Cisco IOS防火墻:CBAC簡單配置

來源:本站原創 CISCO 超過880 views圍觀 0條評論

【簡 介】
CBAC: 是Cisco IOS防火墻特性集一個高級防火墻模塊:(context-based access control)即基于上下文的訪問控制,它不同于ACL(訪問控制列表),并不能用來過濾每一種TCP/IP協議,但它對于運行TCP、UDP應用或某些多媒體應用(如Microsoft的NetShow或Real Audio)的網絡來說是一個較好的安全解決方案。

實驗是用dynamips gui 做的 雖然截圖是packet tracer 但是 PT不支持這個。
  CBAC: 是Cisco IOS防火墻特性集一個高級防火墻模塊:(context-based access control)即基于上下文的訪問控制,它不同于ACL(訪問控制列表),并不能用來過濾每一種TCP/IP協議,但它對于運行TCP、UDP應用或某些多媒體應用(如Microsoft的NetShow或Real Audio)的網絡來說是一個較好的安全解決方案。除此之外,CBAC在流量過濾、流量檢查、警告和審計蛛絲馬跡、入侵檢測等方面表現卓越。在大多數情況下,我們只需在單個接口的一個方向上配置CBAC,即可實現只允許屬于現有會話的數據流進入內部網絡。可以說,ACL與CBAC是互補的,它們的組合可實現網絡安全的最大化。
  CISCO路由器的 access-list只能檢查網絡層或者傳輸層的數據包,而CBAC能夠智能過濾基于應用層的(如FTP連接信息)TCP和UDP的session;CBAC能夠在firewall access-list 打開一個臨時的通道給起源于內部網絡向外的連接,同時檢查內外兩個方向的sessions。
  CBAC可提供如下服務 :(1)狀態包過濾:對企業內部網絡、企業和合作伙伴互連以及企業連接internet提供完備的安全性和強制政策。 (2)Dos檢測和抵御:CBAC通過檢查數據報頭、丟棄可疑數據包來預防和保護路由器受到攻擊。(3)實時報警和跟蹤:可配置基于應用層的連接,跟蹤經過防火墻的數據包,提供詳細過程信息并報告可疑行為。
  先建立如圖1的拓撲并使之互相可以訪問通信。在路由器上做如下配置:

  Router(config)#access-list 101 permit tcp any host 192.168.0.1 eq www 定義任何人都可以訪問內網web服務
  Router(config)#access-list 101 deny ip any any 拒絕其他IP通信
  Router(config)#int f0/0
  Router(config-if)#ip access-group 101 out 應用到F0/0端口相對于ACL來說 是出方向
  Router(config-if)#exit
  CBAC的檢測規則可以指定所有網絡層以上的協議,通過ACL檢查的數據包由CBAC檢查來記錄包連接狀態信息,這個信息被記錄于一個新產生的狀態列表中
  Router(config)#ip inspect name asha http
  Router(config)#ip inspect name asha icmp
  Router(config)#ip inspect name asha tcp
  Router(config)#ip inspect name asha udp
  Router(config)#int f0/0
  Router(config-if)#ip inspect asha in 應用到CBAC相對應的進方向
  Router(config-if)#exit
  CBAC使用超時值和閾值確定會話的狀態及其持續的時間.可清除不完全會話和閑置會話,用以對Dos進行檢測和防護.
  Router(config)#ip inspect max-incomplete high 500 當半開會話數超過500時開始刪除
  Router(config)#ip inspect max-incomplete low 400 當半開會話數低于400時停止刪除
  Router(config)#ip inspect one-minute high 500 設置當開始刪除半開會話數時接受的會話數的速率
  Router(config)#ip inspect one-minute low 400 設置當停止開始刪除半開會話數時接受的會話數的速率
  之后發現,外網的主機ping不同內網主機(如圖2,3),按理來說就不可能訪問外網web服務器了,如圖4內網主機依然可以訪問外網web服務器。
  Router#show ip inspect sessions detail 用來查看連接狀態表的統計信息,包括所有會話
  Established Sessions
  Session 140798744 (192.168.0.2:1029)=>(192.168.1.2:http SIS_OPEN
  Created 00:00:02, Last heard 00:00:02
  Bytes sent (initiator:responder) [360:360]
  Out SID 192.168.1.2[0:0]=>192.168.0.2[0:0] on ACL 101 (3 matches)
  會發現CBAC維持具有連接信息的會話狀態表,只有當狀態表中的一個條目表明此分組屬于某個被允許的會話,會在防火墻中制造一個動態的通路,供返回流量使用。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=282轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏