security-level

Материал из Xgu.ru

Перейти к: навигация, поиск
Короткий URL: security-level

Уровень безопасности (англ. security level) - термин применяемый в конфигурациях систем предоставления безопасного доступа, корпоративных межсетевых экранах и т.д. Уровень безопасности служит для логического разделения интерфейсов устройств, и определения для каждого из них заданного уровня доверия.

[править] Общая информация об уровнях безопасности в контексте Cisco ASA

Платформа Cisco ASA имеет имеет ряд предопределенных политик безопасности, основанный на относительном доверии или на уровне безопасности. Уровень безопасности - это число, принимаемое значение от 0 до 100. Соответственно чем выше уровень безопасности, присвоенный ему значение уровня из диапазона от 0 до 100, тем более доверительно относится к интерфейсу устройство и наоборот, чем меньше уровень безопасности, тем меньше доверят интерфейсу устройство.

Источник: Security Level Overview (англ.)

[править] Принцип действия

Обычно внешним интерфейсам (outsait) присваивается уровень безопасности равным 0, так как основные угрозы для внутренней сети представляет именно внешнее интернет соединение. В то время как внутренним (insait) присваивается уровень безопасности 100.

Уровень безопасности контролирует следующее поведение:

  • Доступ к сетям - существуют не явные разрешения к хостам, подключенным к интерфейсу с более низким уровнем безопасности, с хостов подключенных к интерфейсу с более высоким уровнем безопасности (Исходящий трафик). Cisco ASA запомнит хосты инициализирующие сессию и разрешит хождение трафика в пределах этой сессии в обоих направлениях, если с помощью списков доступа (access list) не определены запреты.
  • Внутреннее взаимодействие - так же не явным образом запрещено взаимодействовать с хостами подключенными к интерфейсам с одинаковым уровнем безопасности в обоих направлениях, в случае если с помощью списков доступа (access list) не определены запреты. Источник: Allowing Communication Between VLAN Interfaces on the Same Security Level (англ.)
  • Инспектирование трафика - некоторые инструменты ряда приложений зависят от уровня безопасности. Для некоторых интерфейсов проводиться проверка трафика в обоих направлениях.
  • Проверка NetBIOS имен - производиться только для исходящих соединений.
  • Фильтрация - по умолчанию HTTP(S) и FTP фильтрация применяется только на исходящие соединения.
  • NAT контроль - при использовании контроля NAT трафика, необходимо конфигурировать NAT для внутренних хостов, при получении доступа к внешним хостам.

Источник: Security Level Overview (англ.)

== Примеры получения доступа хостами подключенными к интерфейсам с разными уровнями безопасности Inherent Security Policies Between ASA Interface.png


Traffic flows are permitted from higber to lower security levels.png


Traffic flows are permitted from higber to lower security levels1.png

Применение политик безопасности при получении доступа к хостам расположенным за интерфейсами с разным уровнем безопасности

Источник — «http://xgu.ru/wiki/security-level»