返回
No5.3 基于上下文的访问控制cbac.ppt

No5.3 基于上下文的访问控制cbac.ppt

ID:55829494

大小:612.50 KB

页数:18页

时间:2020-06-09

No5.3 基于上下文的访问控制cbac.ppt_第1页
No5.3 基于上下文的访问控制cbac.ppt_第2页
No5.3 基于上下文的访问控制cbac.ppt_第3页
No5.3 基于上下文的访问控制cbac.ppt_第4页
No5.3 基于上下文的访问控制cbac.ppt_第5页
资源描述:

《No5.3 基于上下文的访问控制cbac.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、No5.3基于上下文的访问控制cbac陈辉内容提要CBAC概述1CBAC工作原理2CBAC语法3CBAC实验41、CBAC概述CiscoIOS防火墙特性集一个高级防火墙模块。即基于上下文的访问控制(context-basedaccesscontrol)。CBAC能够智能过滤基于应用层的TCP和UDP的会话;CBAC能够在access-list打开一个临时的通道给起源于内部网络向外的连接,同时检查内外两个方向的会话。ACL与CBAC是互补的,它们的组合可实现网络安全的最大化。功能:状态包过滤:对内

2、部网络、企业和合作伙伴互连以及企业连接internet提供完备的安全性和强制政策。Dos检测和抵御:CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。实时报警和跟踪:可配置基于应用层的连接,跟踪经过防火墙的数据包,提供详细过程信息并报告可疑行为。2、CBAC工作原理1用户发起一个Telnet出站连接,。如果入站接口上ACL允许该流量,路由器则对该流量进行CBAC审查。2如果ACL允许该流量。则与状态表中条目作比较,如果该连接不存在则添加一个条目;如果存在,则重置该连接的空闲超时

3、值。3如果是一个新的连接条目,路由器在外部接口入方向的ACL中添加一个动态的ACL条目,以允许返回的流量进入网络。CBAC工作原理3、CBAC语法一R(config)#ipinspecttcpsynwait-time等待三次握手的时间(30s)R(config)#ipinspecttcpfinwait-time清除会话前等待时间(5s)R(config)#ipinspecttcpidle-timeTCP连接空闲时间(3600s)R(config)#ipinspectudpidle-timeudp

4、连接空闲时间(30s)R(config)#ipinspectdns-timeoutdns查询的存在时间(5s)R(config)#ipinspectnameinspection_nameprotocol[alert{on

5、off}][audit-trail{on

6、off}][timeoutseconds]Inspection_name定义一个CBAC规则的名字Protocol指定所要审查的协议Alert/audit打开警告或审计功能Timeout如果省略这个关键字,将使用全局超时时间CBAC语法

7、二ipinspectmax-incompletehighnumber-CBAC关闭连接之前最大的half-open连接数(500)ipinspectmax-incompletelownumber-CBAC停止关闭连接的half-open连接数(400)(注:超过500个half-open连接数就关闭,低于400连接数就不再关闭)ipinspectone-minutehighnumber-CBAC关闭连接之前每分钟的half-open连接数(500)ipinspectone-minutelownu

8、mber-CBAC停止关闭连接的每分钟half-open连接数(400)(注:每分钟超过500个half-open连接数就开始关闭,于400就不再关闭)ipinspecttcpmax-incompletehostnumberblock-timeseconds-去往同一目的地的连接数超过(50)就关闭4、相关参数支持的协议:cuseeme,fragment,ftp,h323,http,icmp,netshow,rcmd(UNIXRcommands),realaudio,rpc,rtsp,sip,s

9、kinny,smtp,sqlnet,streamworks,tcp,tftp,udp,andvdolive。告警:会显示的一些消息,如:路由器资源不够,DoS攻击和其他威胁。告警默认情况会开启,并自动显示在console线程上。关闭全局告警:Router(config)#ipinspectalert-off审计:会追踪CBAC检查的连接,获取他们的统计信息。默认情况下审计是关闭的。全局开启CBAC审计,Router(config)#ipinspectaudittrail5、CBAC实验Pc110

10、.1.1.101/24E0/120.1.1.1/24E0/010.1.1.1/2420.1.1.101ServerRouter要求:在router上进行CBAC访问控制,只允许pc1telnetserver及pingserver,但不允许server访问pc1。设置CBAC及访问控制ROUTER(config)#access-list100permitip10.1.1.00.0.0.255any允许内网所有流量ROUTER(config)#access-list101permiticmpany1

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。