Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Asa security-level
1. Security-level là gì (Security Level)
Security-level được chỉ định cho các interface (interface vật lý hoặc logic) và về cơ bản nó là
một số từ 0 đến 100 chỉ định mức độ tin cậy của một interface so vớiinterface khác trên thiết
bị.
Security-level càng cao, interface càng đáng tin cậy (và do đó mạng được kết nối đằng sau
nó) được coi là có liên quan đến interface khác.
Vì mỗi interface tường lửa đại diện cho một mạng cụ thể (hoặc vùng bảo mật), bằng cách sử
dụng các security-level, chúng ta có thể chỉ định 'mức độ tin cậy' cho các vùng bảo mật của
mình.
Quy tắc chính cho các security-level là một interface (hoặc vùng) có security-level caohơn có
thể truy cập vàomột interface có security-level thấp hơn.
Mặt khác, interface có security-level thấp hơn không thể truy cập interface có security-level
cao hơn mà không có sự cho phép rõ ràng của quy tắc bảo mật (Access Control List - ACL).
Ví dụ về security-level
Hãy xem một số vídụ về security-level bên dưới:
Security-level 0 (Security Level 0): Đây là security-level thấp nhất và nó được
gán theo mặc định cho Interface ‘Outside’ của tường lửa. Đây là security-level kém
tin cậy nhất và phải được chỉ định tương ứng cho mạng (interface) mà chúng ta không
muốn nó có bất kỳ quyền truy cập nào vàocác mạng nội bộ. Security-level này thường
được gán cho interface kết nối vớiInternet. Điều này có nghĩa là mọi thiết bị được kết
nối vớiInternet không thể có quyền truy cập vào bất kỳ mạng nào phía sau tường lửa,
trừ khi được quy tắc ACL cho phép một cách rõ ràng.
Security-level từ 1 đến 99 (Security Levels 1 to 99): Các security-level này có
thể được chỉ định cho các vùng bảo mật ngoại vi(ví dụ: Vùng DMZ, Vùng
Management, Vùng Database Servers, v.v.).
Security-level 100 (Security Level 100): Đây là security-level cao nhất và nó
được gán theo mặc định cho Interface ‘Inside’ của tường lửa. Đây là security-level
đáng tin cậy nhất và phải được chỉ định tương ứng cho mạng (interface) mà chúng ta
muốn áp dụng biện pháp bảo vệ tốt nhất từ thiết bị bảo mật. Security-level này
thường được gán cho interface kết nối mạng nội bộ Công ty đằng sau nó.
2. Sơ đồ trên minh họa một ví dụ điển hình về việc gán các security-level trong mạng vớicác
vùng Bên trong (Inside), Bên ngoài (Outside) và DMZ.
Điều này đại diện cho một thiết lập mạng khá phổ biến của mạng doanh nghiệp / công ty,
theo đó người dùng được kết nối vớimạng Inside (nội bộ), một số máy chủ công cộng (ví dụ:
máy chủ web, máy chủ email, v.v.) được đặt trong mạng DMZ và bên ngoài ASA là điểm kêt
nôi internet.
Như bạn có thể thấy, Mạng nội bộ của công ty được kết nối vớiInterface có security-level cao
nhất (Interface G0/1 vớiSecurity Level 100) cũng được đặt tên là ‘Inside’.
Tên interface ‘Inside’ được đặt theo mặc định cho interface có security-level caonhất. Ngoài
ra, interface hướng tới INTERNET (G0/0) được đặt tên là ‘Outside’ và được gán security
level of 0.
Vùng Vành đai (DMZ) cũng được tạo vớimức Security Level of 50. Các mũi tên màu đỏ
trong biểu đồ thể hiện luồng traffic.
Như bạn thấy, Vùng bên trong có thể truy cập cả DMZ và Vùng bên ngoài (Cấp độ an toàn
100 có thể truy cập tự do vàoCấp độ an ninh 50 và 0).
Vùng DMZ chỉ có thể truy cập vùng bên ngoài (Cấp độ an toàn 50 có thể truy cập Cấp độ 0),
nhưng không thể truy cập Vùng bên trong. Cuối cùng, khu vực Bên ngoài không thể truy cập
khu vực bên trong hoặc khu vực DMZ.
Những gì được mô tả trong vídụ trên là hành vimặc định của Tường lửa Firewall Cisco ASA.
3. Chúng ta có thể ghi đè hành vimặc định và cho phép truy cập từ Security-level thấp hơn đến
Security-level caohơn bằng cách sử dụng NAT tĩnh (Static NAT) và Danh sách kiểm soát
truy cập (ACLs).
Quy tắc traffic truy cập giữa các security-level
Traffic truy cập từ Security-level caohơn đến Security-level thấp hơn: Cho phép TẤT
CẢ traffic truy cập bắt nguồn từ Security-level caohơn trừ khi bị hạn chế cụ thể bởi
Danh sách kiểm soát truy cập (ACL). Nếu NAT-Control được bật trên thiết bị, thì phải
có quy tắc dịch NAT động giữa các interface Security-level từ Cao đến Thấp (ví dụ:
PAT, v.v.).
Traffic truy cập từ Cấp độ an toàn thấp hơn đến Security-level caohơn: loại TẤT CẢ
traffic truy cập trừ khi được ACL cho phép cụ thể. Nếu NAT-Control được bật trên
thiết bị thì phải có NAT tĩnh giữa các interface Security-level từ Cao đến Thấp.
Traffic giữa các interface có cùng Security-level: Theomặc định, điều này không được
phép, trừ khi bạn định cấu hình lệnh liên interface cho phép traffic truy cập giống
nhau.
Sử dụng các interface có cùng security-level trên Firewall Cisco ASA
Hầu hết các mô hình tường lửa Cisco ASA cho phép bạn có số lượng VLAN tối đa lớn hơn
100 (vídụ: 150, 200, 250).
Mỗi VLAN lớp 2 trên ASA về cơ bản là một vùng bảo mật khác nhau, vớisố Security-level
riêng của nó.
Như chúng ta đã biết, các security-level cóthể nằm trong khoảng từ 0 đến 100 (tức là chúng
ta có 101 security-level). Một câu hỏi hiển nhiên được đặt ra ở đây: Làm thế nào chúng ta có
thể có 150 VLAN trên tường lửa, nhưng chúng ta chỉ có 101 security-level khả thi?
Câu trả lời rất đơn giản: Chúng ta có thể có cùng một số security-level trên các interface /
interface con (vùng bảo mật) khác nhau. Tính năng này sẽ cho phép chúng ta có hơn 101
interface giao tiếp trên tường lửa.
Theomặc định, các interface có cùng security-level không thể giao tiếp giữa chúng. Để cho
phép traffic truy cập tự do giữa các interface có cùng security-level, hãy sử dụng lệnh sau:
ASA-TGM(config)# same-security-traffic permit inter-interface
Cũng có một tùy chọn khác cho lệnh này:
ASA-TGM(config)# same-security-traffic permit intra-interface
Lệnh cuối cùng ở trên cho phép traffic truy cập vàovà thoát ra cùng một interface, điều này
4. theo mặc định là không được phép. Điều này hữu ích trong các mạng mà ASA Firewall hoạt
động như một HUB trong cấu trúc liên kết HUB-and-SPOKE VPN, nơi các chi nhánh cần
giao tiếp với nhau thông qua trung tâm.
Security-level là một trong những khái niệm cốt lõi của tường lửa Firewall Cisco ASA. Bạn
phải lập kế hoạch cẩn thận việc chỉ định các security-level trên cơ sở từng interface và sau đó
kiểm soát traffic giữa các interface cho phù hợp.