Cisco ASA: Ten sam poziom zabezpieczeń interfejsu

Projektowanie i konfigurowanie

Bezpieczeństwo sieci (36)

DevOps (6)

Kącik projektowy (7)

Korporacyjna sieć WAN (15)

Podstawowe konfiguracje (17)

Przełączanie korporacyjne (3)

Przełączniki (24)

Routery (25)

Routing korporacyjny (1)

Redystrybucja RIP

SD-WAN (3)

Usługi sieciowe (3)

Zarządzanie siecią (1)

Migracja Cisco Catalyst do dashboardu Meraki

Technologia: Bezpieczeństwo sieci
Obszar: Zapory sieciowe
Dostawca: Cisco
Oprogramowanie: 8.X, 9.X
Platforma: Cisco ASA

Czasami nie możesz zdecydować, który interfejs powinien mieć wyższy lub niższy poziom bezpieczeństwa i nadajesz dwóm lub więcej interfejsom ten sam poziom bezpieczeństwa. Jak więc ma zastosowanie reguła numer 1? Ruch pomiędzy interfejsami o tym samym poziomie zabezpieczeń jest domyślnie odrzucany, ale można zmienić to zachowanie.

Aby to zmienić, użyj polecenia:

ASA#configure terminal ASA(config)#same-security-traffic permit inter-interface

Powyższe polecenia dotyczą ruchu przechodzącego przez więcej niż jeden interfejs (od jednego do drugiego). Co w przypadku ruchu przechodzącego przez ten sam interfejs? Przykładem może być ruch VPN bez dzielonego tunelowania. Cały ruch użytkowników VPN, który jest szyfrowany vpn, odbija się od interfejsu zewnętrznego i wraca z powrotem do Internetu bez szyfrowania. Jest to ruch wewnątrz interfejsu i taki scenariusz musi być dozwolony przez polecenie intra:

ASA#configure terminal ASA(config)#same-security-traffic permit intra-interface

Autor: Marcin Bialy

Poprzedni Następny