action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action <ACT> [log]
no action
Параметры
<ACT> – назначаемое действие:
- permit – прохождение трафика разрешается;
- deny – прохождение трафика запрещается;
- reject – прохождение трафика запрещается, а также посылается отправителю ответ об ошибке;
- netflow-sample – прохождение трафика разрешается и осуществляется экспорт статистики по протоколу Netflow;
- sflow-sample – прохождение трафика разрешается и осуществляется экспорт статистики по протоколу sFlow;
- log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.
Значение по умолчанию
Действие не настроено, логирование отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# action permit
clear ip firewall counters
Данной командой осуществляется сброс счетчиков правил Firewall.
Синтаксис
clear ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут очищены счетчики правил в указанном VRF;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ip firewall counters trusted self
clear ip firewall sessions
Данной командой осуществляется удаление активных IP-сессий.
Синтаксис
clear ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP порт, принимает значения [1..65535];
inside-source-address – ключ для указания IP-адреса источника, приходящих пакетов;
inside-destination-address – ключ для указания IP-адреса назначения, приходящих пакетов;
outiside-source-address – ключ для указания IP-адреса источника, отправляемых пакетов;
outside-destination-address – ключ для указания IP-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP порта назначения в отправляемых пакетах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ip firewall sessions vrf VRF1
clear ipv6 firewall counters
Данной командой осуществляется сброс счетчиков правил Firewall.
Синтаксис
clear ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут очищены счетчики правил в указанном VRF.
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик.
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик.
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ipv6 firewall counters trusted self
clear ipv6 firewall sessions
Данной командой осуществляется удаление активных IPv6-сессий.
Синтаксис
clear ipv6 firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR> ] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF.
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
<PORT> – TCP/UDP порт, принимает значения [1..65535];
inside-source-address – команда для указания IPv6-адреса источника, приходящих пакетов.
inside-destination-address – команда для указания IPv6-адреса назначения, приходящих пакетов.
outiside-source-address – команда для указания IPv6-адреса источника, отправляемых пакетов.
outside-destination-address – команда для указания IPv6-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP порта назначения в отправляемых пакетах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ipv6 firewall sessions vrf VRF1
description
Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности. Использование отрицательной формы команды (no) удаляет установленное описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание зоны безопасности, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE
CONFIG-ZONE-PAIR
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone)# description "Trusted interfaces"
enable
Данная команда используется для активирования правила.
Использование отрицательной формы команды (no) деактивирует правило.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# enable
ip firewall disable
Данная команда используется для отключения функции Firewall на сетевом интерфейсе.
Использование отрицательной формы команды (no) включает функцию Firewall на сетевом интерфейсе.
Синтаксис
[no] ip firewall disable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-SERIAL
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-E1
CONFIG-MULTILINK
CONFIG-CELLULAR-MODEM
CONFIG-VTI
CONFIG-GRE
CONFIG-IP4IP4
CONFIG-L2TP
CONFIG-LT
CONFIG-PPPOE
CONFIG-PPTP
CONFIG-OPENVPN
Пример
esr(config-if-gi)# ip firewall disable
ip firewall mode
Данная команда используется для выбора режима работы межсетевого экрана.
Использование отрицательной формы команды (no) устанавливает режим работы межсетевого экрана по умолчанию.
Синтаксис
ip firewall mode <MODE>
no ip firewall mode
Параметры
<MODE> – режим работы межсетевого экрана, может принимать значения:
- stateful – режим, при котором маршрутизатор отслеживает сессии. Первые пакеты сессии проходят полный цикл проверки согласно правил межсетевого экрана, а последующие пакеты сессии маршрутизируются без дополнительных проверок. Данное правило не распространяется на работу механизма DPI.
- stateless – режим, при котором маршрутизатор не отслеживает сессии. Каждый пакет проходит полный цикл проверки согласно правил межсетевого экрана, что существенно снижает производительность оборудования. Использование данного режима допустимо только в условиях крайней необходимости.
Значение по умолчанию
stateful
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config-if-gi)# ip firewall mode stateless
ip firewall sessions counters
Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах show ip firewall counters, show ip firewall sessions, show ipv6 firewall counters и show ipv6 firewall sessions .
Использование отрицательной формы команды (no) отключает счетчики сессий.
Синтаксис
[no] ip firewall sessions counters
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions counters
ip firewall sessions allow-unknown
Данной командой отключается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения.
Использование отрицательной формы команды (no) включает фильтрацию.
Синтаксис
[no] ip firewall sessions allow-unknown
Параметры
Команда не содержит параметров.
Значение по умолчанию
Включено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions allow-unknown
ip firewall sessions generic-timeout
Данной командой определяется время жизни сессии для неподдерживаемых протоколов, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions generic-timeout <TIME>
no ip firewall sessions generic-timeout
Параметры
<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].
Значение по умолчанию
60 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions generic-timeout 60
ip firewall sessions icmp-timeout
Данной командой определяется время жизни ICMP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions icmp-timeout <TIME>
no ip firewall sessions icmp-timeout
Параметры
<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions icmp-timeout 60
ip firewall sessions icmpv6-timeout
Данной командой определяется время жизни ICMPv6-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions icmpv6-timeout <TIME>
no ip firewall sessions icmpv6-timeout
Параметры
<TIME> – время жизни ICMPv6-сессии, принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions icmpv6-timeout 60
ip firewall sessions max-expect
Данной командой определяется размер таблицы сессий, ожидающих обработки.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions max-expect <COUNT>
no ip firewall sessions max-expect
Параметры
<COUNT> – размер таблицы, принимает значения [1..8553600].
Значение по умолчанию
256
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions max-expect 512
ip firewall sessions max-tracking
Данной командой определяется размер таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions max-tracking <COUNT>
no ip firewall sessions max- tracking
Параметры
<COUNT> – размер таблицы, принимает значения [1..8553600].
Значение по умолчанию
512000
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions max-tracking 256000
ip firewall sessions tcp-connect-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-connect-timeout <TIME>
no ip firewall sessions tcp-connect-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии "соединение устанавливается", принимает значения в секундах [1..8553600].
Значение по умолчанию
60 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tcp-connect-timeout 120
ip firewall sessions tcp-disconnect-timeout
Данной командой определяется время жизни TCP-сессии в состоянии "соединение закрывается", по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-disconnect-timeout <TIME>
no ip firewall sessions tcp-disconnect-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии "соединение закрывается", принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tcp-disconnect-timeout 10
ip firewall sessions tcp-estabilished-timeout
Данной командой определяется время жизни TCP-сессии в состоянии "соединение установлено", по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-estabilished-timeout <TIME>
no ip firewall sessions tcp-estabilished-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии "соединение установлено", принимает значения в секундах [1..8553600].
Значение по умолчанию
120 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tcp-estabilished-timeout 3600
ip firewall sessions tcp-latecome-timeout
Данной командой определяется время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-latecome-timeout <TIME>
no ip firewall sessions tcp-latecome-timeout
Параметры
<TIME> – время ожидания, принимает значения в секундах [1..8553600].
Значение по умолчанию
120 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tcp-latecome-timeout 10
ip firewall sessions tracking
Данной командой включается функция отслеживания сессий уровня приложений для отдельных протоколов.
Использование отрицательной формы команды (no) отключает функцию отслеживания сессий уровня приложений для отдельных протоколов.
Синтаксис
ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] }
no ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all }Параметры
<PROTOCOL> – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns].
<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060.
Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.
Значение по умолчанию
Отключено для всех протоколов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions tracking ftp
ip firewall sessions udp-assured-timeout
Данной командой определяется время жизни UDP-сессии в состоянии "соединение подтверждено", по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-assured-timeout <TIME>
no ip firewall sessions udp-assured-timeout
Параметры
<TIME> – время жизни UDP-сессии в состоянии "соединение подтверждено ", принимает значения в секундах [1..8553600].
Значение по умолчанию
180 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions udp-assured-timeout 3600
ip firewall sessions udp-wait-timeout
Данной командой определяется время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-wait-timeout <TIME>
no ip firewall sessions udp-wait-timeout
Параметры
<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip firewall sessions udp-wait-timeout 60
match application
Данной командой устанавливается профиль приложений, для которых должно срабатывать правило. Данная функция используется для фильтрации по приложениям (механизм DPI).
При использовании параметра «not» правило будет срабатывать для приложений, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] application <OBJ-GROUP-APPLICATION>
no match application
Параметры
<OBJ-GROUP-APPLICATION> – имя профиля приложений, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match application APP_DENY
match destination-address
Данной командой устанавливается профиль IP-адресов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address <OBJ-GROUP-NETWORK-NAME>
no match destination-address
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match destination-address local
match destination-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для связок IP-адресов и TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
no match destination-address
Параметры
<OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match destination-address local
match destination-mac
Данной командой устанавливается MAC-адрес получателя, для которого должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для MAC-адресов получателя, отличных от указанного.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-mac <ADDR>
no match destination-mac <ADDR>
Параметры
<ADDR> – МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match destination-mac A8:F9:4B:AA:00:40
match destination-nat
Данной командой устанавливается ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.
При использовании параметра «not» правило будет срабатывать для трафика, не измененного сервисом трансляции IP-адресов и портов получателя. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-nat
no match destination-nat
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match destination-nat
match destination-port
Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
match [not] destination-port <PORT-SET-NAME>
no match destination-port
Параметры
<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match destination-port ssh
match fragment
Данной командой определяются фрагментированные пакеты, направленные на устройство. Команда применима только в правилах между зонами any self. Под действие правила попадают второй и последующие фрагменты пакета. Обработка пакетов этим правилом происходит до трансляции адресов DNAT.
При использовании параметра «not» правило будет срабатывать для нефрагментированных пакетов.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] fragment
no match fragmen
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-pair-rule)# match fragment
match icmp
Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Данной командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех типов и кодов сообщений протокола ICMP, кроме указанных.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }no match icmp
Параметры
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];
<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP
<OPTION> – стандартные типы ICMP-сообщений, могут принимать значения:
- administratively-prohibited;
- alternate-address;
- conversion-error;
- dod-host-prohibited;
- dod-network-prohibited;
- echo;
- echo-reply;
- host-isolated;
- host-precedence;
- host-redirect;
- host-tos-redirect;
- host-tos-unreachable;
- host-unknown;
- host-unreachable;
- information-reply;
- information-request;
- mask-reply;
- mask-request;
- network-redirect;
- network-tos-redirect;
- network-tos-unreachable;
- network-unknown;
- network-unreachable;
- option-missing;
- packet-too-big;
- parameter-problem;
- port-unreachable;
- precedence;
- protocol-unreachable;
- reassembly-timeout;
- router-advertisement;
- router-solicitation;
- source-quench;
- source-route-failed;
- time-exceeded;
- timestamp-reply;
- timestamp-request;
- traceroute.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match icmp 2 any
match ip-option
Данной командой определяются пакеты, содержащие опции в IP-заголовках. Команда применима только в правилах между зонами any self.
При использовании параметра «not» правило будет срабатывать для пакетов, не содержащих опций в IP-заголовках.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] ip-option
no match ip-option
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-pair-rule)# match ip-options
match protocol
Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех протоколов, кроме указанного.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] protocol <TYPE>
no match protocol
match [not] protocol-id <ID>
no match protocol-id
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
При указании значения «any» правило будет срабатывать для любых протоколов;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match protocol udp
match source-address
Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для IP-адресов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address <OBJ-GROUP-NETWORK-NAME>
no match source-address <OBJ-GROUP-NETWORK-NAME>
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match source-address remote
match source-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для связок IP-адресов и TCP/UDP-портов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
no match source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
Параметры
<OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match source-address-port admin
match source-mac
Данной командой устанавливается MAC-адрес отправителя, для которого должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для MAC-адресов отправителя, отличных от указанного.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-mac <ADDR>
no match source-mac <ADDR>
Параметры
<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match source-mac A8:F9:4B:AA:00:40
match source-port
Данной командой устанавливается профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для TCP/UDP-портов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-port <PORT-SET-NAME>
no match source-port
Параметры
<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-zone-rule)# match source-port telnet
ports firewall enable
Данная команда активирует фильтрацию и режим отслеживания сессий при прохождении пакетов между членами Bridge-интерфейса.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
[no] ports firewall enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-BRIDGE
Пример
esr(config-bridge)# ports firewall enable
rate-limit pps
Данная команда ограничивает количество обрабатываемых правилом пакетов в секунду. Команда применима только в правилах между зонами any self и при условии действия action permit в этом правиле.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
rate-limit pps <RATE>
no rate-limit
Параметры
<PPS> – количество пакетов в секунду, принимает значения [1..10000].
Значение по умолчанию
Не ограничено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
esr(config-if-gi)# rate-limit pps 200
rearrange
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
esr(config-zone-pair)# rearrange 10
renumber rule
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
Параметры
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
esr(config-zone-pair)# renumber rule 13 100
rule
Данная команда используется для создания правила и перехода в командный режим SECURITY ZONE PAIR RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
esr(config-zone-pair)# rule 10 esr(config-zone-rule)#
security zone
Данная команда используется для создания зон безопасности и перехода в режим конфигурирования зоны.
Использование отрицательной формы команды (no) удаляет заданную зону безопасности.
Синтаксис
[no] security zone [ <NAME> | all ]
Параметры
<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security zone trusted esr(config-zone)#
security-zone
Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.
Синтаксис
security-zone <NAME>
no security-zone
Параметры
<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-SERIAL
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-CELLULAR-MODEM
CONFIG-E1
CONFIG-MULTILINK
CONFIG-VTI
CONFIG-GRE
CONFIG-IP4IP4
CONFIG-LT
CONFIG-PPPOE
CONFIG-PPTP
CONFIG-L2TP
CONFIG-OPENVPN
CONFIG-L2TP-SERVER
CONFIG-OPENVPN-SERVER
CONFIG-PPTP-SERVER
Пример
esr(config-if-gi)# security-zone trusted
security zone-pair
Данная команда используется для создания группы правил для пары зон безопасности.
Использование отрицательной формы команды (no) удаляет указанную группу правил.
Синтаксис
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE>
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик. На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# security zone-pair trusted self
show ip firewall counters
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip firewall counters trusted self Zone-pair Rule Action Pkts Bytes ------------------------------ ---------- --------------- ---------- ---------- any/any default deny 0 0 trusted/self 1 permit 0 0 trusted/trusted 1 permit 0 0
show ip firewall sessions
Данная команда используется для просмотра активных IP-сессий.
Синтаксис
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP порт, принимает значения [1..65535];
inside-source-address – команда для указания IP-адреса источника приходящих пакетов;
inside-destination-address – команда для указания IP-адреса назначения приходящих пакетов;
outiside-source-address – команда для указания IP-адреса источника отправляемых пакетов;
outside-destination-address – команда для указания IP-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP порта назначения в отправляемых пакетах;
summary – выводит суммарную статистику по IP-сессиям;
configuration – выводит настройку таймаутов и объема таблиц IP-сессий;
expected – команда для отображения сессий, ожидающих обработки других сессий.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip firewall sessions Prot Inside source Inside destination Outside source Outside destination Pkts Bytes --- ------------ ---------------- ------------- ---------------- ----- ---- vrrp 4.4.4.4 224.0.0.18 4.4.4.4 224.0.0.18 -- --
show ip firewall sessions tracking
Данной командой отображается настройка функционала отслеживания сессий уровня приложений.
Синтаксис
show ip firewall sessions tracking
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip firewall sessions tracking
Tracking Status:
FTP: Enabled
H.323: Enabled
GRE: Enabled
PPTP: Enabled
NETBIOS-NS: Enabled
SIP: Enabled
show ipv6 firewall counters
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ipv6 firewall counters trusted self Zone-pair Rule Action Pkts Bytes ------------------------------ ---------- --------------- ---------- ---------- any/any default deny 0 0 trusted/self 1 permit 0 0 trusted/trusted 1 permit 0 0
show ipv6 firewall sessions
Данная команда используется для просмотра активных IPv6-сессий.
Синтаксис
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<PORT> – TCP/UDP порт, принимает значения [1..65535];
inside-source-address – команда для указания IPv6-адреса источника приходящих пакетов;
inside-destination-address – команда для указания IPv6-адреса назначения приходящих пакетов;
outiside-source-address – команда для указания IPv6-адреса источника отправляемых пакетов;
outside-destination-address – команда для указания IPv6-адреса назначения отправляемых пакетов;
inside-source-port – ключ для указания TCP/UDP порта отправителя в приходящих пакетах;
outside-source-port – ключ для указания TCP/UDP порта отправителя в отправляемых пакетах;
inside-destination-port – ключ для указания TCP/UDP порта назначения в приходящих пакетах;
outside-destination-port – ключ для указания TCP/UDP порта назначения в отправляемых пакетах;
expected – команда для отображения сессий, ожидающих обработки других сессий;
summary – выводит суммарную статистику по IPv6-сессиям.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ipv6 firewall sessions Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ----- -------------- ------------------- -------------- -------------------- ----- ----- icmp6 fc00::2 fc00::2 fc00::2 fc00::2 -- -- icmp6 fc00::2 fc00::1 fc00::2 fc00::1 -- --
show security zone
Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.
Синтаксис
show security zone [<NAME>]
Параметры
<NAME> – имя зоны, задаётся строкой до 31 символа.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show security zone Zone name Interfaces ------------- ------------------------------------------ trusted gi1/0/2-6, gi1/0/8-24, bridge 1 untrusted gi1/0/1, te1/0/1-2, bridge 2
show security zone-pair
Данная команда используется для просмотра списка пар зон.
Синтаксис
show security zone-pair
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show security zone-pair From zone To zone ------------- ------------- trusted untrusted trusted trusted trusted self untrusted self
show security zone-pair configuration
Данная команда используется для просмотра правил для пары зон безопасности.
Синтаксис
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик;
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show security zone-pair configuration trusted self
Order: 1
Description: --
Matching pattern:
Protocol: tcp(6)
Src-addr: any
src-port: any
Dest-addr: any
dest-port: 23
0 0