¿Cómo define una política de firewall basada en la zona IOS para inspeccionar "cualquiera"?


7

Al configurar ZBFW en IOS, la clase "class-default" no permite la acción de inspección (solo pasar y soltar). ¿Cuál es la forma recomendada de hacer coincidir todo el tráfico para una inspección con estado? La coincidencia de TCP, UDP e ICMP parece funcionar bien, pero esto no parece ideal:

class-map type inspect match-any All_Protocols
 match protocol tcp
 match protocol udp
 match protocol icmp

Respuestas:


12

Eso debería funcionar. O eso o usa algo como:

R1(config)#ip access-list extended MATCH-ALL
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#class-map type inspect match-any CM_MATCH-ALL
R1(config-cmap)#match access-group name MATCH-ALL
R1(config-cmap)#policy-map type inspect PM_IN->OUT
R1(config-pmap)#class CM_MATCH-ALL
R1(config-pmap-c)#inspect 
%No specific protocol configured in class CM_MATCH-ALL for inspection. All protocols will    be inspected

Si no se coincide ningún protocolo específico en el mapa de clase, coincidirá con todos los protocolos.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.