时间:2021-07-01 10:21:17 帮助过:32人阅读
CBAC 即 基于 上下文 的 访问 控制 协议,通过检查防火墙的流量来发现管理 TCP 和 UDP 的会话状态信息。这些状态信息被用来在防火墙 访问 列表创建临时通道。 通过在流量一个方向上配置 ip inspect 列表,放行其返回流量 。被允许会话是指来源于受保护的内部
CBAC即基于上下文的访问控制协议,通过检查防火墙的流量来发现管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量一个方向上配置ip inspect列表,放行其返回流量。被允许会话是指来源于受保护的内部网络会话。它不能用来过滤每一种TCP/IP协议,CISCO IOS支持检查的协议有:
Keyword Name | Protocol |
---|---|
cuseeme | CUSeeMe Protocol |
ftp | File Transfer Protocol |
h323 | H.323 Protocol (for example Microsoft NetMeeting or Intel Video Phone) |
http | HTTP Protocol |
rcmd | R commands (r-exec, r-login, r-sh) |
realaudio | Real Audio Protocol |
rpc | Remote Procedure Call Protocol |
smtp | Simple Mail Transfer Protocol |
sqlnet | SQL Net Protocol |
streamworks | StreamWorks Protocol |
tcp | Transmission Control Protocol |
tftp | TFTP Protocol |
udp | User Datagram Protocol |
vdolive | VDOLive Protocol |
有时我们需要为某些应用在一个方向上放行数据流,并只允许这些应用的返回流量制数据流通过,这时只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络,用户可以在一个或多个接口的2个方向上配置CBAC。
配置数据流过滤的第一步是决定是否在防火墙的一个内部接口或外部接口上配置CBAC。在该环境下,所谓“内部”是指会话必须主动发起以让其数据流被允许通过防火墙的一侧;“外部”是指会话不能主动发起的一侧(从外部发起的会话被禁止)。如果要在2个方向上配置CBAC,应该先在一个方向上使用适当的“Internal”和“External”接口指示配置CBAC。在另一个方向上配置CBAC时,则将该接口指示换成另一个。可以说,ACL与CBAC是互补的,把两者合理的组合起来可使网络更加安全。
特别要注意的是,CBAC只能用于IP数据流。只有TCP和UDP数据包能被检查,其他IP数据流 (如ICMP)不能被CBAC检查,只能采用访问控制列表对其进行过滤。在不做应用层协议审查时,像自反访问控制列表一样,CBAC可以过滤所有的TCP和UDP会话。只有连接的控制信道会被CBAC审查和监视,数据信道不会被审查。如在FTP会话中,控制信道(通常是TCP端口21)和数据信道(通常是TCP端口20)的状态变化都会被监视,但只有控制信道才会被审查。
CBAC提供高级的基于应用层的内容过滤功能包括: