Wie definieren Sie eine auf IOS-Zonen basierende Firewall-Richtlinie, um "any" zu überprüfen?

7

Bei der Konfiguration von ZBFW unter IOS erlaubt die Klasse "class-default" die Inspektionsaktion nicht (nur Bestehen und Löschen). Was ist die empfohlene Methode, um den gesamten Datenverkehr für eine Stateful Inspection abzugleichen? Das Abgleichen von TCP, UDP und ICMP scheint gut zu funktionieren, aber dies scheint nicht ideal zu sein:

class-map type inspect match-any All_Protocols
 match protocol tcp
 match protocol udp
 match protocol icmp
Jeremy Stretch
quelle

Antworten:

12

Das sollte funktionieren. Entweder das oder etwas wie:

R1(config)#ip access-list extended MATCH-ALL
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#class-map type inspect match-any CM_MATCH-ALL
R1(config-cmap)#match access-group name MATCH-ALL
R1(config-cmap)#policy-map type inspect PM_IN->OUT
R1(config-pmap)#class CM_MATCH-ALL
R1(config-pmap-c)#inspect 
%No specific protocol configured in class CM_MATCH-ALL for inspection. All protocols will    be inspected

Wenn in der Klassenzuordnung kein bestimmtes Protokoll übereinstimmt, stimmt es mit allen Protokollen überein.

Daniel Dib
quelle