51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Cisco IOS防火墙:CBAC简单配置

网络 路由交换
对于路由器IOS的防火墙配置,我们要怎样去操作呢?CBAC的配置要进行哪些命令行输入呢?下面文章将给予你详细的介绍。

本文主要从CBAC的基本概念,可提供的服务,主机之间的互通等方面详细的向大家描述了如何进行CBAC配置,同时给大家介绍了CBAC的配置技巧。

CBAC: 是Cisco IOS防火墙特性集一个高级防火墙模块:(context-based access control)即基于上下文的访问控制,它不同于ACL(访问控制列表),并不能用来过滤每一种TCP/IP协议,但它对于运行TCP、UDP应用或某些多媒体应用(如Microsoft的NetShow或Real Audio)的网络来说是一个较好的安全解决方案。除此之外,CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越。在大多数情况下,我们只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络。可以说,ACL与CBAC是互补的,它们的组合可实现网络安全的最大化。

CISCO路由器的 access-list只能检查网络层或者传输层的数据包,而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP和UDP的session;CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接,同时检查内外两个方向的sessions。

CBAC可提供如下服务 :(1)状态包过滤:对企业内部网络、企业和合作伙伴互连以及企业连接internet提供完备的安全性和强制政策。 (2)Dos检测和抵御:CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。(3)实时报警和跟踪:可配置基于应用层的连接,跟踪经过防火墙的数据包,提供详细过程信息并报告可疑行为。

先建立如图1的拓扑并使之互相可以访问通信。在路由器上做如下配置:

Router(config)#access-list 101 permit tcp any host 192.168.0.1 eq www  定义任何人都可以访问内网web服务

Router(config)#access-list 101 deny ip any any  拒绝其他IP通信

Router(config)#int f0/0

Router(config-if)#ip access-group 101 out  应用到F0/0端口相对于ACL来说 是出方向

Router(config-if)#exit

CBAC的检测规则可以指定所有网络层以上的协议,通过ACL检查的数据包由CBAC检查来记录包连接状态信息,这个信息被记录于一个新产生的状态列表中

Router(config)#ip inspect name asha http

Router(config)#ip inspect name asha icmp

Router(config)#ip inspect name asha tcp

Router(config)#ip inspect name asha udp

Router(config)#int f0/0

Router(config-if)#ip inspect asha in  应用到CBAC相对应的进方向

Router(config-if)#exit

CBAC使用超时值和阈值确定会话的状态及其持续的时间.可清除不完全会话和闲置会话,用以对Dos进行检测和防护.

Router(config)#ip inspect max-incomplete high 500 当半开会话数超过500时开始删除

Router(config)#ip inspect max-incomplete low 400  当半开会话数低于400时停止删除

Router(config)#ip inspect one-minute high 500   设置当开始删除半开会话数时接受的会话数的速率

Router(config)#ip inspect one-minute low 400    设置当停止开始删除半开会话数时接受的会话数的速率#p#

之后发现,外网的主机ping不同内网主机(如图2,3),按理来说就不可能访问外网web服务器了,如图4内网主机依然可以访问外网web服务器。

 

Router#show ip inspect sessions detail 用来查看连接状态表的统计信息,包括所有会话

Established Sessions

Session 140798744 (192.168.0.2:1029)=>(192.168.1.2:http SIS_OPEN

Created 00:00:02, Last heard  00:00:02

Bytes sent (initiator:responder) [360:360]

Out SID 192.168.1.2[0:0]=>192.168.0.2[0:0] on ACL 101 (3 matches)

会发现CBAC维持具有连接信息的会话状态表,只有当状态表中的一个条目表明此分组属于某个被允许的会话,会在防火墙中制造一个动态的通路,供返回流量使用。


 

【编辑推荐】

  1. 常用思科路由器密码恢复经典案例
  2. 思科路由器口令恢复办法全解
  3. 思科路由器安全性管理
  4. cisco路由器配置ACL详解
  5. cisco路由器启动进程
责任编辑:chenqingxiang 来源: IT实验室
路由器配置
相关推荐
Cisco IOS防火墙的安全配置方案
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标,本文给大家详细的介绍了对于CISCO的防火墙的安全配置方案。

2010-08-13 13:40:34

思科路由器上配置Cisco IOS防火墙
路由器是我们常用到的网络设备,我们在使用的时候要进行哪些配置才能使IOS防火墙起效呢?具体要进行哪些操作呢?下面文章将给予你详细介绍。

2010-08-10 10:05:29

思科路由器配置防火墙
恢复与升级CISCO ASA防火墙IOS
作为安全产品的知名企业CISCO防火墙受到广大的企业认可,那么对于企业用户来说不小心将防火墙的IOS删除是很有可能发生的一件事,本篇文章就通过实例简述CISCOASA防火墙IOS的恢复与升级。

2010-09-25 16:34:30

CISCO ASA
如何在Cisco IOS配置IPv6防火墙
本文将与大家分享如何在IPv4向IPv6过渡期间,调整CiscoIOS中的防火墙配置。其实这并不像想象中那么难办。

2011-09-29 10:38:46

IPv6防火墙
使用cisco pix 防火墙
本文主要对思科PIX的防火墙怎样的配置进行了详细的说明与讲解,同时给予用户具体的操作步骤以及实现命令。

2010-08-03 09:39:45

路由器
思科ASA防火墙配置简单
以下的文章主要是介绍是思科ASA防火墙配置的实际操作步骤,以下就是其具体内容的描述,希望在你今后的学习中会有所帮助。

2010-10-08 14:29:21

ASA防火墙
Cisco IOS防火墙,多功能安全产品
思科路由器的IOS提供了很多的安全产品,但是要进行怎样的具体实现和应用呢?下面将给予详细讲解。

2010-08-03 09:32:32

实例展示通过Cisco ASA防火墙配置WebVPN
目前市场上VPN产品很多,而且技术各异,就比如传统的IPSecVPN来讲,SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳SSLVPN作为远程安全接入技术,主要看重的是其接入控制功能。

2010-09-25 16:46:28

正确对Cisco PIX防火墙进行配置步骤
我们今天主要向大家描述的是正确配置CiscoPIX防火墙的实际操作流程,以下就是对配置CiscoPIX防火墙的实际操作流程的详细解析。

2010-09-14 10:30:55

Cisco PIX防火
Cisco出了Web应用防火墙
CiscoACEWeb应用防火墙是思科应用控制引擎(ACE)产品系列中的最新成员。

2010-07-12 11:33:52

“云”火墙Cisco防火墙能够与众不同
两年前,美国超级计算机中心安全技术部门的计算机安全经理AbeSinger表示,防火墙有一个“可怕的真相”:防火墙有性能问题,容易因为一连串的故障而受到攻击,修改网络一个地方的规则会在网络的另一个地方造成安全漏洞。

2009-09-25 11:25:39

正确配置防火墙服务
以下的文章主要向大家讲述的是正确配置防火墙服务的实际操作,除了应用层网关防火墙外,其余的防火墙都需要使用端口、协议以及IP地址或计算机名来控制数据的传输。

2010-09-14 14:26:50

Iptables防火墙配置详解
Iptables防火墙配置详解:iptables是基于Linux内核的防火墙,iptables的功能比较强大。本文详细介绍了iptables防火墙、iptables下的参数、iptables配置实例。

2011-03-15 15:47:15

Iptables防火墙
宽带猫防火墙配置
宽带猫防火墙配置的好坏对网络的安全是非常重要的,因此对于“攻击保护”选项当然是设置为“Enable”,这样可以启用宽带猫防火墙配置保护功能了。

2009-12-09 14:34:58

Linux系统防火墙配置
随着带宽的飞速扩宽,互联网上的信息交流日益增大,毫无疑问,互联网上的安全,操作系统平台的安全也逐渐成为人们所关心的问题。而许多网络服务器,工作站所采用的平台为LinuxUNIX平台。Linux平台作为一个安全性、稳定性比较高的操作系统也被应用到了商业或者民用的网络服务领域。

2009-02-22 09:30:24

如何进行CISCO PIX防火墙网络安全配置
CISCOPIX防火墙要求有一个路由器连接到外部网络,如附图所示。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。

2010-09-14 09:44:06

NetEye防火墙Cisco路由器的安全配置
不管是NetEye防火墙还是Cisco路由器,在使用之前都需要进行有效的安全配置,保证用户网络的性能和安全,同时也方便用户以后的使用。

2009-12-01 17:13:35

思科IOS防火墙命令解析
虽然有人认为防火墙已经辉煌不再,但笔者认为如果充分利用设备中的防火墙功能,仍不失为一个强化安全的选择。本文将展示设置思科IOS防火墙的基本步骤。

2010-08-20 11:08:46

CentOS配置防火墙操作实例
本文通过七个步骤讲述了CentOS配置防火墙的操作实例,详细分析了防火墙的基本操作命令实现端口的控制,希望对大家的学习有所帮助。

2014-08-05 09:50:40

CentOS防火墙
实操Suse防火墙配置
Suse经过长时间的发展,很多用户都很了解Suse了,这里我发表一下个人理解,和大家讨论讨论Suse防火墙问题。希望大家能认真的看完本文,会对你有学习Suse防火墙问题有帮助。

2009-11-30 13:05:00

Suse防火墙
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服