Чтобы применить правило проверки к интерфейсу, его нужно привязать командой ip inspect к этому интерфейсу. Удаление привязки осуществляется командой с префиксом no.
Синтаксис ip inspect inspection-name {in | out}
no ip inspect inspection-name {in | out}
inspection-name имя набора правил проверки. Длина имени не должна превышать 16 символов, при большей длине оно будет сокращено до 16 символов
in набор правил проверки применяется на внутреннем интерфейсе к входящему трафику
out набор правил проверки применяется на внешнем интерфейсе к исходящему трафику.
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Interface configuration.
Рекомендации по использованию
Средства CBAC можно разместить как внутреннем или внешнем интерфейсе шлюза безопасности. С внутреннего интерфейса обычно устанавливаются сеансы, и этот трафик CBAC может пропускать или задерживать. С внешнего интерфейса шлюза сеансы устанавливаться не могут.
Для корректной работы средств CBAC на интерфейсе необходимо правильно настроить списки доступа. Чтобы список доступа допускал создание временных проходов, он должен быть расширенным, для применения к возвращенному трафику также требуются расширенные списки доступа. Списки доступа для исходящего трафика, предназначенного для отправки в интернет, должны допускать трафик, проверенный с помощью CBAC.
Для настройки CBAC на внешнем интерфейсе требуется:
· Исходящий список доступа на внешнем интерфейсе должен быть стандартным или расширенным. Этот список должен разрешать трафик, который вы собираетесь проверять средствами CBAC. Если этот трафик запретить, то он не будет проверяться CBAC и будет просто отвергнут.
· Входящий список доступа на внешнем интерфейсе должен быть расширенным. Этот список доступа должен запрещать трафик, который собираетесь проверять средствами CBAC (CBAC создают временные проходы во входящем списке доступа, разрешающие возвратный поток данных в рамках установленного сеанса).
Для настройки CBAC на внутреннем интерфейсе требуется:
· Входящий список доступа на внутреннем интерфейсе и исходящий список доступа на внешнем интерфейсе могут быть стандартными или расширенными. Эти списки должны разрешать трафик, который вы собираетесь проверяться средствами CBAC. Если этот трафик запретить, то он не будет проверяться CBAC и будет просто отвергнут.
· Исходящий список доступа на внутреннем интерфейсе и входящий список доступа на внешнем интерфейсе должны быть расширенными. Эти списки доступа должны запрещать трафик, который собираетесь проверять средствами CBAC (CBAC создают временные проходы во входящем списке доступа, разрешающие возвратный поток данных в рамках установленного сеанса). Необязательно сразу иметь расширенные списки доступа как на исходящем внутреннем интерфейсе так и входящем внешнем интерфейсе, но по крайней мере, один такой список доступа надо иметь для ограничения трафика, идущего через шлюз, во внутреннюю защищаемую подсеть.
Редактирование
Если в команде указать несуществующее правило проверки inspection-name, то будет выдано сообщение: %Inspect name <inspection-name> is not defined.
Удаление привязки
Удаление привязки правила проверки к интерфейсу осуществляется командой
no ip inspect inspection-name {in | out}.
Если на данном интерфейсе отсутствует привязка к правилу проверки (как in так и out), то будет выдано сообщение: %Inspection is currently not configured for interface <interface-name>.
Если к интерфейсу привязано хотя бы одно правило проверки (даже к противоположному направлению трафика), то в команде удаления привязки правила к интерфейсу:
· При указании неправильного имени правилаinspection-name, которое при этом существует в конфигурации, будет выдано сообщение: %Inspect name <inspection-name> is not defined for interface <interface-name> for the specified direction
· При указании несуществующего правила проверки inspection-name, будет выдано сообщение: %Inspect name <inspection-name> is not defined.
При удалении правила проверки автоматически будет удалена и привязка правила к интерфейсу.