Cisco ASA - Security Level



 ◆ ASA - セキュリティレベルとは

 ASAでは各インターフェースに 0 〜 100 のセキュリティレベルを設定する必要があります。数字が低いほど
 セキュリティレベルが低く、数字が高いほどセキュリティレベルが高いので、
0が最下位100が最上位です。

 従ってインターネット接続など外部ネットワークに接続するインターフェースにはセキュリティレベルを 0 に
 社内ネットワーク等の内部ネットワークに接続するインターフェースにはセキュリティレベルを100にするのが
 一般的です。DMZなどの中間ネットワークに接続するインターフェースにはその間の値の 50 を設定します。

 セキュリティレベルの設定により次のように動作が制御されます。CBACと似たような動作が適用されています。

 @ 高いセキュリティレベルのI/Fから、低いセキュリティレベルのI/Fへの通信(発信)は暗黙的に許可される。
 A 低いセキュリティレベルのI/Fから、高いセキュリティレベルのI/Fへの通信(戻りの通信)は暗黙的に許可。
 B 同じセキュリティレベルのインターフェースの通信を same-security-traffic permit inter-interface 有効
   にした場合、同じセキュリティレベルまたは低いセキュリティレベルのI/Fへの通信(発信)は暗黙的に許可。
 C 低いセキュリティレベルのI/Fから高いセキュリティレベルのI/Fの通信(発信)するためにはACLで許可する。



 ◆ ASA - セキュリティレベルの設定

 
◆ セキュリティレベルの設定 - セキュリティレベルを 0 〜 100 の範囲で設定
 (config-if)#
security-level number

 ◆ 設定例 : インターフェース VLAN10 にセキュリティレベルを100とする設定

 (config)#
interface vlan 10
 (config-if)# security-level 100


 ◆ 2種類の same-security-traffic コマンド
コマンド 説明
 same-security-traffic permit inter-interface  同じセキュリティレベルのインターフェース間で相互通信を可能にする設定
 same-security-traffic permit intra-interface  同じインターフェースに接続されているホスト間の相互通信を可能にする設定



Cisco ASA - コンフィグ設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.