Seguridad : Firewall Cisco IOS

El Cisco IOS divide el Firewall en zonas basado: CME/CUE/GW escogen el sitio o la sucursal con el trunk del SORBO a CCM en el HQ

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

El Routers del servicio integrado de Cisco (ISR) ofrece una plataforma escalable para dirigir los requisitos de los datos y de la red de voz para una amplia gama de aplicaciones. Aunque el paisaje de la amenaza de las redes privadas y Internet-conectadas sea mismo un entorno dinámico, el Firewall del ½ del ¿Â de Cisco IOSï ofrece la inspección con estado y las capacidades de la Inspección de la aplicación y del control (AIC) para definir y para aplicar una postura segura de la red, mientras que habilita la capacidad y la continuidad del negocio.

Este documento describe el diseño y las consideraciones de configuración para los aspectos de seguridad del Firewall de los datos y de los escenarios ISR-basados Cisco específicos de la aplicación de voz. Las configuraciones para los servicios de voz y el Firewall se proporcionan para cada escenario de la aplicación. Cada escenario describe el VoIP y las Configuraciones de seguridad por separado, seguido por la configuración del router entera. Su red puede requerir posiblemente la otra configuración para los servicios, tales como QoS y VPN, mantener la Calidad de voz y la confidencialidad.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Fondo del escudo de protección IOS

El Firewall Cisco IOS se despliega típicamente en los escenarios de la aplicación que diferencian de los modelos de despliegue de los Firewall del dispositivo. Las instalaciones típicas incluyen las aplicaciones del teletrabajador, los sitios pequeños o de la sucursal, y las aplicaciones al por menor, donde la cuenta baja del dispositivo, la integración de los servicios múltiples, y la profundidad del menor rendimiento y de la capacidad de seguridad se desea.

Mientras que la aplicación del examen del Firewall, junto con otros Servicios integrados en los Productos ISR, puede aparecer atractiva del coste y de la perspectiva operativa, las consideraciones específicas se deben evaluar para determinar si un Firewall basado en el router es apropiado. La aplicación de cada característica adicional incurre en la memoria y los costos de procesamiento, y puede contribuir probablemente a los índices reducidos del rendimiento de reenvío, a la latencia del paquete creciente, y a la pérdida de capacidad de las características dentro de los períodos de carga pico si se despliega una solución basada en el router integrada inframotorizada. Observe estas guías de consulta cuando usted decide entre un router y un dispositivo:

  • El Routers con las características integradas múltiples habilitadas es más adecuado para la sucursal o los emplazamientos de trabajador telecomunicado en donde menos dispositivos ofrecen una mejor solución.

  • El ancho de banda alto, las aplicaciones de alto rendimiento es típicamente mejor dirigido con los dispositivos; Cisco ASA y Cisco unificaron al servidor de administración de la llamada se deben aplicar para dirigir el NAT y aplicación y Procesamiento de llamadas de la política de seguridad, mientras que el Routers dirige política de calidad de servicio (QoS) la aplicación, la terminación PÁLIDA, y los requisitos de conectividad del VPN de sitio a sitio.

Antes de la introducción de la versión del Cisco IOS Software 12.4(20)T, el Firewall clásico y el Firewall Zona-basado de la directiva (ZFW) no podían soportar completamente las capacidades requeridas para el tráfico de VoIP y los servicios de voz basados en el router, que los intervalos grandes requeridos en las políticas del firewall de otra manera seguras para acomodar el tráfico de voz, y soporte limitado ofrecido para los protocolos de desarrollo de la señalización VoIP y de los media.

Despliegue el Firewall Zona-basado Cisco IOS de la directiva

El Firewall Zona-basado Cisco IOS de la directiva, similar a otros Firewall, puede ofrecer solamente un Firewall seguro si los requerimientos de seguridad de la red son identificados y descritos por la política de seguridad. Hay dos acercamientos fundamentales a llegar una política de seguridad: la perspectiva que confía en, en comparación con la perspectiva sospechosa.

La perspectiva que confía en asume que todo el tráfico es digno de confianza, salvo que se puede identificar específicamente como malévolo o indeseado. Se implementa una directiva específica que niega solamente el tráfico no deseado. Esto es típicamente realizado a través de las entradas de control de acceso específicas del uso o de las herramientas de la firma o comportamiento-basado. Este acercamiento tiende a interferir menos con las aplicaciones existentes, pero requiere un conocimiento completo del paisaje de la amenaza y de la vulnerabilidad, y requiere la vigilancia constante dirigir las nuevos amenazas y exploits mientras que aparecen. Además, la comunidad del usuario debe hacer una parte grande en el mantenimiento de la Seguridad adecuada. Un entorno que permite la libertad amplia con poco control para los inquilinos ofrece la oportunidad sustancial para los problemas causados por los individuos descuidados o malévolos. Un problema adicional de este acercamiento es que confía mucho más en las herramientas de administración eficaz y los controles de la aplicación que ofrecen la suficientes flexibilidad y funcionamiento para poder monitorear y controlar los datos sospechados en todo el tráfico de la red. Mientras que la tecnología está actualmente disponible acomodar esto, la carga operativa excede con frecuencia los límites de la mayoría de las organizaciones.

La perspectiva sospechosa asume que todo el tráfico de la red es indeseado, a excepción del buen tráfico específicamente identificado. Es una directiva que es aplicada, que niega todo el tráfico de aplicación, salvo que se permite explícitamente. Además, la Inspección de la aplicación y el control (AIC) se pueden implementar para identificar y para negar el tráfico malévolo que se hace a mano específicamente para explotar las buenas aplicaciones, así como el tráfico no deseado que se disfraza como buen tráfico. Una vez más los controles de la aplicación imponen las cargas operativas y del funcionamiento ante la red, aunque la mayoría del tráfico indeseado se deba controlar por los filtros apátridas, tales como Listas de control de acceso (ACL) o directiva Zona-basada del Firewall de la directiva (ZFW), tan allí son substancialmente menos tráfico que se debe manejar por el AIC, el Sistema de prevención de intrusiones (IPS), u otros controles basados en firmas, tales como corresponder con flexible del paquete (FPM) o Network-Based Application Recognition (NBAR). Si solamente los puertos de aplicación deseados (y el tráfico media-específico dinámico que se presenta de los controles de conexión o de las sesiones sabidos) se permiten específicamente, el único tráfico no deseado que está presente en la red debe caer en un específico, el subconjunto más-fácil-reconocido, que reduce la ingeniería y la carga operativa impuestas para mantener el control sobre el tráfico indeseado.

Este documento describe las Configuraciones de seguridad VoIP basadas en la perspectiva sospechosa, tan solamente el tráfico se permite que es permitido en los segmentos de la red de voz. Las directivas de los datos tienden a ser más permisivas según lo descrito por las notas en la configuración de cada escenario de la aplicación.

Todas las implementaciones de la política de seguridad deben seguir un ciclo del Closed-Loop Feedback; las instrumentaciones de la seguridad afectan típicamente a la capacidad y a las funciones de las aplicaciones existentes y se deben ajustar para minimizar o para resolver este impacto.

Si usted necesita el fondo adicional configurar el Firewall Zona-basado de la directiva, revise la guía del diseño y de la aplicación del Firewall de la zona.

Consideraciones para ZFW en los entornos VoIP

La guía del diseño y de la aplicación del Firewall de la zona ofrece una explicación abreviada sobre la Seguridad de routers con el uso de las políticas de seguridad a y desde la zona del uno mismo del router, así como las capacidades alternativas que se proporcionan con la diversa protección de la fundación de la red (NFP) ofrecen. Las capacidades basadas en el router VoIP se reciben dentro de la zona del uno mismo del router, tan las políticas de seguridad por las cuales proteja al router debe ser consciente de los requisitos para el tráfico de voz para acomodar la señalización de voz y los media originados y destinados a los recursos del Cisco Unified CallManager Express, del Survivable Remote Site Telephony, y del gateway de voz. Antes de la versión del Cisco IOS Software 12.4(20)T, el Firewall clásico y el Firewall Zona-basado de la directiva no podían acomodar completamente los requisitos del tráfico de VoIP, así que las políticas del firewall no fueron optimizadas para proteger completamente los recursos. las políticas de seguridad de la Uno mismo-zona que protegen los recursos basados en el router VoIP confían pesadamente en las capacidades introducidas en 12.4(20)T.

Características de la voz del escudo de protección IOS

El Cisco IOS Software Release 12.4(20)T introdujo varias mejoras para habilitar el Firewall y las capacidades de voz de la zona del coresidente. Tres funciones principales se aplican directamente para asegurar las Aplicaciones de voz:

  • Mejoras del SORBO: Gateway de capa de aplicación y Inspección de la aplicación y control

    • Soporte de versión del SORBO de las actualizaciones a SIPv2, según lo descrito por el RFC 3261

    • Ensancha el soporte de señalización del SORBO para reconocer una variedad más amplia de flujos de llamada

    • Introduce la Inspección de la aplicación y el control (AIC) del SORBO para aplicar los controles granulares para dirigir las vulnerabilidades y los exploits específicos del nivel de la aplicación

    • Amplía el examen de la uno mismo-zona para poder reconocer los canales secundarios de la señalización y de los media que resultan del tráfico del SORBO locally-destined/-originated

  • Soporte para el tráfico local flaco y el CME

    • Soporte del SCCP de las actualizaciones a la versión 16 (previamente versión admitida 9)

    • Introduce la Inspección de la aplicación y el control (AIC) del SCCP para aplicar los controles granulares para dirigir las vulnerabilidades y los exploits específicos del nivel de la aplicación

    • Amplía el examen de la uno mismo-zona para poder reconocer los canales secundarios de la señalización y de los media que resultan del tráfico del SCCP locally-destined/-originated

  • Soporte de H.323 para las versiones 3 y 4

    • Soporte de H.323 de las actualizaciones a las versiones 3 y 4 (previamente versiones admitidas 1 y 2)

    • Introduce la Inspección de la aplicación y el control (AIC) de H.323 para aplicar los controles granulares para dirigir las vulnerabilidades y los exploits específicos del nivel de la aplicación

Las configuraciones de Seguridad de routers descritas en este documento incluyen las capacidades ofrecidas por estas mejoras con las explicaciones para describir la acción aplicada por las directivas. Los enlaces hipertexto a los documentos de la característica individual están disponibles en la sección de información relacionada de este documento si usted desea revisar los detalles completos para las características del examen de la Voz.

Advertencias

Para reforzar las puntas mencionadas anterior, la aplicación del Firewall Cisco IOS con las capacidades de voz basadas en el router debe aplicar el Firewall Zona-basado de la directiva. El escudo de protección IOS clásico no incluye la capacidad necesaria para soportar completamente las complejidades de la señalización o el comportamiento del tráfico de voz.

traducción de Dirección de Red (NAT)

El Cisco IOS Network Address Translation (NAT) se configura con frecuencia simultáneamente al Firewall Cisco IOS, determinado en caso de que las redes privadas deben interconectar con Internet, o si las redes privadas dispares deben conectar, determinado si el espacio de IP Address solapa. El Cisco IOS Software incluye los gatewayes de capa de aplicación NAT (ALGs) para el SORBO, flaco, y H.323. Idealmente, la conectividad de red para la Voz IP se puede acomodar sin la aplicación del NAT puesto que el NAT introduce la complejidad adicional a las aplicaciones el resolver problemas y de la política de seguridad, determinado en caso de que se utiliza la sobrecarga NAT. El NAT se puede aplicar solamente como una solución del último-caso para dirigir las preocupaciones de la conectividad de red.

Cliente del Cisco Unified Presence (CUPC)

Este documento no describe la configuración que soporta el uso del cliente del Cisco Unified Presence (CUPC) con el escudo de protección IOS puesto que CUPC todavía no es soportado por la zona o el Firewall clásico, a partir del Cisco IOS Software Release 12.4(20)T1. CUPC será soportado en una futura versión del Cisco IOS Software.

CME/CUE/GW escogen el sitio o la sucursal con el trunk del SORBO a CCM en el HQ o expresan el proveedor

Este escenario ofrece un compromiso entre el solo-sitio/el call-processing/PSTN-connected distribuido modela descrito anterior en este documento (el solo sitio o la sucursal CME/CUE/GW que conectan con el PSTN), y el proceso del multi-sitio/de llamada centralizada/convergió red de datos y voz definida en el tercer escenario descrito en este documento. Este escenario todavía utiliza un CallManager unificado Cisco local expreso, pero el marcado de larga distancia y la telefonía HQ/remote-site se acomoda sobre todo a través de los trunks del SORBO del sitio a localizar, con el local-dial y la emergencia marcando a través de una conexión PSTN local. Incluso en caso de que quitan a la mayoría de conectividad PSTN de la herencia, un nivel básico de capacidad PSTN se recomienda para acomodar el error de Toll Bypass basado en el WAN que marca, así como la área local que marca según lo descrito por el Plan de marcado. Además, legislaciones locales requieren típicamente que una cierta clase de conectividad PSTN local esté proporcionada para acomodar la marca de la emergencia (911). Este escenario emplea el Procesamiento de llamadas distribuido, que ofrece las ventajas y observa las mejores prácticas según lo descrito en el Cisco Unified CallManager Express SRND.

Las organizaciones pueden implementar este tipo de escenario de la aplicación en estas circunstancias:

  • Los entornos VoIP dispares se utilizan entre los sitios, pero el VoIP todavía se desea en lugar del PSTN de larga distancia.

  • la autonomía del Sitio-por-sitio es necesaria para la administración del plan de marcación.

  • La capacidad de procesamiento de llamadas completa es necesaria sin importar la disponibilidad de WAN.

Fondo del escenario

El escenario de la aplicación incorpora los teléfonos atados con alambre (VLA N de la Voz), PC atados con alambre (VLAN de dato), y los dispositivos de red inalámbrica (que incluyen los dispositivos de VoIP, tales como comunicador IP).

La Configuración de seguridad proporciona éstos:

  1. Router-iniciado señalando el examen entre el CME y teléfonos locales (SCCP y SORBO) y CME y el cluster del telecontrol CUCM (SORBO).

  2. Agujeritos de las medias de voz para la comunicación entre éstos:

    1. Segmentos atados con alambre y inalámbricos del Local

    2. CME y los teléfonos locales para el moh

    3. SEÑAL y los teléfonos locales para el correo de voz

    4. Teléfonos y entidades remotas de la llamada

  3. Inspección de la aplicación y control (AIC), que se pueden aplicar para alcanzar éstos:

    1. El límite de velocidad invita a los mensajes

    2. Asegure la conformidad del protocolo en todo el tráfico del SORBO

Ventajas/desventajas

Esta aplicación ofrece la ventaja de los costes reducidos puesto que lleva el tráfico de voz del sitio a localizar en los links de datos PÁLIDOS.

Una desventaja de este escenario es que más planes detallados para la conectividad WAN están requeridos. La calidad de la llamada del sitio a localizar se puede afectar por muchos factores en WAN, tal como ilegítimo/tráfico no deseado (gusanos, virus, capacidad de compartir archivos entre iguales) o difícil-a identifique los problemas de latencia que pueden presentarse como resultado de la ingeniería de tráfico en las redes portadoras. Las conexiones WAN se deben clasificar apropiadamente para ofrecer a ancho de banda suficiente para ambos el tráfico de voz y de datos; menos tráfico de datos tiempo de espera-sensible, por ejemplo, correo electrónico, tráfico del archivo SMB/CIFS, se puede clasificar como tráfico de prioridad inferior para que QoS preserve la Calidad de voz.

El Otro problema con este escenario es la falta de proceso de llamada centralizada y de las dificultades que puede presentarse en errores del procesamiento de llamadas del troubleshooting. Como tal, este escenario trabaja mejor para organizaciones más grandes como paso intermedio en una migración al procesamiento de llamadas centralizado. El Cisco local CME se puede convertir para actuar como Repliegue SRST lleno-ofrecido mientras que la migración al Cisco CallManager se completa.

De la perspectiva de la Seguridad, la complejidad mayor de este entorno hace la instrumentación de seguridad eficaz y resolver problemas más difícil porque la Conectividad sobre WAN, o sobre el VPN en el Internet pública, aumenta dramáticamente el entorno de la amenaza, determinado en caso de que la política de seguridad requiere una perspectiva que confía en, donde poca restricción se impone ante el tráfico sobre WAN. Con esto en la mente, los ejemplos de configuración proporcionados por este documento implementan una directiva más sospechosa que permita el tráfico comercial crítico específico, que entonces es examinado por los controles de la conformidad del protocolo. Además, las acciones específicas VoIP, es decir, SORBO INVITAN, se limitan para reducir la probabilidad de los malfuncionamientos malévolos o involuntarios del software que afectan negativamente los recursos y la utilidad VoIP.

Configurar

Las configuraciones para las directivas de los datos, Firewall Zona-basado, expresan la Seguridad, CCME

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-1.gif

Configuraciones

La configuración descrita aquí ilustra a un Router de servicios integrados Cisco 2851.

En este documento, se utilizan estas configuraciones:

  • Configuración del servicio de voz para la Conectividad CME y de la SEÑAL

  • Configuración de escudo de protección Zona-basada de la directiva

  • Configuración de Seguridad

Ésta es la configuración del servicio de voz para la Conectividad CME y de la SEÑAL:

Configuración del servicio de voz para la Conectividad CME y de la SEÑAL

!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13

!

Ésta es la configuración de escudo de protección Zona-basada de la directiva, integrada por las zonas de Seguridad para los segmentos atada con alambre y del Wireless LAN, LAN privado (integrado por los segmentos atados con alambre y inalámbricos), un segmento PÁLIDO donde se alcanza la conectividad WAN de confianza, y la zona del uno mismo en donde los recursos de la Voz del router se localizan:

/image/gif/paws/108013/secure-uc-iosfw-cme-cue-cucm-2.gif

Ésta es la Configuración de seguridad:

Configuración de Seguridad
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp

!
!

policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass

!

zone security private
zone security public
zone security wired
zone security wireless

!

zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap

!
!
!

interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Entire router configuration:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

!

hostname 2851-cme2

!
!

logging message-counter syslog
logging buffered 51200 warnings

!

no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring

!

dot11 syslog
ip source-route

!
!

ip cef
no ip dhcp use vrf connected

!

ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com

!

ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1

!
!

ip domain name yourdomain.com

!

no ipv6 cef
multilink bundle-name authenticated

!
!
!
!

voice translation-rule 1
 rule 1 // /1001/

!
!

voice translation-profile default
 translate called 1

!
!

voice-card 0
 no dspfarm

!
!
!
!
!

interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto

!

interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto

!

interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0

!

interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

!

interface FastEthernet0/2/0

!

interface FastEthernet0/2/1

!

interface FastEthernet0/2/2

!

interface FastEthernet0/2/3

!

interface Vlan1
 ip address 198.41.9.15 255.255.255.0

!

router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary

!

ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui

!
!

ip nat inside source list 111 interface 
   GigabitEthernet0/0 overload

!

access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   
   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any

!
!
!
!
!
!

tftp-server flash:/phone/7940-7960/
   P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/
   P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/
   P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/
   P00308000400.sbn alias P00308000400.sbn

!

control-plane

!
!
!

voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable

!

voice-port 0/0/1
 description FXO

!

voice-port 0/1/0
 description FXS

!

voice-port 0/1/1
 description FXS

!
!
!
!
!

dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10

!

dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register

!
!
!
!

telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 
   7960 Jun 10 2008 15:47:13

!
!

ephone-dn  1
 number 1001
 trunk A0

!
!

ephone-dn  2
 number 1002

!
!

ephone-dn  3
 number 3035452366
 label 2366
 trunk A0

!
!

ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3

!
!
!

ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3

!
!
!

ephone  5
 device-security-mode none

!
!
!

line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh

!

exception data-corruption buffer truncate
scheduler allocate 20000 1000
ntp server 172.16.1.1
end

La disposición, maneja, y monitorea

La disposición y la configuración para los recursos basados en el router de la Telefonía IP y el Firewall Zona-basado de la directiva es generalmente las mejores acomodadas con el Cisco Configuration Professional. El administrador seguro de Cisco no soporta el Firewall Zona-basado de la directiva o la Telefonía IP basada en el router.

El Firewall clásico del Cisco IOS soporta la supervisión SNMP con el Firewall unificado Cisco MIB, pero el Firewall Zona-basado de la directiva todavía no se soporta en el Firewall unificado MIB. Como tal, la supervisión del Firewall se debe manejar con las estadísticas sobre la interfaz de la línea de comandos del router, o con las herramientas GUI, tales como el Cisco Configuration Professional.

Soporte básico de Cisco de las ofertas seguras de la supervisión y del sistema de reporte (CS-MARS) para el Firewall Zona-basado de la directiva, aunque los cambios de registración que mejoraron la correlación del mensaje del registro para traficar, que fueron implementadas en 12.4(15)T4/T5 y 12.4(20)T, todavía no se hayan soportado completamente en CS-MARS.

Planes de la capacidad

Los resultados de la prueba de rendimiento del examen de la llamada del Firewall de la India son TBD.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

El Firewall de la zona del Cisco IOS proporciona los comandos show and debug de ver, de monitorear, y de resolver problemas la actividad del Firewall. Esta sección describe el uso de los comandos show de monitorear la actividad básica del Firewall, y una introducción a los comandos debug del Firewall de la zona de resolver problemas su configuración o si la discusión con el Soporte técnico requiere más información detallada.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

El Firewall Cisco IOS ofrece varios comandos show de ver la configuración y la actividad de la política de seguridad. Muchos de estos comandos se pueden substituir por un comando más corto con la aplicación del comando alias.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Los comandos Debug pueden ser útiles en caso que usted esté utilizando un anormal o una configuración no admitida, y necesitar trabajar con el TAC de Cisco o los Servicios de soporte técnico de otros Productos para resolver los problemas de interoperabilidad.

Nota: La aplicación de los comandos debug a las capacidades específicas o del tráfico puede causar un gran número de mensajes de la consola, que hace la consola del router llegar a ser insensible. En incluso el ese usted necesita hacer el debug de, usted puede prever el acceso alternativo de la interfaz de la línea de comandos, tal como una ventana Telnet que no lo haga monitoree el diálogo terminal. Habilite solamente el debug en el equipo offline (del ambiente de laboratorio) o dentro de una ventana del mantenimiento planeado puesto que el debug puede afectar substancialmente al rendimiento del router.


Información Relacionada


Document ID: 108013