关于新特性的详细资料

　　基于上下文的访问控制基于上下文的访问控制(CBAC)是CiscoIOS防火墙特性集最显著的新增特性。CBAC技术的重要性在于，它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在，紧密安全的网络不仅允许今天的应用通信，而且为未来先进的应用(例如多媒体和电视会议)作好了准备。

　　CBAC通过严格审查源和目的地址，增强了使用众所周知端口(例如ftp和电子邮件通信)的TCP和UDP应用程序的安全。CBAC的工作原理CBAC是一个适用于IP通信的基于每个应用的控制机制，包括标准TCP和UDPInternet应用程序、多媒体应用程序(包括H.323应用程序、CU-SeeME、VDOLive、Streamworks及其他应用程序)以及Oracle数据库。CBAC检查TCP和UDP包，并跟踪它们的“状态”或连接状态。TCP是一个面向连接的协议。在传输数据之前，源主机与一个目的主机洽谈连接，通常被称为“三向握手”。这种握手过程确保有效的TCP连接和无错的传输。在连接建立期间，TCP穿过几个"状态"或阶段(由数据包头标识的)。

　　标准和扩展的访问控制列肯(ACL)从包头状态来决定是否允许通信通过一个连接。CBAC通过检查整个(数据)包了解应用程序状态信息，给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、对话期特定的ACL入口，从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个对话期结束时，ACL入口被删除，大门关闭。标准和扩展的ACL不能创建暂时的ACL入口，因此直至目前，管理员一直被迫针对信息访问要求衡量安全风险。

　　利用标准或扩展的ACL，难以确保为回返通信流量选择通道的先进应用程序的安全。CBAC比目前的ACL解决方案更加安全，因为它根据应用类型决定是否允许一个对话通过防火墙，并决定是否为回返通信流量从多个通道进行选择。在CBAC之前，管理员仅通过编写基本上使防火墙大门洞开的永久性ACL，就能够许可先进的应用通信，因此大多数管理员选择否决所有这类应用通信。现在，有了CBAC，通过在需要时打开防火墙大门和其他时候关闭大门，他们能够安全地许可多媒体和其他应用通信。例如，如果CBAC被配置成允许MicrosoftNetMeeting，那么当一个内部用户初始化一次连接时，防火墙允许回返通信。但是，如果一个外部NetMeeting来源与一个内部用户出始化连接时，CBAC将否决进入，并撤消数据包。