首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

网络技术

邮件原理 | 硬件设备 | CISCO | 网络协议 | 网络管理 | 传输介质 | 线路接入 | 路由接口 | 邮件存储 | 华为3Com |
首页 > 网络技术 > CISCO技术 > 配置CBAC,提升Cisco路由器安全 > 正文

配置CBAC,提升Cisco路由器安全

出处:www.net130.com 作者: 时间:2009-9-21 18:22:59

在Cisco路由器上创建ACL(访问控制列表)是管理员常用的数据过滤和网络安全防护措施,但是ACL的局限性是非常明显的,因为它只能检测到网络层和传输层的数据信息,而对于封装在IP包中的恶意信息它是无能为力的。因此,ACL并不可靠,需要CBAC(基于上下文的访问控制)的配合,这样网络安全性将会极大提升。本文将和大家一起探讨color=#0000ff>Cisco路由器上CBAC的部署的技术细节及其相关技巧。

  一、CBAC简述

  CBAC(context-based access control)即基于上下文的访问控制,它不用于ACL(访问控制列表)并不能用来过滤每一种TCP/IP协议,但它对于运行TCP、UDP应用或某些多媒体应用(如Microsoft的NetShow或Real Audio)的网络来说是一个较好的安全解决方案。除此之外,CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越。在大多数情况下,我们只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络。可以说,ACL与CBAC是互补的,它们的组合可实现网络安全的最大化。

  二、CBAC的合理配置

  1.CBAC配置前的评估

  在进行CBAC配置之前需要对网络的安全标准、应用需求等方面进行评估然后根据需要进行相应的配置。通常情况下,用户可以在一个或多个接口的2个方向上配置CBAC。如果防火墙两端的网络都需要受保护的话,如在Extranet或Intranet的配置中,就可以在2个方向上配置CBAC。若防火墙被放置在2个合作伙伴公司网络的中间,则可能想要为某些应用在一个方向上限制数据流,并为其它应用在反方向上限制数据流。

  特别要注意的是,CBAC只能用于IP数据流。只有TCP和UDP数据包能被检查,其他IP数据流

  (如ICMP)不能被CBAC检查,只能采用基本的访问控制列表对其进行过滤。在不作应用层协议审查时,像自反访问控制列表一样,CBAc可以过滤所有的TCP和UDP会话。但CBAC也可以被配置来有效地处理多信道(多端口)应用层协议:cu-SeeMe(仅对whitePine版本)、FTP、H.323(如NetMeeting和ProShare)、HTTP(Java拦阻)、Java、MicrosftNetshow、UNIX的r系列命令(如rlogin、rexec和rsh);RealAudio、RPC(SunRPc,非DCERPC)MircosoftRPC、SMTP、SQL.Net、StreamWorks、TFTP、VDOLive。

  2.选择配置接口

  为了恰当地配置CBAc,首先必须确定在哪个接口上配置CBAC。下面描述了内部口和外部接口间的不同之处。

  配置数据流过滤的第一步是决定是否在防火墙的一个内部接口或外部接口上配置CBAC。在该环境下,所谓“内部”是指会话必须主动发起以让其数据流被允许通过防火墙的一侧;“外部”是指会话不能主动发起的一侧(从外部发起的会话被禁止)。如果要在2个方向上配置CBAc,应该先在一个方向上使用适当的“Intemal”和“Extemal”接口指示配置CBAC。在另一个方向上配置CBAC时,则将该接口指示换成另一个。

  CBAC常被用于2种基本的网络拓扑结构之一。确定哪种拓扑结构与用户自己的最吻合,可以帮助用户决定是否应在一个内部接口或是在一个外部接口上配置CBAC。

  图l给出了第1种网络拓扑结构。在该简单的拓扑结构中,CBAC被配置在外部接口S0上。这可以防止指定的协议数据流进入该防火墙路由器和内部网络,除非这些数据是由内部网络所发起会话的一部分。

   

 

 

 

相关文章 热门文章
  • 在cisco路由器上配置TCP拦截
  • 在Cisco路由器中配置DHCP服务器
  • Cisco路由器上防止DDOS的一些建议
  • cisco路由器EIGRP配置实例
  • 路由器常用接口
  • 分析一条Cisco路由器的安全命令
  • Cisco路由器的配置寄存器
  • Cisco路由器上配置pppoe拨号
  • Cisco路由器配置信息及口令的清除
  • Cisco路由器封锁BT新法介绍
  • 带你轻松玩转Cisco路由器密码
  • 带你轻松玩转Cisco路由器密码
  • 路由器接口及连接
  • CISCO路由器配置手册
  • Cisco 交换机命令全集
  • CISCO NAT 配置
  • Cisco2620路由器的配置与维护
  • 教你如何调试CISCO路由器(上)
  • Cisco路由配置语句汇总
  • Cisco系列路由器密码恢复研究与实践
  • Cisco IOS 基本命令集
  • 教你如何配置CISCO路由器(下)
  • 如何在CISCO路由器上禁止BT下载
  • Cisco常见路由器密码和版本恢复方法探讨
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号