配置防火墙的CBAC(2)

　　这是通用的配置命令模式。需要你在很短的时间内指定名称，协议，警报设置，审核，和超时值。现在，我们来创建一个自己的。

　　我已经命名了check-tcp规则，指定协议检测TCP，同时激活警报和审核选项。需要主意的是警报和审核跟踪选项。这需要一个Syslog系统来发送信息。尽管那个配置超出了本文讨论的范围，我还是要建议在记录所有防火墙活动时使用审核。在这里，我在外部接口应用了Serial1规则，如下：

　　Router （config）# Interface serial1

　　Router （config-if）# ip inspect check-tcp out

　　请注意我已经在外部接口上应用了对外流量的检测规则。这将跟踪检测由内部发起的连接和所有外部接口发往互联网或其他一些外部网络的通信的标题。

　　如果你在配置CBAC过程中遇到什么困难的话，你可以使用下列的通用命令模式停止配置并恢复所有相关的设置。这并不会删除你配置在外部接口上的扩展访问列表。如果你关闭检测功能，请记住由于访问列表过滤了大多数，如果不是全部的话，从外部接口进入的流量，这很有可能把你的私人网络的所有通信入口都关闭。关闭检查是很简单的：

　　Router （config）# no ip inspect

　　这个命令将删除配置中的所有检测信息，包括过滤器规则和应用在接口上的命令行。

　　现在不再需要基本配置的详细资料了，让我们看一下用ACLs和CBAC检查功能配置一个互联网防火墙路由器。

　　由于在外部接口上访问列表被用来接收信息，这个基本的CBAC配置只允许有限的ICMP信息通过防火墙路由器。检测规则相当于filter1，它允许内部的用户通过HTTP端口和外界的WWW进行连接并跟踪这些连接，打开返回的状态信息，扩展访问列表。这对FTP和SMTP同样适用。在未来，如果我允许用户使用RealAudio或NetMeeting通道，我可以只是简单的使用add ip inspect 名称命令，其中filter1是名称。

　　如果想改变检查规则，你可以添加或删除某个行条目。如果想添加说明，通过使用和用户定义的规则相同的名称,用ip inspect 名称命令。如果需要删除某一行，使用no形式的ip inspect名称命令，看下面的例子：

　　Router （config）# ip inspect filter1 tcp

　　Router （config）# no ip inspect filter1 tcp

　　如果你想检查配置中的某一项，可以使用show ip inspect命令，得到CBAC安装详细资料。就象下面的：

　　Router# show ip inspect all

　　所有的参数将显示诸如当前检查的配置，当前通过防火墙的连接这样的信息。