CBAC 即 基于 上下文 的 访问 控制 协议,通过检查防火墙的流量来发现管理 TCP 和 UDP 的会话状态信息。这些状态信息被用来在防火墙 访问 列表创建临时通道。 通过在流量一个方向上配置 ip inspect 列表,放行其返回流量 。被允许会话是指来源于受保护的内部
CBAC 即 基于 上下文 的 访问 控制 协议,通过检查防火墙的流量来发现管理 TCP 和 UDP 的会话状态信息。这些状态信息被用来在防火墙 访问 列表创建临时通道。 通过在流量一个方向上配置 ip inspect 列表,放行其返回流量 。被允许会话是指来源于受保护的内部网络会话。它不能用来过滤每一种 TCP/IP 协议, CISCO IOS支持检查的协议有:
Keyword Name Protocol cuseeme CUSeeMe Protocol ftp File Transfer Protocol h323 H.323 Protocol (for example Microsoft NetMeeting or Intel Video Phone) http HTTP Protocol rcmd R commands (r-exec, r-login, r-sh) realaudio Real Audio Protocol rpc Remote Procedure Call Protocol smtp Simple Mail Transfer Protocol sqlnet SQL Net Protocol streamworks StreamWorks Protocol tcp Transmission Control Protocol tftp TFTP Protocol udp User Datagram Protocol vdolive VDOLive Protocol
有时我们需要为某些应用在一个方向上放行数据流,并只允许这些应用的返回流量制数据流通过,这时只需在单个接口的一个方向上配置 CBAC ,即可实现只允许属于现有会话的数据流进入内部网络,用户可以在一个或多个接口的 2 个方向上配置 CBAC 。
配置数据流过滤的第一步是决定是否在防火墙的一个内部接口或外部接口上配置 CBAC 。在该环境下,所谓 [ 内部 ] 是指会话必须主动发起以让其数据流被允许通过防火墙的一侧 ;[ 外部 ] 是指会话不能主动发起的一侧 ( 从外部发起的会话被禁止 ) 。如果要在 2 个方向上配置 CBAC ,应该先在一个方向上使用适当的 [Internal] 和 [External] 接口指示配置 CBAC 。在另一个方向上配置 CBAC 时,则将该接口指示换成另一个。可以说, ACL 与 CBAC 是互补的,把两者合理的组合起来可使网络更加安全。
特别要注意的是, CBAC 只能用于 IP 数据流。只有 TCP 和 UDP 数据包能被检查,其他 IP 数据流 ( 如 ICMP) 不能被 CBAC 检查,只能采用 访问 控制 列表对其进行过滤。在不做应用层协议审查时,像自反 访问 控制 列表一样, CBAC 可以过滤所有的 TCP 和 UDP 会话。只有连接的 控制 信道会被 CBAC 审查和监视,数据信道不会被审查。如在 FTP 会话中, 控制 信道 ( 通常是 TCP 端口 21) 和数据信道 ( 通常是 TCP 端口 20) 的状态变化都会被监视,但只有 控制 信道才会被审查。
CBAC 提供高级的 基于 应用层的内容过滤功能包括 :
流量过滤: CBAC 能够 基于 应用层智能地过滤 TCP/UDP 包 , 甚至过滤的连接可以从被保护的网络发起 . 所以 CBAC 可以检测防火墙任意一边发起的流量 . 如果没有 CBAC, 流量过滤只能停留在网络层及以下 ( 普通 ACL), 最多是传输层 ( 自反列表 )。CBAC 不仅可以检测网络层、应用层的信息,而且能通过检测应用层信息(比如 FTP 连接信息、 RPC 和 sql*net )来识别会话的状态。通过 CBAC ,可以防止普通的恶意的 JAVA 程序入侵网络 . 通过配置,可以允许用户只能运行内部 JAVA 脚本或者是外部的被信任的脚本。 流量检测: CBAC 通过检查出口流量来建立临时会话表允许回包通过。通过检测应用层,维持 TCP/UDP 会话信息, CBAC 可以防止一些网络攻击比如刚 SYN-flooding.SYN-flooding 是一种 DoS 攻击 . 黑客通过向服务器发送大量的不能建立全连接的连接请求导致服务器资源耗尽而崩溃而不能提供正常的服务。 CBAC 通过检测包的 TCP 连接序列号是否在合理的范围内来决定丢弃可疑的包 . 可以配置 CBAC 丢弃半连接状态的连接 . 而且 CBAC 可以检测到非正常的大量的连接并且产生警报。 CBAC 还可以防止一些分段 IP 包的 DOS 攻击 . 因为黑客可以通过发送许多非初试化的 IP 分段或者完整的分段包通过路由器 , 而这是被路由器 ACL 允许的 , 这样的包到达服务器或者主机后会导致注意花时间来试这重组不完整的包。 警报和审计: CBAC 同时会产生实时的警报和审计信息 . 增强的审计信息通过使用 SYSLOG 来跟踪所有网络流量 . 你可以具体到只审计某个应用程序产生的信息。 入侵检测: CBAC 为 SMTP 只提供有限的入侵检测 . 在中或高端路由器上 ,CBAC 提供专门的 IDS。 能使路由器更安全地部署在边界上。
查看更多关于Context-BasedAccessControl(CBAC)基于上下文的访问控制理的详细内容...