! Определение правила myfw ! При этом Java-апплеты разрешены в соответствии ! со списком доступа 51 ! ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw http java-list 51 timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip inspect name myfw rpc program-number 100003 ip inspect name myfw rpc program-number 100005 ip inspect name myfw rpc program-number 100021 ! ! Применение правила myfw к трафику, входящему на Ethernet0 ! Также добавлен 101 список. Весь трафик, пропущенный ! данным списком будет анализироваться CBAC ! interface Ethernet0 ip address 172.19.139.253 255.255.255.0 ip broadcast-address 172.19.139.255 no ip directed-broadcast no ip proxy-arp ip inspect myfw in ip access-group 101 in no ip route-cache no cdp enable ! ! Конфигурация Serial0 включает 111 список доступа для входящего трафика ! При проверке CBAC трафика исходящего из сети будут создаваться ! временные разрешения, добавляемые к этому списку ! interface Serial0 ip unnumbered Ethernet0 ip access-group 111 in no ip route-cache bandwidth 56 no cdp enable ! ip classless ip route 0.0.0.0 0.0.0.0 Serial0 ! ! Список 51 определяет "дружественные" and "hostile" сайты для Java-апплетов ! access-list 51 deny 172.19.1.203 access-list 51 deny 172.19.2.147 access-list 51 permit 172.19.140.0 0.0.0.255 access-list 51 permit 192.168.1.0 0.0.0.255 access-list 51 deny any ! ! Список 101 применен выше к интерфейсу Ethernet0. ! Он разрешает трафик, анализируемый CBAC а также ! обеспечивает anti-spoofing. ! access-list 101 permit tcp 172.19.139.0 0.0.0.255 any access-list 101 permit udp 172.19.139.0 0.0.0.255 any access-list 101 permit icmp 172.19.139.0 0.0.0.255 any access-list 101 deny ip any any ! ! Список 111 применен к интерфейсу Serial0 и фильтрует трафик, ! приходящий снаружи. ! При функционировании CBAC временные разрешения могут ! добавляться к началу данного списка, чтобы пропустить ! обратный трафик извне. ! Этот список ограничивает трафик, анализируемый CBAC ! ! Нижеперечисленные статические правила демонстрируют хороший стиль защиты ! ! Anti-spoofing. access-list 111 deny ip 172.19.139.0 0.0.0.255 any ! Порт 22 для SSH... зашифрован, поэтому разрешить вход access-list 111 permit tcp 172.19.140.1 host 172.19.139.2 eq 22 ! Динамическая маршрутизация EIGRP разрешена access-list 111 permit igrp any any ! Разрешить administratively-prohibited для ICMP access-list 111 permit icmp any 172.19.139.0 0.0.0.255 administratively-prohibited ! Разрешить ping сети удаленным администраторам access-list 111 permit icmp any 172.19.139.0 0.0.0.255 echo ! Разрешить возврат echo-reply для исходящего ping access-list 111 permit icmp any 172.19.139.0 0.0.0.255 echo-reply ! ICMP может получить сообщение типа packet too-big access-list 111 permit icmp any 172.19.139.0 0.0.0.255 packet-too-big ! Исходящая трассировка требует возврата сообщений типа time-exceeded access-list 111 permit icmp any 172.19.139.0 0.0.0.255 time-exceeded ! Разрешена трассировка access-list 111 permit icmp any 172.19.139.0 0.0.0.255 traceroute ! Разрешены ответы по ICPM типа unreachables access-list 111 permit icmp any 172.19.139.0 0.0.0.255 unreachable ! Разрешен доступ по Telnet для избранных access-list 111 permit tcp 172.19.140.32 0.0.0.31 host 172.19.139.1 eq telnet ! Запретить все остальное access-list 111 deny ip any any ! no cdp run snmp-server community RO ! line con 0 exec-timeout 0 0 password login local * * * * ! scheduler interval 500 end