security-level
Материал из Xgu.ru
- Короткий URL: security-level
Уровень безопасности (англ. security level) - термин применяемый в конфигурациях систем предоставления безопасного доступа, корпоративных межсетевых экранах и т.д. Уровень безопасности служит для логического разделения интерфейсов устройств, и определения для каждого из них заданного уровня доверия.
[править] Общая информация об уровнях безопасности в контексте Cisco ASA
Платформа Cisco ASA имеет имеет ряд предопределенных политик безопасности, основанный на относительном доверии или на уровне безопасности. Уровень безопасности - это число, принимаемое значение от 0 до 100. Соответственно чем выше уровень безопасности, присвоенный ему значение уровня из диапазона от 0 до 100, тем более доверительно относится к интерфейсу устройство и наоборот, чем меньше уровень безопасности, тем меньше доверят интерфейсу устройство.
Источник: Security Level Overview (англ.)
[править] Принцип действия
Обычно внешним интерфейсам (outsait) присваивается уровень безопасности равным 0, так как основные угрозы для внутренней сети представляет именно внешнее интернет соединение. В то время как внутренним (insait) присваивается уровень безопасности 100.
Уровень безопасности контролирует следующее поведение:
- Доступ к сетям - существуют не явные разрешения к хостам, подключенным к интерфейсу с более низким уровнем безопасности, с хостов подключенных к интерфейсу с более высоким уровнем безопасности (Исходящий трафик). Cisco ASA запомнит хосты инициализирующие сессию и разрешит хождение трафика в пределах этой сессии в обоих направлениях, если с помощью списков доступа (access list) не определены запреты.
- Внутреннее взаимодействие - так же не явным образом запрещено взаимодействовать с хостами подключенными к интерфейсам с одинаковым уровнем безопасности в обоих направлениях, в случае если с помощью списков доступа (access list) не определены запреты. Источник: Allowing Communication Between VLAN Interfaces on the Same Security Level (англ.)
- Инспектирование трафика - некоторые инструменты ряда приложений зависят от уровня безопасности. Для некоторых интерфейсов проводиться проверка трафика в обоих направлениях.
- Проверка NetBIOS имен - производиться только для исходящих соединений.
- Фильтрация - по умолчанию HTTP(S) и FTP фильтрация применяется только на исходящие соединения.
- NAT контроль - при использовании контроля NAT трафика, необходимо конфигурировать NAT для внутренних хостов, при получении доступа к внешним хостам.
Источник: Security Level Overview (англ.)
== Примеры получения доступа хостами подключенными к интерфейсам с разными уровнями безопасности
Применение политик безопасности при получении доступа к хостам расположенным за интерфейсами с разным уровнем безопасности