Синтаксис

ip inspect name inspection-name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds]

no ip inspect name inspection-name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds]

inspection-name

имя набора правил проверки. Длина имени не должна превышать 16 символов, при большей длине оно будет сокращено до 16 символов

protocol

протокол, может быть tcp или протокол прикладного уровня (сервис) (системный или пользовательский, заданный в команде ip port-map)

alert

для каждого протокола можно включить/выключить выдачу тревожных сообщений на консоль (уровня alert). Если эта опция не установлена, то по умолчанию берется настройка из команды ip inspect alert-off (глобальная настройка)

audit-trail

для каждого протокола можно включить/выключить ведение журнала аудита, записи которого выдаются на консоль после закрытия каждой сессии.

Если эта опция не установлена, то по умолчанию берется настройка из команды ip inspect audit-trail (глобальная настройка)

seconds

время, в течение которого допускается существование неактивного сеанса TCP. Если эта опция не установлена, то по умолчанию берется настройка из команды ip inspect tcp idle-time (глобальная настройка).

Значение по

умолчанию

отсутствует

Режимы команды

Global configuration

Рекомендации по

использованию

•      Правило проверки трафика используется для stateful фильтрации - контексной фильтрации трафика.

•      Для каждого прикладного протокола создайте свое правило.

•      Чтобы добавить правило с новым протоколом в уже существующий набор правил проверки используйте то же имя inspection-name набора правил проверки.

•      Если ввести команду для уже существующей записи, то для нее будут добавлены/изменены настройки (alert, audit-trail и/или timeout). При этом убрать существующую настройку нельзя. Например:

•     В конфигурации существует запись:

ip inspect name inspect-1 user-port-map-1 alert on audit-trail off

•     Если ввести команду:

ip inspect name inspect-1 user-port-map-1 alert off timeout 1000

•     То в конфигурации будет сформирована команда:

ip inspect name inspect-1 user-port-map-1 alert off audit-trail off timeout 1000

Примечание

соблюдайте осторожность при использовании совместно с фильтрацией по расписанию. Динамическое правило, созданное в диапазоне времени, указанном в расписании, продолжает работать и после завершения данного диапазона времени.

Если необходимо, чтобы контекстная фильтрация работала по расписанию, то в данной ситуации политику безопасности можно создать при помощи конфигурационного файла (см. документ «Создание конфигурационного файла»).

Удаление

•      Удаление записи, связанной с определенным протоколом protocol, в наборе правил с именем inspection-name  осуществляется командой:

no ip inspect name inspection-name protocol

•      Для удаления набора правил проверки с именем inspection-name используется команда:

no ip inspect inspection-name

•      При удалении набора правил проверки, привязанного к одному или нескольким интерфейсам, происходит автоматическое удаление привязки без выдачи специального сообщения.

•      Для удаления всех наборов правил проверки используется команда:

no ip inspect 

При этом все значения глобальных настроек, связанных с СВАС, принимают значения по умолчанию.

Отличие данной

команды от

подобной команды

Cisco IOS

•      В протоколы, которые нужно проверить, не входят стандартные UDP и icmp.

•      Трафик (входящий или исходящий), одним из конечных пунктов которого является сам роутер, обрабатывается, так же, как и любой другой. У Cisco такой трафик не попадает под действие inspect правил.

•      Лист доступа, через который идет трафик, противоположный инспектируемому, может быть стандартным, Cisco требует, чтобы лист доступа обязательно был extended.