在 IOS 上配置 ZBFW 时,“class-default”类不允许检查操作(仅通过和删除)。匹配所有流量以进行状态检查的推荐方法是什么?匹配 TCP、UDP 和 ICMP 似乎工作正常,但这似乎并不理想:
class-map type inspect match-any All_Protocols
match protocol tcp
match protocol udp
match protocol icmp
您如何定义基于 IOS 区域的防火墙策略来检查“任何”?
网络工程
安全
cisco-ios-15
2021-07-14 00:15:33
1个回答
那应该有效。要么使用,要么使用类似的东西:
R1(config)#ip access-list extended MATCH-ALL
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#class-map type inspect match-any CM_MATCH-ALL
R1(config-cmap)#match access-group name MATCH-ALL
R1(config-cmap)#policy-map type inspect PM_IN->OUT
R1(config-pmap)#class CM_MATCH-ALL
R1(config-pmap-c)#inspect
%No specific protocol configured in class CM_MATCH-ALL for inspection. All protocols will be inspected
如果在类映射中没有匹配特定协议,则它将匹配所有协议。