В этой статье мы рассмотрим концепцию уровней безопасности (Securiyu Levels) в устройствах защиты Сisco (фаерволах и устройств серии Cisco ASA).

 

Уровень безопасности - это значение от 0 до 100, назначаемое администратором на интерфейсе Cisco ASA либо фаервола. Уровень безопасности определяет доверяем ли мы данному интерфейсу (те он более защищен) либо не доверяем (менее защищен) относительно другого интерфейса.

 

 

 

Определенный интерфейс считается более защищенным (и доверие к нему больше) по сравнению с другим интерфейсом, если его уровень безопасности выше. Соответственно, интерфейс считается незащищенным (с меньшей степенью доверия) по сравнению с другим интерфейсом, если его уровень безопасности ниже. Вот такая вот простая истина.

Смысл данной концепции заключается в том, что интерфейс с более высоким уровнем безопасности (защищенный интерфейс) может обмениваться данными с интерфейсом, чей уровень безопасности ниже (незащищенный), а вот течение трафика с незащищенного интерфейса на защищенный невозможны без задания аксесс листов (ACL) и других параметров.

Уровень безопасности 100: Самый высокий уровень безопасности устройства защиты. По умолчанию назначен внутреннему (inside) интерфейсу устройства. Так как 100 определяет самую защищенную сеть, ваша корпоративная сеть должна быть за этим интерфейсом. Никто не сможет получить доступ к этой сети без созданных вами разрешений, при этом устройства вашей сети смогут иметь доступ на другие (внешние) интерфейсы.

Уровень безопасности 0: Это наименьший уровень безопасности. По умолчанию назначен внешнему (outside) интерфейсу устройства. Так как 0 является самым низким значением, за ним должна находится самая незащищенная сеть (например, инет), чтобы никто из этой сети не получил доступа к другим интерфейсам без явного вашего разрешения.

Уровни безопасности 1-99: Эти уровни безопасности вы можете назначать на другие интерфейсы (интерфейсы периметра), если они задействованы на устройстве защиты cisco. Значения будут зависеть от типа доступа, который вы желаете предоставить.

Примеры соединений

Рассмотрим три простых примера соединений:

1. Соединения с защищенного (более высокий уровень безопасности) на незащищенный (меньший уровень безопасности) интерфейс:

Трафик, например, исходящий с внутреннего (inside) интерфейса с уровнем безопасности 100 на внешний (outside) интерфейс с уровнем безопасности 0, подчиняется правилу: Разрешить весь IP трафик, если он явно не ограничен аксесс листами (ACLs), идентификацией (authentication) либо авторизацией (authorization).

2. Соединения с незащищенного интерфейса на защищенный: Трафик, например, исходящий с внешнего (outside) интерфейса с уровнем безопасности 0 на внутренний (inside) интерфейс с уровнем безопасности 100, подчиняется правилу: Отбрасывать все пакеты, если они явно не разрешены аксесс листами. Далее трафик ограничить идентификацией (authentication) либо авторизацией (authorization), если таковые имеют место быть.

3. Соединения с с интерфейсов с одинаковым уровнем безопасности: Течение трафика между данными интерфейсами по умолчанию запрещено.

По материалам: cisco-train.com