版本出现，防止分段攻击)

ip inspect name CBAC smtp

ip inspect name CBAC ftp

ip inspect name CBAC http

ip inspect name CBAC tcp (进入的数据包必须与先前流出的数据包有相同的源/目的地址和端口号（源和目的对调），否则就被丢弃)

ip inspect name CBAC udp timeout 5(如果配置了timeout值，那么应答数据包是在最后的UDP请求包被送出后的预定时间范围内收到的，就被允许通过防火墙返回)

第四步：把检查规则定义到一个接口上。

interface BRI0/0

ip address negotiated

ip access-group 101 in

ip nat outside 

ip inspect CBAC out

做完以上配置后，实际运行中路由器显示的log如下：

04:20:27: %FW-6-SESS_AUDIT_TRAIL: http session initiator (172.16.18.1:1426) sent 656 bytes -- responder (202.108.36.156:80) sent 30740 bytes

04:20:39: %SEC-6-IPACCESSLOGP: list 101 d

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页