Cisco Cisco ASA 5510 Adaptive Security Appliance Leaflet
1-36
Cisco ASA Series 명령 참조 , S 명령
1장 same-security-traffic through shape 명령
security-level
•
필터링 - HTTP(S) 및 FTP 필터링은 아웃바운드 연결(상위 수준에서 하위 수준으로)에만 적용
됩니다.
됩니다.
동일한 보안 인터페이스의 경우 한쪽 방향의 트래픽을 필터링할 수 있습니다.
•
NAT 제어 - NAT 제어를 활성화한 경우 하위 보안 인터페이스(외부)의 호스트에 액세스할 때
상위 보안 인터페이스(내부)의 호스트에 대해 NAT를 구성해야 합니다.
상위 보안 인터페이스(내부)의 호스트에 대해 NAT를 구성해야 합니다.
NAT 제어를 사용하지 않는 경우 또는 동일한 보안 인터페이스의 경우 원하는 인터페이스 간
에 NAT를 사용하도록 선택하거나 NAT를 사용하지 않도록 선택할 수 있습니다. 외부 인터페이
스에 대해 NAT를 구성하려면 특수한 키워드가 필요할 수도 있습니다.
에 NAT를 사용하도록 선택하거나 NAT를 사용하지 않도록 선택할 수 있습니다. 외부 인터페이
스에 대해 NAT를 구성하려면 특수한 키워드가 필요할 수도 있습니다.
•
established
명령 - 이 명령은 상위 수준 호스트에서 하위 수준 호스트로의 연결이 이미 설정된
경우 하위 보안 호스트에서 상위 보안 호스트로의 반환 연결을 허용합니다.
동일한 보안 인터페이스의 경우 양방향에 대해 established 명령을 구성할 수 있습니다.
일반적으로 동일한 보안 수준의 인터페이스는 통신할 수 없습니다. 동일한 보안 수준의 인터페이스
에서 통신하도록 하려면 same-security-traffic 명령을 참고하십시오. 101이 넘는 통신 인터페이스를
만들려는 경우 또는 두 인터페이스 간의 트래픽에 보호 기능을 동일하게 적용하려는 경우(예: 보안
수준이 동일한 두 부서가 있는 경우) 두 인터페이스를 동일한 수준에 할당하고 이러한 인터페이스
에서 통신하도록 허용할 수 있습니다.
에서 통신하도록 하려면 same-security-traffic 명령을 참고하십시오. 101이 넘는 통신 인터페이스를
만들려는 경우 또는 두 인터페이스 간의 트래픽에 보호 기능을 동일하게 적용하려는 경우(예: 보안
수준이 동일한 두 부서가 있는 경우) 두 인터페이스를 동일한 수준에 할당하고 이러한 인터페이스
에서 통신하도록 허용할 수 있습니다.
인터페이스의 보안 수준을 변경한 경우 새 보안 정보를 사용하기 전에 기존 연결이 시간 초과될 때
까지 기다리지 않으려면 clear local-host 명령을 사용하여 연결을 해제하면 됩니다.
까지 기다리지 않으려면 clear local-host 명령을 사용하여 연결을 해제하면 됩니다.
예
다음 예에서는 두 인터페이스의 보안 수준을 100과 0으로 구성합니다.
ciscoasa(config)# interface gigabitethernet0/0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface gigabitethernet0/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 10.1.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
관련 명령
명령
설명
clear local-host
모든 연결을 재설정합니다.
interface
인터페이스를 구성하고 인터페이스 컨피그레이션 모드를 시작합니다.
nameif
인터페이스 이름을 설정합니다.
vlan
하위 인터페이스에 VLAN ID를 할당합니다.