تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند كيفية تكوين التجاهل على موجه PIX/ASA/Cisco IOS باستخدام مساعدة Cisco IPS. يعمل ARC، تطبيق الحظر على المستشعر، على بدء وإيقاف الوحدات على الموجهات، ومحولات Cisco 5000 RSM و Catalyst 6500 Series، وجدران الحماية PIX، و FWSM، و ASA. يصدر ARC كتلة أو ينفر إلى الجهاز المدار لعنوان IP ضار. يرسل ARC نفس الكتلة إلى كل الأجهزة التي يديرها المستشعر. في حالة تكوين مستشعر حظر أساسي، تتم إعادة توجيه الكتلة وإصدارها من هذا الجهاز. يراقب قوس الوقت للكتلة ويزيل الكتلة بعد انتهاء الوقت.
عند إستخدام بروتوكول IPS 5.1، يجب توخي الحذر الخاص عند الرفض إلى جدران الحماية في وضع سياق متعدد حيث لا يتم إرسال معلومات شبكة VLAN مع طلب التجاهل.
ملاحظة: الحظر غير مدعوم في سياق الإدارة لسياق سياق FWSM متعدد.
هناك ثلاثة أنواع من الكتل:
كتلة المضيف — تمنع كل حركة المرور من عنوان IP محدد.
حظر الاتصال—يمنع حركة المرور من عنوان IP للمصدر المحدد إلى عنوان IP للوجهة ومنفذ الوجهة المحدد. تقوم كتل الاتصال المتعددة من عنوان IP المصدر نفسه إلى عنوان IP وجهة مختلف أو منفذ الوجهة تلقائيا بتحويل الحظر من كتلة اتصال إلى كتلة مضيف.
ملاحظة: لا تدعم أجهزة الأمان كتل الاتصال. تدعم أجهزة الأمان كتل المضيف فقط مع معلومات المنفذ والبروتوكول الاختيارية.
كتلة الشبكة - تمنع كل حركات المرور من شبكة معينة. يمكنك بدء تشغيل كتل المضيف والاتصال يدويا أو تلقائيا عند تشغيل توقيع. يمكنك فقط تهيئة كتل الشبكة يدويا.
بالنسبة للكتل التلقائية، يجب إختيار "مضيف كتلة الطلب" أو "اتصال كتلة الطلب" كإجراء حدث لتوقيعات معينة، بحيث يقوم SensorApp بإرسال طلب حظر إلى ARC عند تشغيل التوقيع. بمجرد أن يتلقى ARC طلب الحظر من SensorApp، فإنه يقوم بتحديث تكوينات الجهاز لحظر المضيف أو الاتصال. ارجع إلى تعيين إجراءات للتوقيعات، الصفحة 5-22 للحصول على مزيد من المعلومات حول الإجراء الخاص بإضافة "مضيف كتلة الطلب" أو إجراءات حدث اتصال كتلة الطلب إلى التوقيع. ارجع إلى تكوين تخطيات إجراء الحدث، الصفحة 7-15 للحصول على مزيد من المعلومات حول إجراء تكوين التخطيات التي تضيف إجراءات حدث "مضيف كتلة الطلب" أو "اتصال كتلة الطلب" إلى الإنذارات الخاصة بتصنيفات المخاطر المحددة.
على موجهات Cisco ومحولات Catalyst 6500 Series switches، يقوم ARC بإنشاء كتل بتطبيق قوائم التحكم في الوصول إلى شبكة ACL أو قوائم التحكم في الوصول إلى شبكة VLAN. تقوم قوائم التحكم في الوصول إلى شبكة VLAN وقوائم التحكم في الوصول إلى شبكة VLAN بتطبيق عوامل التصفية على الواجهات، والتي تتضمن الإتجاه، وشبكات VLAN، على التوالي للسماح بحركة المرور أو رفضها. . لا يستخدم جدار حماية PIX و FWSM و ASA قوائم التحكم في الوصول إلى شبكة ACL أو قوائم التحكم في الوصول إلى شبكة VLAN. يتم إستخدام الأمر المدمج وno ignore.
هذه المعلومات مطلوبة لتكوين ARC:
معرف مستخدم تسجيل الدخول، إذا تم تكوين الجهاز باستخدام AAA
كلمة مرور تسجيل الدخول
تمكين كلمة المرور، والتي لا تكون مطلوبة إذا كان المستخدم لديه امتيازات التمكين
الواجهات التي ستتم إدارتها، على سبيل المثال، ethernet0، vlan100
أي معلومات قائمة تحكم في الوصول إلى شبكة ACL أو VACL تريد تطبيقها في البداية (قائمة التحكم في الوصول إلى شبكة ACL أو VACL السابقة للحجب) أو النهاية (قائمة التحكم في الوصول إلى شبكة ACL أو VACL بعد الحظر) الخاصة بقوائم التحكم في الوصول إلى شبكة ACL أو VACL التي يتم إنشاؤها. لا ينطبق هذا على جدار حماية PIX أو FWSM أو ASA لأنها لا تستخدم قوائم التحكم في الوصول إلى البنية الأساسية (ACLs) أو قوائم التحكم في الوصول إلى البنية الأساسية (VACLs) للحجب.
ما إذا كنت تستخدم Telnet أو SSH للاتصال بالجهاز
عناوين IP (المضيف أو نطاق البيئات المضيفة) التي لا تريد حظرها أبدا
إلى متى تريد أن تستمر الكتل
قبل تكوين ARC للحجب أو تحديد المعدل، يجب عليك إكمال هذه المهام :
قم بتحليل مخطط الشبكة لفهم الأجهزة التي يجب حظرها بواسطة جهاز الاستشعار والعناوين التي يجب عدم حظرها أبدا.
تجميع أسماء المستخدمين وكلمات مرور الأجهزة وتمكين كلمات المرور وأنواع الاتصالات (Telnet أو SSH) المطلوبة لتسجيل الدخول إلى كل جهاز.
معرفة أسماء الواجهة على الأجهزة.
معرفة أسماء قوائم التحكم في الوصول للكتل السابقة أو قائمة التحكم في الوصول للمنفذ (ACL) أو قائمة التحكم في الوصول للكتلة اللاحقة أو قائمة التحكم في الوصول للمنفذ (VACL) إذا لزم الأمر.
تعرف على الواجهات التي يجب ويجب عدم حظرها وفي أي إتجاه (في أو خارج).
تستند المعلومات الواردة في هذا المستند إلى نظام Cisco لمنع الاقتحام الإصدار 5.1 والإصدارات الأحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
ملاحظة: بشكل افتراضي، يتم تكوين ARC للحد الأقصى من 250 إدخال حظر. راجع الأجهزة المدعومة للحصول على مزيد من المعلومات حول قائمة أجهزة الحظر المدعومة من قبل ARC.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
أستخدم صفحة الحظر لتكوين الإعدادات الأساسية المطلوبة لتمكين الحظر وتحديد المعدل.
تتحكم ARC في إجراءات الحظر وتحديد المعدل على الأجهزة المدارة.
يجب معايرة جهاز الاستشعار الخاص بك لتحديد البيئات المضيفة والشبكات التي يجب عدم حظرها أبدا. من الممكن لحركة مرور جهاز موثوق أن تطلق توقيع. إذا تم تكوين هذا التوقيع لحظر المهاجم، يمكن أن تتأثر حركة مرور الشبكة الشرعية. يمكن إدراج عنوان IP الخاص بالجهاز في قائمة عدم الحظر لمنع هذا السيناريو.
يتم تطبيق قناع الشبكة المحدد في إدخال "عدم الحظر" على عنوان "عدم الحظر". إذا لم يتم تحديد قناع شبكة، يتم تطبيق قناع /32 افتراضي.
ملاحظة: بشكل افتراضي، لا يسمح للمستشعر بإصدار كتلة لعنوان IP الخاص به لأن هذا يتعارض مع الاتصال بين المستشعر وجهاز الحظر. ولكن، هذا الخيار قابل للتكوين بواسطة المستخدم.
بمجرد تكوين ARC لإدارة جهاز حظر، يجب عدم تغيير نقاط الوصول/قوائم التحكم في الوصول إلى شبكة VLAN الخاصة بجهاز الحظر والتي يتم إستخدامها للحجب يدويا. قد يتسبب ذلك في تعطيل خدمة ARC وقد يؤدي إلى عدم إصدار كتل في المستقبل.
ملاحظة: يتم دعم الحظر فقط بشكل افتراضي على أجهزة Cisco IOS. يمكنك تجاوز القيم الافتراضية للحجب إذا أخترت تحديد المعدل أو حظره بالإضافة إلى تحديد المعدل.
من أجل إصدار كتل أو تغييرها، يجب أن يكون لمستخدم IPS دور المسؤول أو المشغل.
يصف هذا قسم كيف أن يشكل المستشعر أن يدير cisco مسحاج تخديد. يحتوي على الموضوعات التالية:
يدير المستشعر الأجهزة الأخرى باستخدام الأمر user-profile name من أجل إعداد توصيفات المستخدم. تحتوي ملفات تعريف المستخدم على معرف المستخدم وكلمة المرور ومعلومات تمكين كلمة المرور. على سبيل المثال، يمكن أن تكون الموجهات التي تشترك جميعها في نفس كلمات المرور وأسماء المستخدمين ضمن ملف تعريف مستخدم واحد.
ملاحظة: يجب إنشاء ملف تعريف مستخدم قبل تكوين جهاز الحظر.
أكمل الخطوات التالية لإعداد توصيفات المستخدمين:
قم بتسجيل الدخول إلى CLI باستخدام حساب له امتيازات المسؤول.
دخلت شبكة منفذ أسلوب.
sensor#configure terminal sensor(config)#service network-access sensor(config-net)#
قم بإنشاء اسم ملف تعريف المستخدم.
sensor(config-net)#user-profiles PROFILE1
اكتب اسم المستخدم لملف تعريف المستخدم هذا.
sensor(config-net-use)#username username
حدد كلمة المرور للمستخدم.
sensor(config-net-use)# password Enter password[]: ******** Re-enter password ********
حدد كلمة مرور enable للمستخدم.
sensor(config-net-use)# enable-password Enter enable-password[]: ******** Re-enter enable-password ********
دققت العملية إعداد.
sensor(config-net-use)#show settings profile-name: PROFILE1 ----------------------------------------------- enable-password: <hidden> password: <hidden> username: jsmith default: ----------------------------------------------- sensor(config-net-use)#
قم بالخروج من الوضع الفرعي للوصول إلى الشبكة.
sensor(config-net-use)#exit sensor(config-net)#exit Apply Changes:?[yes]:
اضغط على Enter لتطبيق التغييرات أو أدخل لا لتجاهلها.
عندما يتم تكوين ARC باستخدام جهاز حظر يستخدم قوائم التحكم في الوصول، يتم تكوين قوائم التحكم في الوصول بهذه الطريقة:
سطر تصريح مع عنوان IP للمستشعر أو، في حالة تحديده، عنوان NAT الخاص بالمستشعر
ملاحظة: إذا كنت تسمح بحظر المستشعر، فلن يظهر هذا السطر في قائمة التحكم في الوصول (ACL).
قائمة التحكم في الوصول (ACL) الخاصة بالحظر المسبق (في حالة التحديد): يجب أن تكون قائمة التحكم في الوصول (ACL) هذه موجودة بالفعل على الجهاز.
ملاحظة: يقرأ ARC الأسطر في قائمة التحكم في الوصول (ACL) المكونة مسبقا وينسخ هذه الأسطر إلى بداية قائمة التحكم في الوصول (ACL) للكتلة.
أي كتل نشطة
إما قائمة التحكم في الوصول (ACL) اللاحقة للكتلة أو السماح للإip بأي:
قائمة التحكم في الوصول (ACL) لما بعد الكتلة (إذا تم تحديدها):
يجب أن تكون قائمة التحكم في الوصول (ACL) هذه موجودة بالفعل على الجهاز.
ملاحظة: يقرأ ARC الأسطر في قائمة التحكم بالوصول وينسخ هذه الأسطر إلى نهاية قائمة التحكم بالوصول (ACL).
ملاحظة: تأكد من أن السطر الأخير في قائمة التحكم في الوصول (ACL) يسمح ب ip any إذا كنت تريد السماح بجميع الحزم غير المتطابقة.
ملاحظة: لا يجب عليك أو أي نظام آخر تعديل قوائم التحكم في الوصول الخاصة بالإجراء ARC. قوائم التحكم في الوصول هذه هي قوائم تحكم في الوصول (ACL) مؤقتة ويتم إنشاء قوائم التحكم في الوصول (ACL) الجديدة بشكل مستمر بواسطة المستشعر. التعديلات الوحيدة التي يمكنك إجراؤها هي قوائم التحكم في الوصول (ACL) السابقة واللاحقة للكتلة.
إذا كنت بحاجة إلى تعديل قائمة التحكم في الوصول (ACL) الخاصة بالحظر المسبق أو الحظر اللاحق، أكمل الخطوات التالية:
تعطيل الحظر على المستشعر.
قم بإجراء التغييرات على تكوين الجهاز.
إعادة تمكين الحظر على المستشعر.
عند إعادة تمكين الحظر، يقوم المستشعر بقراءة تكوين الجهاز الجديد.
ملاحظة: يمكن لمستشعر واحد إدارة أجهزة متعددة، ولكن أجهزة الاستشعار المتعددة لا يمكنها إدارة جهاز واحد. في حالة أن تكون الكتل الصادرة من أجهزة إستشعار متعددة مخصصة لجهاز حظر واحد، يجب أن يكون مستشعر المنع الرئيسي مدرجا في التصميم. يتلقى مستشعر حظر أساسي طلبات حظر من أجهزة إستشعار متعددة ويصدر جميع طلبات الحظر إلى جهاز الحظر.
يمكنك إنشاء قوائم التحكم في الوصول (ACL) الخاصة بالحظر المسبق ومرحلة ما بعد الحظر وحفظها في تكوين الموجه. يجب أن تكون قوائم التحكم في الوصول (ACL) هذه هي قوائم التحكم في الوصول إلى IP الموسعة، إما مسماة أو مرقمة. راجع وثائق الموجه للحصول على مزيد من المعلومات حول كيفية إنشاء قوائم التحكم في الوصول (ACL).
ملاحظة: لا تنطبق قوائم التحكم في الوصول (ACL) السابقة للحظر واللاحقة للكتل على تحديد المعدل.
يتم تقييم قوائم التحكم في الوصول (ACL) من أعلى إلى أسفل ويتم إتخاذ إجراء المطابقة الأولى. قد تحتوي قائمة التحكم في الوصول (ACL) السابقة للتكتل على تصريح من شأنه أن يعطي الأولوية على الرفض الناتج من كتلة.
يتم إستخدام قائمة التحكم في الوصول (ACL) لما بعد الحظر لحساب أي شروط لم يتم معالجتها بواسطة قوائم التحكم في الوصول (ACL) الخاصة بالحظر المسبق. إذا كانت لديك قائمة تحكم في الوصول (ACL) موجودة على الواجهة وفي الإتجاه الذي يتم إصدار الكتل فيه، يمكن إستخدام قائمة التحكم في الوصول (ACL) هذه كقائمة التحكم في الوصول (ACL) لما بعد الحظر. إذا لم تكن لديك قائمة تحكم في الوصول (ACL) بعد الحظر، فإن إدخالات المستشعر تسمح بالإصدار أي عنوان في نهاية قائمة التحكم في الوصول (ACL) الجديدة.
عندما يبدأ المستشعر في العمل، فإنه يقرأ محتويات قمي التحكم في الوصول (ACL). يقوم بإنشاء قائمة تحكم في الوصول (ACL) ثالثة مع المدخلات التالية:
سطر تصريح لعنوان IP للمستشعر
نسخ من جميع سطور التكوين لقائمة التحكم في الوصول (ACL) الخاصة بالحظر المسبق
سطر رفض لكل عنوان تم حظره بواسطة المستشعر
نسخ من جميع سطور التكوين لقائمة التحكم في الوصول (ACL) بعد الحظر
يطبق المستشعر قائمة التحكم في الوصول (ACL) الجديدة على الواجهة والاتجاه اللذين قمت بتعيينهما.
ملاحظة: عند تطبيق قائمة التحكم في الوصول (ACL) الجديدة للكتلة على واجهة الموجه، في إتجاه معين، فإنها تستبدل أي قائمة تحكم في الوصول (ACL) موجودة مسبقا على تلك الواجهة في ذلك الإتجاه.
أكمل هذه الخطوات لتكوين مستشعر لإدارة موجه Cisco لتنفيذ الحظر وتحديد المعدل:
قم بتسجيل الدخول إلى CLI باستخدام حساب له امتيازات المسؤول.
أدخل الوضع الفرعي للوصول إلى الشبكة.
sensor#configure terminal sensor(config)#service network-access sensor(config-net)#
حدد عنوان IP للموجه الذي يتم التحكم فيه بواسطة ARC.
sensor(config-net)#router-devices ip_address
أدخل اسم الجهاز المنطقي الذي أنشأته عند تكوين ملف تعريف المستخدم.
sensor(config-net-rou)#profile-name user_profile_name
ملاحظة: قبول ARC لأي شيء تقوم بإدخاله. لا يتحقق من وجود ملف تعريف المستخدم.
حدد الطريقة المستخدمة للوصول إلى المستشعر.
sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
إذا لم يكن محددا، يتم إستخدام SSH 3DES.
ملاحظة: إذا كنت تستخدم DES أو 3DES، فيجب عليك إستخدام الأمر ssh host-key ip_address لقبول مفتاح SSH من الجهاز.
حدد عنوان NAT الخاص بالمستشعر.
sensor(config-net-rou)#nat-address nat_address
ملاحظة: يؤدي هذا إلى تغيير عنوان IP في السطر الأول من قائمة التحكم في الوصول (ACL) من عنوان المستشعر إلى عنوان NAT. عنوان NAT هو عنوان المستشعر، post-NAT، المترجم بأداة وسيطة، موجود بين المستشعر وجهاز حظر.
حدد ما إذا كان الموجه ينفذ الحظر أو تحديد المعدل أو كليهما.
ملاحظة: يكون الإعداد الافتراضي هو الحظر. لا يتعين عليك تكوين إمكانيات الاستجابة إذا كنت تريد أن يقوم الموجه بإجراء الحظر فقط.
تحديد المعدل فقط
sensor(config-net-rou)#response-capabilities rate-limit
كل من الحظر وتحديد المعدل
sensor(config-net-rou)#response-capabilities block|rate-limit
حدد اسم الواجهة واتجاهها.
sensor(config-net-rou)#block-interfaces interface_name {in | out}
ملاحظة: يجب أن يكون اسم الواجهة إختصارا يتعرف عليه الموجه عند إستخدامه بعد أمر الواجهة.
(إختياري) أضف اسم قائمة التحكم بالوصول (ACL) السابقة (الحظر فقط).
sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
(إختياري) أضف اسم قائمة التحكم بالوصول (ACL) اللاحقة (الحظر فقط).
sensor(config-net-rou-blo)#post-acl-name post_acl_name
دققت العملية إعداد.
sensor(config-net-rou-blo)#exit sensor(config-net-rou)#show settings ip-address: 10.89.127.97 ----------------------------------------------- communication: ssh-3des default: ssh-3des nat-address: 19.89.149.219 default: 0.0.0.0 profile-name: PROFILE1 block-interfaces (min: 0, max: 100, current: 1) ----------------------------------------------- interface-name: GigabitEthernet0/1 direction: in ----------------------------------------------- pre-acl-name: <defaulted> post-acl-name: <defaulted> ----------------------------------------------- ----------------------------------------------- response-capabilities: block|rate-limit default: block ----------------------------------------------- sensor(config-net-rou)#
قم بالخروج من الوضع الفرعي للوصول إلى الشبكة.
sensor(config-net-rou)#exit sensor(config-net)#exit sensor(config)#exit Apply Changes:?[yes]:
اضغط على Enter لتطبيق التغييرات أو أدخل no لتجاهلها.
أكمل هذه الخطوات لتكوين المستشعر لإدارة جدران الحماية من Cisco:
قم بتسجيل الدخول إلى CLI باستخدام حساب له امتيازات المسؤول.
أدخل الوضع الفرعي للوصول إلى الشبكة.
sensor#configure terminal sensor(config)#service network-access sensor(config-net)#
حدد عنوان IP لجدار الحماية الذي يتم التحكم فيه بواسطة ARC.
sensor(config-net)#firewall-devices ip_address
أدخل اسم ملف تعريف المستخدم الذي أنشأته عند تكوين ملف تعريف المستخدم.
sensor(config-net-fir)#profile-name user_profile_name
ملاحظة: قبول ARC لأي شيء تقوم بكتابته. ولا يتحقق من وجود الجهاز المنطقي.
حدد الطريقة المستخدمة للوصول إلى المستشعر.
sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
إذا لم يكن محددا، يتم إستخدام SSH 3DES.
ملاحظة: إذا كنت تستخدم DES أو 3DES، فيجب عليك إستخدام الأمر ssh host-key ip_address لقبول المفتاح أو يتعذر على ARC الاتصال بالجهاز.
حدد عنوان NAT الخاص بالمستشعر.
sensor(config-net-fir)#nat-address nat_address
ملاحظة: يؤدي هذا إلى تغيير عنوان IP في السطر الأول من قائمة التحكم في الوصول (ACL) من عنوان IP الخاص بالمستشعر إلى عنوان NAT. عنوان NAT هو عنوان المستشعر، post-NAT، المترجم بأداة وسيطة، موجود بين المستشعر وجهاز حظر.
قم بالخروج من الوضع الفرعي للوصول إلى الشبكة.
sensor(config-net-fir)#exit sensor(config-net)#exit sensor(config)#exit Apply Changes:?[yes]:
اضغط على Enter لتطبيق التغييرات أو أدخل no لتجاهلها.
يؤدي إصدار الأمر shun إلى حظر الاتصالات من المضيف المهاجم. يتم إسقاط الحزم التي تطابق القيم في الأمر وتسجيلها حتى تتم إزالة وظيفة الحظر. يتم تطبيق القطع بغض النظر عما إذا كان هناك اتصال بعنوان المضيف المحدد نشط حاليا أم لا.
إن يعين أنت الغاية عنوان، مصدر وغاية ميناء، والبروتوكول، أنت تضيق المتأخر إلى توصيل أن تلاءم أن معلم. أنت يستطيع فقط يتلقى واحد شنطة أمر ل كل مصدر عنوان.
نظرا لاستخدام الأمر shun لحظر الهجمات بشكل ديناميكي، لا يتم عرضه في تكوين جهاز الأمان.
عندما تتم إزالة واجهة، تتم أيضا إزالة جميع الخيارات المتصلة بتلك الواجهة.
يوضح هذا المثال أن المضيف المخالف (10.1.1.27) يتصل بالضحية (10.2.2.89) ب TCP. فيما يلي نص جدول "الاتصال" في "جهاز الأمان":
TCP outside:10.1.1.27/555 inside:10.2.2.89/666
لحظر الاتصالات من المضيف المهاجم، أستخدم الأمر shun في وضع EXEC ذي الامتيازات. تطبيق أمر اللعنة باستخدام الخيارات التالية:
hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp
يحذف الأمر الاتصال من جدول اتصال جهاز الأمان ويمنع أيضا الحزم من 10.1.1.27:555 إلى 10.2.2.89:666 (TCP) من المرور عبر جهاز الأمان.