединения с защищенного (более высокий уровень безопасности) на незащищенный (меньший уровень безопасности) интерфейс:

Трафик, например, исходящий с внутреннего (inside) интерфейса с уровнем безопасности 100 на внешний (outside) интерфейс с уровнем безопасности 0, подчиняется правилу: Разрешить весь IP трафик, если он явно не ограничен аксесс листами (ACLs), идентификацией (authentication) либо авторизацией (authorization).

2. Соединения с незащищенного интерфейса на защищенный: Трафик, например, исходящий с внешнего (outside) интерфейса с уровнем безопасности 0 на внутренний (inside) интерфейс с уровнем безопасности 100, подчиняется правилу: Отбрасывать все пакеты, если они явно не разрешены аксесс листами. Далее трафик ограничить идентификацией (authentication) либо авторизацией (authorization), если таковые имеют место быть.

3. Соединения с с интерфейсов с одинаковым уровнем безопасности: Течение трафика между данными интерфейсами по умолчанию запрещено.

По материалам: cisco-train.com




 
 
 
 
Поиск по сайту
Google Поиск


Яндекс поиск
 
 
Полезное
 
 
 
 
 
systemzone.ru 2014