Segurança : Cisco IOS Firewall

O Cisco IOS divide o Firewall baseado: Escritório com o gateway do Cisco Unity Express/SRST/PSTN com conexão ao CallManager da Cisco centralizado

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O Roteadores do serviço integrado de Cisco (ISR) oferece uma plataforma escalável endereçar exigências dos dados e da rede de voz para um amplo intervalo dos aplicativos. Embora a paisagem da ameaça de redes privadas e Internet-conectadas seja muito um ambiente dinâmico, o Firewall do � do Cisco IOS oferece a inspeção stateful e as capacidades da inspeção de aplicativo e do controle (AIC) de definir e reforçar uma postura segura da rede, ao permitir a capacidade do negócio e a continuidade.

Este documento descreve o projeto e as considerações de configuração para aspectos de segurança do Firewall de dados e de encenações ISR-baseados Cisco específicos do aplicativo de voz. A configuração para serviços de voz e o Firewall são fornecidos para cada encenação do aplicativo. Cada encenação descreve VoIP e as configurações de segurança separadamente, então pela configuração de roteador inteira. Sua rede pode exigir a outra configuração para serviços tais como QoS e VPN manter a Qualidade de voz e a confidencialidade.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Fundo do Cisco IOS Firewall

O Cisco IOS Firewall é distribuído tipicamente nas encenações do aplicativo que diferem dos modelos de distribuição de Firewall do dispositivo. As implementações típicas incluem aplicativos do Teleworker, locais pequeno- ou do escritório filial, e os aplicativos varejos, onde a baixa contagem do dispositivo, a integração dos serviços múltiplos, e a profundidade do desempenho mais baixo e da capacidade de segurança são desejadas.

Quando o aplicativo da inspeção do Firewall, junto com outros Serviços integrados no Produtos ISR, puder parecer atrativo do custo e da perspectiva operacional, as considerações específicas devem ser avaliadas a fim determinar se um Firewall roteador-baseado é apropriado. O aplicativo de cada recursos adicionais incorre a memória e os custos de processamento, e contribui-os provavelmente às taxas reduzidas do throughput de encaminhamento, à latência de pacote aumentada, e à perda de potencialidade de recursos durante períodos de carga de pico se uma solução roteador-baseada integrada de fraca potência é distribuída. Observe estas diretrizes quando você decide entre um roteador e um dispositivo:

  • O roteador com as características integradas múltiplas permitidas é serido melhor para o escritório filial ou as instalações de telecomutador onde menos dispositivos oferecem uma solução melhor

  • A largura de banda elevada, aplicativos de capacidade elevada é tipicamente melhor endereçada com dispositivos. Cisco ASA e server unificado Cisco do gerenciador de chamada deve ser aplicado para segurar o NAT e o aplicativo e o Processamento de chamadas da política de segurança, quando o Roteadores endereçar o aplicativo da política de QoS, a terminação MACILENTO, e os requisitos de conectividade do VPN de Site-para-Site.

Antes da introdução de Cisco IOS Software Release 12.4(20)T, o Firewall clássico e o Firewall Zona-baseado da política (ZFW) eram incapazes de apoiar inteiramente as capacidades exigidas para o tráfego voip e serviços de voz roteador-baseados, e grandes aberturas exigidas em políticas de firewall de outra maneira seguras a fim acomodar o tráfego de voz e o apoio limitado oferecido para protocolos em desenvolvimento da sinalização voip e dos media.

Configurar

O desenvolvimento do Cisco IOS Zona-baseou o Firewall da política

O Firewall Zona-baseado Cisco IOS da política, similar a outros Firewall, pode somente oferecer um Firewall seguro se os requisitos de segurança do trustingare da rede identificado e descrito pela política de segurança. Há duas aproximações fundamentais a chegar em uma política de segurança: a perspectiva, ao contrário da perspectiva suspeito.

A perspectiva de confiança supõe que todo o tráfego é de confiança, salvo que que pode especificamente ser identificado como malicioso ou indesejável. Uma política específica é executada que negue somente o tráfego não desejado. Isto é tipicamente realizado através das entradas de controle de acesso específicas do uso, ou das ferramentas da assinatura ou comportamento-baseado. Esta aproximação tende a interferir menos com os aplicativos existentes, mas exige um conhecimento detalhado da paisagem da ameaça e da vulnerabilidade, e exige a vigilância constante endereçar ameaças e façanhas novas enquanto aparecem. Adicionalmente, a comunidade de usuário deve fazer uma grande parte em manter a Segurança adequada. Um ambiente que permita a liberdade larga com pouco controle para os ocupante oferece a oportunidade substancial para os problemas causados por indivíduos descuidados ou maliciosos. Um problema adicional desta aproximação é que confia muito mais nas ferramentas e nos controles de aplicativo de gerenciamento efetivo que oferecem a suficientes flexibilidade e desempenho poder monitorar e controlar os dados suspeitos em todo o tráfego de rede. Quando a tecnologia estiver presentemente disponível para acomodar isto, a carga operacional excede frequentemente os limites da maioria de organizações.

A perspectiva suspeito supõe que todo o tráfego de rede é indesejado, à exceção do bom tráfego especificamente identificado. Esta é uma política que seja aplicada que negam todo o tráfego de aplicativo salvo que que é permitido explicitamente. Adicionalmente, a inspeção de aplicativo e o controle (AIC) podem ser executados para identificar e negar o tráfego malicioso que crafted especificamente para explorar bons aplicativos, assim como o tráfego não desejado que masquerading como o bom tráfego. Além disso, os controles de aplicativo impõem operacional e as cargas do desempenho na rede, embora a maioria de tráfego indesejado deva ser controlado por filtros apátridas tais como o Access Control Lists (ACLs) ou a política Zona-baseada do Firewall da política (ZFW), tão lá devem ser substancialmente menos tráfego que deve ser segurado pelo AIC, pelo Intrusion Prevention System (IPS), ou por outro controles assinatura-baseados tais como a harmonização flexível do pacote (FPM) ou o Network-Based Application Recognition (NBAR). Assim, se somente as portas de aplicativo desejadas, e o tráfego media-específico dinâmico que elevara das conexões de controle conhecidas ou das sessões, são permitidos especificamente, o único tráfego não desejado que se estar presente na rede cai em um específico, o subconjunto mais-fácil-reconhecido, que reduz a engenharia e a carga operacional impostas para manter o controle sobre tráfego indesejado.

Este documento descreve as configurações de segurança de VoIP baseadas na perspectiva suspeito; assim, trafique somente que é permissível nos segmentos da rede de voz é permitido. As políticas dos dados tendem a ser mais permissivos, como descrito por notas na configuração de cada encenação do aplicativo.

Todas as disposições da política de segurança devem seguir um ciclo do feedback de loop fechado; das distribuições de segurança a capacidade da influência tipicamente e a funcionalidade dos aplicativos existentes, e devem ser ajustadas a fim minimizar ou resolver este impacto.

Refira o projeto do Firewall da política e o guia Zona-baseados do aplicativo para mais informação e fundo adicional para a configuração do Firewall Zona-baseado da política.

Considerações para ZFW nos ambientes VoIP

O guia previamente mencionado do projeto e do aplicativo oferece uma breve discussão para a Segurança do roteador com o uso das políticas de segurança a e da zona do auto do roteador, assim como as capacidades alternativas que são fornecidas com a vária proteção da fundação da rede (NFP) caracterizam. as capacidades Roteador-baseadas de VoIP são hospedadas dentro da zona do auto do roteador, assim as políticas de segurança por que proteja o roteador deve estar ciente das exigências para o tráfego de voz, a fim acomodar a sinalização de voz e os media originados e destinados aos recursos de Cisco Unified CallManager Express, do Survivable Remote Site Telephony, e do gateway de voz. Antes do Cisco IOS Software Release 12.4(20)T, o Firewall clássico e o Firewall Zona-baseado da política eram incapazes de acomodar inteiramente as exigências do tráfego voip, assim que as políticas de firewall não foram aperfeiçoadas para proteger inteiramente recursos. as políticas de segurança da Auto-zona que protegem recursos roteador-baseados de VoIP confiam pesadamente nas capacidades introduzidas no Cisco IOS Software Release 12.4(20)T.

Recursos da voz do Cisco IOS Firewall

O Cisco IOS Software Release 12.4(20)T introduziu diversos realces a fim permitir o Firewall co-residente e as capacidades de voz da zona. Três recursos principais aplicam-se diretamente para fixar Aplicações de voz:

  • Realces do SORVO: Gateway de camada de aplicativo e inspeção de aplicativo e controle

    • Suporte de versão do SORVO das atualizações a SIPv2, como descrito pelo RFC 3261

    • Alarga o suporte de sinalização do SORVO para reconhecer uma variedade mais larga de fluxos de chamadas

    • Introduz a inspeção de aplicativo do SORVO e o controle (AIC) para aplicar controles granulados para endereçar vulnerabilidades e façanhas específicas do nível de aplicativo

    • Expande a inspeção da auto-zona a fim poder reconhecer os canais secundários da sinalização e dos media que resultam do tráfego do SORVO locally-destined/-originated

  • Apoio para o tráfego local magro e CallManager da Cisco expresso

    • Apoio das atualizações SCCP à versão 16 (previamente versão suportada 9)

    • Introduz a inspeção de aplicativo SCCP e o controle (AIC) para aplicar controles granulados para endereçar vulnerabilidades e façanhas específicas do nível de aplicativo

    • Expande a inspeção da auto-zona para poder reconhecer a sinalização secundária e o media canaliza resultar do tráfego locally-destined/-originated SCCP

  • Apoio de H.323 v3/v4

    • Apoio de H.323 das atualizações a v3 e a v4 (v1 e v2 previamente apoiados), como descrito por

    • Introduz a inspeção de aplicativo de H.323 e o controle (AIC) para aplicar controles granulados para endereçar vulnerabilidades e façanhas específicas do nível de aplicativo

As configurações de Segurança de roteadores descritas neste documento incluem as capacidades oferecidas por estes realces, com explicação descrever a ação aplicada pelas políticas. Os hiperlinks aos documentos dos recursos individuais estão disponíveis na seção Informação Relacionada na extremidade deste documento, se você deseja rever os detalhes completos para as características da inspeção da Voz.

Caveats

O aplicativo do Cisco IOS Firewall com capacidades de voz roteador-baseadas deve aplicar o Firewall Zona-baseado da política a fim reforçar os pontos que foram mencionados previamente. O firewall de IOS clássico não inclui a capacidade necessário de apoiar inteiramente as complexidades da sinalização e o comportamento do tráfego de voz.

NAT

O Cisco IOS Network Address Translation (NAT) está configurado frequentemente simultaneamente com o Cisco IOS Firewall, particularmente nos casos onde as redes privadas devem conectar com o Internet, ou se as redes privadas díspares devem conectar, particularmente se o espaço de endereços IP de sobreposição está no uso. O Cisco IOS Software inclui gateway de camadas de aplicativo NAT (ALGs) para o SORVO, magro, e o H.323. Idealmente, a conectividade de rede para a Voz IP pode ser acomodada sem o aplicativo do NAT, enquanto o NAT introduz adicionalmente a complexidade aos aplicativos da pesquisa de defeitos e da política de segurança, particularmente nos casos onde a sobrecarga NAT é usada. O NAT deve somente ser aplicado como uma última solução do caso para endereçar interesses da conectividade de rede.

CUPC

Este documento não descreve a configuração que apoia o uso do cliente do Cisco Unified Presence (CUPC) com Cisco IOS Firewall, porque CUPC não é apoiado ainda pela zona ou pelo Firewall clássico até à data do Cisco IOS Software Release 12.4(20)T1. CUPC é apoiado em uma liberação futura do Cisco IOS Software.

Escritório com o gateway do Cisco Unity Express/SRST/PSTN que conecta ao CallManager da Cisco centralizado

Esta encenação difere dos aplicativos precedentes, naquela controle de chamada centralizado é usada para todo o Controle de chamadas, em vez do Processamento de chamadas roteador-baseado distribuído. O correio de voz distribuído é Unity aplicado, mas do throughCisco expresso no roteador. O roteador fornece a funcionalidade do Survivable Remote Site Telephony e do gateway PSTN para discar e local-seletor da emergência. Um nível característico da aplicação da capacidade PSTN é recomendado acomodar a falha do Toll Bypass WAN-baseado que disca, assim como a área local que disca como descrita pelo Plano de discagem. Adicionalmente, leis local exigem tipicamente que alguma conectividade de PSTN local está fornecida meio para acomodar discar da emergência (911).

Esta encenação pode igualmente aplicar o CallManager da Cisco expresso como o agente do Processamento de chamadas para o SRST, caso a maior capacidade de processamento de chamada for exigida durante indisponibilidade WAN/CCM. Refira o Cisco Unity Connection de integração com Cisco unificou o CME-como-SRST para mais informação.

Fundo da encenação

A encenação do aplicativo incorpora telefones prendidos (Voz VLAN), PC prendidos (VLAN de dados), e dispositivos Wireless (que incluem dispositivos voip tais como o comunicador IP).

  1. Sinalizando a inspeção entre telefones locais e CUCM remoto aglomere (SCCP e o SORVO)

  2. Inspecione H.323 que sinaliza entre o roteador e o conjunto remoto CUCM.

  3. Inspecione a sinalização entre os telefones locais e o roteador quando o link ao local remoto está para baixo e o SRST é ativo.

  4. Furo de pino das mídias de voz para uma comunicação no meio:

    1. Segmentos prendidos e wireless do Local

    2. Local e telefones remotos

    3. Server e telefones locais remotos de MoH

    4. Servidor de unidade e telefones locais remotos para o correio de voz

  5. Aplique a inspeção de aplicativo e o controle (AIC) a:

    1. o limite de taxa convida mensagens

    2. assegure a conformidade do protocolo em todo o tráfego do SORVO.

iosfw-cue-cucm-01.gif

Vantagens/desvantagens

Esta encenação oferece o benefício que a maioria do Processamento de chamadas ocorre em um Cluster do CallManager daCisco central, que ofereça a carga reduzida do Gerenciamento. O roteador deve tipicamente ter que endereçar a carga menos local da inspeção do Voz-recurso em relação aos outros casos descritos neste documento, porque a maioria da carga do processamento de chamada não está imposta no roteador, à exceção de segurar o tráfego para/desde o Cisco Unity Express, e nos casos quando há uma indisponibilidade de WAN ou CUCM, e o CallManager da Cisco local Express/SRST está chamado no efeito para endereçar o Processamento de chamadas.

O grande inconveniente deste caso, durante a atividade típica do processamento de chamada, é que o Cisco Unity Express está ficado situado no roteador local. Quando isto for bom de uma perspectiva do projeto, por exemplo, o Cisco Unity Express está ficado situado o mais perto aos utilizadores finais onde o correio de voz é guardado, ele incorre alguma carga adicional do Gerenciamento, que pode haver um grande número Cisco Unity Express a controlar. Isso dito, com um Cisco Unity Express central levar os inconvenientes opostos, naquele um Cisco Unity Express central é mais distante dos usuários remotos, e não é possivelmente acessível durante indisponibilidade. Assim, os benefícios funcionais da oferta distribuída do correio de voz pelo desenvolvimento do Cisco Unity Express às posições remotas oferecem a escolha superior.

As configurações para políticas dos dados, Firewall Zona-baseado, exprimem a Segurança, CallManager da Cisco expresso

A configuração de roteador é baseada em uns 3845 com um NME-X-23ES e um PRI HWIC:

Configuração do serviço de voz para a Conectividade SRST e de Cisco Unity Express:

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

Este é um eample da configuração de firewall Zona-baseada da política, composto de zonas de Segurança para segmentos prendido e do Wireless LAN, a LAN privada, que são compostas de segmentos prendidos e wireless, um segmento MACILENTO onde a conectividade de WAN confiada seja alcançada, e a zona do auto onde os recursos da Voz do roteador são encontrados:

/image/gif/paws/108012/iosfw-cue-cucm-02.gif

Configuração de segurança:

class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 3825-srst
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
ip cef
!
!
ip domain name cisco.com
ip name-server 172.16.1.22
ip vrf acctg
 rd 0:1
!
ip vrf eng
 rd 0:2
!
ip inspect WAAS enable
!
no ipv6 cef
multilink bundle-name authenticated
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
!
!
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security vpn
zone security eng
zone security acctg
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
!
interface Loopback101
 ip vrf forwarding acctg
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface Loopback102
 ip vrf forwarding eng
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 172.16.1.103 255.255.255.0
 shutdown
!
interface GigabitEthernet0/0.109
 encapsulation dot1Q 109
 ip address 172.16.109.11 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 zone-member security public
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1.129
 encapsulation dot1Q 129
 ip address 172.17.109.2 255.255.255.0
 standby 1 ip 172.17.109.1
 standby 1 priority 105
 standby 1 preempt
 standby 1 track GigabitEthernet0/0.109
!
interface GigabitEthernet0/1.149
 encapsulation dot1Q 149
 ip address 192.168.109.2 255.255.255.0
 ip wccp 61 redirect in
 ip wccp 62 redirect out
 ip nat inside
 ip virtual-reassembly
 zone-member security private
!
interface GigabitEthernet0/1.161
 encapsulation dot1Q 161
 ip vrf forwarding acctg
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface GigabitEthernet0/1.162
 encapsulation dot1Q 162
 ip vrf forwarding eng
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface Serial0/3/0
 no ip address
 encapsulation frame-relay
 shutdown
 frame-relay lmi-type cisco
!
interface Serial0/3/0.1 point-to-point
 ip vrf forwarding acctg
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 321 IETF
!
interface Serial0/3/0.2 point-to-point
 ip vrf forwarding eng
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 322 IETF
!
interface Integrated-Service-Engine2/0
 no ip address
 shutdown
 no keepalive
!
interface GigabitEthernet3/0
 no ip address
 shutdown
!
router eigrp 1
 network 172.16.109.0 0.0.0.255
 network 172.17.109.0 0.0.0.255
 no auto-summary
!
router eigrp 104
 network 10.1.104.0 0.0.0.255
 network 192.168.109.0
 network 192.168.209.0
 no auto-summary
!
router bgp 1109
 bgp log-neighbor-changes
 neighbor 172.17.109.4 remote-as 1109
 !
 address-family ipv4
  neighbor 172.17.109.4 activate
  no auto-summary
  no synchronization
  network 172.17.109.0 mask 255.255.255.0
 exit-address-family
!
ip forward-protocol nd
ip route vrf acctg 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf acctg 10.1.2.0 255.255.255.0 10.255.1.2
ip route vrf eng 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf eng 10.1.2.0 255.255.255.0 10.255.1.2
!
!
ip http server
no ip http secure-server
ip nat pool acctg-nat-pool 172.16.109.21 172.16.109.22 netmask 255.255.255.0
ip nat pool eng-nat-pool 172.16.109.24 172.16.109.24 netmask 255.255.255.0
ip nat inside source list 109 interface GigabitEthernet0/0.109 overload
ip nat inside source list acctg-nat-list pool acctg-nat-pool vrf acctg overload
ip nat inside source list eng-nat-list pool eng-nat-pool vrf eng overload
ip nat inside source static 172.17.109.12 172.16.109.12 extendable
!
ip access-list extended acctg-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
ip access-list extended eng-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
!
logging 172.16.1.20
access-list 1 permit any
access-list 109 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 109 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.0.0 0.0.255.255 any
access-list 141 permit ip 10.0.0.0 0.255.255.255 any
access-list 171 permit ip host 1.1.1.1 host 2.2.2.2
!
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
gateway
 timer receive-rtp 1200
!
!
alias exec sh-sess show policy-map type inspect zone-pair sessions
!
line con 0
 exec-timeout 0 0
line aux 0
line 130
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line 194
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line vty 0 4
 password cisco
 login
!
exception data-corruption buffer truncate
scheduler allocate 20000 1000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

Abastecimento, Gerenciamento, e monitoração

O abastecimento e a configuração para recursos roteador-baseados da Telefonia IP e o Firewall Zona-baseado da política são geralmente os melhores acomodados com Cisco Configuration Professional. O gerente do CiscoSecure não apoia o Firewall Zona-baseado da política ou a Telefonia IP roteador-baseada.

O Firewall clássico do Cisco IOS apoia a monitoração SNMP com o Firewall unificado Cisco MIB. Mas, o Firewall Zona-baseado da política não é apoiado ainda no Firewall unificado MIB. Como tal, a monitoração do Firewall deve ser segurada com as estatísticas na interface de linha de comando do roteador, ou com as ferramentas GUI tais como o Cisco Configuration Professional.

Suporte básico das ofertas da monitoração e do sistema de reporte do CiscoSecure (CS-MARS) para o Firewall Zona-baseado da política, embora as mudanças de registo que melhoraram a correlação do mensagem de registro para traficar que foram executadas no Cisco IOS Software Release 12.4(15)T4/T5 e no Cisco IOS Software Release 12.4(20)T não fossem apoiadas ainda inteiramente em CS-MARS.

Planejamento de capacidade

Resultados de teste de desempenho da inspeção do atendimento do Firewall da Índia TBD.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

O Firewall da zona do Cisco IOS fornece comandos show and debug a fim ver, monitorar, e pesquisar defeitos a atividade do Firewall. Esta seção descreve o uso dos comandos show a fim monitorar a atividade básica do Firewall, e uma introdução aos comandos debug do Firewall da zona para um Troubleshooting mais detalhado, ou se a discussão com Suporte técnico exige a informação detalhada.

Comandos para Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

comandos show

O Cisco IOS Firewall oferece diversos comandos show a fim ver a configuração e a atividade da política de segurança:

Muitos destes comandos podem ser substituídos com um comando mais curto com o aplicativo do comando alias.

Comandos debug

Os comandos Debug podem ser úteis caso você usar um atípico ou uma configuração não suportada, e precisam de trabalhar com o tac Cisco ou Serviços de suporte técnico do outro Produtos a fim resolver questões de interoperabilidade.

Nota: O aplicativo dos comandos debug às capacidades específicas ou o tráfego podem causar muito um número grande de mensagens do console, que faça com que o console de roteador se torne sem resposta. Caso você precisar de permitir a eliminação de erros, é possível prever o acesso alternativo da interface de linha de comando, tal como um indicador do telnet que não faça monitore o diálogo terminal. Você deve somente permitir debuga no equipamento autónomo (do ambiente de laboratório) ou durante um indicador da manutenção planejada, porque se você permite debugar, este pode substancialmente afetar o desempenho de roteador.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 108012