Como você define uma política de firewall baseada em zona IOS para inspecionar "qualquer"?

7

Ao configurar o ZBFW no IOS, a classe "class-default" não permite a ação de inspeção (apenas passa e solta). Qual é a maneira recomendada de corresponder todo o tráfego para inspeção com estado? A correspondência entre TCP, UDP e ICMP parece funcionar bem, mas isso não parece ideal:

class-map type inspect match-any All_Protocols
 match protocol tcp
 match protocol udp
 match protocol icmp
Jeremy Stretch
fonte

Respostas:

12

Isso deve funcionar. Ou use algo como:

R1(config)#ip access-list extended MATCH-ALL
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#class-map type inspect match-any CM_MATCH-ALL
R1(config-cmap)#match access-group name MATCH-ALL
R1(config-cmap)#policy-map type inspect PM_IN->OUT
R1(config-pmap)#class CM_MATCH-ALL
R1(config-pmap-c)#inspect 
%No specific protocol configured in class CM_MATCH-ALL for inspection. All protocols will    be inspected

Se nenhum protocolo específico for correspondido no mapa de classes, ele corresponderá a todos os protocolos.

Daniel Dib
fonte