Sécurité : Pare-feu Cisco IOS

Pare-feu basé sur la zone Cisco IOS : Office avec passerelle Cisco Unity Express/SRST/PSTN avec connexion à la solution Cisco CallManager centralisé

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Les Routeurs de service intégré de Cisco (ISR) offrent une plate-forme évolutive pour adresser des conditions requises de données et de réseau voix pour un large éventail d'applications. Bien que l'horizontal de menace des réseaux privés et connectés à Internet soit un environnement très dynamique, le Pare-feu de½ du¿Â du Cisco IOSï offre des capacités d'inspection avec état et d'inspection et de contrôle d'application (AIC) pour définir et imposer une posture de réseau sécurisé, tout en activant la capacité commerciale et la continuité.

Ce document décrit des considérations de conception et de configuration pour des aspects de sécurité du pare-feu des données de Cisco et des scénarios basés sur ISR spécifiques d'application vocale. La configuration pour des services vocaux et le Pare-feu sont donnés pour chaque scénario d'application. Chaque scénario décrit le VoIP et les configurations de sécurité séparément, puis par la configuration de routeur entière. Votre réseau peut exiger de l'autre configuration pour des services tels que QoS et VPN de mettre à jour la Qualité vocale et la confidentialité.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Fond de Pare-feu Cisco IOS

Le Pare-feu Cisco IOS est typiquement déployé dans les scénarios d'application qui diffèrent des modèles de déploiement des Pare-feu d'appareils. Les déploiements typiques incluent des applications de télétravailleur, des sites de petite taille- ou de succursale, et des applications au détail, où le bas compte de périphérique, l'intégration des plusieurs services, et la profondeur de performance inférieure et de fonction de sécurité est désiré.

Tandis que l'application de l'inspection de Pare-feu, avec d'autres Services intégrés dans les Produits ISR, peut sembler attrayante du coût et du point de vue opérationnel, des considérations spécifiques doivent être évaluées afin de déterminer si un Pare-feu basé sur routeur est approprié. L'application de chaque fonctionnalité supplémentaire engage la mémoire et les coûts de traitement, et contribue vraisemblablement aux débits réduits de débit de transfert, à la plus grande latence de paquet, et à la perte de capacité de fonctionnalité au cours des périodes de chargement maximal si une solution basée sur routeur intégrée de faible puissance est déployée. Observez ces instructions quand vous décidez entre un routeur et une appliance :

  • Le routeur avec le multiple a intégré des caractéristiques activées sont plus adapté pour la succursale ou les sites de télétravail où moins de périphériques offrent une meilleure solution

  • La bande passante élevée, des applications performantes sont en général meilleure adressée avec des appliances. Cisco ASA et le serveur de gestionnaire d'appel de Cisco Unified devraient être appliqués pour manipuler application et Traitement des appels NAT et de stratégie de sécurité, alors que les Routeurs adressent l'application de stratégie QoS, l'arrêt BLÊME, et les conditions requises de connectivité VPN de site à site.

Avant l'introduction du Logiciel Cisco IOS version 12.4(20)T, le Pare-feu classique et le Pare-feu basé sur zone de stratégie (ZFW) ne pouvaient pas approuver pleinement des capacités exigées pour le trafic VoIP et des services vocaux basés sur routeur, et de grandes ouvertures exigées dans des stratégies autrement sécurisées de Pare-feu afin de faciliter le trafic vocal et la prise en charge limitée offerte d'évoluer des protocoles de signalisation et de medias de VoIP.

Configurez

Déploiement de Pare-feu basé sur zone de stratégie de Cisco IOS

Le Pare-feu basé sur zone de stratégie de Cisco IOS, semblable à d'autres Pare-feu, peut seulement offrir un Pare-feu sécurisé si les exigences de sécurité du trustingare de réseau identifié et décrit par stratégie de sécurité. Il y a deux approches fondamentales à arriver à une stratégie de sécurité : le point de vue, par opposition au point de vue méfiant.

Le point de vue de confiance suppose que tout le trafic est digne de confiance, sauf que qui peut être spécifiquement identifié comme malveillant ou non désiré. On met en application une stratégie spécifique qui refuse seulement le trafic non désiré. Ce fait en général par les entrées de contrôle d'accès spécifiques d'utilisation, ou les outils de signature ou basés sur comportement. Cette approche tend à gêner moins des applications existantes, mais exige une connaissance complète de l'horizontal de menace et de vulnérabilité, et exige de la vigilance constante d'adresser de nouvelles menaces et exploits pendant qu'elles apparaissent. Supplémentaire, la communauté d'utilisateurs doit jouer un grand rôle en mettant à jour la Sécurité adéquate. Un environnement qui permet la large liberté avec peu de contrôle pour les occupants procure l'occasion substantielle aux problèmes provoqués par les personnes négligentes ou malveillantes. Un problème supplémentaire de cette approche est qu'il se fonde beaucoup davantage sur les outils de gestion efficaces et les contrôles d'application qui offrent la flexibilité et la représentation suffisantes de pouvoir surveiller et contrôler les données suspectes dans tout le trafic réseau. Tandis que la technologie est actuellement disponible pour faciliter ceci, la charge opérationnelle dépasse fréquemment les limites de la plupart des organismes.

Le point de vue méfiant suppose que tout le trafic réseau est peu désiré, excepté le bon trafic spécifiquement identifié. C'est une stratégie qui est appliquée qui refuse tout le trafic de l'application sauf que qui est explicitement laissé. Supplémentaire, l'inspection d'application et le contrôle (AIC) peuvent être mis en application pour identifier et refuser le trafic malveillant qui est spécifiquement ouvré pour exploiter de bonnes applications, aussi bien que le trafic non désiré qui déguise en tant que bon trafic. De nouveau, les contrôles d'application imposent opérationnel et les charges de représentation sur le réseau, bien que le trafic le plus peu désiré devrait être contrôlé par les filtres sans état tels que le Listes de contrôle d'accès (ACL) ou la stratégie basée sur zone du Pare-feu de stratégie (ZFW), tellement là devraient être sensiblement moins de trafic qui doit être traité par AIC, Système de prévention d'intrusion (IPS), ou d'autres contrôles basés sur signature tels qu'apparier flexible de paquet (FPM) ou le Reconnaissance d'application fondée sur le réseau (NBAR). Ainsi, si seulement l'application désirée met en communication, et le trafic dynamique de support-particularité résultant des connexions ou des sessions connues de contrôle, sont spécifiquement laissés, le seul trafic non désiré qui devrait être présent sur le réseau devrait tomber dans une particularité, le sous-ensemble plus-facile-reconnu, qui réduit l'ingénierie et la charge opérationnelle imposées pour mettre à jour le contrôle du trafic peu désiré.

Ce document décrit des configurations de sécurité de la voip basées sur le point de vue méfiant ; ainsi, trafiquez seulement qui est permis dans les segments de réseau voix est laissé. Les stratégies de données tendent à être plus laxistes, comme décrit par des notes dans la configuration de chaque scénario d'application.

Tous les déploiements de stratégie de sécurité doivent suivre un cycle en boucle bloquée de feedback ; de déploiements de la sécurité la capacité d'affect typiquement et la fonctionnalité des applications existantes, et doivent être ajustées afin de réduire ou résoudre cette incidence.

Référez-vous au pour en savoir plus de guide de conception et d'application de Pare-feu de stratégie et au fond supplémentaire basés sur zone pour la configuration du Pare-feu basé sur zone de stratégie.

Considérations pour ZFW dans des environnements VoIP

Le guide précédemment mentionné de conception et d'application offre une brève discussion pour le degré de sécurité du routeur avec l'utilisation des stratégies de sécurité à et de la zone d'individu du routeur, aussi bien que les capacités alternatives qui sont fournies par la diverse protection d'infrastructure réseau (NFP) comporte. des capacités basées sur routeur VoIP sont hébergées dans la zone d'individu du routeur, ainsi les stratégies de sécurité par lesquelles protégez le routeur doit se rendre compte des conditions requises pour le trafic vocal, afin de faciliter la signalisation et les medias de Voix lancés et destinés au Cisco Unified CallManager Express, au Survivable Remote Site Telephony, et aux ressources en passerelle de Voix. Avant le Logiciel Cisco IOS version 12.4(20)T, le Pare-feu classique et le Pare-feu basé sur zone de stratégie ne pouvaient pas faciliter entièrement les conditions requises du trafic VoIP, ainsi des stratégies de Pare-feu n'ont pas été optimalisées pour protéger entièrement des ressources. les stratégies de sécurité d'Auto-zone qui protègent les ressources basées sur routeur en VoIP se fondent fortement sur des capacités introduites dans le Logiciel Cisco IOS version 12.4(20)T.

Caractéristiques de Voix de Pare-feu Cisco IOS

Le Logiciel Cisco IOS version 12.4(20)T a introduit plusieurs améliorations afin d'activer le Pare-feu de zone de Co-résident et exprimer des capacités. Trois fonctions principales s'appliquent directement aux applications de voix sécurisée :

  • Améliorations de SIP : Passerelle d'Application-couche et inspection et contrôle d'application

    • Support de version de SIP de mises à jour à SIPv2, comme décrit par RFC 3261

    • Élargit la prise en charge de la signalisation de SIP pour identifier une plus grande variété d'écoulements d'appel

    • Introduit l'inspection d'application de SIP et le contrôle (AIC) pour appliquer des contrôles granulaires pour adresser des vulnérabilités et des exploits spécifiques de niveau application

    • Développe l'inspection d'auto-zone afin de pouvoir identifier les canaux secondaires de signalisation et de medias résultant du trafic de SIP locally-destined/-originated

  • Soutien du trafic local maigre et de Cisco CallManager Express

    • Support de SCCP de mises à jour à la version 16 (précédemment version prise en charge 9)

    • Introduit l'inspection d'application de SCCP et le contrôle (AIC) pour appliquer des contrôles granulaires pour adresser des vulnérabilités et des exploits spécifiques de niveau application

    • Développe l'inspection d'auto-zone pour pouvoir identifier les canaux secondaires de signalisation et de medias résultant du trafic de SCCP locally-destined/-originated

  • H.323 support v3/v4

    • Les mises à jour les prennent en charge H.323 à v3 et à v4 (v1 et v2 précédemment pris en charge), comme décrit par

    • Introduit H.323 l'inspection d'application et le contrôle (AIC) pour appliquer des contrôles granulaires pour adresser des vulnérabilités et des exploits spécifiques de niveau application

Les configurations de Sécurité des routeurs décrites dans ce document incluent des capacités offertes par ces améliorations, avec l'explication pour décrire l'action appliquée par les stratégies. Les hyperliens aux différents documents de caractéristique sont disponibles dans la section Informations connexes à la fin de ce document, si vous souhaitez passer en revue les détails complets pour les caractéristiques d'inspection de Voix.

Mises en garde

L'application du Pare-feu Cisco IOS avec des capacités basées sur routeur de Voix doit appliquer le Pare-feu basé sur zone de stratégie afin de renforcer les points qui ont été précédemment mentionnés. Le pare-feu d'IOS classique n'inclut pas la capacité nécessaire pour approuver pleinement les complexités de signalisation et le comportement du trafic vocal.

NAT

Le traduction d'adresses réseau (NAT) de Cisco IOS est fréquemment configuré en même temps que le Pare-feu Cisco IOS, en particulier dans les cas où les réseaux privés doivent se connecter par interface à l'Internet, ou si les réseaux privés disparates doivent se connecter, en particulier si superposer l'espace d'adresse IP est en service. Le logiciel de Cisco IOS inclut les passerelles NAT de couche application (ALGs) pour le SIP, maigre, et H.323. Dans le meilleur des cas, la connexion réseau pour la Voix IP peut être facilitée sans application de NAT, comme NAT introduit supplémentaire la complexité aux applications de dépannage et de stratégie de sécurité, en particulier dans les cas où la surcharge NAT est utilisée. NAT devrait seulement être appliquée comme une dernière solution de cas pour aborder des soucis de connexion réseau.

CUPC

Ce document ne décrit pas la configuration qui prend en charge l'utilisation du client de Cisco Unified Presence (CUPC) avec le Pare-feu Cisco IOS, car CUPC n'est pas encore pris en charge par zone ou Pare-feu classique en date de la version du logiciel Cisco IOS 12.4(20)T1. CUPC est pris en charge dans une version future de logiciel de Cisco IOS.

Bureau avec la passerelle du Cisco Unity Express/SRST/PSTN qui se connecte au Cisco CallManager centralisé

Ce scénario diffère des applications précédentes, dans cela contrôle d'appel centralisé est utilisé pour tout le Contrôle d'appel, au lieu du Traitement des appels basé sur routeur distribué. La messagerie vocale distribuée est appliquée, mais throughCisco Unity Express sur le routeur. Le routeur fournit la fonctionnalité de Survivable Remote Site Telephony et de passerelle PSTN pour la composition et le gens du pays-cadran de secours. Un niveau spécifique à l'application de capacité PSTN est recommandé pour faciliter la panne du contournement basé sur WAN de contournement composant, aussi bien que la composition locale comme décrit par le Plan de composition. Supplémentaire, lois locales exigent typiquement qu'un certain tri de connectivité RTPC locale est fourni pour faciliter la composition de secours (911).

Ce scénario peut également appliquer Cisco CallManager Express comme agent de traitement des appels pour SRST, au cas où une plus grande capacité de Traitement des appels serait exigée pendant les pannes WAN/CCM. Référez-vous à intégrer le Cisco Unity Connection avec Cisco Unified CME-comme-SRST le pour en savoir plus.

Fond de scénario

Le scénario d'application incorpore les téléphones de câble (Voix VLAN), le PC câblé (données VLAN), et les périphériques sans fil (appareils voip y compris tels que l'IP Communicator).

  1. En signalant l'inspection entre les téléphones locaux et le CUCM distant groupez (SCCP et SIP)

  2. Examinez H.323 la signalisation entre le routeur et la batterie du distant CUCM.

  3. Examinez la signalisation entre les téléphones locaux et le routeur quand le lien au site distant est en baisse et SRST est en activité.

  4. Trous d'épingle de supports vocaux pour la transmission entre :

    1. Segments de câble et Sans fil de gens du pays

    2. Gens du pays et téléphones distants

    3. Téléphones distants de serveur et de gens du pays MoH

    4. Téléphones distants de serveur et de gens du pays d'Unity pour la messagerie vocale

  5. Appliquez-vous l'inspection d'application et le contrôle (AIC) à :

    1. le raté limit invitent des messages

    2. assurez la conformité de protocole sur tout le trafic de SIP.

iosfw-cue-cucm-01.gif

Avantages/inconvénients

Ce scénario offre l'avantage que la majorité de Traitement des appels se produit dans une batterie centrale de Cisco CallManager, qui offre la charge réduite de Gestion. Le routeur devrait typiquement devoir adresser moins de charge locale d'inspection de Voix-ressource par rapport aux autres cas décrits dans ce document, car la majorité de la charge de Traitement des appels n'est pas imposée au routeur, excepté traiter le trafic à/de le Cisco Unity Express, et dans des cas quand il y a une panne de WAN ou CUCM, et le Cisco CallManager local Express/SRST s'appelle dans l'effet pour adresser le Traitement des appels.

Le plus grand inconvénient de ce cas, pendant l'activité typique de Traitement des appels, est que le Cisco Unity Express se trouve sur le routeur local. Tandis que c'est bon d'un point de vue de conception, par exemple, le Cisco Unity Express se trouve le plus étroitement aux utilisateurs où la messagerie vocale est tenue, il encourt une certaine charge supplémentaire de Gestion, du fait il peut y avoir un grand nombre de Cisco Unity Express à gérer. Ce dit, avec un Cisco Unity Express central pour porter les inconvénients opposés, parce qu'un Cisco Unity Express central est plus loin des utilisateurs distants, et n'est probablement pas accessible pendant les pannes. Ainsi, les avantages fonctionnels de l'offre distribuée de messagerie vocale par le déploiement du Cisco Unity Express aux sites distants offre le choix supérieur.

Configurations pour des stratégies de données, Pare-feu basé sur zone, sécurité voix, Cisco CallManager Express

La configuration de routeur est basée sur des 3845 avec un NME-X-23ES et un PRI HWIC :

Configuration de service vocal pour la Connectivité SRST et de Cisco Unity Express :

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

C'est un eample de la configuration basée sur zone de Pare-feu de stratégie, composé de zones de Sécurité pour des segments de câble et Sans fil de RÉSEAU LOCAL, le RÉSEAU LOCAL privé, qui se compose de segments de câble et Sans fil, un segment BLÊME où la connectivité WAN de confiance est atteinte, et la zone d'individu où les ressources de Voix en routeur se trouvent :

/image/gif/paws/108012/iosfw-cue-cucm-02.gif

Configuration de sécurité :

class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 3825-srst
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
ip cef
!
!
ip domain name cisco.com
ip name-server 172.16.1.22
ip vrf acctg
 rd 0:1
!
ip vrf eng
 rd 0:2
!
ip inspect WAAS enable
!
no ipv6 cef
multilink bundle-name authenticated
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
!
!
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security vpn
zone security eng
zone security acctg
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
!
interface Loopback101
 ip vrf forwarding acctg
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface Loopback102
 ip vrf forwarding eng
 ip address 10.255.1.5 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 172.16.1.103 255.255.255.0
 shutdown
!
interface GigabitEthernet0/0.109
 encapsulation dot1Q 109
 ip address 172.16.109.11 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 zone-member security public
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 media-type rj45
 no keepalive
!
interface GigabitEthernet0/1.129
 encapsulation dot1Q 129
 ip address 172.17.109.2 255.255.255.0
 standby 1 ip 172.17.109.1
 standby 1 priority 105
 standby 1 preempt
 standby 1 track GigabitEthernet0/0.109
!
interface GigabitEthernet0/1.149
 encapsulation dot1Q 149
 ip address 192.168.109.2 255.255.255.0
 ip wccp 61 redirect in
 ip wccp 62 redirect out
 ip nat inside
 ip virtual-reassembly
 zone-member security private
!
interface GigabitEthernet0/1.161
 encapsulation dot1Q 161
 ip vrf forwarding acctg
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
!
interface GigabitEthernet0/1.162
 encapsulation dot1Q 162
 ip vrf forwarding eng
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
!
interface Serial0/3/0
 no ip address
 encapsulation frame-relay
 shutdown
 frame-relay lmi-type cisco
!
interface Serial0/3/0.1 point-to-point
 ip vrf forwarding acctg
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security acctg
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 321 IETF
!
interface Serial0/3/0.2 point-to-point
 ip vrf forwarding eng
 ip address 10.255.1.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 zone-member security eng
 snmp trap link-status
 no cdp enable
 frame-relay interface-dlci 322 IETF
!
interface Integrated-Service-Engine2/0
 no ip address
 shutdown
 no keepalive
!
interface GigabitEthernet3/0
 no ip address
 shutdown
!
router eigrp 1
 network 172.16.109.0 0.0.0.255
 network 172.17.109.0 0.0.0.255
 no auto-summary
!
router eigrp 104
 network 10.1.104.0 0.0.0.255
 network 192.168.109.0
 network 192.168.209.0
 no auto-summary
!
router bgp 1109
 bgp log-neighbor-changes
 neighbor 172.17.109.4 remote-as 1109
 !
 address-family ipv4
  neighbor 172.17.109.4 activate
  no auto-summary
  no synchronization
  network 172.17.109.0 mask 255.255.255.0
 exit-address-family
!
ip forward-protocol nd
ip route vrf acctg 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf acctg 10.1.2.0 255.255.255.0 10.255.1.2
ip route vrf eng 0.0.0.0 0.0.0.0 172.16.109.1 global
ip route vrf eng 10.1.2.0 255.255.255.0 10.255.1.2
!
!
ip http server
no ip http secure-server
ip nat pool acctg-nat-pool 172.16.109.21 172.16.109.22 netmask 255.255.255.0
ip nat pool eng-nat-pool 172.16.109.24 172.16.109.24 netmask 255.255.255.0
ip nat inside source list 109 interface GigabitEthernet0/0.109 overload
ip nat inside source list acctg-nat-list pool acctg-nat-pool vrf acctg overload
ip nat inside source list eng-nat-list pool eng-nat-pool vrf eng overload
ip nat inside source static 172.17.109.12 172.16.109.12 extendable
!
ip access-list extended acctg-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
ip access-list extended eng-nat-list
 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
!
logging 172.16.1.20
access-list 1 permit any
access-list 109 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 109 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.0.0 0.0.255.255 any
access-list 141 permit ip 10.0.0.0 0.255.255.255 any
access-list 171 permit ip host 1.1.1.1 host 2.2.2.2
!
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
gateway
 timer receive-rtp 1200
!
!
alias exec sh-sess show policy-map type inspect zone-pair sessions
!
line con 0
 exec-timeout 0 0
line aux 0
line 130
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line 194
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
line vty 0 4
 password cisco
 login
!
exception data-corruption buffer truncate
scheduler allocate 20000 1000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

Ravitaillement, Gestion, et surveillance

Le ravitaillement et la configuration pour les ressources basées sur routeur en Téléphonie sur IP et le Pare-feu basé sur zone de stratégie est généralement meilleur facilités avec le Cisco Configuration Professional. Le gestionnaire de CiscoSecure ne prend en charge pas le Pare-feu basé sur zone de stratégie ou la Téléphonie sur IP basée sur routeur.

Le Pare-feu classique de Cisco IOS prend en charge la surveillance SNMP avec le MIB de Pare-feu de Cisco Unified. Mais, le Pare-feu basé sur zone de stratégie n'est pas encore pris en charge dans le MIB unifié de Pare-feu. En soi, la surveillance de Pare-feu doit être manipulée par des statistiques sur l'interface de ligne de commande du routeur, ou avec des outils GUI tels que le Cisco Configuration Professional.

La prise en charge de base d'offres de surveillance et de système de rapports de CiscoSecure (CS-MARS) pour le Pare-feu basé sur zone de stratégie, bien que se connectant les modifications qui ont amélioré la corrélation de log-message pour trafiquer qui ont été mis en application dans la version du logiciel Cisco IOS 12.4(15)T4/T5 et le Logiciel Cisco IOS version 12.4(20)T encore n'ont pas été entièrement prises en charge dans CS-MARS.

Planification de capacité

Le test de performance d'inspection d'appel de Pare-feu résulte de l'Inde À déterminer.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Le Pare-feu de zone de Cisco IOS fournit des commandes d'exposition et de débogage afin de visualiser, surveiller, et dépanner l'activité du Pare-feu. Cette section décrit l'utilisation des commandes show afin de surveiller l'activité de base de Pare-feu, et une introduction aux commandes de débogage du Pare-feu de zone pour un dépannage plus détaillé, ou si la discussion avec le Soutien technique exige les informations détaillées.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

Commandes show

Le Pare-feu Cisco IOS offre plusieurs commandes show afin de visualiser la configuration et l'activité de stratégie de sécurité :

Plusieurs de ces commandes peuvent être remplacées par une commande plus courte par l'application de la commande de pseudonyme.

Commandes de débogage

Les commandes de debug peuvent être utiles au cas où vous utiliseriez une configuration atypique ou sans support, et doivent fonctionner avec Cisco TAC ou les Services de soutien technique des autres produits afin de résoudre des problèmes d'interopérabilité.

Remarque: L'application des commandes de débogage aux capacités spécifiques ou le trafic peut entraîner un très grand nombre de messages console, qui font devenir la console du routeur insensible. Au cas où vous devriez activer l'élimination des imperfections, il est possible de prévoir l'accès alternatif d'interface de ligne de commande, tel qu'une fenêtre de telnet qui ne fait pas surveillent le dialogue terminal. Vous devriez seulement activer mettez au point sur le matériel autonome (d'environnement de travaux pratiques) ou pendant une fenêtre de maintenance prévue, parce que si vous activez mettez au point, ceci peut sensiblement affecter la représentation de routeur.


Informations connexes


Document ID: 108012