質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.49%
Cisco IOS

Cisco IOSは、シスコシステムズ社が提供しているOSです。同社のほとんどのルーターやスイッチに使用されており、特徴のあるコマンドラインインターフェースをもちます。実行操作に制限があるユーザーモードと特権モードのセキュリティレベルがあります。

Cisco

シスコ(Cisco Systems,Inc.)は、アメリカ合衆国に本社を置く、世界最大のコンピュータネットワーク機器開発会社及び同社の製品

Q&A

解決済

1回答

8692閲覧

Cisco ASAのsecurity-levelとACLの関係について

Megg

総合スコア18

Cisco IOS

Cisco IOSは、シスコシステムズ社が提供しているOSです。同社のほとんどのルーターやスイッチに使用されており、特徴のあるコマンドラインインターフェースをもちます。実行操作に制限があるユーザーモードと特権モードのセキュリティレベルがあります。

Cisco

シスコ(Cisco Systems,Inc.)は、アメリカ合衆国に本社を置く、世界最大のコンピュータネットワーク機器開発会社及び同社の製品

0グッド

1クリップ

投稿2019/02/28 14:44

ASAの設定で「security-level "数字"」
があるかと思います。

こちらの意味を調べるとセキュリティレベルの数値が高いインターフェースを通った通信から低い方への通信はACL関係なく通信を通す。またその通信の戻り通信もACL関係なく通信を通す。
という意味で記載されているように見えますが意味合いは上記の認識でお間違えないでしょうか。

つまり内部のセキュリティレベルが高く外部のインターフェースが低い場合、内部からの通信はACL関係なく通信を通す。と認識してよろしいでしょうか。
※外部から内部への通信に対応するようにACLは考慮する必要あり。

よおrしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

ASAのコマンドリファレンスsecurity-levelコマンドの詳細が記載されています。

レベルによって、次の動作が制御されます。

ネットワーク アクセス:デフォルトで、高いセキュリティ レベルのインターフェイスから低いセキュリティ レベルのインターフェイスへの通信(発信)は暗黙的に許可されます。高いセキュリティ レベルのインターフェイス上のホストは、低いセキュリティ レベルのインターフェイス上の任意のホストにアクセスできます。インターフェイスにアクセス リストを適用することによって、アクセスを制限できます。
同じセキュリティ レベルのインターフェイス間では、同じセキュリティ レベル以下の他のインターフェイスへのアクセスが暗黙的に許可されます。

あくまで、高いセキュリティレベルのインターフェイスから低いセキュリティレベルへの通信は暗黙的に
許可されますが、あくまで暗黙的に許可されるだけなのでACLを設定して特定の通信を拒否することが
できます。
同じく低いセキュリティレベルのインターフェイスから高いセキュリティレベルへの通信は暗黙的に
拒否されますが、ACLを設定すれば特定の通信を許可することができます。

投稿2019/02/28 14:53

ozwind918

総合スコア1140

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Megg

2019/03/01 14:49 編集

すごい簡易的な話にするとACLがTCPで送信元1.1.1.1/32(inside側) 送信先2.2.2.2/32(outside側)宛の許可設定しか設定がなされていなかった場合 送信元1.1.1.1/32 から 7.7.7.7/32 宛のTCP通信に関してはsecurity levelが高い方から低い方への通信であれば行も戻りも通信は通るということでしょうか。 この"暗黙的に許可"というのが念の為確認したいところです。
ozwind918

2019/03/01 15:01

発信パケットについてはsecurity-levelで暗黙的に許可されていますので、通ります。 戻りのパケットについてはestablishedコマンドが有効になっていれば(デフォルト有効)、許可されます。 なお、FTPのような戻りのパケットのポート番号が変わるパケットについてはinspection機能を使用する必要があります。 CiscoASAのパケット処理順序については公式ドキュメントが参考になります。 https://www.cisco.com/cisco/web/support/JP/111/1110/1110128_asa-packet-flow-00.html
Megg

2019/03/12 14:37

ありがとうございます!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.49%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問