Tìm hiểu mức độ bảo mật (Security Level) trên giao diện tường lửa Firewall Cisco ASA

Bài viết này mô tả khái niệm cấp độ bảo mật được sử dụng trong thiết bị tường lửa Cisco ASA. Các khái niệm này áp dụng cho cả Firewall Cisco ASA Cũ và mới hơn sau này.

Mức độ bảo mật là gì (Security Level)

Mức bảo mật được chỉ định cho các giao diện (giao diện vật lý hoặc logic) và về cơ bản nó là một số từ 0 đến 100 chỉ định mức độ tin cậy của một giao diện so với giao diện khác trên thiết bị.

Mức độ bảo mật càng cao, giao diện càng đáng tin cậy (và do đó mạng được kết nối đằng sau nó) được coi là có liên quan đến giao diện khác.

Vì mỗi giao diện tường lửa đại diện cho một mạng cụ thể (hoặc vùng bảo mật), bằng cách sử dụng các mức bảo mật, chúng ta có thể chỉ định 'mức độ tin cậy' cho các vùng bảo mật của mình.

Quy tắc chính cho các mức bảo mật là một giao diện (hoặc vùng) có mức bảo mật cao hơn có thể truy cập vào một giao diện có mức bảo mật thấp hơn.

Mặt khác, giao diện có mức bảo mật thấp hơn không thể truy cập giao diện có mức bảo mật cao hơn mà không có sự cho phép rõ ràng của quy tắc bảo mật (Access Control List - ACL).

Ví dụ về mức độ bảo mật

Hãy xem một số ví dụ về cấp độ bảo mật bên dưới:

• Mức bảo mật 0 (Security Level 0): Đây là mức bảo mật thấp nhất và nó được gán theo mặc định cho Giao diện ‘Outside’ của tường lửa. Đây là cấp độ bảo mật kém tin cậy nhất và phải được chỉ định tương ứng cho mạng (interface) mà chúng ta không muốn nó có bất kỳ quyền truy cập nào vào các mạng nội bộ. Mức độ bảo mật này thường được gán cho giao diện kết nối với Internet. Điều này có nghĩa là mọi thiết bị được kết nối với Internet không thể có quyền truy cập vào bất kỳ mạng nào phía sau tường lửa, trừ khi được quy tắc ACL cho phép một cách rõ ràng.

• Cấp độ bảo mật từ 1 đến 99 (Security Levels 1 to 99): Các cấp độ bảo mật này có thể được chỉ định cho các vùng bảo mật ngoại vi (ví dụ: Vùng DMZ, Vùng Management, Vùng Database Servers, v.v.).

• Mức bảo mật 100 (Security Level 100): Đây là mức bảo mật cao nhất và nó được gán theo mặc định cho Giao diện ‘Inside’ của tường lửa. Đây là cấp độ bảo mật đáng tin cậy nhất và phải được chỉ định tương ứng cho mạng (giao diện) mà chúng ta muốn áp dụng biện pháp bảo vệ tốt nhất từ thiết bị bảo mật. Mức độ bảo mật này thường được gán cho giao diện kết nối mạng nội bộ Công ty đằng sau nó.

​

Sơ đồ trên minh họa một ví dụ điển hình về việc gán các mức bảo mật trong mạng với các vùng Bên trong (Inside), Bên ngoài (Outside) và DMZ.

Điều này đại diện cho một thiết lập mạng khá phổ biến của mạng doanh nghiệp / công ty, theo đó người dùng được kết nối với mạng Inside (nội bộ), một số máy chủ công cộng (ví dụ: máy chủ web, máy chủ email, v.v.) được đặt trong mạng DMZ và bên ngoài ASA là điểm kêt nôi internet.

Như bạn có thể thấy, Mạng nội bộ của công ty được kết nối với Giao diện có mức bảo mật cao nhất (Giao diện G0/1 với Security Level 100) cũng được đặt tên là ‘Inside’.

Tên giao diện ‘Inside’ được đặt theo mặc định cho giao diện có mức độ bảo mật cao nhất. Ngoài ra, giao diện hướng tới INTERNET (G0/0) được đặt tên là ‘Outside’ và được gán security level of 0.

Vùng Vành đai (DMZ) cũng được tạo với mức Security Level of 50. Các mũi tên màu đỏ trong biểu đồ thể hiện luồng lưu lượng.

Như bạn thấy, Vùng bên trong có thể truy cập cả DMZ và Vùng bên ngoài (Cấp độ an toàn 100 có thể truy cập tự do vào Cấp độ an ninh 50 và 0).

Vùng DMZ chỉ có thể truy cập vùng bên ngoài (Cấp độ an toàn 50 có thể truy cập Cấp độ 0), nhưng không thể truy cập Vùng bên trong. Cuối cùng, khu vực Bên ngoài không thể truy cập khu vực bên trong hoặc khu vực DMZ.

Những gì được mô tả trong ví dụ trên là hành vi mặc định của Tường lửa Firewall Cisco ASA. Chúng ta có thể ghi đè hành vi mặc định và cho phép truy cập từ Mức bảo mật thấp hơn đến Mức bảo mật cao hơn bằng cách sử dụng NAT tĩnh (Static NAT) và Danh sách kiểm soát truy cập (ACLs).

Quy tắc lưu lượng truy cập giữa các cấp độ bảo mật

• Lưu lượng truy cập từ Cấp độ bảo mật cao hơn đến Cấp độ bảo mật thấp hơn: Cho phép TẤT CẢ lưu lượng truy cập bắt nguồn từ Cấp độ bảo mật cao hơn trừ khi bị hạn chế cụ thể bởi Danh sách kiểm soát truy cập (ACL). Nếu NAT-Control được bật trên thiết bị, thì phải có quy tắc dịch NAT động giữa các giao diện Mức bảo mật từ Cao đến Thấp (ví dụ: PAT, v.v.).

• Lưu lượng truy cập từ Cấp độ an toàn thấp hơn đến Cấp độ bảo mật cao hơn: loại TẤT CẢ lưu lượng truy cập trừ khi được ACL cho phép cụ thể. Nếu NAT-Control được bật trên thiết bị thì phải có NAT tĩnh giữa các giao diện Mức độ bảo mật từ Cao đến Thấp.

• Lưu lượng giữa các giao diện có cùng Cấp độ bảo mật: Theo mặc định, điều này không được phép, trừ khi bạn định cấu hình lệnh liên giao diện cho phép lưu lượng truy cập giống nhau.

Sử dụng các giao diện có cùng mức độ bảo mật trên Firewall Cisco ASA

Hầu hết các mô hình tường lửa Cisco ASA cho phép bạn có số lượng VLAN tối đa lớn hơn 100 (ví dụ: 150, 200, 250).

Mỗi VLAN lớp 2 trên ASA về cơ bản là một vùng bảo mật khác nhau, với số Cấp độ bảo mật riêng của nó.

Như chúng ta đã biết, các cấp độ bảo mật có thể nằm trong khoảng từ 0 đến 100 (tức là chúng ta có 101 cấp độ bảo mật). Một câu hỏi hiển nhiên được đặt ra ở đây: Làm thế nào chúng ta có thể có 150 VLAN trên tường lửa, nhưng chúng ta chỉ có 101 cấp độ bảo mật khả thi?

Câu trả lời rất đơn giản: Chúng ta có thể có cùng một số cấp độ bảo mật trên các giao diện / giao diện con (vùng bảo mật) khác nhau. Tính năng này sẽ cho phép chúng ta có hơn 101 giao diện giao tiếp trên tường lửa.

Theo mặc định, các giao diện có cùng mức độ bảo mật không thể giao tiếp giữa chúng. Để cho phép lưu lượng truy cập tự do giữa các giao diện có cùng mức độ bảo mật, hãy sử dụng lệnh sau:

ASA-TGM(config)# same-security-traffic permit inter-interface

Cũng có một tùy chọn khác cho lệnh này:

ASA-TGM(config)# same-security-traffic permit intra-interface

Lệnh cuối cùng ở trên cho phép lưu lượng truy cập vào và thoát ra cùng một giao diện, điều này theo mặc định là không được phép. Điều này hữu ích trong các mạng mà tường lửa ASA hoạt động như một HUB trong cấu trúc liên kết HUB-and-SPOKE VPN, nơi các chi nhánh cần giao tiếp với nhau thông qua trung tâm.

Mức độ bảo mật là một trong những khái niệm cốt lõi của tường lửa Firewall Cisco ASA. Bạn phải lập kế hoạch cẩn thận việc chỉ định các cấp độ bảo mật trên cơ sở từng giao diện và sau đó kiểm soát lưu lượng giữa các giao diện cho phù hợp.

Chúc các bạn thành công!