-
您的位置:首页 → 资讯 → 知识加油站 → CBAC的合理配置提高升Cisco路由器安全
CBAC的合理配置提高升Cisco路由器安全
时间:2010/12/11 16:14:40来源:本站整理作者:学学我要评论(0)
-
该入方访问控制列表应该拒绝想要让CBAC检查的数据流。所以,ACL并不要靠,需要CBAC(基于上下文的访问控制)的配合,如此网络安全性将会极大提拔。本文将和大家一起探究Cisco路由器上CBAC的部署的技术细节及其相干技巧。
一、CBAC简述
CBAC(context-based access control)即基于上下文的访问控制,它不用于ACL(访问控制列表)并不能用来过滤每一种TCP/IP协议,但它对于运行TCP、UDP应用或某些多媒体应用(如Microsoft的NetShow或Real Audio)的网络来说是一个较好的安全解决方案。另外,CBAC也可以检测不寻常的新连接建立速率,并发出告警消息。在大多数情况下,我们只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络。可以说,ACL与CBAC是互补的,它们的组合可实现网络安全的最大化。
二、CBAC的合理配置
1.CBAC配置前的评估
在进行CBAC配置之前需要对网络的安全准则、应用需求等方面进行评估然后根据需要进行相应的配置。通常情况下,用户可以在一个或多个接口的2个方向上配置CBAC。如果防火墙两端的网络都需要受保护的话,如在Extranet或Intranet的配置中,就可以在2个方向上配置CBAC。若防火墙被放置在2个合作伙伴公司网络的中间,则可能想要为某些应用在一个方向上限定数据流,并为其它应用在反方向上限定数据流。
(1).配置一个包罗允许来自不受保护网络的某些ICMP数据流条目的访问控制列表。只有TCP和UDP数据包能被检查,其他IP数据流
(如ICMP)不能被CBAC检查,只能采用基本的访问控制列表对其进行过滤。在不作应用层协议审查时,像自反访问控制列表一样,CBAc可以过滤所有的TCP和UDP会话。但CBAC也可以被配置来有效地处理多信道(多端口)应用层协议:cu-SeeMe(仅对whitePine版本)、FTP、H.323(如NetMeeting和ProShare)、HTTP(Java拦阻)、Java、MicrosftNetshow、UNIX的r系列命令(如rlogin、rexec和rsh);RealAudio、RPC(SunRPc,非DCERPC)MircosoftRPC、SMTP、SQL.Net、StreamWorks、TFTP、VDOLive。
2.选择配置接口
为了恰当地配置CBAc,首先必须确定在哪个接口上配置CBAC。下面描述了内部口和外部接口间的不同之处。
配置数据流过滤的第一步是决定是否在防火墙的一个内部接口或外部接口上配置CBAC。大量的半开连接会吞没办事器,导致它拒绝正常的请求提供办事。如果要在2个方向上配置CBAc,应该先在一个方向上使用适当的“Intemal”和“Extemal”接口指示配置CBAC。在另一个方向上配置CBAC时,则将该接口指示换成另一个。
CBAC常被用于2种基本的网络拓扑结构之一。确定哪种拓扑结构与用户自己的最吻合,可以帮助用户决定是否应在一个内部接口或是在一个外部接口上配置CBAC。
图l给出了第1种网络拓扑结构。在该简单的拓扑结构中,CBAC被配置在外部接口S0上。这可以防止指定的协议数据流进入该防火墙路由器和内部网络,除非这些数据是由内部网络所提倡会话的一部分。
相关阅读
CISCO路由器ADSL PPPOE的配置教程恢复Cisco路由器密码方法介绍CISCO路由器配置手册-交换机间链路CISCO思科路由器虚拟局域网(VLAN)配置手册CISCO路由器配置手册-PSTNCISCO路由器配置手册-HDLCCISCO路由器配置手册CISCO路由器初始配置简介
-
热门文章
携号转网什么时候实行谷歌浏览器“Adobe Fl2015双11怎么抢红包_2odysseusota4win图文教
最新文章
2022蚂蚁庄园6月22日今2022蚂蚁庄园6月21日今
2022蚂蚁庄园6月20日今日答案 度量衡是我国2022蚂蚁庄园6月17日今日答案 夏季甜品烧仙2022蚂蚁庄园6月16日今日答案 为了减肥每天2022蚂蚁庄园6月15日今日答案 卫生纸和面巾
人气排行
B站答题答案大全 哔哩哔哩答题答案2019弹幕ipad3和ipad2的8大区别nfc功能是什么 nfc怎么用 NFC功能的手机有哪全国青少年禁毒知识竞赛在线答题 全国青少年bd版是什么意思?bd版和dvd版哪个好?手机cpu天梯图2020最新版11月 手机cpu性能天BD职位是什么?BD职业解析!硬盘划分主分区、扩展分区、逻辑分区、活动
查看所有0条评论>>