Firewall Security Level

فكرة ال Firewall Security Level

عند البدء في عمل كونفك للفيرول ال ASA من سيسكو ، يجب ان تحدد مستوى السيكورتي لكل انترفيس . من خلال الاوامر التي سنراها لاحقا .

ولكن التسائل ماهو ال Security Level ؟
وماهو دورة ؟ وهل يحل محل ال Access-List ؟

ال Security Level . عبارة عن ارقام من ال 0 الى ال 100 . ممكن ان نستخدم اي رقم . ولكن دعني ابين اكثر الأرقام استخداما .
رقم الصفر 0 يدل على ان هذا الانترفيس او الجهة المربوطة بهذا الانترفيس مستوى الموثوقة فية معدومة ، بمعنى غير موثوق بها بالمرة . لذالك هذا المستوى اقصد مستوى الصفر دائماً يكون مناسب للانترفيس المواجة للأنترنيت . والذي يسمى ال OutSide Interface .

المستوى الاخر المستخدم عموما هو ال 100 والذي يدل عند كتابتة على الانترفيس . ان الجهة المتصلة بهذا الانترفيس لديها الموثوقية الكاملة اي جهة يمكن الوثوق بها تماماً لان لديها اعلى مستويات الثقة المتمثلة بي ال Security Level.
ويطبق هذا المستوى على ال InSide Interface .

تمام ، الان ماهي علاقة هذة المستويات ببعضها البعض ؟

هناك قاعدة مهمة ، المستوى الأعلى يستطيع التخاطب مع المسمى الأدنى .
اما المستوى الأدني لا يستطيع الوصول او التخاطب مع المستوى الأعلى .
هذة القاعدة مهمة جداً ، حيث توفر الآتي .

ان الجهة الخارجية والمتمثلة بالإنترنيت ليس لها الحق بان تتصل بي الجهة الداخلية المتمثلة بالشبكة الداخلية ، لماذا ؟ لان مستوى الشبكة الخارجة هو 0 والداخلية 100 حسب القاعدة المذكورة فان اي تخاطب من الصفر الى ال 100 سيتم القضاء علية . بالضبط كما لو انك عملت ال Access-List الآتية :

ASA#Access-List 0 Deny Any .

وركبت هذة ال Access List على الانترفيس الخارجي ، المواجة للانترفيس .وكما تعرف ان هذة ال Access List هي من نوع ال Stander والتي تختص بشؤون المصدر او ال Source.

الان العكس ، الجهة الداخلية تنوى الاتصال باالانترنيت مثلا ، فلها الحق بذالك طبقا للقاعدة حيث ان مستوى الجهة الداخلية 100 والجهة الخارجية 0 . لذالك يتم الاتصال ، وهذا مايمكن تصورة ان هذا السماح يتمثل بي ال Access List الآتية .

ASA#Access-List 100 Permit IP Any Any

وكما ترى ان هذة ال Access List من نوع Extended والتي تختص بشؤون ال Source And Destination .

الان الصورة لم تكتمل !! ماذا لو أراد احد من الجهة الخارجة التي مستواها صفر ان يتصل بالجهة الداخلية التي مستواها 100 ؟؟؟

هنا يأتي دور بقية ال Access List حيث لدينا رينج من ال 1 الى 99 . ممكن استخدامها لتأسيس سماحات محدد من الجهة الخارجية الى الجهة الداخلية .

بمعني انة لا يمكن لمستوى قليل ان يذهب او يحاكي مستوى كبير الا بوجود ال Access List .

هناك مستوى اخر يوضع لجهة مهمة جداً تسمى ال DMZ ( والتي ساتكلم عنها لاحقا بشكل مفصل ) مختصرها انترفيس يربط مع السيرفرات التي تقدم خدمات للشبكة الداخلية و الخارجية .

هذة الجهة يوضع لها مستوى 50 ليس شرطاً وإنما المتعارف علية !! لذالك يجب ان نعمل Access List لكي نؤسس قنوات بين هذة الجهة وبين الجهة الداخلية . ذالك لان ال 50 اصغر من ال 100 المتمثلة بالجهة الداخلية كما أسلفنا .

اخيراً ماذا اذا تسوى المستوى بين جهتان ، مثلا جعلنا جهة ال DMZ 100 وكذالك الجهة الداخلية 100 ماذا سيحدث ؟

الطبيعي سيقوم الفيروول بحماية الجهة الداخلية وسيمنع اي اتصال من قبل جهة ال DMZ . رغم تساوي ال Security Level . ممكن ان نسمح للاتصال بين جهتان متساوية المستوى من خلال الامر الأخير في حزمة الاوامر الآتية :
=====================

ASA# interface F0/0
ASA# nameif inside
INFO: Security level for "inside" set to 100 by default.

مجرد ان تعطي اسم للانترفيس InSide . سيقوم الفيرول بتحديد مستوى السيكورتي بشكل تلقائي . في مثالنا وكما ترى حدد الرقم 100 .
======================
ASA# interface F0/1
ASA# nameif outside
INFO: Security level for "outside" set to 0 by default.
هنا حددنا الانترفيس الخارجي وكما ترى مستوى الوثوق 0 .
======================
ASA# interface F0/2
ASA# nameif dmz
ASA# security-level 50

هنا استخدمنا امر تحديد المستوى ، حيث اننا ممكن تحديد المستوى على انترفيس يدوياً وبهذا الامر .
====================
ASA#same –security-traffic permit inter-interface
وهذا الامر يسمح بالاتصال بين الجهات المتساوية في ال Security Level . وكما ذكرنا في الطبيعي غير مسموح .

المصدر

Eng: Hamad

10:57 م

Security