配置cbac

来源:本站原创 CISCO 超过1,591 views围观 0条评论

.(context-based access control,基于上下文的访问控制。)

cbac提供一种流量过滤功能,而且能用来作为网络防火墙的智能部分。
cbac能干啥?
cbac用来能提供以下多级网络保护:
流量过滤,流量检查,警告和审计蛛丝马迹,入侵检测。
流量过滤
cbac智能地基于应用层协议会话信息过滤tcp和udp包,你可以配 cbac来允许指定的tcp和udp流量仅当连接由你保护的网络中发起时穿过防火墙。cbac可以拦截起源于防火墙任意方向的流量,而且cbac可以用在网络内部,网络外部,和互联网边缘。
没有cbac,流量过滤是仅限于在网络层检查访问列表,或者最多也就是在传输层。但cbac检查的不仅是网络层和传输层的信息,也检查应用层的信息(如,ftp连接信息),学习关于会话的状态信息,这就允许支持有多通道协商的协议。大多数多媒体协议如ftp,rpc,和sql*net)就有多通道参与。
使用cbac,java封锁,可以配置用来基于服务器地址或者完全地拒绝镶嵌了压缩包的java小程序。使用java,你必须保护用户下载使用他们的时候对网络造成的不良风险。为了更好的保护网络,降低风险,你也许需要所有用户在他们的浏览器中禁用java。如果这个方案不可行,那你可以建立一个cbac拦截规则来在防火墙过滤,如果是用户必须使用的java程序就放行。如果要进行更广泛的java,active-x内容过滤或者病毒扫描,你应改考虑购买指定的过滤产品。
流量检查
cbac检查穿过防火墙的流量来探索和管理tcp和udp会话的状态信息。这个状态信息是用来建立临时通道打开防火墙的访问控制列表允许的流量返回,以及允许会话的附加数据连接。
在应用层检查包,维护tcp和udp会话信息,提供给cbac探测和阻止一定类型网络攻击(如:syn-flooding)的能力。syn-flood攻击产生在网络攻击者用半开的连接翻洪服务器的时候,导致对正常的服务请求决绝。这就是传说中的dos。
cbac帮助保护防止受到dos攻击。cbac监视tcp连接中的包状态序列号来看是否他们已越位了?cbac扔掉任意可以的包,你也可以配置cbac扔掉半开连接,那就需要更多的处理器和内存资源。另外,cbac可以探测少数非正常速率的新连接,而且还能发出警告信息。
cbac也能保护分段ip包dos。尽管防火墙能阻止攻击者连接到假设主机,攻击者仍然可以瓦解这个主机提供的服务。这是用发许多非初始的ip分段或者发完整分段包穿过止过滤分段的第一段包的路由器。这些分段可以绑定一些可以从新组装的包的一些信息。
警告和审计蛛丝马迹
cbac也能生成实时警报和审计痕迹。加强审计特性用SYSLOG来跟踪所有网络处理情况,记录时间戳,源目的使用的端口和传输字节的总数,更高级的还有,基于会话的报告。实时警报基于积极的探测可疑情况发给SYSLOG错误信息到中央管理控制台。使用cbac监视规则,你可以配置警报和跟踪信息,基于每一个协议。例如。你想要生成关于http流量的跟踪信息,你可以在cbac规则中加入制定的条目。
入侵检测
cbac提供一种有限的入侵检测保护指定的smtp攻击。使用入侵检测,SYSLOG信息显示和监控制定的“攻击特征”。特定的网络攻击类型有指定的角色或特征。当cbac检测到攻击,他复位有关连接,发SYSlog到SYSlog服务器。
cbac提供附加的有限的入侵检测,cisco ios防火墙特性集提供入侵检测技术给中等级别和高端路由器平台使用cisco ios防火墙IDS。这个是考虑到网络大小,尤其是路由器作为附加和扩展的安全性,在网络段之间是需要的。
它也能保护企业内部网和外部网连接的附加安全,也管分支办公室站点连接到总部或者internet。
cisco ios防火墙入侵检测能识别59种常见的攻击,使用特征来探测网络流量滥用。入侵检测特征在cisco ios防火墙入侵检测特性集的新版本中选择了宽泛的入侵检测特征穿越区。特征们能有效阻止对安全构成危险的大多数普同网络攻击和攫取信息的扫描。

cbac不能干啥?
cbac 不能提供智能的过滤所有协议,它仅能在你的制定下工作。如果你没有制定一个协议给cbac,那么已存在的访问列表将决定协议是否被过滤。不会给未指定的协议开临时通道。
cbac不会保护源于受保护网络的攻击,除非流量穿越一个有ios防火墙特性的路由器。cbac只检测和保护穿过防火墙的攻击流量。这个时候你可能需要再在内网放一个路由器咯。
cbac保护固定类型的攻击,但是不是每一种类型的攻击。cbac不能被认为是完美的和难以渗透的防御。其实一个技能高超攻击者可能实施有效的攻击。而且没有完美的防御,cbac探测和组织大多数流行的攻击。

ACL 100 denies TCP and UDP traffic from any source or destination while permitting specific ICMP protocol traffic. The final

deny statement is not required, but is included for explicitness—the final entry in any ACL is an implicit denial of all IP

protocol traffic.

Router(config)# access-list 100 deny tcp any any
Router(config)# access-list 100 deny udp any any
Router(config)# access-list 100 permit icmp any any echo-reply
Router(config)# access-list 100 permit icmp any any time-exceeded
Router(config)# access-list 100 permit icmp any any packet-too-big
Router(config)# access-list 100 permit icmp any any traceroute
Router(config)# access-list 100 permit icmp any any unreachable
Router(config)# access-list 100 deny ip any any

ACL 100 is applied inbound at interface Ethernet1/1 to block all access from the unprotected network to the protected

network.

Router(config)# interface Ethernet1/1
Router(config-if)# ip access-group 100 in

An inspection rule is created for "hqusers" that covers two protocols: RTSP and H.323.

Router(config)# ip inspect name hqusers rtsp
Router(config)# ip inspect name hqusers h323

The inspection rule is applied inbound at interface Ethernet1/0 to inspect traffic from users on the protected network. When

CBAC detects multimedia traffic from the protected network, CBAC creates dynamic entries in access list 100 to allow return

traffic for multimedia sessions.

Router(config)# interface Ethernet1/0
Router(config-if)# ip inspect hqusers in

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文标题:配置cbac
本文链接:http://www.jdccie.com/?p=1703转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
下篇文章:
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!