Cisco Configuration Professional:Zone-Based Firewall Blocking Peer to Peer 트래픽 컨피그레이션 예

Similar documents
Network seminar.key

1217 WebTrafMon II

Microsoft PowerPoint - ch13.ppt

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

Assign an IP Address and Access the Video Stream - Installation Guide

bn2019_2

Sena Device Server Serial/IP TM Version

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

cam_IG.book

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

토폴로지 2( 풀이 ) 1. 요구사항 가. 주어진자료 ( 토폴로지 2.pka) 를참고하여네트워크구성작업을완성하시오. 2. 작업내용가. 설명 - 현재토폴로지에이미통신이가능한모든설정이되어있습니다. - 그러나, 보안문제로지금부터주어진조건으로설정을다시하고자합니다. - 총 4개

vRealize Automation용 VMware Remote Console - VMware

untitled

untitled

4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] (

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

NTD36HD Manual

Subnet Address Internet Network G Network Network class B networ

제20회_해킹방지워크샵_(이재석)

ARMBOOT 1

VPN.hwp

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

Remote UI Guide

Microsoft PowerPoint - ch07.ppt

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

s SINUMERIK 840C Service and User Manual DATA SAVING & LOADING & & /

Microsoft Word doc

Windows 8에서 BioStar 1 설치하기

Microsoft Word - NAT_1_.doc

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현


TTA Journal No.157_서체변경.indd

6강.hwp

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

chapter4

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

컴퓨터관리2번째시간

RHEV 2.2 인증서 만료 확인 및 갱신

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Analytics > Log & Crash Search > Unity ios SDK [Deprecated] Log & Crash Unity ios SDK. TOAST SDK. Log & Crash Unity SDK Log & Crash Search. Log & Cras

UDP Flooding Attack 공격과 방어

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Microsoft Word - src.doc

Microsoft Word - access-list.doc

MPLAB C18 C

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

Solaris System Administration

KISA-GD

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

*****

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,,,,,,,,,,,,,.,..., U.S. GOVERNMENT END USERS. Oracle programs, including any operat

TCP.IP.ppt

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지

View Licenses and Services (customer)

자바-11장N'1-502

10X56_NWG_KOR.indd

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

운영체제실습_명령어

SMB_ICMP_UDP(huichang).PDF

Microsoft Word - How to make a ZigBee Network_kr

Cisco FirePOWER 호환성 가이드

hd1300_k_v1r2_Final_.PDF

SRC PLUS 제어기 MANUAL

Microsoft Word - release note-VRRP_Korean.doc

슬라이드 1

untitled

IRISCard Anywhere 5

MF5900 Series MF Driver Installation Guide

DE1-SoC Board

슬라이드 1

슬라이드 1

ESET Cyber Security Pro

01장

목차 BUG offline replicator 에서유효하지않은로그를읽을경우비정상종료할수있다... 3 BUG 각 partition 이서로다른 tablespace 를가지고, column type 이 CLOB 이며, 해당 table 을 truncate

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

슬라이드 1

Windows Server 2012

gcloud storage 사용자가이드 1 / 17

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft PowerPoint - XAD-400.ppt [호환 모드]

McAfee Security Virtual Appliance 5.6 설치 안내서


Microsoft Word - Installation and User Manual_CMD V2.2_.doc

istay

The Pocket Guide to TCP/IP Sockets: C Version

Windows Server 8

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

Microsoft PowerPoint - ch02_인터넷 이해와 활용.ppt

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

Transcription:

Cisco Configuration Professional:Zone-Based Firewall Blocking Peer to Peer 트래픽컨피그레이션예 목차 소개사전요구사항요구사항 Cisco CP 를실행할라우터컨피그레이션사용되는구성요소표기규칙배경정보구성네트워크다이어그램 Cisco Configuration Professional 을통한구성 ZFW 라우터의명령줄구성다음을확인합니다 관련정보 소개 이문서에서는 Cisco CP(Cisco Configuration Professional) 의고급방화벽컨피그레이션마법사를사용하여 P2P(Peer-to-Peer) 트래픽을차단하기위해 Cisco IOS 라우터를영역기반방화벽으로구성하는단계별접근방식을제공합니다 Zone-Based Policy Firewall(ZFW 또는 Zone-Policy Firewall) 은방화벽컨피그레이션을이전인터페이스기반모델에서더유연하고이해하기쉬운영역기반모델로변경합니다 인터페이스가영역에할당되고검사정책이영역간에이동하는트래픽에적용됩니다 영역간정책은상당한유연성과세분성을제공합니다 따라서동일한라우터인터페이스에연결된여러호스트그룹에서로다른검사정책을적용할수있습니다 영역은네트워크의보안경계를설정합니다 영역은트래픽이네트워크의다른영역을통과할때정책제한을받는경계를정의합니다 영역간의 ZFW 의기본정책은모두거부입니다 정책이명시적으로구성되지않은경우영역간에이동하는모든트래픽이차단됩니다 P2P 애플리케이션은인터넷에서가장널리사용되는애플리케이션중하나입니다 P2P 네트워크는지렁이와같은악의적인위협의매개체역할을할수있으며, 방화벽주위에쉬운경로를제공하고개인정보보호및보안에대한우려를야기할수있습니다 Cisco IOS Software 릴리스 124(9)T 는 P2P 애플리케이션에대한 ZFW 지원을도입했습니다 P2P 검사는애플리케이션트래픽에대한레이어 4 및레이어 7 정책을제공합니다 즉, ZFW 는트래픽을허용또는거부할수있는기본적인스테이트풀검사를제공할수있으며, 다양한프로토콜의특정활동에대한세분화된레이어 7 제어를제공하여다른애플리케이션활동이거부되는동안특정애플리케이션활동이허용됩니다

Cisco CP 는고급방화벽컨피그레이션마법사를사용하여 IOS 라우터를영역기반방화벽으로구성하기위한간편한단계별접근방식을제공합니다 사전요구사항 요구사항 이구성을시도하기전에다음요구사항을충족해야합니다 IOS 라우터는소프트웨어버전이 124(9)T 이상이어야합니다 Cisco CP를지원하는 IOS 라우터모델은 Cisco CP 릴리스정보를참조하십시오 Cisco CP 를실행할라우터컨피그레이션 참고 : Cisco 라우터에서 Cisco CP 를실행하려면다음컨피그레이션단계를수행하십시오 Router(config)# ip http server Router(config)# ip http secure-server Router(config)# ip http authentication local Router(config)# username <username> privilege 15 password 0 <password> Router(config)# line vty 0 4 Router(config-line)# privilege level 15 Router(config-line)# login local Router(config-line)# transport input telnet Router(config-line)# transport input telnet ssh Router(config-line)# exit 사용되는구성요소 이문서의정보는다음소프트웨어및하드웨어버전을기반으로합니다 IOS Software 릴리스 124(15)T를실행하는 Cisco 1841 IOS Router Cisco Configuration Professional(Cisco CP) 릴리스 21 이문서의정보는특정랩환경의디바이스를토대로작성되었습니다 이문서에사용된모든디바이스는초기화된 ( 기본 ) 컨피그레이션으로시작되었습니다 현재네트워크가작동중인경우, 모든명령어의잠재적인영향을미리숙지하시기바랍니다 표기규칙 문서규칙에대한자세한내용은 Cisco 기술팁규칙을참조하십시오 배경정보 이문서의예에서는라우터가 P2P 트래픽을차단하기위해영역기반방화벽으로구성됩니다 ZFW 라우터에는 2 개의인터페이스, 즉내부 ( 신뢰할수있는 ) 인터페이스가 In-zone 에있고외부 ( 신뢰할수없음 ) 인터페이스가 Out-zone 에있습니다 ZFW 라우터는 edonkey, fasttrack, gnutella 및 kazaa2 와같은 P2P 애플리케이션을 In-zone 에서 Out-zone 으로전달되는트래픽에대한로깅작업을차단합니다

구성 이섹션에서는이문서에설명된기능을구성하는정보를제공합니다 참고 : 명령조회도구 ( 등록된고객만해당 ) 를사용하여이섹션에사용된명령에대한자세한내용을확인하십시오 네트워크다이어그램 이문서에서는다음네트워크설정을사용합니다 Cisco Configuration Professional 을통한구성 이섹션에서는마법사를사용하여 IOS 라우터를영역기반방화벽으로구성하는방법에대한단계별절차를설명합니다 다음단계를완료하십시오 1 Configure( 구성 ) > Security( 보안 ) > Firewall and ACL로이동합니다 그런다음 Advanced Firewall 라디오버튼을선택합니다 선택한작업시작을클릭합니다

2 다음화면에는방화벽마법사에대한간략한소개가나와있습니다 Next( 다음 ) 를클릭하여방화벽구성을시작합니다

3 영역에포함할라우터의인터페이스를선택하고 Next를클릭합니다 4 다음창에는명령집합과함께 High Security가포함된기본정책이표시됩니다 Close( 닫기 ) 를클릭하여진행합니다 5 DNS 서버의세부정보를입력하고 Next( 다음 ) 를클릭합니다

6 Cisco CP 는여기에표시된것과같은컨피그레이션요약을제공합니다 Finish( 마침 ) 를클릭하여컨피그레이션을완료합니다 자세한컨피그레이션요약이이표에나와있습니다 이는 Cisco CP의 High Security 정책에따라기본컨피그레이션입니다 7 Save the running config to router's startup config 확인란을선택합니다 Deliver( 전달 ) 를클릭

하여이컨피그레이션을라우터로전송합니다 전체컨피그레이션이라우터에전달됩니다 처리하는데시간이좀걸립니다 8 OK( 확인 ) 를클릭하여진행합니다

9 다시 OK( 확인 ) 를클릭합니다 이제컨피그레이션이적용되고 Firewall Policy( 방화벽정책 ) 탭아래에규칙으로표시됩니다

10 Configure( 구성 ) > Security( 보안 ) > Advanced Security( 고급보안 ) > Zones( 영역 ) 로이동하면연결된영역쌍과함께 zone을볼수있습니다 Add( 추가 ) 를클릭하여새영역을추가하거나 Edit( 수정 ) 를클릭하여기존영역을수정할수도있습니다 11 Configure( 구성 ) > Security( 보안 ) > Advanced Security( 고급보안 ) > Zone Pairs( 영역쌍 ) 로이동하여영역쌍의세부정보를확인합니다

Cisco CP 의내장웹페이지를통해영역 / 영역쌍및기타관련정보를수정 / 추가 / 삭제하는방법에대한즉각적인도움말을즉시확인할수있습니다

12 특정 P2P 애플리케이션에대한애플리케이션별검사기능을수정하려면 Configuration( 컨피그레이션 ) > Security( 보안 ) > Firewall and ACL로이동합니다 그런다음 Edit Firewall Policy( 방화벽정책수정 ) 를클릭하고정책맵에서해당규칙을선택합니다 Edit를클릭합니다

기본컨피그레이션에의해차단되는현재 P2P 애플리케이션을표시합니다

13 추가및제거단추를사용하여특정애플리케이션을추가 / 제거할수있습니다 이스크린샷은 winmx 애플리케이션을추가하여해당애플리케이션을차단하는방법을보여줍니다

14 삭제작업을선택하는대신 Inspect( 검사 ) 작업을선택하여심층패킷검사를위해다른옵션을적용할수도있습니다

P2P 검사는애플리케이션트래픽에대한레이어 4 및레이어 7 정책을제공합니다 즉, ZFW는트래픽을허용또는거부할수있는기본적인스테이트풀검사를제공할수있으며, 다양한프로토콜의특정활동에대한세분화된레이어 7 제어를제공하여다른애플리케이션활동이거부되는동안특정애플리케이션활동이허용됩니다 이애플리케이션검사에서는 P2P 애플리케이션에대해다양한유형의특정헤더레벨검사를적용할수있습니다 그누텔라에대한예가다음에표시됩니다 15 이에대한새정책맵을생성하려면 P2P 옵션을선택하고 Create를클릭합니다

16 gnutella 프로토콜에대한심층패킷검사를위한새정책맵을만듭니다 Add( 추가 ) 를클릭한다음 New Class Map( 새클래스맵 ) 을선택합니다

17 클래스맵의새이름을지정하고 Add( 추가 ) 를클릭하여일치기준을지정합니다 18 파일전송을일치조건으로사용하고사용된문자열은 exe입니다 이는 exe 문자열을포함하는모든 gnutella 파일전송연결이트래픽정책에대해일치함을나타냅니다 확인을클릭

19 합니다 OK( 확인 ) 를다시클릭하여클래스맵컨피그레이션을완료합니다 20 회사의보안정책에따라달라지는 Reset 또는 Allow 옵션을선택합니다 OK( 확인 ) 를클릭하여 policy-map으로작업을확인합니다

이와같은방법으로다른정책맵을추가하여다른정규식을일치조건으로지정하여다른 P2P 프로토콜에대한심층검사기능을구현할수있습니다 참고 : P2P 애플리케이션은 " 포트호핑 " 동작및탐지를피하기위한기타요령뿐아니라프로토콜의동작을수정하는 P2P 애플리케이션에대한잦은변경및업데이트로인해발생하는문제로인해특히탐지하기어렵습니다 ZFW는네이티브방화벽상태기반검사와 NBAR(Network-Based Application Recognition) 의트래픽인식기능을결합하여 P2P 애플리케이션제어를제공합니다 참고 : P2P Application Inspection은 Layer 4 Inspection에서지원하는애플리케이션의하위집합에대해애플리케이션별기능을제공합니다 edonkey패스트랙귀텔라카사2참고: 현재 ZFW에는 "bittorrent" 애플리케이션트래픽을검사하는옵션이없습니다 BitTorrent 클라이언트는일반적으로일부비표준포트에서실행되는 HTTP를통해추적기 ( 피어디렉토리서버 ) 와통신합니다 일반적으로 TCP 6969이지만 Torrent 관련추적기포트를확인해야할수도있습니다 BitTorrent를허용하려는경우추가포트를수용하기위한가장좋은방법은 HTTP를 match 프로토콜중하나로구성하고다음 ip port-map 명령을사용하여 HTTP에 TCP 6969를추가하는것입니다 ip port-map http port tcp 6969 클래스맵에적용된일치조건으로 http 및 bittorrent를정의해야합니다 21 OK( 확인 ) 를클릭하여 Advanced Inspection 컨피그레이션을완료합니다

해당명령집합이라우터에전달됩니다 22 OK( 확인 ) 를클릭하여라우터에명령세트복사를완료합니다

23 Configure( 구성 ) > Security( 보안 ) > Firewall and ACL( 방화벽및 ACL) 의 Edit Firewall Policy( 방화벽정책수정 ) 탭에서새로운규칙이발생하는것을관찰할수있습니다 ZFW 라우터의명령줄구성 Cisco CP 의이전섹션에있는컨피그레이션에서는 ZFW 라우터에서다음컨피그레이션을수행합니다 ZBF 라우터 ZBF-Router#show run

Building configuration Current configuration : 9782 bytes version 124 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname ZBF-Router boot-start-marker boot-end-marker logging buffered 51200 warnings no aaa new-model ip cef ip name-server 107723045 multilink bundle-name authenticated parameter-map type protocol-info msn-servers server name messengerhotmailcom server name gatewaymessengerhotmailcom server name webmessengermsncom parameter-map type protocol-info aol-servers server name loginoscaraolcom server name tocoscaraolcom server name oam-d09ablueaolcom parameter-map type protocol-info yahoo-servers server name scsmsgyahoocom server name scsamsgyahoocom server name scsbmsgyahoocom server name scscmsgyahoocom server name scsdmsgyahoocom server name cs16msgdcnyahoocom server name cs19msgdcnyahoocom server name cs42msgdcnyahoocom server name cs53msgdcnyahoocom server name cs54msgdcnyahoocom server name ads1vipscdyahoocom server name radio1launchvipdalyahoocom server name in1msgvipre2yahoocom server name data1myvipsc5yahoocom server name address1pimvipmudyahoocom server name editmessengeryahoocom server name messengeryahoocom server name httppageryahoocom server name privacyyahoocom server name csayahoocom server name csbyahoocom server name cscyahoocom parameter-map type regex ccp-regex-nonascii pattern [^\x00-\x80]

crypto pki trustpoint TP-self-signed-1742995674 enrollment selfsigned subject-name cn=ios-self-signed-certificate-1742995674 revocation-check none rsakeypair TP-self-signed-1742995674 crypto pki certificate chain TP-self-signed-1742995674 certificate self-signed 02 30820242 308201AB A0030201 02020102 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 31373432 39393536 3734301E 170D3130 31313236 31303332 32315A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 37343239 39353637 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100A84A 980D15F0 6A6B5F1B 5A3359DE 5D552EFE FAA8079B DA927DA2 4AF210F0 408131CE BB5B0189 FD82E22D 6A6284E3 5F4DB2A7 7517772B 1BC5624E A1A6382E 6A07EE71 E93A98C9 B8494A55 0CDD6B4C 442065AA DBC9D9CC 14D10B65 2FEFECC8 AA9B3064 59105FBF B9B30219 2FD53ECA 06720CA1 A6D30DA5 564FCED4 C53FC7FD 835B0203 010001A3 6A306830 0F060355 1D130101 FF040530 030101FF 30150603 551D1104 0E300C82 0A5A4246 2D526F75 74657230 1F060355 1D230418 30168014 0BDBE585 15377DCA 5F00A1A2 6644EC22 366DE590 301D0603 551D0E04 1604140B DBE58515 377DCA5F 00A1A266 44EC2236 6DE59030 0D06092A 864886F7 0D010104 05000381 810037F4 8EEC7AF5 85429563 F78F2F41 A060EEE8 F23D8F3B E0913811 A143FC44 8CCE71C3 A5E9D979 C2A8CD38 C272A375 4FCD459B E02A9427 56E2F1A0 DA190B50 FA091669 CD8C066E CD1A095B 4E015326 77B3E567 DFD55A71 53220F86 F006D31E 02CB739E 19D633D6 61E49866 C31AD865 DC7F4380 FFEDDBAB 89E3B3E9 6139E472 DC62 quit username cisco privilege 15 password 0 cisco123 archive log config hidekeys class-map type inspect match-all sdm-cls-im match protocol ymsgr class-map type inspect imap match-any ccp-app-imap match invalid-command class-map type inspect match-any ccp-cls-protocol-p2p match protocol signature match protocol gnutella signature match protocol kazaa2 signature

match protocol fasttrack signature match protocol bittorrent signature class-map type inspect smtp match-any ccp-app-smtp match data-length gt 5000000 class-map type inspect http match-any ccp-app-nonascii match req-resp header regex ccp-regex-nonascii class-map type inspect match-any CCP-Voice-permit match protocol h323 match protocol skinny match protocol sip class-map type inspect gnutella match-any ccp-classgnutella match file-transfer exe class-map type inspect match-any ccp-cls-insp-traffic match protocol dns match protocol https match protocol icmp match protocol imap match protocol pop3 match protocol tcp match protocol udp class-map type inspect match-all ccp-insp-traffic match class-map ccp-cls-insp-traffic class-map type inspect match-any ccp-cls-icmp-access match protocol icmp match protocol tcp match protocol udp --- Output suppressed class-map type inspect matchall sdm-cls-p2p match protocol gnutella class-map type inspect match-all ccp-protocol-pop3 match protocol pop3 class-map type inspect kazaa2 match-any ccp-cls-p2p match file-transfer class-map type inspect pop3 matchany ccp-app-pop3 match invalid-command class-map type inspect match-all ccp-protocol-p2p match class-map ccpcls-protocol-p2p class-map type inspect match-all ccpprotocol-im match class-map ccp-cls-protocol-im classmap type inspect match-all ccp-invalid-src match accessgroup 100 class-map type inspect match-all ccp-icmpaccess match class-map ccp-cls-icmp-access class-map type inspect http match-any ccp-app-httpmethods match request method bcopy match request method bdelete match request method bmove match request method bpropfind match request method bproppatch match request method connect match request method copy match request method delete match request method edit match request method getattribute match request method getattributenames match request method getproperties match request method index match request method lock match request method mkcol match request method mkdir match request method move match request method notify match request method options match request method poll match request method post match request method propfind match request method proppatch match request method put match request method revadd match request method revlabel match request method revlog match request method revnum match request method save match request method search match request method setattribute match request method startrev match request method stoprev match request method subscribe match request method trace match request method unedit match request method unlock match request method unsubscribe class-map type inspect http match-any ccphttp-blockparam match request port-misuse im match request port-misuse p2p match request port-misuse tunneling match req-resp protocol-violation class-map

type inspect match-all ccp-protocol-imap match protocol imap class-map type inspect match-all ccp-protocol-smtp match protocol smtp class-map type inspect match-all ccp-protocol-http match protocol http policy-map type inspect ccp-permit-icmpreply class type inspect ccp-icmp-access inspect class class-default pass --- Output suppressed policy-map type inspect http ccpaction-app-http class type inspect http ccp-httpblockparam log reset class type inspect http ccp-apphttpmethods log reset class type inspect http ccp-appnonascii log reset class class-default policy-map type inspect smtp ccp-action-smtp class type inspect smtp ccp-app-smtp reset class class-default policy-map type inspect imap ccp-action-imap class type inspect imap ccp-app-imap log reset class class-default policy-map type inspect pop3 ccp-action-pop3 class type inspect pop3 ccp-app-pop3 log reset class class-default policymap type inspect ccp-inspect class type inspect ccpinvalid-src drop log class type inspect ccp-protocolhttp inspect service-policy http ccp-action-app-http class type inspect ccp-protocol-smtp inspect servicepolicy smtp ccp-action-smtp class type inspect ccpprotocol-imap inspect service-policy imap ccp-actionimap class type inspect ccp-protocol-pop3 inspect service-policy pop3 ccp-action-pop3 class type inspect sdm-cls-p2p inspect --- Output suppressed class type inspect ccp-protocol-im drop log class type inspect ccp-insp-traffic inspect class type inspect CCP-Voicepermit inspect class class-default pass policy-map type inspect ccp-permit class class-default policy-map type inspect p2p ccp-pmap-gnutella class type inspect gnutella ccp-class-gnutella zone security out-zone zone security in-zone zone-pair security ccp-zp-self-out source self destination out-zone service-policy type inspect ccp-permit-icmpreply zone-pair security ccp-zpin-out source in-zone destination out-zone servicepolicy type inspect ccp-inspect zone-pair security ccpzp-out-self source out-zone destination self servicepolicy type inspect ccp-permit interface FastEthernet0/0 description $FW_OUTSIDE$ ip address 2091652012 255255255224 zone-member security outzone duplex auto speed auto interface FastEthernet0/1 description $FW_INSIDE$ ip address 1077241114 255255255192 zone-member security in-zone duplex auto speed auto --- Output suppressed ip http server ip http authentication local ip http secure-server --- Output suppressed control-plane line con 0 line aux 0 line vty 0 4 privilege level 15 login local transport input ssh scheduler allocate 20000 1000 webvpn cef end ZBF-Router# 다음을확인합니다 이섹션을사용하여컨피그레이션이제대로작동하는지확인합니다 Output Interpreter 도구 ( 등록된고객만해당 )(OIT) 는특정 show 명령을지원합니다 OIT 를사용하여 show 명령출력의분석을봅니다 ZBF-Router#show policy-map type inspect zone-pair sessions - 모든기존영역쌍에대한런타임검사유형정책맵통계를표시합니다

관련정보 Zone-Based Policy Firewall 설계및애플리케이션가이드 Cisco IOS Firewall Classic 및 Zone-Based Virtual Firewall 애플리케이션컨피그레이션예 Cisco Configuration Professional 홈페이지

2024 © docsplayer.org 개인정보보호 | 약관 | 지원