网络安全 频道

Cisco IOS防火墙新特性的详细资料

  从一个更加技术的观点来看,CBAC使用几个加强机制:

  数据包检查监视数据包控制通道,识别控制通道中的应用专用指令,检测和预防应用级攻击。

  通过检查的包将被转发,而CBAC创建一个状态表来维护对话状态信息。如果状态表存在,表明(数据)包属于一个有效对话,回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的对话。

  当对话结束时,状态表被删除。在UDP(一种非连接的服务)情况下,CBAC通过根据地址/端口配对检查包来决定UDP对话,相应地中止UDP“对话”访问。

  CBAC根据状态表中的信息,动态地创建和删除每一个路由器接口的访问控制列入口。

  这些入口在集成的防火墙中创建暂时的“开口”,允许有效的回返通信流量进入网络。与状态表相似,动态ACL在对话结束时不被保存。CBAC适用于何处CBAC是根据每个接口配置的。CBAC可能被配置用于控制源于防火墙另一方的通信(双向);但是,大多数客户将CBAC用于仅源于一方的通信(单向)。将CBAC配置为一个单向控制,其中客户对话是在内部网内启动的,必须穿过防火墙才能访问一个主机。例如,一个分支办事处可能需要跨一个广域网连接或Internet访问企业服务器。CBAC根据需要打开连接,并监视回返通信流量。当一个防火墙双方都需要保护时,CBAC适合作为一个双向解决方案。这种配置的一个例子是在两个代理产品公司的网络之间,其中某些应用程序通信被限制在一个方向,其他应用程序在另一个方向。

0
相关文章