SlideShare a Scribd company logo

Asa security-level

Download as DOCX, PDF
N
np_thanh

Giới thiệu các cấp độ bảo mật security level của Cisco IOS

News & Politics
1 of 4
Security-level là gì (Security Level) Security-level được chỉ định cho các interface (interface vật lý hoặc logic) và về cơ bản nó là một số từ 0 đến 100 chỉ định mức độ tin cậy của một interface so vớiinterface khác trên thiết bị. Security-level càng cao, interface càng đáng tin cậy (và do đó mạng được kết nối đằng sau nó) được coi là có liên quan đến interface khác. Vì mỗi interface tường lửa đại diện cho một mạng cụ thể (hoặc vùng bảo mật), bằng cách sử dụng các security-level, chúng ta có thể chỉ định 'mức độ tin cậy' cho các vùng bảo mật của mình. Quy tắc chính cho các security-level là một interface (hoặc vùng) có security-level caohơn có thể truy cập vàomột interface có security-level thấp hơn. Mặt khác, interface có security-level thấp hơn không thể truy cập interface có security-level cao hơn mà không có sự cho phép rõ ràng của quy tắc bảo mật (Access Control List - ACL). Ví dụ về security-level Hãy xem một số vídụ về security-level bên dưới:  Security-level 0 (Security Level 0): Đây là security-level thấp nhất và nó được gán theo mặc định cho Interface ‘Outside’ của tường lửa. Đây là security-level kém tin cậy nhất và phải được chỉ định tương ứng cho mạng (interface) mà chúng ta không muốn nó có bất kỳ quyền truy cập nào vàocác mạng nội bộ. Security-level này thường được gán cho interface kết nối vớiInternet. Điều này có nghĩa là mọi thiết bị được kết nối vớiInternet không thể có quyền truy cập vào bất kỳ mạng nào phía sau tường lửa, trừ khi được quy tắc ACL cho phép một cách rõ ràng.  Security-level từ 1 đến 99 (Security Levels 1 to 99): Các security-level này có thể được chỉ định cho các vùng bảo mật ngoại vi(ví dụ: Vùng DMZ, Vùng Management, Vùng Database Servers, v.v.).  Security-level 100 (Security Level 100): Đây là security-level cao nhất và nó được gán theo mặc định cho Interface ‘Inside’ của tường lửa. Đây là security-level đáng tin cậy nhất và phải được chỉ định tương ứng cho mạng (interface) mà chúng ta muốn áp dụng biện pháp bảo vệ tốt nhất từ thiết bị bảo mật. Security-level này thường được gán cho interface kết nối mạng nội bộ Công ty đằng sau nó.
Sơ đồ trên minh họa một ví dụ điển hình về việc gán các security-level trong mạng vớicác vùng Bên trong (Inside), Bên ngoài (Outside) và DMZ. Điều này đại diện cho một thiết lập mạng khá phổ biến của mạng doanh nghiệp / công ty, theo đó người dùng được kết nối vớimạng Inside (nội bộ), một số máy chủ công cộng (ví dụ: máy chủ web, máy chủ email, v.v.) được đặt trong mạng DMZ và bên ngoài ASA là điểm kêt nôi internet. Như bạn có thể thấy, Mạng nội bộ của công ty được kết nối vớiInterface có security-level cao nhất (Interface G0/1 vớiSecurity Level 100) cũng được đặt tên là ‘Inside’. Tên interface ‘Inside’ được đặt theo mặc định cho interface có security-level caonhất. Ngoài ra, interface hướng tới INTERNET (G0/0) được đặt tên là ‘Outside’ và được gán security level of 0. Vùng Vành đai (DMZ) cũng được tạo vớimức Security Level of 50. Các mũi tên màu đỏ trong biểu đồ thể hiện luồng traffic. Như bạn thấy, Vùng bên trong có thể truy cập cả DMZ và Vùng bên ngoài (Cấp độ an toàn 100 có thể truy cập tự do vàoCấp độ an ninh 50 và 0). Vùng DMZ chỉ có thể truy cập vùng bên ngoài (Cấp độ an toàn 50 có thể truy cập Cấp độ 0), nhưng không thể truy cập Vùng bên trong. Cuối cùng, khu vực Bên ngoài không thể truy cập khu vực bên trong hoặc khu vực DMZ. Những gì được mô tả trong vídụ trên là hành vimặc định của Tường lửa Firewall Cisco ASA.
Chúng ta có thể ghi đè hành vimặc định và cho phép truy cập từ Security-level thấp hơn đến Security-level caohơn bằng cách sử dụng NAT tĩnh (Static NAT) và Danh sách kiểm soát truy cập (ACLs). Quy tắc traffic truy cập giữa các security-level  Traffic truy cập từ Security-level caohơn đến Security-level thấp hơn: Cho phép TẤT CẢ traffic truy cập bắt nguồn từ Security-level caohơn trừ khi bị hạn chế cụ thể bởi Danh sách kiểm soát truy cập (ACL). Nếu NAT-Control được bật trên thiết bị, thì phải có quy tắc dịch NAT động giữa các interface Security-level từ Cao đến Thấp (ví dụ: PAT, v.v.).  Traffic truy cập từ Cấp độ an toàn thấp hơn đến Security-level caohơn: loại TẤT CẢ traffic truy cập trừ khi được ACL cho phép cụ thể. Nếu NAT-Control được bật trên thiết bị thì phải có NAT tĩnh giữa các interface Security-level từ Cao đến Thấp.  Traffic giữa các interface có cùng Security-level: Theomặc định, điều này không được phép, trừ khi bạn định cấu hình lệnh liên interface cho phép traffic truy cập giống nhau. Sử dụng các interface có cùng security-level trên Firewall Cisco ASA Hầu hết các mô hình tường lửa Cisco ASA cho phép bạn có số lượng VLAN tối đa lớn hơn 100 (vídụ: 150, 200, 250). Mỗi VLAN lớp 2 trên ASA về cơ bản là một vùng bảo mật khác nhau, vớisố Security-level riêng của nó. Như chúng ta đã biết, các security-level cóthể nằm trong khoảng từ 0 đến 100 (tức là chúng ta có 101 security-level). Một câu hỏi hiển nhiên được đặt ra ở đây: Làm thế nào chúng ta có thể có 150 VLAN trên tường lửa, nhưng chúng ta chỉ có 101 security-level khả thi? Câu trả lời rất đơn giản: Chúng ta có thể có cùng một số security-level trên các interface / interface con (vùng bảo mật) khác nhau. Tính năng này sẽ cho phép chúng ta có hơn 101 interface giao tiếp trên tường lửa. Theomặc định, các interface có cùng security-level không thể giao tiếp giữa chúng. Để cho phép traffic truy cập tự do giữa các interface có cùng security-level, hãy sử dụng lệnh sau: ASA-TGM(config)# same-security-traffic permit inter-interface Cũng có một tùy chọn khác cho lệnh này: ASA-TGM(config)# same-security-traffic permit intra-interface Lệnh cuối cùng ở trên cho phép traffic truy cập vàovà thoát ra cùng một interface, điều này
theo mặc định là không được phép. Điều này hữu ích trong các mạng mà ASA Firewall hoạt động như một HUB trong cấu trúc liên kết HUB-and-SPOKE VPN, nơi các chi nhánh cần giao tiếp với nhau thông qua trung tâm. Security-level là một trong những khái niệm cốt lõi của tường lửa Firewall Cisco ASA. Bạn phải lập kế hoạch cẩn thận việc chỉ định các security-level trên cơ sở từng interface và sau đó kiểm soát traffic giữa các interface cho phù hợp.

Recommended

Ch16
Ch16Ch16
Ch16
Khôi Nguyễn Xuân
 
Chuong 6 xac thuc va toan ven thong tin
Chuong 6 xac thuc va toan ven thong tinChuong 6 xac thuc va toan ven thong tin
Chuong 6 xac thuc va toan ven thong tin
np_thanh
 
Huong dan GNS3
Huong dan GNS3Huong dan GNS3
Huong dan GNS3
np_thanh
 
Phuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhatPhuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhat
np_thanh
 
Bai Thuc hanh DNS
Bai Thuc hanh DNSBai Thuc hanh DNS
Bai Thuc hanh DNS
np_thanh
 
Osi & tcp ip
Osi & tcp ipOsi & tcp ip
Osi & tcp ip
np_thanh
 
Cap mang (network cable)
Cap mang (network cable)Cap mang (network cable)
Cap mang (network cable)
np_thanh
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 

Recommended

Ch16
Ch16Ch16
Ch16
Khôi Nguyễn Xuân
 
Chuong 6 xac thuc va toan ven thong tin
Chuong 6 xac thuc va toan ven thong tinChuong 6 xac thuc va toan ven thong tin
Chuong 6 xac thuc va toan ven thong tin
np_thanh
 
Huong dan GNS3
Huong dan GNS3Huong dan GNS3
Huong dan GNS3
np_thanh
 
Phuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhatPhuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhat
np_thanh
 
Bai Thuc hanh DNS
Bai Thuc hanh DNSBai Thuc hanh DNS
Bai Thuc hanh DNS
np_thanh
 
Osi & tcp ip
Osi & tcp ipOsi & tcp ip
Osi & tcp ip
np_thanh
 
Cap mang (network cable)
Cap mang (network cable)Cap mang (network cable)
Cap mang (network cable)
np_thanh
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 

More Related Content

Featured

How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 

Featured (20)

Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 

Asa security-level

  • 1. Security-level là gì (Security Level) Security-level được chỉ định cho các interface (interface vật lý hoặc logic) và về cơ bản nó là một số từ 0 đến 100 chỉ định mức độ tin cậy của một interface so vớiinterface khác trên thiết bị. Security-level càng cao, interface càng đáng tin cậy (và do đó mạng được kết nối đằng sau nó) được coi là có liên quan đến interface khác. Vì mỗi interface tường lửa đại diện cho một mạng cụ thể (hoặc vùng bảo mật), bằng cách sử dụng các security-level, chúng ta có thể chỉ định 'mức độ tin cậy' cho các vùng bảo mật của mình. Quy tắc chính cho các security-level là một interface (hoặc vùng) có security-level caohơn có thể truy cập vàomột interface có security-level thấp hơn. Mặt khác, interface có security-level thấp hơn không thể truy cập interface có security-level cao hơn mà không có sự cho phép rõ ràng của quy tắc bảo mật (Access Control List - ACL). Ví dụ về security-level Hãy xem một số vídụ về security-level bên dưới:  Security-level 0 (Security Level 0): Đây là security-level thấp nhất và nó được gán theo mặc định cho Interface ‘Outside’ của tường lửa. Đây là security-level kém tin cậy nhất và phải được chỉ định tương ứng cho mạng (interface) mà chúng ta không muốn nó có bất kỳ quyền truy cập nào vàocác mạng nội bộ. Security-level này thường được gán cho interface kết nối vớiInternet. Điều này có nghĩa là mọi thiết bị được kết nối vớiInternet không thể có quyền truy cập vào bất kỳ mạng nào phía sau tường lửa, trừ khi được quy tắc ACL cho phép một cách rõ ràng.  Security-level từ 1 đến 99 (Security Levels 1 to 99): Các security-level này có thể được chỉ định cho các vùng bảo mật ngoại vi(ví dụ: Vùng DMZ, Vùng Management, Vùng Database Servers, v.v.).  Security-level 100 (Security Level 100): Đây là security-level cao nhất và nó được gán theo mặc định cho Interface ‘Inside’ của tường lửa. Đây là security-level đáng tin cậy nhất và phải được chỉ định tương ứng cho mạng (interface) mà chúng ta muốn áp dụng biện pháp bảo vệ tốt nhất từ thiết bị bảo mật. Security-level này thường được gán cho interface kết nối mạng nội bộ Công ty đằng sau nó.
  • 2. Sơ đồ trên minh họa một ví dụ điển hình về việc gán các security-level trong mạng vớicác vùng Bên trong (Inside), Bên ngoài (Outside) và DMZ. Điều này đại diện cho một thiết lập mạng khá phổ biến của mạng doanh nghiệp / công ty, theo đó người dùng được kết nối vớimạng Inside (nội bộ), một số máy chủ công cộng (ví dụ: máy chủ web, máy chủ email, v.v.) được đặt trong mạng DMZ và bên ngoài ASA là điểm kêt nôi internet. Như bạn có thể thấy, Mạng nội bộ của công ty được kết nối vớiInterface có security-level cao nhất (Interface G0/1 vớiSecurity Level 100) cũng được đặt tên là ‘Inside’. Tên interface ‘Inside’ được đặt theo mặc định cho interface có security-level caonhất. Ngoài ra, interface hướng tới INTERNET (G0/0) được đặt tên là ‘Outside’ và được gán security level of 0. Vùng Vành đai (DMZ) cũng được tạo vớimức Security Level of 50. Các mũi tên màu đỏ trong biểu đồ thể hiện luồng traffic. Như bạn thấy, Vùng bên trong có thể truy cập cả DMZ và Vùng bên ngoài (Cấp độ an toàn 100 có thể truy cập tự do vàoCấp độ an ninh 50 và 0). Vùng DMZ chỉ có thể truy cập vùng bên ngoài (Cấp độ an toàn 50 có thể truy cập Cấp độ 0), nhưng không thể truy cập Vùng bên trong. Cuối cùng, khu vực Bên ngoài không thể truy cập khu vực bên trong hoặc khu vực DMZ. Những gì được mô tả trong vídụ trên là hành vimặc định của Tường lửa Firewall Cisco ASA.
  • 3. Chúng ta có thể ghi đè hành vimặc định và cho phép truy cập từ Security-level thấp hơn đến Security-level caohơn bằng cách sử dụng NAT tĩnh (Static NAT) và Danh sách kiểm soát truy cập (ACLs). Quy tắc traffic truy cập giữa các security-level  Traffic truy cập từ Security-level caohơn đến Security-level thấp hơn: Cho phép TẤT CẢ traffic truy cập bắt nguồn từ Security-level caohơn trừ khi bị hạn chế cụ thể bởi Danh sách kiểm soát truy cập (ACL). Nếu NAT-Control được bật trên thiết bị, thì phải có quy tắc dịch NAT động giữa các interface Security-level từ Cao đến Thấp (ví dụ: PAT, v.v.).  Traffic truy cập từ Cấp độ an toàn thấp hơn đến Security-level caohơn: loại TẤT CẢ traffic truy cập trừ khi được ACL cho phép cụ thể. Nếu NAT-Control được bật trên thiết bị thì phải có NAT tĩnh giữa các interface Security-level từ Cao đến Thấp.  Traffic giữa các interface có cùng Security-level: Theomặc định, điều này không được phép, trừ khi bạn định cấu hình lệnh liên interface cho phép traffic truy cập giống nhau. Sử dụng các interface có cùng security-level trên Firewall Cisco ASA Hầu hết các mô hình tường lửa Cisco ASA cho phép bạn có số lượng VLAN tối đa lớn hơn 100 (vídụ: 150, 200, 250). Mỗi VLAN lớp 2 trên ASA về cơ bản là một vùng bảo mật khác nhau, vớisố Security-level riêng của nó. Như chúng ta đã biết, các security-level cóthể nằm trong khoảng từ 0 đến 100 (tức là chúng ta có 101 security-level). Một câu hỏi hiển nhiên được đặt ra ở đây: Làm thế nào chúng ta có thể có 150 VLAN trên tường lửa, nhưng chúng ta chỉ có 101 security-level khả thi? Câu trả lời rất đơn giản: Chúng ta có thể có cùng một số security-level trên các interface / interface con (vùng bảo mật) khác nhau. Tính năng này sẽ cho phép chúng ta có hơn 101 interface giao tiếp trên tường lửa. Theomặc định, các interface có cùng security-level không thể giao tiếp giữa chúng. Để cho phép traffic truy cập tự do giữa các interface có cùng security-level, hãy sử dụng lệnh sau: ASA-TGM(config)# same-security-traffic permit inter-interface Cũng có một tùy chọn khác cho lệnh này: ASA-TGM(config)# same-security-traffic permit intra-interface Lệnh cuối cùng ở trên cho phép traffic truy cập vàovà thoát ra cùng một interface, điều này
  • 4. theo mặc định là không được phép. Điều này hữu ích trong các mạng mà ASA Firewall hoạt động như một HUB trong cấu trúc liên kết HUB-and-SPOKE VPN, nơi các chi nhánh cần giao tiếp với nhau thông qua trung tâm. Security-level là một trong những khái niệm cốt lõi của tường lửa Firewall Cisco ASA. Bạn phải lập kế hoạch cẩn thận việc chỉ định các security-level trên cơ sở từng interface và sau đó kiểm soát traffic giữa các interface cho phù hợp.