PIX 5500 : security level

PIX 5500 : security level - Sécurité - Windows & Software

Marsh Posté le 30-05-2006 à 11:52:07    

Bonjour,
 
Je voulais savoir à quoi servait le sécurity level que l'on peut affecter à chaque interface de ce routeur.
J'ai cru comprendre que une interface ayant un sécurité level < à celui d'une autre ne pouvait pas communiquer avec celle-ci, mais dans le cas où on utilise 3 interfaces :
- IN : le lan, qui doit pouvoir accéder au net et à la DMZ
- OUT : le net, qui peut accéder à la DMZ
- DMZ : qui n'accède pas au IN
 
comment agencer les sécurity level ?
 
 :jap:  

Reply

Marsh Posté le 30-05-2006 à 11:52:07   

Reply

Marsh Posté le 30-05-2006 à 22:02:30    

si t'as que 3 interfaces, tu joues pas avec les security level, pas la peine.
Ca ca sert quand tu les multiplie, surtout avec des interfaces virtuelles, pour definir les niveau de secu.
par defaut, le traffic est autorisé d'une interface avec un haut security level vers une avec un plus faible, et pas l'inverse.
donc: IN>DMZ>OUT . vu que t'as que 3 interfaces, a moins de jouer avec les vlans, tu t'en fous des valeurs, tant que tu respectes cet ordre.
Pour l'access depuis le web vers la DMZ, les access rules sont la pour ca.
enjoy

Reply

Marsh Posté le 31-05-2006 à 14:36:54    

Merki tric  :jap:

Reply

Marsh Posté le 31-05-2006 à 14:42:50    

pour le concept : moins tu fais confiance à une interface, plus son niveau de securité est faible.
 
LAN : 100
DMZ : 50
OUTSIDE : 0
 
par exemple.
 
Par défaut, toutes les connexions d'une interface au niveau elevé vers une interface faible sont autorisées. Les connexions dans l'autre sens sont interdites. Après, tu mets en place les règles que tu veux.

Reply

Marsh Posté le 31-05-2006 à 15:45:06    

:jap:  
 
Chtite question :  au niveau de la définition des Hosts, vous savez comment ajouter des ranges d'IP (comme 192.168.1.50-100) paske j'ai pas trop envie de tout me fanner à la main là :D ?
 
Merci !

Reply

Marsh Posté le 31-05-2006 à 15:50:50    

de mémoire, tu entres une adresse de réseau et un masque il me semble.

Reply

Marsh Posté le 31-05-2006 à 16:15:58    

Merki !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed