Команда ip inspect привязывает правило проверки входящего или исходящего трафика для протоколов прикладного уровня и TCP к интерфейсу . Удаление привязки осуществляется командой с префиксом no.
Синтаксис ip inspect inspection-name {in | out}
no ip inspect inspection-name {in | out}
inspection-name имя набора правил проверки. Длина имени не должна превышать 16 символов, при большей длине оно будет сокращено до 16 символов
in набор правил проверки применяется на внутреннем интерфейсе к входящему трафику
out набор правил проверки применяется на внешнем интерфейсе к исходящему трафику.
Значение по умолчанию значение по умолчанию отсутствует.
Режимы команды Interface configuration.
Рекомендации по использованию
На интерфейсе, к которому применено правило проверки трафика, должно быть прописано правило фильтрации, разрешающее прохождение инспектируемого трафика:
· если контекстная фильтрация настраивается на внутреннем интерфейсе, то список доступа должен разрешать входящий трафик, который будет проверяться,
· если контекстная фильтрация настраивается на внешнем интерфейсе, то список доступа должен разрешать исходящий трафик, который будет проверяться.
На интерфейсе, на котором осуществляется контекстная фильтрация, будут созданы два динамических правила фильтрации, содержащих информацию о состоянии отправителя трафика, по одному на направление движения трафика. На других сетевых интерфейсах будут созданы дополнительные динамические правила, пропускающие инспектируемый трафик в обоих направлениях. Эти правила имеют больший приоритет, чем статические. Дополнительные правила удаляются вместе с записью о соединении.
Включение stateful-фильтрации на двух сетевых интерфейсах, через которые строится соединение, может приводить к дублированию контекстов соединения.
Редактирование
Если в команде указать несуществующее правило проверки inspection-name, то будет выдано сообщение: %Inspect name <inspection-name> is not defined.
Удаление привязки
Удаление привязки правила проверки к интерфейсу осуществляется командой
no ip inspect inspection-name {in | out}.
Если на данном интерфейсе отсутствует привязка к правилу проверки (как in так и out), то будет выдано сообщение: %Inspection is currently not configured for interface <interface-name>.
Если к интерфейсу привязано хотя бы одно правило проверки (даже к противоположному направлению трафика), то в команде удаления привязки правила к интерфейсу:
· При указании неправильного имени правилаinspection-name, которое при этом существует в конфигурации, будет выдано сообщение: %Inspect name <inspection-name> is not defined for interface <interface-name> for the specified direction
· При указании несуществующего правила проверки inspection-name, будет выдано сообщение: %Inspect name <inspection-name> is not defined.
При удалении правила проверки автоматически будет удалена и привязка правила к интерфейсу.
Отличие данной команды от подобной команды Cisco IOS:
В Cisco CBAC создает временные проходы в списке доступа, разрешающие возвратный поток данных в рамках установленного сеанса: динамические разрешающие правила создаются только по одному направлению – противоположному направлению, к которому привязано правило проверки.
В С-Терра Шлюз разрешающие правила фильтрации добавляются во входящие и исходящие цепочки правил.