▲配置过程<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1. Pick an interface: internal or external.(选择接口:内部or外部)

2. Configure IP ACLs at the interface.(配置ACL规则)

3. Define inspection rules.(定义检查规则)

4. Apply inspection rules and ACLs to interfaces.(应用规则到接口)

5. Test and verify.
 
Cisco IOS Firewall Configuration 常用配置命令

◎ip inspect audit-trail  (将警告信息输出到终端)

       no ip inspect alert-off  (开启实时警告)
       (conf ig)#logging on
(conf ig)#logging host 192.168.1.11  (将路由器上显示出来的警告(alert)传输到一台主机上,在主机上运行Kiwi Syslog 软件)
  ip inspect name inspection-name protocol [alert {on|off}] [audit-trail {on|off}] [timeout seconds]      (定义检查规则)
       (config-if)ip inspect inspection-name {in | out}    (应用规则到接口)
show ip inspect session [detail]     (验证命令)
show ip inspect all
show ip inspect ?
debug ip inspect ?

 

实例:
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
1、  分配好IP(记得配置默认路由),测试InsideOutside之间能否通信(Telnet测试InsideàOutside)
2、   FW(config)#access-list 100 deny ip any any    //定义访问规则,阻止所有IP协议通过
FW(config)#interface fa1/0
FW(config-if)#ip access-group <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />100 in       //应用规则到接口,(再用Telnet测试,已经不能通信了)

3、   FW(config)#ip inspect name Fwrule tcp
FW(config)#interface fa2/0
FW(config-if)#ip inspect Fwrule in       //对入向做检测  (Telnet ,发现这时候可以了 .  )
使用Inspect 当建立起会话时,相当于临时创建一条允许的规则

 

使用SDM来管理路由器能更高效地对路由器进行配置。
在路由上需配置:
       (config)#ip http server
       (config)#username cisco privilege secret cisco
       (config)#lien vty 0 4
       (config-line)#trasport input all