ASA security level 1問

bbsky622 · 发表于 2013-5-29 16:50:10

本帖最后由 bbsky622 于 2013-5-29 17:15 编辑

1. If we didn’t applied a ACL in interface , then by default, traffic from higher security level is allowed to go to lower security level

2. If we applied a ACL in interface ,ACL will filter the traffic and overwrite the default security level behavior .

想问一下ASA 如何体现/理解这种security level 行为?

因为ASA 的ACCESS LIST 都是INCOMING RULE, 只看进站的流量,没有明确表明2个ZONE 之间的ACCESS LIST(不像JUNIPER 跟FORTIGATE)

举个例子:

3个ZONE
INSIDE security level 100
CORP security level 50
OUTSIDE security level 0

在 CORP 介面上定义
any any tcp permit
它是表示CORP->INSIDE , CORP->OUTSIDE 全放(这个理解对吗?)

但在 JUNIPER 跟FORTIGATE
你要在 CORP->INSIDE 跟 CORP->OUTSIDE 上
定义 any any tcp permit

然后想问的就是, security level high 去low 的体验方式是在原有的ACCESS LIST 基础上, 最后插入一条
Permit security level high > security level low 的ACL 吗?

还是怎样?

因为在cisco 指令转换fortiage 指令中, 发现如果security level high > security level low , 在fortiage 指令中,
它会帮你在每一个security level high zone -> security level low zone 中最后的ACL 位置插入一条permit any any.
他的这种行为跟CISCO 所做的行为一样吗?

bbsky622 · 发表于 2013-5-29 16:58:04

乱了江湖 · 发表于 2013-5-29 17:12:55

能不能不用繁体字……

bbsky622 · 发表于 2013-5-29 17:12:58

bbsky622 · 发表于 2013-5-29 17:15:34

乱了江湖发表于 2013-5-29 17:12
能不能不用繁体字……

OK 了

bbsky622 · 发表于 2013-5-29 17:22:48

乱了江湖 · 发表于 2013-5-29 17:25:51

其实我对防火墙安全这边不太了解，我们公司用的是华为的设备，华为称之为信任区域，在低信任到高信任区域的访问默认是全部拒绝。
当时上司说过，不同公司同型号可能默认都不一样，要根据操作手册来具体确认……

乱了江湖 · 发表于 2013-5-29 17:28:18

对了重要的低到高被拒绝这是共性。

但是这里面的默认设置只有在 acl中找不到匹配项才会进行匹配。如果你最后加了允许全部，那么已经找到匹配项就不会再经过默认拒绝了。

bbsky622 · 发表于 2013-5-29 17:47:17

本帖最后由 bbsky622 于 2013-5-29 17:52 编辑

乱了江湖发表于 2013-5-29 17:28
对了重要的低到高被拒绝这是共性。

但是这里面的默认设置只有在 acl中找不到匹配项才会进行匹配。 ...

那华为的安全级别的行为，可以理解成是在所有的ACL找不到匹配后，所进行的一个“包底(用安全级别的行为作為最後一條ACL )” 的动作(DENY/PERMIT)？

乱了江湖 · 发表于 2013-5-30 09:24:02

bbsky622 发表于 2013-5-29 17:47
那华为的安全级别的行为，可以理解成是在所有的ACL找不到匹配后，所进行的一个“包底(用安全级别的行为 ...

应该可以这么理解，它的防火墙裸配的时候就要按照默认进行，也就是高向低可访问。

bbsky622 · 发表于 2013-5-30 10:11:34

乱了江湖发表于 2013-5-30 09:24
应该可以这么理解，它的防火墙裸配的时候就要按照默认进行，也就是高向低可访问。

裸配的时候@@
如不是裸配呢? 就按我那種理解去進行 ?

乱了江湖 · 发表于 2013-5-30 10:14:46

bbsky622 发表于 2013-5-30 10:11
裸配的时候@@
如不是裸配呢? 就按我那種理解去進行 ?

安装防火墙的时候一般是先裸配然后把默认全部关闭，保证双方互通，然后根据实际情况认真编撰 ACL条目，达到精确控制，之后是否把默认打开就要看情况了。

bbsky622 · 发表于 2013-5-30 11:28:15

乱了江湖发表于 2013-5-30 10:14
安装防火墙的时候一般是先裸配然后把默认全部关闭，保证双方互通，然后根据实际情况认真编撰 ACL条目 ...

其實我的意思是指當不是裸配時 , 安全级别的行为是在所有的ACL找不到匹配后，所进行的一个“包底(用安全级别的行为作為最後一條ACL )” 的动作(DENY/PERMIT) , 這樣理解對不對

乱了江湖 · 发表于 2013-5-30 11:30:19

bbsky622 发表于 2013-5-30 11:28
其實我的意思是指當不是裸配時 , 安全级别的行为是在所有的ACL找不到匹配后，所进行的一个“包底(用安 ...

正解~ 不过思科的没有接触过华为的是这样

乱了江湖 · 发表于 2013-5-30 11:30:35

bbsky622 发表于 2013-5-30 11:28
其實我的意思是指當不是裸配時 , 安全级别的行为是在所有的ACL找不到匹配后，所进行的一个“包底(用安 ...

你为什么总有繁体字……总不会是台湾人吧

账号		自动登录	找回密码
密码			论坛注册

ASA security level 1問

相关帖子

浏览过的版块

客服中心

投诉建议