配置cbac(context-based access control)
2008-02-23 04:53:32来源:互联网 阅读 ()
配置cbac.(context-based access control,基于上下文的访问控制。)
cbac提供一种流量过滤功能,而且能用来作为网络防火墙的智能部分。
cbac能干啥?
cbac用来能提供以下多级网络保护:
流量过滤,流量检查,警告和审计蛛丝马迹,入侵检测。
流量过滤
cbac智能地基于应用层协议会话信息过滤tcp和udp包,你可以配cbac来允许指定的tcp和udp流量仅当连接由你保护的网络中发起时穿过防火墙。cbac可以拦截起源于防火墙任意方向的流量,而且cbac可以用在网络内部,网络外部,和互联网边缘。
没有cbac,流量过滤是仅限于在网络层检查访问列表,或者最多也就是在传输层。但cbac检查的不仅是网络层和传输层的信息,也检查应用层的信息(如,ftp连接信息),学习关于会话的状态信息,这就允许支持有多通道协商的协议。大多数多媒体协议如ftp,rpc,和sql*net)就有多通道参与。
使用cbac,java封锁,可以配置用来基于服务器地址或者完全地拒绝镶嵌了压缩包的java小程序。使用java,你必须保护用户下载使用他们的时候对网络造成的不良风险。为了更好的保护网络,降低风险,你也许需要所有用户在他们的浏览器中禁用java。如果这个方案不可行,那你可以建立一个cbac拦截规则来在防火墙过滤,如果是用户必须使用的java程序就放行。如果要进行更广泛的java,active-x内容过滤或者病毒扫描,你应改考虑购买指定的过滤产品。
流量检查
cbac检查穿过防火墙的流量来探索和管理tcp和udp会话的状态信息。这个状态信息是用来建立临时通道打开防火墙的访问控制列表允许的流量返回,以及允许会话的附加数据连接。
在应用层检查包,维护tcp和udp会话信息,提供给cbac探测和阻止一定类型网络攻击(如:syn-flooding)的能力。syn-flood攻击产生在网络攻击者用半开的连接翻洪服务器的时候,导致对正常的服务请求决绝。这就是传说中的dos。
cbac帮助保护防止受到dos攻击。cbac监视tcp连接中的包状态序列号来看是否他们已越位了?cbac扔掉任意可以的包,你也可以配置cbac扔掉半开连接,那就需要更多的处理器和内存资源。另外,cbac可以探测少数非正常速率的新连接,而且还能发出警告信息。
cbac也能保护分段ip包dos。尽管防火墙能阻止攻击者连接到假设主机,攻击者仍然可以瓦解这个主机提供的服务。这是用发许多非初始的ip分段或者发完整分段包穿过止过滤分段的第一段包的路由器。这些分段可以绑定一些可以从新组装的包的一些信息。
警告和审计蛛丝马迹
cbac也能生成实时警报和审计痕迹。加强审计特性用SYSLOG来跟踪所有网络处理情况,记录时间戳,源目的使用的端口和传输字节的总数,更高级的还有,基于会话的报告。实时警报基于积极的探测可疑情况发给SYSLOG错误信息到中央管理控制台。使用cbac监视规则,你可以配置警报和跟踪信息,基于每一个协议。例如。你想要生成关于http流量的跟踪信息,你可以在cbac规则中加入制定的条目。
入侵检测
cbac提供一种有限的入侵检测保护指定的smtp攻击。使用入侵检测,SYSLOG信息显示和监控制定的“攻击特征”。特定的网络攻击类型有指定的角色或特征。当cbac检测到攻击,他复位有关连接,发SYSlog到SYSlog服务器。
cbac提供附加的有限的入侵检测,cisco ios防火墙特性集提供入侵检测技术给中等级别和高端路由器平台使用cisco ios防火墙IDS。这个是考虑到网络大小,尤其是路由器作为附加和扩展的安全性,在网络段之间是需要的。
它也能保护企业内部网和外部网连接的附加安全,也管分支办公室站点连接到总部或者internet。
cisco ios防火墙入侵检测能识别59种常见的攻击,使用特征来探测网络流量滥用。入侵检测特征在cisco ios防火墙入侵检测特性集的新版本中选择了宽泛的入侵检测特征穿越区。特征们能有效阻止对安全构成危险的大多数普同网络攻击和攫取信息的扫描。
cbac不能干啥?
cbac 不能提供智能的过滤所有协议,它仅能在你的制定下工作。如果你没有制定一个协议给cbac,那么已存在的访问列表将决定协议是否被过滤。不会给未指定的协议开临时通道。
cbac不会保护源于受保护网络的攻击,除非流量穿越一个有ios防火墙特性的路由器。cbac只检测和保护穿过防火墙的攻击流量。这个时候你可能需要再在内网放一个路由器咯。
cbac保护固定类型的攻击,但是不是每一种类型的攻击。cbac不能被认为是完美的和难以渗透的防御。其实一个技能高超攻击者可能实施有效的攻击。而且没有完美的防御,cbac探测和组织大多数流行的攻击。
ACL 100 denies TCP and UDP traffic from any source or destination while permitting specific ICMP protocol traffic. The final
deny statement is not required, but is included for explicitness—the final entry in any ACL is an implicit denial of all IP
protocol traffic.
Router(config)# access-list 100 deny tcp any any
Router(config)# access-list 100 deny udp any any
Router(config)# access-list 100 permit icmp any any echo-reply
Router(config)# access-list 100 permit icmp any any time-exceeded
Router(config)# access-list 100 permit icmp any any packet-too-big
Router(config)# access-list 100 permit icmp any any traceroute
Router(config)# access-list 100 permit icmp any any unreachable
Router(config)# access-list 100 deny ip any any
ACL 100 is applied inbound at interface Ethernet1/1 to block all access from the unprotected network to the protected
network.
Router(config)# interface Ethernet1/1
Router(config-if)# ip access-group 100 in
An inspection rule is created for "hqusers" that covers two protocols: RTSP and H.323.
Router(config)# ip inspect name hqusers rtsp
Router(config)# ip inspect name hqusers h323
The inspection rule is applied inbound at interface Ethernet1/0 to inspect traffic from users on the protected network. When
CBAC detects multimedia traffic from the protected network, CBAC creates dynamic entries in access list 100 to allow return
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
下一篇:Cisco IOS进程调试
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash