Защита сети путем использования CBAC

CBAC - Context Based Access List технология инспектирующая сеансы связи и создающая временные разрешения во входном списке доступа. Суть в следующем:

На внешний интерфейс вешается список доступа запрещающий все на вход

При инициализации содинения изнутри наружу, во входном списке доступа, временно создается правило, разрешающее входящие пакеты, предназначенные для этого соединения.

Теперь собственно к делу.

Создаем список протоколов, которые подвергнутся инспекции, можно например сделать только www и т.д. или полностью tcp. Для примера приведен список с tcp, udp и icmp

ip inspect name FIREWALL tcp
ip inspect name FIREWALL udp
ip inspect name FIREWALL icmp

Теперь нам нужен запрещающий список доступа, но не забываем разрешить например ssh, иначе снаружи не попадем на маршрутизатор.

ip access-list extended FIREWALL_ACL

 permit object-group IPSEC_VPN_OGS any any

 permit tcp any any eq 22

 permit icmp any any

 deny   ip any any

В данном примере есть еще разрешение для группы сервисов IPSEC_VPN_OGS 

object-group service IPSEC_VPN_OGS

 udp eq isakmp

 udp eq non500-isakmp

 esp

 ahp

Эта группа нужна, чтобы работал IPSec VPN.

Ну и остается, на внешнем интерфейсе включить инспекцию на выход, и список доступа на вход

interface GigabitEthernet0/0

 description "Internet"

 ip access-group FIREWALL_ACL in

 ip inspect FIREWALL out

Теперь должно все работать