返回
cbac-基于上下文的访问控制协议

cbac-基于上下文的访问控制协议

ID:15451236

大小:146.00 KB

页数:14页

时间:2018-08-03

cbac-基于上下文的访问控制协议_第1页
cbac-基于上下文的访问控制协议_第2页
cbac-基于上下文的访问控制协议_第3页
cbac-基于上下文的访问控制协议_第4页
cbac-基于上下文的访问控制协议_第5页
资源描述:

《cbac-基于上下文的访问控制协议》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、一、CBAC技术介绍CBAC是一种允许路由器审查经过自己的流量,并且根据已经建立起来的状态信息决定允许某些流量或者拒绝某些流量通过的机制。CBAC动态修改扩展的访问控制列表以允许从外部发起的返回流量,CBAC提供对应用层和传输层协议的检查,同时基于检查数据包收集到的信息来控制会话的数量,同时也生成警告和审计信息。和ACL不同的是,普通的扩展ACL只能在第3,4层对流量进行过滤,RACL(自反射列表)能过滤第5层会话层的信息,CBAC支持应用服务的审查,能检查某些数据包的内容,如TELNET数据包内输入的命令;也能检查连接消息,确定连接的状态,CBAC能检查控制连接,确定数据

2、连接正在建立,并将该连接添加到状态表中。CBAC也支持多个多媒体协议,以及其他的执行这种功能的应用。同样,CBAC也可以对HTTP做检查,发现JAVA程序,并进行过滤。CBAC做为IOS的状态防火墙的工作如下:为需要进行审查的协议维持传输和应用状态。每一个连接都会创建一个连接状态,对于TCP协议而言,TCP的连接初始化序列号用来创建TCP的连接状态。对于UDP协议来说,只要CBAC审查到UDP数据包有特殊的地址和端口组合就创建一个连接状态。当TCP和UDP携带我们想要进行审查的应用服务时,CBAC就会针对应用服务的端口号来对有效负载进行审查。当连接终止时,同时删除连接状态。

3、携带有无效的TCP序列号的TCP数据包会被主动的丢弃。CBAC不支持IP分组重组装,CBAC允许非初始分片通过CBAC状态防火墙,同时维持分片的互连状态并校验分片以防止分片攻击的发生。CBAC对由路由器本身产生的数据包不做审查。二、CBAC工作流程1.一个用户发起一个到外部网络的访问连接,如HTTP。如果在路由器的内部接口上设置的入方向的ACL。那么在CBAC审查之前,首先需要ACL对此流量进行审查,只有不被ACL拒绝的流量才会进入到CBAC审查的步骤。而CBAC不一定对所有的流量进行审查,如果流量不需要进行转发,则路由器直接转发该流量。例中用户发起的HTTP需要进行审查,

4、则进行下一个步骤。2.IOS防火墙将该连接和状态表中的条目做比较:如果说状态表中没有该连接的条目,则创建一个条目,并重置连接的空闲计数器。3.如果是一个新的条目,则CiscoIOS在外部接口的入方向上动态的添加一条访问控制列表条目,以允许该流量返回。4.在较新的IOS版本上,已不会在外部接口的入方向上添加本条ACL条目,而是通过查看状态表来决定该流量是否允许进入。该特性成为FAB(FirewallACLBypass,FAB),且不能被关闭,此特性会使流量可以通过CEF进行快速交换从而提高路由器的性能。5.如果状态表中不存在流量的条目,则进入IOS路由器的流量通过外部接口的A

5、CL来实施策略。三、CBAC针对无状态化过滤的增强与无状态过滤的机时RACL(自反列表)相比较,CBAC具有以下的增强:1.TCP对于TCP来说,CBAC审查该连接并检查TCP报文中的控制位。如果CBAC看到TCP报文中的FIN标识,CBAC在外部接口的ACL上动态地删除生成的访问控制列表条目(较老的版本中),然后在状态表中删除有关该连接的条目。同时TCP连接空闲超过一定的时间后,CBAC也会对该连接进行删除。针对于TCP连接的建立时,当CBAC看到TCP报文中的SYN标识后的一段时间内,连接还没有建立的话,IOS同样会在ACL和状态表中删除有关该连接的条目。2.UDP对于

6、UDP而言,由于UDP是无连接的,CBAC无法像处理TCP数据一样处理UDP数据。CBAC会自行估计一个UDP连接的生命周期(默认是30秒),如果空闲时间超过这个生命周期值,CBAC会认为该连接已经结束,并删除状态表条目和访问控制列表条目(较老的版本中)。CBAC还可以审查DNS请求和回复消息,生命周期为5秒。3.ICMP针对ICMP流量做审查时,CBAC能针对ICMP的请求、应答、不可达、超时、时间戳请求和时间戳应答消息进行审查。和UDP连接一样,CBAC也会为ICMP流量提供一个生命周期,超过该周期后就删除状态表条目和访问控制列表条目(较老的版本中)。4.多连接的应用F

7、TP和多媒体应用等协议,是通过打开附加连接来进行数据的传输。CBAC为这些应用审查控制连接的同时,也能确定数据连接和其他连接是否正在被打开。当CBAC发现这些附加的连接时,会将连接的信息自动添加到状态表中,并在ACL内动态的添加条目以允许返回流量的进入(较老的版本中)。5.内嵌的地址信息对于CBAC支持的应用,CBAC也能审查这些连接,查看数据流量中是否有被嵌入的地址信息,如IP地址或端口号,并通过CiscoIOS在地址转换表中的转换条目来对这些地址信息做动态地修改。但是要注意的是,针对某些应用而言,CBAC只支持

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。