鸿鹄论坛 › Cisco安全 › ASA security level 1問

bbsky622 发表于 2013-5-29 16:50:10

ASA security level 1問

本帖最后由 bbsky622 于 2013-5-29 17:15 编辑

1.      If we didn’t applied a ACL in interface , then by default, traffic from higher security level is allowed to go to lower security level
2.      If we applied a ACL in interface ,ACL will filter the traffic and overwrite the default security level behavior .

想问一下ASA 如何体现/理解这种security level 行为?

因为ASA 的ACCESS LIST 都是INCOMING RULE, 只看进站的流量,没有明确表明2个ZONE 之间的ACCESS LIST(不像JUNIPER 跟FORTIGATE)

举个例子:

3个ZONE
INSIDE security level 100
CORP security level 50
OUTSIDE security level 0

在 CORP 介面上定义
any any tcp permit
它是表示CORP->INSIDE , CORP->OUTSIDE 全放(这个理解对吗?)

但在 JUNIPER 跟FORTIGATE
你要在 CORP->INSIDE 跟 CORP->OUTSIDE 上
定义 any any tcp permit

然后想问的就是, security level high 去low 的体验方式是在原有的ACCESS LIST 基础上, 最后插入一条
Permit security level high > security level low 的ACL 吗?

还是怎样?

因为在cisco 指令转换fortiage 指令中, 发现如果security level high > security level low , 在fortiage 指令中,
它会帮你在每一个security level high zone -> security level low zone 中最后的ACL 位置插入一条permit any any.
他的这种行为跟CISCO 所做的行为一样吗?

bbsky622 发表于 2013-5-29 16:58:04

{:6_267:}{:6_267:}{:6_267:}{:6_267:}

乱了江湖 发表于 2013-5-29 17:12:55

能不能不用繁体字……

bbsky622 发表于 2013-5-29 17:12:58

{:6_267:}{:6_267:}{:6_267:}{:6_267:}

bbsky622 发表于 2013-5-29 17:15:34

乱了江湖 发表于 2013-5-29 17:12 static/image/common/back.gif
能不能不用繁体字……

OK 了

bbsky622 发表于 2013-5-29 17:22:48

{:6_267:}{:6_267:}{:6_267:}{:6_267:}

乱了江湖 发表于 2013-5-29 17:25:51

   其实我对防火墙安全这边不太了解，我们公司用的是华为的设备，华为称之为信任区域，在低信任到高信任区域的访问默认是 全部拒绝 。
    当时上司说过 ，不同公司同型号可能默认都不一样，要根据操作手册来具体确认……{:6_276:}

乱了江湖 发表于 2013-5-29 17:28:18

对了重要的低到高被拒绝 这是共性。

但是这里面的默认设置只有在 acl中找不到匹配项才会进行匹配。   如果你最后加了允许全部，那么已经找到匹配项 就不会再经过默认拒绝了。

bbsky622 发表于 2013-5-29 17:47:17

本帖最后由 bbsky622 于 2013-5-29 17:52 编辑

乱了江湖 发表于 2013-5-29 17:28 static/image/common/back.gif
对了重要的低到高被拒绝 这是共性。

但是这里面的默认设置只有在 acl中找不到匹配项才会进行匹配。...
那华为的安全级别的行为，可以理解成 是在所有的ACL找不到匹配后，所进行的一个“包底(用安全级别的行为 作為最後一條ACL )” 的 动作(DENY/PERMIT)？

乱了江湖 发表于 2013-5-30 09:24:02

bbsky622 发表于 2013-5-29 17:47 static/image/common/back.gif
那华为的安全级别的行为，可以理解成 是在所有的ACL找不到匹配后，所进行的一个“包底(用安全级别的行为...

应该可以这么理解，它的防火墙裸配的时候 就要按照默认进行，也就是高向低可访问。

bbsky622 发表于 2013-5-30 10:11:34

乱了江湖 发表于 2013-5-30 09:24 static/image/common/back.gif
应该可以这么理解，它的防火墙裸配的时候 就要按照默认进行，也就是高向低可访问。

裸配的时候@@
如不是 裸配呢?就按我那種理解去進行 ?

乱了江湖 发表于 2013-5-30 10:14:46

bbsky622 发表于 2013-5-30 10:11 static/image/common/back.gif
裸配的时候@@
如不是 裸配呢?就按我那種理解去進行 ?

安装防火墙的时候一般是先裸配 然后把 默认全部关闭 ，保证双方互通，然后根据实际情况认真编撰 ACL条目，达到精确控制，之后是否把默认打开就要看情况了。

bbsky622 发表于 2013-5-30 11:28:15

乱了江湖 发表于 2013-5-30 10:14 static/image/common/back.gif
安装防火墙的时候一般是先裸配 然后把 默认全部关闭 ，保证双方互通，然后根据实际情况认真编撰 ACL条目 ...

其實我的意思是指 當 不是裸配時 , 安全级别的行为 是在所有的ACL找不到匹配后，所进行的一个“包底(用安全级别的行为 作為最後一條ACL )” 的 动作(DENY/PERMIT) , 這樣理解對不對

乱了江湖 发表于 2013-5-30 11:30:19

bbsky622 发表于 2013-5-30 11:28 static/image/common/back.gif
其實我的意思是指 當 不是裸配時 , 安全级别的行为 是在所有的ACL找不到匹配后，所进行的一个“包底(用安 ...

正解~不过思科的没有接触过 华为的是这样

乱了江湖 发表于 2013-5-30 11:30:35

bbsky622 发表于 2013-5-30 11:28 static/image/common/back.gif
其實我的意思是指 當 不是裸配時 , 安全级别的行为 是在所有的ACL找不到匹配后，所进行的一个“包底(用安 ...

你为什么总有繁体字……总不会是台湾人吧

查看完整版本: ASA security level 1問