CBAC-基于上下文访问控制协议.docVIP

一、CBAC技术介绍  CBAC是一种允许路由器审查经过自己的流量，并且根据已经建立起来的状态信息决定允许某些流量或者拒绝某些流量通过的机制。CBAC动态修改扩展的访问控制列表以允许从外部发起的返回流量，CBAC提供对应用层和传输层协议的检查，同时基于检查数据包收集到的信息来控制会话的数量，同时也生成警告和审计信息。  和ACL不同的是，普通的扩展ACL只能在第3，4层对流量进行过滤，RACL（自反射列表）能过滤第5层会话层的信息，CBAC支持应用服务的审查，能检查某些数据包的内容，如TELNET数据包内输入的命令；也能检查连接消息，确定连接的状态，CBAC能检查控制连接，确定数据连接正在建立，并将该连接添加到状态表中。CBAC也支持多个多媒体协议，以及其他的执行这种功能的应用。同样，CBAC也可以对HTTP做检查，发现JAVA程序，并进行过滤。  CBAC做为IOS的状态防火墙的工作如下:  为需要进行审查的协议维持传输和应用状态。每一个连接都会创建一个连接状态，对于TCP协议而言，TCP的连接初始化序列号用来创建TCP的连接状态。对于UDP协议来说，只要CBAC审查到UDP数据包有特殊的地址和端口组合就创建一个连接状态。当TCP和UDP携带我们想要进行审查的应用服务时，CBAC就会针对应用服务的端口号来对有效负载进行审查。  当连接终止时，同时删除连接状态。  携带有无效的TCP序列号的TCP数据包会被主动的丢弃。  CBAC不支持IP分组重组装，CBAC允许非初始分片通过CBAC状态防火墙，同时维持分片的互连状态并校验分片以防止分片攻击的发生。  CBAC对由路由器本身产生的数据包不做审查。  二、CBAC工作流程  1.一个用户发起一个到外部网络的访问连接，如HTTP。如果在路由器的内部接口上设置的入方向的ACL。那么在CBAC审查之前，首先需要ACL对此流量进行审查，只有不被ACL拒绝的流量才会进入到CBAC审查的步骤。而CBAC不一定对所有的流量进行审查，如果流量不需要进行转发，则路由器直接转发该流量。例中用户发起的HTTP需要进行审查，则进行下一个步骤。  2.IOS防火墙将该连接和状态表中的条目做比较：如果说状态表中没有该连接的条目，则创建一个条目，并重置连接的空闲计数器。  3.如果是一个新的条目，则Cisco IOS在外部接口的入方向上动态的添加一条访问控制列表条目，以允许该流量返回。  4.在较新的IOS版本上，已不会在外部接口的入方向上添加本条ACL条目，而是通过查看状态表来决定该流量是否允许进入。该特性成为FAB（Firewall ACL Bypass，FAB），且不能被关闭，此特性会使流量可以通过CEF进行快速交换从而提高路由器的性能。  5.如果状态表中不存在流量的条目，则进入IOS路由器的流量通过外部接口的ACL来实施策略。  三、CBAC针对无状态化过滤的增强  与无状态过滤的机时RACL（自反列表）相比较，CBAC具有以下的增强：  1.TCP  对于TCP来说，CBAC审查该连接并检查TCP报文中的控制位。如果CBAC看到TCP报文中的FIN标识，CBAC在外部接口的ACL上动态地删除生成的访问控制列表条目（较老的版本中），然后在状态表中删除有关该连接的条目。同时TCP连接空闲超过一定的时间后，CBAC也会对该连接进行删除。针对于TCP连接的建立时，当CBAC看到TCP报文中的SYN标识后的一段时间内，连接还没有建立的话，IOS同样会在ACL和状态表中删除有关该连接的条目。  2.UDP  对于UDP而言，由于UDP是无连接的，CBAC无法像处理TCP数据一样处理UDP数据。CBAC会自行估计一个UDP连接的生命周期（默认是30秒），如果空闲时间超过这个生命周期值，CBAC会认为该连接已经结束，并删除状态表条目和访问控制列表条目（较老的版本中）。CBAC还可以审查DNS请求和回复消息，生命周期为5秒。  3.ICMP  针对ICMP流量做审查时，CBAC能针对ICMP的请求、应答、不可达、超时、时间戳请求和时间戳应答消息进行审查。和UDP连接一样，CBAC也会为ICMP流量提供一个生命周期，超过该周期后就删除状态表条目和访问控制列表条目（较老的版本中）。  4.多连接的应用  FTP和多媒体应用等协议，是通过打开附加连接来进行数据的传输。CBAC为这些应用审查控制连接的同时，也能确定数据连接和其他连接是否正在被打开。当CBAC发现这些