Cisco IOS Classic Firewall

流量过滤、流量监控、告警审计

支持的协议:

TCP、UDP、RPC、FTP、TFTP、UNIX r commandss(suchasrlogin, rexec, and rsh)、SMTP、HTTP(Java blocking)

SQL*Net、RTSP (such as Real Networks)、H.323 (such as NetMeeting,ProShare)、CUseeMe、Other multimedia(Microsoft NetShow、StreamWorks-、VDOLive

告警审计

CiscoIOS经典防火墙产生实时告警和审计

审计特性使用syslog跟踪所有网络事件

CiscoIOS经典防火墙监控策略,可以基于运用程序协议开启和关闭告警和审计特性

配置IP ACL

1.(可选)放行内部合法流量访问外部非信任网络。

a.outbound方向。

b.可以配置在内部接口in方向,也可以配置在外部接口out方向。

c.注意:先检查ACL后检查监控策略,如果ACL没有放行,也就没有必要监控。

2.(必须)阻止源至于非信任网络的流量

a.至少要deny返回流量。

b. 建议deny ip any any。

c.应该放行非信任网络访问内部互联网服务器的流量。

e.建议在外部接口in方向运用。

定义inspection rules监控策略

1.Global Timeouts and Thresholds(配置全局超时时间和阙值)

2.Configure Generic TCP and UDP Inspection(配置普通TCP和UDP监控)

3.Configure application layer protocol inspection(配置运用层协议监控)

4.Configure Java blocking(配置JAVA过滤)

  1. Configure IP packet fragmentation inspection(配置IP分片防御)

查看PAM配

show ip port-map 服务

查看IOS防火墙命令

show ip inspect name inspection-name

show ip inspect config

show ip inspect interfaces

show ip inspect session detail

show ip inspect all

删除IOS防火墙

no ip inspect

1.删除整个IOS防火墙配置

2.重置所有全局timeouts和thresholds

3.删除所有现存会话

  1. 创建Outbound流量的IP ACL匹配ICMP/TCP/UDP/HTTP的流量(可选配置)

ip access-list extended Outbound.traffic

permit icmp 10.1.1.0 0.0.0.255 any

permit tcp 10.1.1.0 0.0.0.255 any

permit udp 10.1.1.0 0.0.0.255 any

  1. 创建Outbound流量的监控列表

ip inspect name FW.Outbound icmp

ip inspect name FW.Outbound tcp

ip inspect name FW.Outbound udp

  1. 创建Inbound流量的IP ACL,deny掉Outbound的返回流量。

ip access-list extended Inbound.traffic

deny ip any any

  1. 在IOSFW设备FO/O接口的入向调用Outbound的IP ACL

interface FastEthernet1/0

ip address 10.1.1.10 255.255.255.0

ip access-group Outbound.traffic in

5.在IOSFW设备F1/0接口的出向调用监控列表,入向调用Inbound的IP ACL

interface FastEthernetO/0

ip address 202.100.1.10 255.255.255.0

ip access-group Inbound.traffic in

ip inspect FW.Outbound out

9.监控Outbound的HTTP流量

ip inspect name FW.Outbound http

10.使用PAM技术过滤掉ACS4.x管理页面的JAVA插件

ip port-map http port tcp 2002

12.使用JAVA控制技术,旁路掉IOSClassicFirewall对JAVA的过滤

access-list 5 permit 202.100.1.100

ip inspect name FW.Outbound http java-list 5

14.全局或者基于协议打开审计

ip inspect audit-trail

or

ip inspect name FW.Outbound http java-list 5 audit-trail on

15.配置SYSLOG

service sequence-numbers

service timestamps log datetime

logging trap debugging

logging 202.100.1.100

相关推荐
小李@Free2FA4 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
fei_sun5 小时前
开放最短路径优先OSPF----基于链路状态
网络
精明的身影5 小时前
网络计划WebApp求解:融合Python与AI决策的项目管理系统
网络·python·web app
云祺vinchin5 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
MartinYeung55 小时前
从注入攻击到诈骗:@martin_yeung/llm-up-guardrail 提供生产级 AI 安全防护
人工智能·安全
Let's Chat Coding6 小时前
对称密钥认证:主机和设备共享同一把密钥
运维·服务器·网络
一楼的猫8 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
技术不好的崎鸣同学8 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Web极客码9 小时前
跨国网络抖动下的 AI 爬虫流调优:我如何用 Claude 打造“智能退避”资讯清洗管道
网络·人工智能·爬虫
Kyrie6789 小时前
Januscape:潜伏 16 年的 KVM 虚拟机逃逸漏洞
安全·kvm