Cisco路由器上CBAC的配置方法及技巧.pdfVIP

维普资讯 第29卷 第9期 水利 电力机械 Vo1．29 No．9 2007年 9月 WATER CONSERVANCY ELEC RIC P0WERMACHINERY Sep．2007 · 信 息 技 术 · Cisco路由器上 CBAC的配置方法及技巧 CiscomuterCBAC configurationmethodsandtechniques 李志超，刘爱荣，吴博 (中州大学 信息工程学院，河南 郑州 450015) 摘 要 ：基于上下文的访 问控制 CBAC(ContextBasedAccessContro1)．~_ 套综合 的安全工具，能执行状态型数 据包过滤，介绍了Cisco路由器上CBAC的一些配置方法以及实际应用技巧，以供用户和同行参考。 关键词 ：CBCA；防火墙 ；接 口 中图分类号：TN915、05 文献标识码：B 文章编号：1006—6446(2007)09—0086—03 对 WhitePine版本 )；FTP；H．323(如 NetMeeting和 0 引言 ProShare)；HTIP(Java拦阻)；Java；MicrosoftNetshow；U． CBAC不能用来过滤每一种 TCP／IP协议，但它 NIX的r系列命令(如rlogin，rexee和rsh)；RealAudio； 对于运行TCP、UDP应用或某些多媒体应用(如 Mi． RPC(SunRPC，非 DCERPC)；MircosoftRPC；SMTP；SQ- cmsoft的NetShow或 RealAudio)的网络来说是一个较 L N‘et；StreamWorks； ；VDOLive。 好的安全解决方案。在很多情况下，只在单个接 口 为了恰当地配置 CBAC，首先必须确定在哪个接 的一个方向上配置 CBAC，只允许属于现有会话的数 口上配置 CBAC。下面描述了内部 口和外部接 口间 据流进入内部网络。 的不同之处。 1．2 选择一个接口 1 如何恰当配置CBAC 配置数据流过滤的第一步是决定是否在防火墙 1．1 CBAC的应用范围 的一个 内部接 口或外部接 口上配置 CBAC。在该环 用户可以在一个或多个接 口的2个方向上配置 境下，所谓 “内部”是指会话必须主动发起 以让其数 CBAC。如果防火墙两端的网络都需要受保护的话， 据流被允许通过防火墙的一侧 ；“外部”是指会话不 如在 Extranet或 Intranet的配置 中，就可 以在 2个方 能主动发起的一侧(从外部发起的会话被禁止)。如 向上配置 CBAC。若防火墙被放置在 2个合作伙伴 果要在 2个方 向上配置 CBAC，应该先在一个方向上 公司网络的中间，则可能想要为某些应用在一个方 使用适当的 “Internal”和 “External”接 口指示配置 向上限制数据流，并为其它应用在反方向上限制数 CBAC。在另一个方 向上配置 CBAC时，则将该接 口 据流。 指示换成另一个。 特别要注意的是，CBAC只能用于 IP数据流。 CBAC常被用于2种基本的网络拓扑结构之一。 只有 TCP和 UDP数据包能被检查，其他 IP数据流 确定哪种拓扑结构与用户 自己的最吻合，可 以帮助 (如 ICMP)不能被 CBAC检查，只能采用基本的访 问 用户决定是否应在一个内部接 口或是在一个外部接 控制列表对其进行过滤。在不作应用层协议审查 口上配置 CBAC。