Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

각 인터페이스에는 0(가장 낮음)~100(가장 높음)의 보안 수준이 있어야 합니다. 예를 들어, 내부 

호스트 네트워크와 같이 가장 안전한 네트워크는 수준 100으로 지정해야 합니다. 반면에 인터넷

에 연결된 외부 네트워크는 수준 0이 될 수도 있습니다. DMZ와 같은 다른 네트워크는 그 사이의 

값이 될 수 있습니다. 인터페이스를 동일한 보안 수준에 할당할 수 있습니다.
이 수준은 다음 동작을 제어합니다.

네트워크 액세스 - 기본적으로 상위 보안 인터페이스에서 하위 보안 인터페이스(아웃바운드)

로의 액세스는 암시적으로 허용됩니다. 상위 보안 인터페이스의 호스트에서 하위 보안 인터

페이스의 모든 호스트에 액세스할 수 있습니다. 인터페이스에 ACL을 적용하여 액세스를 제

한할 수 있습니다.
동일한 보안 인터페이스에 대한 통신을 활성화할 경우, 해당 인터페이스에서 보안 수준이 같

거나 더 낮은 다른 인터페이스에 액세스하는 것이 암시적으로 허용됩니다.

검사 엔진—일부 애플리케이션 검사 엔진은 보안 수준에 좌우됩니다. 동일한 보안 인터페이

스의 경우 그 중 한쪽 방향의 트래픽에 검사 엔진이 적용됩니다.

NetBIOS 

검사 엔진 — 아웃바운드 연결에만 적용됩니다.

SQL*Net 

검사 엔진—어떤 호스트 쌍에 SQL*Net(이전의 OraServ) 포트에 대한 제어 연

결이 있을 경우 인바운드 데이터 연결만 ASA에서 허용됩니다.

필터링 — HTTP(S) 및 FTP 필터링은 아웃바운드 연결(상위 수준에서 하위 수준으로)에만 적

용됩니다.
동일한 보안 인터페이스에 대한 통신을 활성화한 경우 어느 방향의 트래픽도 필터링할 수 있

습니다.

established 

명령 - 이 명령은 상위 수준 호스트에서 하위 수준 호스트로의 연결이 이미 설정

된 경우 하위 보안 호스트에서 상위 보안 호스트로의 반환 연결을 허용합니다.
동일한 보안 인터페이스에 대한 통신을 활성화한 경우 양방향 모두에 established 명령을 구

성할 수 있습니다.

보안 상황의 오버헤드를 원치 않을 경우 또는 보안 상황 정보 사용을 극대화하려는 경우, 인터페

이스를 하나의 브리지 그룹으로 묶은 다음 네트워크마다 하나씩, 여러 브리지 그룹을 구성할 수 

있습니다. 브리지 그룹 트래픽은 다른 브리지 그룹과 분리됩니다. 트래픽이 Cisco ASA 내의 다른 

브리지 그룹으로 라우팅되지 않으며, 반드시 ASA를 나와야 외부 라우터에 의해 ASA의 다른 브리

지 그룹으로 라우팅될 수 있습니다. 브리지 기능은 브리지 그룹마다 따로 있지만, 다른 여러 기능

은 모든 브리지 그룹이 공유합니다. 예를 들어, 모든 브리지 그룹은 syslog 서버 또는 AAA 서버 구

성을 공유합니다. 완전한 보안 정책 분리를 위해서는 각 상황에서 한 브리지 그룹의 보안 상황을 

사용합니다. 상황마다 또는 단일 모드에서 하나 이상의 브리지 그룹이 필요합니다.
인터페이스마다 IP 주소가 필요한 라우팅 모드와 달리, 투명 방화벽은 브리지 그룹 전체에 IP 주

소가 할당됩니다. ASA에서는 ASA에서 시작하는 패킷(예: 시스템 메시지 또는 AAA 통신)의 소스 

주소로 이 IP 주소를 사용합니다. 브리지 그룹 관리 주소 외에도 일부 모델에서는 관리 인터페이

스를 구성할 수도 있습니다. 자세한 내용은 

를 참조하십시오.