帧中继上实现点对多点的配置(ospf)逻辑子接口.

帧中继上实现点对多点的配置(ospf)逻辑子接口.

ID:14368112

大小:1.97 MB

页数:21页

时间:2018-07-28

帧中继上实现点对多点的配置(ospf)逻辑子接口._第1页
帧中继上实现点对多点的配置(ospf)逻辑子接口._第2页
帧中继上实现点对多点的配置(ospf)逻辑子接口._第3页
帧中继上实现点对多点的配置(ospf)逻辑子接口._第4页
帧中继上实现点对多点的配置(ospf)逻辑子接口._第5页
资源描述:

《帧中继上实现点对多点的配置(ospf)逻辑子接口.》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、石河子大学信息科学与技术学院<网络工程与技术>课程设计成果2014—2015学年第二学期题目名称:基于上下文的访问控制列表CBAC专业:计科12班级:计科2班学号:2012508062学生姓名:滕青青指导教师:曹传东完成日期:二○一五年七月十四日目录1.课题任务名称-2-1.1课题题目:-2-1.2课题任务:-2-2.理论背景/基础知识概述-2-2.1.2帧中继的四个主要功能-3-3.实践环境/条件及资源说明-5-4.实践任务内容-5-5.过程步骤说明-5-6.结论-17-7.总结与体会-18-附录A  参考文献-19-1

2、.课题任务名称1.1课题题目:配置思科路由器实现基于上下文的访问控制列表(CBAC防火墙)1.2课题任务:要求使用Dynamips模拟配置软件,在本任务中,要求首先搭建好所需的安全实验机架拓扑,然后演示通过在企业出口路由器上定义基于上下文的协议报文审查规则,实现只能让内网用户发起的流量才能被允许通过路由器并返回,对特定的网络所产生的网络流量产生警告和进行跟踪,本题还要求实现跟踪并分析FTP的主动和被动模式的区别。2.理论背景/基础知识概述2.1CBAC概述Context-BasedAccessControl(CBAC)基于

3、上下文的访问控制协议通过检查防火墙的流量来发现&管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ipinspect列表,允许为受允许会话放回流量和附加数据连接,打开这些通路。受允许会话是指来源于受保护的内部网络会话。CBAC不用于ACL(访问控制列表)并不能用来过滤每一种TCP/IP协议,但它对于运行TCP、UDP应用或某些多媒体应用(如Microsoft的NetShow或RealAudio)的网络来说是一个较好的安全解决方案。除此之外,CBAC在流量过滤、流量检查、警告

4、和审计蛛丝马迹、入侵检测等方面表现卓越。在大多数情况下,我们只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络。可以说,ACL与CBAC是互补的,它们的组合可实现网络安全的最大化。2.1.1CBAC原理CBAC指定了哪些协议及接口、接口方向(流入和流出)需要被检查,同指定了检查的起始。CBAC只对指定的协议进行检查。对于这些协议,只要数据包经过已配置检查策略的接口,那么无论它们从哪个方向通过防火墙都将被检查。进入防火墙的数据包只会在其第一次通过接口的入站ACL时才会被检察。如果数据包被A

5、CL拒绝,数据包会被简单的丢掉并且不会被CBAC检查。CBAC会追踪它监视的连接,创建包括每个连接信息的状态表。这个表和PIX使用的状态表很相似。CBAC监视TCP,UDP,和ICMP的连接并记录到状态表,并为返回的流量创建动态ACL条目,这点和RACL很相似。但是CBAC能够检测应用层的流量,这点是RACL不能实现的。CBAC使用状态表和动态ACL条目来检测和防止某些DoS攻击,尤其是TCP洪水攻击。2.1.2帧中继的四个主要功能帧中继具有如下四个主要功能:l流量过滤扩展ACL只能过滤3层和4层的流量,RACL能够过滤5

6、层的流量,而CBAC支持应用层的检测,即查看某些数据包的内容,如FTP,他能够分别查看控制连接或者数据连接,由于控制和数据使用的端口是分开的,所以这点对于CBAC来说是做不到的。CBAC甚至能够检测HTTP连接中使用的Java程序,并过滤他们。l流量检测CBAC不仅能像RACL那样检查返回到网络的流量,同时还能够防止TCPSYN洪水攻击:CBAC能够检测客户端到服务器连接的频率,如果到达一个限度,就会关闭这些连接。也可用来防止DoS分片攻击。l入侵检测CBAC是一个基于状态的防火墙机制,他也能够检测某些DoS攻击。提供对于

7、某些SMTPe-mail攻击的保护,限制某些SMTP命令发送到你内部网络的e-mail服务器。所有这些攻击都使CBAC产生日志信息,并且会选择性的重置TCP连接或者丢弃这些欺骗数据包。l一般的告警和审计CBAC对于检测到的问题或攻击能够产生实时的告警,对于连接请求提供详细的审计信息。例如,记录所有的网络连接请求,包括源和目的的IP地址,连接使用的端口,发送的数据大小,连接开始和结束的时间2.1.3CBAC的处理步骤1.用户发起一个到外部的连接,如Telnet。如果配置了进站ACL,则在CBAC检测之前先处理进站ACL。接着

8、根据CBAC的检测规则,CiscoIOS来检测或忽略这些连接。如果没有要检测的连接,CiscoIOS允许数据包的通过,否则跳入步骤2。2.CiscoIOS比较当前连接和状态表中的条目:如果条目不存在,则添加一条到状态表中,否则,CiscoIOS重置这个连接的空闲计时器(idletimer)3.如果这是一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。