Команда ip inspect name применяется для создания правила проверки трафика для протоколов прикладного уровня и TCP.
В этом случае шлюз безопасности выполняет функции межсетевого экрана, используя средства CBAC.
Удаление правила проверки осуществляется той же командой с префиксом no.
Синтаксис ip inspect name inspection-name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds] no ip inspect name inspection-name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds] |
|
inspection-name |
имя набора правил проверки. Длина имени не должна превышать 16 символов, при большей длине оно будет сокращено до 16 символов |
protocol |
протокол, может быть tcp или протокол прикладного уровня (сервис) (системный или пользовательский, заданный в команде ip port-map) |
alert |
для каждого протокола можно включить/выключить выдачу тревожных сообщений на консоль (уровня alert). Если эта опция не установлена, то по умолчанию берется настройка из команды ip inspect alert-off (глобальная настройка) |
audit-trail |
для каждого протокола можно включить/выключить ведение журнала аудита, записи которого выдаются на консоль после закрытия каждой сессии. Если эта опция не установлена, то по умолчанию берется настройка из команды ip inspect audit-trail (глобальная настройка) |
seconds |
время, в течение которого допускается существование неактивного сеанса TCP. Если эта опция не установлена, то по умолчанию берется настройка из команды ip inspect tcp idle-time (глобальная настройка). |
Значение по умолчанию |
отсутствует |
Режимы команды |
Global configuration |
Рекомендации по использованию |
• Правило проверки трафика используется для stateful фильтрации - контексной фильтрации трафика. • Для каждого прикладного протокола создайте свое правило. • Чтобы добавить правило с новым протоколом в уже существующий набор правил проверки используйте то же имя inspection-name набора правил проверки. • Если ввести команду для уже существующей записи, то для нее будут добавлены/изменены настройки (alert, audit-trail и/или timeout). При этом убрать существующую настройку нельзя. Например: • В конфигурации существует запись: ip inspect name inspect-1 user-port-map-1 alert on audit-trail off • Если ввести команду: ip inspect name inspect-1 user-port-map-1 alert off timeout 1000 • То в конфигурации будет сформирована команда: ip inspect name inspect-1 user-port-map-1 alert off audit-trail off timeout 1000 |
Примечание |
соблюдайте осторожность при использовании совместно с фильтрацией по расписанию. Динамическое правило, созданное в диапазоне времени, указанном в расписании, продолжает работать и после завершения данного диапазона времени. Если необходимо, чтобы контекстная фильтрация работала по расписанию, то в данной ситуации политику безопасности можно создать при помощи конфигурационного файла (см. документ «Создание конфигурационного файла»). |
Удаление |
• Удаление записи, связанной с определенным протоколом protocol, в наборе правил с именем inspection-name осуществляется командой: no ip inspect name inspection-name protocol • Для удаления набора правил проверки с именем inspection-name используется команда: no ip inspect inspection-name • При удалении набора правил проверки, привязанного к одному или нескольким интерфейсам, происходит автоматическое удаление привязки без выдачи специального сообщения. • Для удаления всех наборов правил проверки используется команда: no ip inspect При этом все значения глобальных настроек, связанных с СВАС, принимают значения по умолчанию. |
Отличие данной команды от подобной команды Cisco IOS |
• В протоколы, которые нужно проверить, не входят стандартные UDP и icmp. • Трафик (входящий или исходящий), одним из конечных пунктов которого является сам роутер, обрабатывается, так же, как и любой другой. У Cisco такой трафик не попадает под действие inspect правил. • Лист доступа, через который идет трафик, противоположный инспектируемому, может быть стандартным, Cisco требует, чтобы лист доступа обязательно был extended. |