返回
基于上下文的访问控制

基于上下文的访问控制

ID:36619105

大小:765.15 KB

页数:20页

时间:2019-05-13

基于上下文的访问控制_第1页
基于上下文的访问控制_第2页
基于上下文的访问控制_第3页
基于上下文的访问控制_第4页
基于上下文的访问控制_第5页
资源描述:

《基于上下文的访问控制》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、下载第7章基于上下文的访问控制第6章介绍了自反访问表。自反访问表允许在向内的访问表中创建动态开启表项,以响应向外的数据连接。在此,向外的意思是指从可信网络到一个不可信网络的报文传输,例如从用户的内部LAN到Internet。该功能允许那些来自可信网络的通信报文,只有在报文是作为从内部网发起的会话的一部分时,才能进入到内部网络。这种功能是对那些使用“established”关键字的传统扩展访问表的增强,而自反访问表又不能处理诸如FTP、CU-SeeMe及H.323等此类的多通道应用。多通道(multichann

2、el)应用将一条链路用于在客户和服务器之间传送命令,并且使用另一条链路—也可能是多条链路—用于在客户和服务器之间传送数据。用做数据通道的连接经常是沿着服务器到客户端的方向发起的。如果不了解这些应用的行为,路由器就不能知道从服务器到客户的数据通道是应该被允许,还是应该被拒绝访问。如前面所讨论的那样,自反访问表只能安全地处理单通道应用,例如DNS和telnet,从而使得这些应用在许多企业网络应用中受限。基于上下文的访问控制(Context-BasedAccessControl,CBAC)克服了这种不足,并且允许安

3、全地处理多个多通道应用。CBAC从IOS11.2开始引入,并采用一种特别的发布方式,称为防火墙特征集(FirewallFeatureSet),简称为FFS。原来的版本只在1600和2500系列平台上才有。在版本12.0T中,FFS可用于800、UBR900、1600、1700、2500、2600、3600、7100和7200系列的路由器平台上。本章将集中讨论其操作和使用。而后,使用CBAC来满足多个应用的安全需求。7.1概述CBAC的工作方式类似于自反访问表。它会检查向外的会话,并且创建临时开启表项来允许返回

4、的通信报文。其不同之处在于CBAC可以基于上层信息进行检测,以及可以安全地处理大量应用。自反访问表与传统的访问表一样,不能检测高于第4层的信息。换句话说,它们除了正在使用的TCP/UDP端口和IP地址外不能检测到任何信息。它们也不能根据应用的行为作出任何智能的操作。例如,自反访问表不能打开特定的附加端口用于FTP,而将另外一些端口用于CU-SeeMe流量。相比而言,CBAC可以为这些应用,甚至更多的应用打开所需的端口。CBAC可以为许多应用提供智能过滤功能,这些应用列在表7-1中。表7-1CBAC可以安全处理

5、的应用“单通道的”TCP(如Telnet)“单通道的”UDP(如DNS)Cu-SeeMe(WhitePine版)FTPH.323(NetMeeting,ProShare等)Java(嵌入到HTTP中的applets)MicrosoftNetShow(12.05T中的新功能)Unixr-命令(rlogin、rexec等)72Cisco访问表配置指南下载(续)RealAudioRPC(Sun版)SMTPSQL*NetStreamWorksTFTPVDOLiveIP分段(12.05T中的新功能)注意:由于IP分段中

6、的状态信息可能会被滞留,从而第一个分段以后的IP分段会被阻塞,或者根据保留在第一个IP分段中的高层信息,可以允许后继IP分段。在12.0.5T版本之前,第一个IP分段以后的报文片段总是允许通过路由器的,即使第一个IP分段被阻塞。注意,如果当其他IP分段报文先于第一个IP分段报文到达路由器接口时,这种特性就会出现问题。路由器将不会有关于这些分段的任何状态信息,从而所有先于第一个IP分段报文到达的其他IP分段报文都会被丢弃。这样,一些分段报文将不能到达目的地,从而整个报文需要源设备重传。7.2特征CBAC在报文进

7、入或离开指定接口时,对报文进行检查。包含诸如IP地址和第4层端口号的报文信息被存放在报文的状态信息表中。CBAC使用该表在访问表中创建临时开启表项,用于检查返回的流量。CBAC也在TCP转换中检查序列号,以保证它们落在预期的范围内。另外,CBAC检查应用层信息的特定协议,以保证合理的返回流量通过路由器到达内部网络。例如,CBAC监视一个向外的FTP会话,并且允许最终的数据连接可以沿FTP服务器到原来客户的方向建立。CBAC知道FTP应用的行为,并且能够智能地在向内的路由器访问表中创建所需的开启表项。它可以通过

8、如下操作实现这一过程:监视FTP的命令通道,检查PORT和RASV命令,并且评测其内容是否符合要求。例如,包含在PORT命令中的IP地址必须与起初的FTP请求中的IP地址相同。CBAC对表7-1中所列的其他协议的处理也与此类似,它检查应用层命令通道,以保证应用请求的正确性。当然,单单具有这个特性还是不够的,CBAC另外还提供如下特性:¥Java阻塞。¥拒绝服务保护和检测。¥实时警告和审核跟踪。正如我

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。