|
◆ ASA - セキュリティレベルとは
ASAでは各インターフェースに 0 〜 100 のセキュリティレベルを設定する必要があります。数字が低いほど
セキュリティレベルが低く、数字が高いほどセキュリティレベルが高いので、0が最下位、100が最上位です。
従ってインターネット接続など外部ネットワークに接続するインターフェースにはセキュリティレベルを 0 に
社内ネットワーク等の内部ネットワークに接続するインターフェースにはセキュリティレベルを100にするのが
一般的です。DMZなどの中間ネットワークに接続するインターフェースにはその間の値の 50 を設定します。
セキュリティレベルの設定により次のように動作が制御されます。CBACと似たような動作が適用されています。
@ 高いセキュリティレベルのI/Fから、低いセキュリティレベルのI/Fへの通信(発信)は暗黙的に許可される。
A 低いセキュリティレベルのI/Fから、高いセキュリティレベルのI/Fへの通信(戻りの通信)は暗黙的に許可。
B 同じセキュリティレベルのインターフェースの通信を same-security-traffic permit inter-interface
有効
にした場合、同じセキュリティレベルまたは低いセキュリティレベルのI/Fへの通信(発信)は暗黙的に許可。
C 低いセキュリティレベルのI/Fから高いセキュリティレベルのI/Fの通信(発信)するためにはACLで許可する。
◆ ASA - セキュリティレベルの設定
◆ セキュリティレベルの設定 - セキュリティレベルを 0 〜 100 の範囲で設定
(config-if)# security-level number
◆ 設定例 : インターフェース VLAN10 にセキュリティレベルを100とする設定
(config)# interface vlan 10
(config-if)# security-level 100
|
◆ 2種類の same-security-traffic コマンド
| コマンド |
説明 |
| same-security-traffic permit inter-interface |
同じセキュリティレベルのインターフェース間で相互通信を可能にする設定 |
| same-security-traffic permit intra-interface |
同じインターフェースに接続されているホスト間の相互通信を可能にする設定 |
|