Команда ip inspect name применяется для создания правила проверки трафика для протоколов прикладного уровня и TCP. В этом случае шлюз безопасности выполняет функции межсетевого экрана, используя средства CBAC (Context-Based Access Control – управление доступом на основе контекста).
Удаление правила проверки осуществляется той же командой с префиксом no.
Синтаксис ip inspect name inspection-name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds]
no ip inspect name inspection-name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds]
inspection-name имя набора правил проверки. Длина имени не должна превышать 16 символов, при большей длине оно будет сокращено до 16 символов
protocol протокол, может быть tcp или протокол прикладного уровня (сервис) (системный или пользовательский, заданный в команде ip port-map)
alert для каждого протокола можно включить/выключить выдачу тревожных сообщений (уровня alert) в файл лога. Если эта опция не установлена, то по умолчанию берется настройка из команды ip inspect alert-off (глобальная настройка)
audit-trail для каждого протокола можно включить/выключить ведение журнала аудита, записи которого выдаются в файл лога после закрытия каждой сессии. Если эта опция не установлена, то по умолчанию берется настройка из команды ip inspect audit-trail (глобальная настройка)
seconds время, в течение которого допускается существование неактивного сеанса TCP. Если эта опция не установлена, то по умолчанию берется настройка из команды ip inspect tcp idle-time (глобальная настройка).
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Global configuration.
Рекомендации по использованию
Правило проверки трафика используется для stateful фильтрации – контексной фильтрации трафика.
Для каждого прикладного протокола создайте свое правило.
Чтобы добавить правило с новым протоколом в уже существующий набор правил проверки используйте то же имя inspection-name набора правил проверки.
Если ввести команду для уже существующей записи, то для нее будут добавлены/изменены настройки (alert, audit-trail и/или timeout). При этом убрать существующую настройку нельзя. Например:
В конфигурации существует запись:
ip inspect name inspect-1 user-port-map-1 alert on audit-trail off
Если ввести команду:
ip inspect name inspect-1 user-port-map-1 alert off timeout 1000
То в конфигурации будет сформирована команда:
ip inspect name inspect-1 user-port-map-1 alert off audit-trail off timeout 1000
Примечание: соблюдайте осторожность при использовании совместно с фильтрацией по расписанию. Динамическое правило, созданное в диапазоне времени, указанном в расписании, продолжает работать и после завершения данного диапазона времени.
Если необходимо, чтобы контекстная фильтрация работала по расписанию, то в данной ситуации политику безопасности можно создать при помощи конфигурационного файла (см. документ «Создание конфигурационного файла»).
Удаление
Удаление записи, связанной с определенным протоколом protocol, в наборе правил с именем inspection-name осуществляется командой:
no ip inspect name inspection-name protocol
Для удаления набора правил проверки с именем inspection-name используется команда:
no ip inspect inspection-name
При удалении набора правил проверки, привязанного к одному или нескольким интерфейсам, происходит автоматическое удаление привязки без выдачи специального сообщения.
Для удаления всех наборов правил проверки используется команда:
no ip inspect
При этом все значения глобальных настроек, связанных с СВАС, принимают значения по умолчанию.
Отличие данной команды от подобной команды Cisco IOS:
В протоколы, которые нужно проверить, не входят стандартные UDP и icmp.
Трафик (входящий или исходящий), одним из конечных пунктов которого является сам роутер, обрабатывается, также как и любой другой. У Cisco такой трафик не попадает под действие inspect правил.
Лист доступа, через который идет трафик, противоположный инспектируемому, может быть стандартным, Cisco требует, чтобы лист доступа обязательно был extended.