想了解CBAC的详解
发布网友
共2个回答
热心网友
CBAC制定了那些协议及接口。接口方向(流入和流出)需要检查,同指定了检查的起始。CBAC只对制定的协议进行检查。对于这些协议,只要数据包经过已配置检查的接口,那么无论它们从那个方向通过防火墙都将被检查。进入防火墙的数据包只会在其第一次通过接口的入站ACL时才会被检察。如果数据包被ACL拒绝,数据包会被简单的丢掉并且不会被CBAC检查。
CBAC的一些命令
ip inspect tcp synwait-time sencods 默认为30秒 这个是等待TCP会话及那里的时 间长度
ip inspect tcp finwait-time sencods 默认为5秒 这个是FIN(终止传送)交换之后管理TCP的时间
ip inspect tcp idle-time sencods 默认为3600秒 这个是TCP空闲的超时长度
ip inspect udp idle-time sencods 默认为30秒 这个是UDP空闲的超时长度
ip inspect tcp dns-timeout sencods 默认为5秒 这个是寻找DNS的空闲时间
ip inspect max-incomplete high number默认为500个会话 这个是CBAC关闭连接之前最大的half-open连接数
ip inspect max-incomplete low number 默认为400个会话 这个是CBAC停止关闭连接的half-open连接数
(注:上面两个命令意思是 超过500个half-open连接数就开始关闭half-open连接,直到低于400个half-open连接数就不再关闭half-open连接)
ip inspect one-minute high number 默认为500个会话 这个是CBAC关闭连接之前每分钟的half-open连接数
ip inspect one-minute low number 默认为400个会话 这个是CBAC停止关闭连接的每分钟half-open连接数
(注:上面连个命令意思是 每分钟超过500个half-open连接数就开始关闭half-open连接,直到低于400个half-open连接数就不再关闭half-open连接)
ip inspect tcp max-incomplete host number block-time seconds 默认为50个会话 去往同一目的地的half-open连接数超过50就开始关闭half-open连接
热心网友
CBAC提供高级的基于应用层的内容过滤,他的功能包括:
1.流量过滤
CBAC能够基于应用层智能地过滤TCP/UDP包,甚至过滤的连接可以从被保护的网络发起.所以CBAC可以检测防火墙任意一边发起的流量.
如果没有CBAC,流量过滤只能停留在网络层及以下(普通ACL),最多是传输层(自反列表).CBAC不仅可以检测网络层、应用层的信息,而且能通过检测应用层信息(比如FTP连接信息、RPC和sql*net)来识别会话的状态。通过CBAC,可以防止普通的恶意的JAVA程序入侵网络.通过配置,可以允许用户只能运行内部的JAVA脚本或者是外部的被信任的脚本。
2.流量检测
CBAC通过检查出口流量来建立临时会话表允许回包通过。通过检测应用层,维持TCP/UDP会话信息,CBAC可以防止一些网络攻击比如SYN-flooding.SYN-flooding是一种DoS攻击.黑客通过向服务器发送大量的不能建立全连接的连接请求导致服务器资源耗尽而崩溃而不能提供正常的服务。CBAC通过检测包的TCP连接序列号是否在合理的范围内来决定丢弃可疑的包.可以配置CBAC丢弃半连接状态的连接.而且CBAC可以检测到非正常的大量的连接并且产生警报.
CBAC还可以防止一些分段IP包的DOS攻击.因为黑客可以通过发送许多非初试化的IP分段或者完整的分段包通过路由器,而这是被路由器ACL允许的,这样的包到达服务器或者主机后会导致注意花时间来试这重组不完整的包.
3.警报和审计
CBAC同时会产生实时的警报和审计信息.增强的审计信息通过使用SYSLOG来跟踪所有网络流量.你可以具体到只审计某个应用程序产生的信息.
4.入侵检测
CBAC为SMTP只提供有限的入侵检测.在中或高端路由器上,CBAC提供专门的IDS.能使路由器更安全地部署在边界上.
