Отключение Инспектора Протокола в определенных ситуациях (Partial Retirement of Protocol Inspector)
В определенных обстоятельствах, применение инспектора протокола (protocol inspector) к определенным соединениям может быть нежелательным. Для выключения проверки инспектором протокола (protocol inspection), укажите IP адреса отправителей и получателей, а также правило траффика(traffic rule) для определенного сервиса.
Пример:
Банковский клиент соединяется с банковским сервером через соответствующий протокол, поверх протокола TCP через порт 2000. Этот порт используется протоколом
Cisco SCCP
.Если инспектор протокола (protocol inspector) применяется к несовместимому протоколу , соединение не работает.
Предположим клиент банка запущен на хосте с адресом IP 192.168.1.15
и соединен с сервером server.bank.com.
По умолчанию порт 2000 используется
Cisco SCCP. Инспектор протокола SCCP будет применятся к траффику банковского клиента в обычных условиях. Как бы там ни было, это может повлиять на приложение и подвергнуть опасности защиту.
Следующее правило траффика будет определено для всего траффика банковского приложения:
В секции Configuration / Definitions / Services , определите сервис с именем Internet Banking: этот сервис будет использовать протокол TCP с портом 2000 и инспектор протокола не будет использоваться для соединений с таким сервисом.
В секции Configuration / Traffic Policy , создайте правило, которое разрешит траффик для этого сервиса между локальной сеткой и сервером банка. Укажите, что инспектор протокола выключен для этого случая.
Замечание:
По умолчанию в конфигурации секции Traffic rules , колонка инспектора протокола не показывается. Чтобы показать ее, измените установки в диалоге Modify columns (см. главу Views Setup).
Предупреждение:
Для выключения инспектора протокола, не достаточно определить сервис который не использует инспектор! Инспекторы проверяют весь траффик в соответствующих протоколах по умолчанию. Для выключения инспектора протокола ,специальное правило траффика должно быть указано.
