際際滷

際際滷Share a Scribd company logo

Asa security-level

Download as DOCX, PDF
N
np_thanh

Gi畛i thi畛u c叩c c畉p 畛 b畉o m畉t security level c畛a Cisco IOS

1 of 4
Download to read offline
Security-level l g狸 (Security Level) Security-level 動畛c ch畛 畛nh cho c叩c interface (interface v畉t l箪 ho畉c logic) v v畛 c董 b畉n n坦 l m畛t s畛 t畛 0 畉n 100 ch畛 畛nh m畛c 畛 tin c畉y c畛a m畛t interface so v畛iinterface kh叩c tr棚n thi畉t b畛. Security-level cng cao, interface cng 叩ng tin c畉y (v do 坦 m畉ng 動畛c k畉t n畛i 畉ng sau n坦) 動畛c coi l c坦 li棚n quan 畉n interface kh叩c. V狸 m畛i interface t動畛ng l畛a 畉i di畛n cho m畛t m畉ng c畛 th畛 (ho畉c v湛ng b畉o m畉t), b畉ng c叩ch s畛 d畛ng c叩c security-level, ch炭ng ta c坦 th畛 ch畛 畛nh 'm畛c 畛 tin c畉y' cho c叩c v湛ng b畉o m畉t c畛a m狸nh. Quy t畉c ch鱈nh cho c叩c security-level l m畛t interface (ho畉c v湛ng) c坦 security-level caoh董n c坦 th畛 truy c畉p vom畛t interface c坦 security-level th畉p h董n. M畉t kh叩c, interface c坦 security-level th畉p h董n kh担ng th畛 truy c畉p interface c坦 security-level cao h董n m kh担ng c坦 s畛 cho ph辿p r探 rng c畛a quy t畉c b畉o m畉t (Access Control List - ACL). V鱈 d畛 v畛 security-level H達y xem m畛t s畛 v鱈d畛 v畛 security-level b棚n d動畛i: Security-level 0 (Security Level 0): 但y l security-level th畉p nh畉t v n坦 動畛c g叩n theo m畉c 畛nh cho Interface Outside c畛a t動畛ng l畛a. 但y l security-level k辿m tin c畉y nh畉t v ph畉i 動畛c ch畛 畛nh t動董ng 畛ng cho m畉ng (interface) m ch炭ng ta kh担ng mu畛n n坦 c坦 b畉t k畛 quy畛n truy c畉p no voc叩c m畉ng n畛i b畛. Security-level ny th動畛ng 動畛c g叩n cho interface k畉t n畛i v畛iInternet. i畛u ny c坦 ngh挑a l m畛i thi畉t b畛 動畛c k畉t n畛i v畛iInternet kh担ng th畛 c坦 quy畛n truy c畉p vo b畉t k畛 m畉ng no ph鱈a sau t動畛ng l畛a, tr畛 khi 動畛c quy t畉c ACL cho ph辿p m畛t c叩ch r探 rng. Security-level t畛 1 畉n 99 (Security Levels 1 to 99): C叩c security-level ny c坦 th畛 動畛c ch畛 畛nh cho c叩c v湛ng b畉o m畉t ngo畉i vi(v鱈 d畛: V湛ng DMZ, V湛ng Management, V湛ng Database Servers, v.v.). Security-level 100 (Security Level 100): 但y l security-level cao nh畉t v n坦 動畛c g叩n theo m畉c 畛nh cho Interface Inside c畛a t動畛ng l畛a. 但y l security-level 叩ng tin c畉y nh畉t v ph畉i 動畛c ch畛 畛nh t動董ng 畛ng cho m畉ng (interface) m ch炭ng ta mu畛n 叩p d畛ng bi畛n ph叩p b畉o v畛 t畛t nh畉t t畛 thi畉t b畛 b畉o m畉t. Security-level ny th動畛ng 動畛c g叩n cho interface k畉t n畛i m畉ng n畛i b畛 C担ng ty 畉ng sau n坦.
S董 畛 tr棚n minh h畛a m畛t v鱈 d畛 i畛n h狸nh v畛 vi畛c g叩n c叩c security-level trong m畉ng v畛ic叩c v湛ng B棚n trong (Inside), B棚n ngoi (Outside) v DMZ. i畛u ny 畉i di畛n cho m畛t thi畉t l畉p m畉ng kh叩 ph畛 bi畉n c畛a m畉ng doanh nghi畛p / c担ng ty, theo 坦 ng動畛i d湛ng 動畛c k畉t n畛i v畛im畉ng Inside (n畛i b畛), m畛t s畛 m叩y ch畛 c担ng c畛ng (v鱈 d畛: m叩y ch畛 web, m叩y ch畛 email, v.v.) 動畛c 畉t trong m畉ng DMZ v b棚n ngoi ASA l i畛m k棚t n担i internet. Nh動 b畉n c坦 th畛 th畉y, M畉ng n畛i b畛 c畛a c担ng ty 動畛c k畉t n畛i v畛iInterface c坦 security-level cao nh畉t (Interface G0/1 v畛iSecurity Level 100) c滴ng 動畛c 畉t t棚n l Inside. T棚n interface Inside 動畛c 畉t theo m畉c 畛nh cho interface c坦 security-level caonh畉t. Ngoi ra, interface h動畛ng t畛i INTERNET (G0/0) 動畛c 畉t t棚n l Outside v 動畛c g叩n security level of 0. V湛ng Vnh ai (DMZ) c滴ng 動畛c t畉o v畛im畛c Security Level of 50. C叩c m滴i t棚n mu 畛 trong bi畛u 畛 th畛 hi畛n lu畛ng traffic. Nh動 b畉n th畉y, V湛ng b棚n trong c坦 th畛 truy c畉p c畉 DMZ v V湛ng b棚n ngoi (C畉p 畛 an ton 100 c坦 th畛 truy c畉p t畛 do voC畉p 畛 an ninh 50 v 0). V湛ng DMZ ch畛 c坦 th畛 truy c畉p v湛ng b棚n ngoi (C畉p 畛 an ton 50 c坦 th畛 truy c畉p C畉p 畛 0), nh動ng kh担ng th畛 truy c畉p V湛ng b棚n trong. Cu畛i c湛ng, khu v畛c B棚n ngoi kh担ng th畛 truy c畉p khu v畛c b棚n trong ho畉c khu v畛c DMZ. Nh畛ng g狸 動畛c m担 t畉 trong v鱈d畛 tr棚n l hnh vim畉c 畛nh c畛a T動畛ng l畛a Firewall Cisco ASA.
Ch炭ng ta c坦 th畛 ghi 竪 hnh vim畉c 畛nh v cho ph辿p truy c畉p t畛 Security-level th畉p h董n 畉n Security-level caoh董n b畉ng c叩ch s畛 d畛ng NAT t挑nh (Static NAT) v Danh s叩ch ki畛m so叩t truy c畉p (ACLs). Quy t畉c traffic truy c畉p gi畛a c叩c security-level Traffic truy c畉p t畛 Security-level caoh董n 畉n Security-level th畉p h董n: Cho ph辿p T畉T C畉 traffic truy c畉p b畉t ngu畛n t畛 Security-level caoh董n tr畛 khi b畛 h畉n ch畉 c畛 th畛 b畛i Danh s叩ch ki畛m so叩t truy c畉p (ACL). N畉u NAT-Control 動畛c b畉t tr棚n thi畉t b畛, th狸 ph畉i c坦 quy t畉c d畛ch NAT 畛ng gi畛a c叩c interface Security-level t畛 Cao 畉n Th畉p (v鱈 d畛: PAT, v.v.). Traffic truy c畉p t畛 C畉p 畛 an ton th畉p h董n 畉n Security-level caoh董n: lo畉i T畉T C畉 traffic truy c畉p tr畛 khi 動畛c ACL cho ph辿p c畛 th畛. N畉u NAT-Control 動畛c b畉t tr棚n thi畉t b畛 th狸 ph畉i c坦 NAT t挑nh gi畛a c叩c interface Security-level t畛 Cao 畉n Th畉p. Traffic gi畛a c叩c interface c坦 c湛ng Security-level: Theom畉c 畛nh, i畛u ny kh担ng 動畛c ph辿p, tr畛 khi b畉n 畛nh c畉u h狸nh l畛nh li棚n interface cho ph辿p traffic truy c畉p gi畛ng nhau. S畛 d畛ng c叩c interface c坦 c湛ng security-level tr棚n Firewall Cisco ASA H畉u h畉t c叩c m担 h狸nh t動畛ng l畛a Cisco ASA cho ph辿p b畉n c坦 s畛 l動畛ng VLAN t畛i a l畛n h董n 100 (v鱈d畛: 150, 200, 250). M畛i VLAN l畛p 2 tr棚n ASA v畛 c董 b畉n l m畛t v湛ng b畉o m畉t kh叩c nhau, v畛is畛 Security-level ri棚ng c畛a n坦. Nh動 ch炭ng ta 達 bi畉t, c叩c security-level c坦th畛 n畉m trong kho畉ng t畛 0 畉n 100 (t畛c l ch炭ng ta c坦 101 security-level). M畛t c但u h畛i hi畛n nhi棚n 動畛c 畉t ra 畛 但y: Lm th畉 no ch炭ng ta c坦 th畛 c坦 150 VLAN tr棚n t動畛ng l畛a, nh動ng ch炭ng ta ch畛 c坦 101 security-level kh畉 thi? C但u tr畉 l畛i r畉t 董n gi畉n: Ch炭ng ta c坦 th畛 c坦 c湛ng m畛t s畛 security-level tr棚n c叩c interface / interface con (v湛ng b畉o m畉t) kh叩c nhau. T鱈nh nng ny s畉 cho ph辿p ch炭ng ta c坦 h董n 101 interface giao ti畉p tr棚n t動畛ng l畛a. Theom畉c 畛nh, c叩c interface c坦 c湛ng security-level kh担ng th畛 giao ti畉p gi畛a ch炭ng. 畛 cho ph辿p traffic truy c畉p t畛 do gi畛a c叩c interface c坦 c湛ng security-level, h達y s畛 d畛ng l畛nh sau: ASA-TGM(config)# same-security-traffic permit inter-interface C滴ng c坦 m畛t t湛y ch畛n kh叩c cho l畛nh ny: ASA-TGM(config)# same-security-traffic permit intra-interface L畛nh cu畛i c湛ng 畛 tr棚n cho ph辿p traffic truy c畉p vov tho叩t ra c湛ng m畛t interface, i畛u ny
theo m畉c 畛nh l kh担ng 動畛c ph辿p. i畛u ny h畛u 鱈ch trong c叩c m畉ng m ASA Firewall ho畉t 畛ng nh動 m畛t HUB trong c畉u tr炭c li棚n k畉t HUB-and-SPOKE VPN, n董i c叩c chi nh叩nh c畉n giao ti畉p v畛i nhau th担ng qua trung t但m. Security-level l m畛t trong nh畛ng kh叩i ni畛m c畛t l探i c畛a t動畛ng l畛a Firewall Cisco ASA. B畉n ph畉i l畉p k畉 ho畉ch c畉n th畉n vi畛c ch畛 畛nh c叩c security-level tr棚n c董 s畛 t畛ng interface v sau 坦 ki畛m so叩t traffic gi畛a c叩c interface cho ph湛 h畛p.

More Related Content

Asa security-level

  • 1. Security-level l g狸 (Security Level) Security-level 動畛c ch畛 畛nh cho c叩c interface (interface v畉t l箪 ho畉c logic) v v畛 c董 b畉n n坦 l m畛t s畛 t畛 0 畉n 100 ch畛 畛nh m畛c 畛 tin c畉y c畛a m畛t interface so v畛iinterface kh叩c tr棚n thi畉t b畛. Security-level cng cao, interface cng 叩ng tin c畉y (v do 坦 m畉ng 動畛c k畉t n畛i 畉ng sau n坦) 動畛c coi l c坦 li棚n quan 畉n interface kh叩c. V狸 m畛i interface t動畛ng l畛a 畉i di畛n cho m畛t m畉ng c畛 th畛 (ho畉c v湛ng b畉o m畉t), b畉ng c叩ch s畛 d畛ng c叩c security-level, ch炭ng ta c坦 th畛 ch畛 畛nh 'm畛c 畛 tin c畉y' cho c叩c v湛ng b畉o m畉t c畛a m狸nh. Quy t畉c ch鱈nh cho c叩c security-level l m畛t interface (ho畉c v湛ng) c坦 security-level caoh董n c坦 th畛 truy c畉p vom畛t interface c坦 security-level th畉p h董n. M畉t kh叩c, interface c坦 security-level th畉p h董n kh担ng th畛 truy c畉p interface c坦 security-level cao h董n m kh担ng c坦 s畛 cho ph辿p r探 rng c畛a quy t畉c b畉o m畉t (Access Control List - ACL). V鱈 d畛 v畛 security-level H達y xem m畛t s畛 v鱈d畛 v畛 security-level b棚n d動畛i: Security-level 0 (Security Level 0): 但y l security-level th畉p nh畉t v n坦 動畛c g叩n theo m畉c 畛nh cho Interface Outside c畛a t動畛ng l畛a. 但y l security-level k辿m tin c畉y nh畉t v ph畉i 動畛c ch畛 畛nh t動董ng 畛ng cho m畉ng (interface) m ch炭ng ta kh担ng mu畛n n坦 c坦 b畉t k畛 quy畛n truy c畉p no voc叩c m畉ng n畛i b畛. Security-level ny th動畛ng 動畛c g叩n cho interface k畉t n畛i v畛iInternet. i畛u ny c坦 ngh挑a l m畛i thi畉t b畛 動畛c k畉t n畛i v畛iInternet kh担ng th畛 c坦 quy畛n truy c畉p vo b畉t k畛 m畉ng no ph鱈a sau t動畛ng l畛a, tr畛 khi 動畛c quy t畉c ACL cho ph辿p m畛t c叩ch r探 rng. Security-level t畛 1 畉n 99 (Security Levels 1 to 99): C叩c security-level ny c坦 th畛 動畛c ch畛 畛nh cho c叩c v湛ng b畉o m畉t ngo畉i vi(v鱈 d畛: V湛ng DMZ, V湛ng Management, V湛ng Database Servers, v.v.). Security-level 100 (Security Level 100): 但y l security-level cao nh畉t v n坦 動畛c g叩n theo m畉c 畛nh cho Interface Inside c畛a t動畛ng l畛a. 但y l security-level 叩ng tin c畉y nh畉t v ph畉i 動畛c ch畛 畛nh t動董ng 畛ng cho m畉ng (interface) m ch炭ng ta mu畛n 叩p d畛ng bi畛n ph叩p b畉o v畛 t畛t nh畉t t畛 thi畉t b畛 b畉o m畉t. Security-level ny th動畛ng 動畛c g叩n cho interface k畉t n畛i m畉ng n畛i b畛 C担ng ty 畉ng sau n坦.
  • 2. S董 畛 tr棚n minh h畛a m畛t v鱈 d畛 i畛n h狸nh v畛 vi畛c g叩n c叩c security-level trong m畉ng v畛ic叩c v湛ng B棚n trong (Inside), B棚n ngoi (Outside) v DMZ. i畛u ny 畉i di畛n cho m畛t thi畉t l畉p m畉ng kh叩 ph畛 bi畉n c畛a m畉ng doanh nghi畛p / c担ng ty, theo 坦 ng動畛i d湛ng 動畛c k畉t n畛i v畛im畉ng Inside (n畛i b畛), m畛t s畛 m叩y ch畛 c担ng c畛ng (v鱈 d畛: m叩y ch畛 web, m叩y ch畛 email, v.v.) 動畛c 畉t trong m畉ng DMZ v b棚n ngoi ASA l i畛m k棚t n担i internet. Nh動 b畉n c坦 th畛 th畉y, M畉ng n畛i b畛 c畛a c担ng ty 動畛c k畉t n畛i v畛iInterface c坦 security-level cao nh畉t (Interface G0/1 v畛iSecurity Level 100) c滴ng 動畛c 畉t t棚n l Inside. T棚n interface Inside 動畛c 畉t theo m畉c 畛nh cho interface c坦 security-level caonh畉t. Ngoi ra, interface h動畛ng t畛i INTERNET (G0/0) 動畛c 畉t t棚n l Outside v 動畛c g叩n security level of 0. V湛ng Vnh ai (DMZ) c滴ng 動畛c t畉o v畛im畛c Security Level of 50. C叩c m滴i t棚n mu 畛 trong bi畛u 畛 th畛 hi畛n lu畛ng traffic. Nh動 b畉n th畉y, V湛ng b棚n trong c坦 th畛 truy c畉p c畉 DMZ v V湛ng b棚n ngoi (C畉p 畛 an ton 100 c坦 th畛 truy c畉p t畛 do voC畉p 畛 an ninh 50 v 0). V湛ng DMZ ch畛 c坦 th畛 truy c畉p v湛ng b棚n ngoi (C畉p 畛 an ton 50 c坦 th畛 truy c畉p C畉p 畛 0), nh動ng kh担ng th畛 truy c畉p V湛ng b棚n trong. Cu畛i c湛ng, khu v畛c B棚n ngoi kh担ng th畛 truy c畉p khu v畛c b棚n trong ho畉c khu v畛c DMZ. Nh畛ng g狸 動畛c m担 t畉 trong v鱈d畛 tr棚n l hnh vim畉c 畛nh c畛a T動畛ng l畛a Firewall Cisco ASA.
  • 3. Ch炭ng ta c坦 th畛 ghi 竪 hnh vim畉c 畛nh v cho ph辿p truy c畉p t畛 Security-level th畉p h董n 畉n Security-level caoh董n b畉ng c叩ch s畛 d畛ng NAT t挑nh (Static NAT) v Danh s叩ch ki畛m so叩t truy c畉p (ACLs). Quy t畉c traffic truy c畉p gi畛a c叩c security-level Traffic truy c畉p t畛 Security-level caoh董n 畉n Security-level th畉p h董n: Cho ph辿p T畉T C畉 traffic truy c畉p b畉t ngu畛n t畛 Security-level caoh董n tr畛 khi b畛 h畉n ch畉 c畛 th畛 b畛i Danh s叩ch ki畛m so叩t truy c畉p (ACL). N畉u NAT-Control 動畛c b畉t tr棚n thi畉t b畛, th狸 ph畉i c坦 quy t畉c d畛ch NAT 畛ng gi畛a c叩c interface Security-level t畛 Cao 畉n Th畉p (v鱈 d畛: PAT, v.v.). Traffic truy c畉p t畛 C畉p 畛 an ton th畉p h董n 畉n Security-level caoh董n: lo畉i T畉T C畉 traffic truy c畉p tr畛 khi 動畛c ACL cho ph辿p c畛 th畛. N畉u NAT-Control 動畛c b畉t tr棚n thi畉t b畛 th狸 ph畉i c坦 NAT t挑nh gi畛a c叩c interface Security-level t畛 Cao 畉n Th畉p. Traffic gi畛a c叩c interface c坦 c湛ng Security-level: Theom畉c 畛nh, i畛u ny kh担ng 動畛c ph辿p, tr畛 khi b畉n 畛nh c畉u h狸nh l畛nh li棚n interface cho ph辿p traffic truy c畉p gi畛ng nhau. S畛 d畛ng c叩c interface c坦 c湛ng security-level tr棚n Firewall Cisco ASA H畉u h畉t c叩c m担 h狸nh t動畛ng l畛a Cisco ASA cho ph辿p b畉n c坦 s畛 l動畛ng VLAN t畛i a l畛n h董n 100 (v鱈d畛: 150, 200, 250). M畛i VLAN l畛p 2 tr棚n ASA v畛 c董 b畉n l m畛t v湛ng b畉o m畉t kh叩c nhau, v畛is畛 Security-level ri棚ng c畛a n坦. Nh動 ch炭ng ta 達 bi畉t, c叩c security-level c坦th畛 n畉m trong kho畉ng t畛 0 畉n 100 (t畛c l ch炭ng ta c坦 101 security-level). M畛t c但u h畛i hi畛n nhi棚n 動畛c 畉t ra 畛 但y: Lm th畉 no ch炭ng ta c坦 th畛 c坦 150 VLAN tr棚n t動畛ng l畛a, nh動ng ch炭ng ta ch畛 c坦 101 security-level kh畉 thi? C但u tr畉 l畛i r畉t 董n gi畉n: Ch炭ng ta c坦 th畛 c坦 c湛ng m畛t s畛 security-level tr棚n c叩c interface / interface con (v湛ng b畉o m畉t) kh叩c nhau. T鱈nh nng ny s畉 cho ph辿p ch炭ng ta c坦 h董n 101 interface giao ti畉p tr棚n t動畛ng l畛a. Theom畉c 畛nh, c叩c interface c坦 c湛ng security-level kh担ng th畛 giao ti畉p gi畛a ch炭ng. 畛 cho ph辿p traffic truy c畉p t畛 do gi畛a c叩c interface c坦 c湛ng security-level, h達y s畛 d畛ng l畛nh sau: ASA-TGM(config)# same-security-traffic permit inter-interface C滴ng c坦 m畛t t湛y ch畛n kh叩c cho l畛nh ny: ASA-TGM(config)# same-security-traffic permit intra-interface L畛nh cu畛i c湛ng 畛 tr棚n cho ph辿p traffic truy c畉p vov tho叩t ra c湛ng m畛t interface, i畛u ny
  • 4. theo m畉c 畛nh l kh担ng 動畛c ph辿p. i畛u ny h畛u 鱈ch trong c叩c m畉ng m ASA Firewall ho畉t 畛ng nh動 m畛t HUB trong c畉u tr炭c li棚n k畉t HUB-and-SPOKE VPN, n董i c叩c chi nh叩nh c畉n giao ti畉p v畛i nhau th担ng qua trung t但m. Security-level l m畛t trong nh畛ng kh叩i ni畛m c畛t l探i c畛a t動畛ng l畛a Firewall Cisco ASA. B畉n ph畉i l畉p k畉 ho畉ch c畉n th畉n vi畛c ch畛 畛nh c叩c security-level tr棚n c董 s畛 t畛ng interface v sau 坦 ki畛m so叩t traffic gi畛a c叩c interface cho ph湛 h畛p.