- 浏览: 80123 次
- 性别:
- 来自: 杭州
最新评论
-
isaiahzhong:
不对啊,我在hosts.allow下面什么都不配 ...
linux远程访问权限控制(hosts.allow和hosts.deny)
CCNA实验三十七 CBAC(基于上下文的访问控制)
环境: Windows XP 、PacketTracert 5.3
目的:
了解CBAC的基本原理而后基本配置,在CCNA阶段接触一些基本的防火墙安全配置的知识
说明:
CBAC即基于上下文的访问控制协议,通过检查防火墙的流量来发现管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表,允许为受允许会话放回流量和附加数据连接,打开这些通路。受允许会话是指来源于受保护的内部网络会话。它不能用来过滤每一种TCP/IP协议,但它对于运行TCP、UDP应用或某些多媒体应用(如Real Audio)的网络来说是一个较好的安全解决方案。有时我们可能需要为某些应用在一个方向上限制数据流,并为其它应用在反方向上限制数据流,这时只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络,用户可以在一个或多个接口的2个方向上配置CBAC。配置数据流过滤的第一步是决定是否在防火墙的一个内部接口或外部接口上配置CBAC。在该环境下,所谓“内部”是指会话必须主动发起以让其数据流被允许通过防火墙的一侧;“外部”是指会话不能主动发起的一侧(从外部发起的会话被禁止)。如果要在2个方向上配置CBAC,应该先在一个方向上使用适当的“Internal”和“External”接口指示配置CBAC。在另一个方向上配置CBAC时,则将该接口指示换成另一个。 可以说,ACL与CBAC是互补的,把两者合理的组合起来可使网络更加安全。
特别要注意的是,CBAC只能用于IP数据流。只有TCP和UDP数据包能被检查,其他IP数据流 (如ICMP)不能被CBAC检查,只能采用基本的访问控制列表对其进行过滤。在不做应用层协议审查时,像自反访问控制列表一样,CBAC可以过滤所有的TCP和UDP会话。只有连接的控制信道会被CBAC审查和监视,数据信道不会被审查。如在FTP会话中,控制信道(通常是TCP端口21)和数据信道(通常是TCP端口20)的状态变化都会被监视,但只有控制信道才会被审查。
CBAC提供高级的基于应用层的内容过滤功能包括:
1.流量过滤:CBAC能够基于应用层智能地过滤TCP/UDP包,甚至过滤的连接可以从被保护的网络发起.所以CBAC可以检测防火墙任意一边发起的流量.如果没有CBAC,流量过滤只能停留在网络层及以下(普通ACL),最多是传输层(自反列表).CBAC不仅可以检测网络层、应用层的信息,而且能通过检测应用层信息(比如FTP连接信息、RPC和sql*net)来识别会话的状态。通过CBAC,可以防止普通的恶意的JAVA程序入侵网络.通过配置,可以允许用户只能运行内部的JAVA脚本或者是外部的被信任的脚本。
2.流量检测:CBAC通过检查出口流量来建立临时会话表允许回包通过。通过检测应用层,维持TCP/UDP会话信息,CBAC可以防止一些网络攻击比如刚SYN-flooding.SYN-flooding是一种DoS攻击.黑客通过向服务器发送大量的不能建立全连接的连接请求导致服务器资源耗尽而崩溃而不能提供正常的服务。CBAC通过检测包的TCP连接序列号是否在合理的范围内来决定丢弃可疑的包.可以配置CBAC丢弃半连接状态的连接.而且CBAC可以检测到非正常的大量的连接并且产生警报.CBAC还可以防止一些分段IP包的DOS攻击.因为黑客可以通过发送许多非初试化的IP分段或者完整的分段包通过路由器,而这是被路由器ACL允许的,这样的包到达服务器或者主机后会导致注意花时间来试这重组不完整的包。
3.警报和审计:CBAC同时会产生实时的警报和审计信息.增强的审计信息通过使用SYSLOG来跟踪所有网络流量.你可以具体到只审计某个应用程序产生的信息。
4.入侵检测:CBAC为SMTP只提供有限的入侵检测.在中或高端路由器上,CBAC提供专门的IDS.能使路由器更安全地部署在边界上。
步骤:
使用PacketTracert创建如下拓扑:
配置Border路由器:
Router>en
Router#conf t
Router(config)#host Border
Border(config)#access-list 100 deny ip any 192.168.0.0 0.0.0.255
Border(config)#access-list 100 permit ip any any
Border(config)#access-list 101 deny ip any 192.168.0.0 0.0.0.255
Border(config)#access-list 101 permit ip any any
Border(config)#access-list 102 deny ip any 192.168.0.0 0.0.0.255
Border(config)#ip inspect name test tcp //创建规则test审查tcp连接
Border(config)#ip inspect name test udp //创建规则test审查udp连接
Border(config)#ip inspect name test icmp //创建规则test审查ICMP连接
Border(config)#ip inspect name test telnet //创建规则test审查telnet连接
Border(config)#ip inspect name test http ////创建规则test审查http连接
Border(config)#ip inspect audit-trail //审计追踪
Border(config)#ip inspect dns-timeout 6 //寻找dns的空闲时间默认5秒
Border(config)#ip inspect max-incomplete high 600 //CBAC关闭连接之前最大的半开连接数 ,默认为500个会话
Border(config)#ip inspect max-incomplete low 450 //CBAC停止关闭连接的半开连接数,默认400
Border(config)#ip inspect one-minute high 700 // BAC关闭连接之前每分钟的半开连接数,默认500
Border(config)#ip inspect one-minute low 500 // CBAC停止关闭连接的每分钟半开连接数,默认400
Border(config)#ip inspect tcp finwait-time 6 //等待TCP会话及那里的时间长度,默认为30秒
Border(config)#ip inspect tcp idle-time 600 //TCP空闲的超时长度默认3600秒
Border(config)#ip inspect tcp synwait-time 35 FIN(终止传送)交换之后管理TCP的时间默认5秒
Border(config)#ip inspect udp idle-time 600 //UDP空闲的超时长度,默认30秒
Border(config)#int fa0/0
Border(config-if)#ip add 192.168.0.254 255.255.255.0
Border(config-if)#ip access-group 102 out //把ACL应用到出方向
Border(config-if)#ip inspect test in //把CBAC规则应用到接口的入方向
Border(config-if)#no sh //开启端口
Border(config-if)#exit
Border(config)#int fa0/1
Border(config-if)#ip add 192.168.1.254 255.255.255.0
Border(config-if)#ip access-group 101 in
Border(config-if)#no sh
Border(config-if)#int s0/0/0
Border(config-if)#ip add 1.1.1.1 255.255.255.0
Border(config-if)#ip access-group 100 in
Border(config-if)#no sh
Border(config-if)#exit
Border(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
配置Internet路由器:
Router>en
Router#conf t
Router(config)#host Internet
Internet(config)#int s0/0/0
Internet(config-if)#ip add 1.1.1.2 255.255.255.0
Internet(config-if)#clock rate 64000
Internet(config-if)#no sh
Internet(config-if)#exit
Internet(config)#int fa0/0
Internet(config-if)#ip add 2.2.2.254 255.255.255.0
Internet(config-if)#no sh
Internet(config-if)#exit
Internet(config)#ip rou 0.0.0.0 0.0.0.0 1.1.1.1
测试网络:
通过上面的配置和测试,可以发现当前网络中私有网络是受到保护的,只有它主动连接别人,但别人不能对它发起连接。而且DMZ网络与私有网络隔开了,如果DMZ网络受到攻击那么私有网络也不会受到威胁。
发表评论
-
CCNA实验十四 STP之冗余备份链路(EtherChannel)
2010-11-21 16:13 1352CCNA实验十四 STP之冗余备份链路(EtherChann ... -
java 编程浅谈
2009-11-17 15:12 0学习java 编程是一个漫长而且艰苦的过程,大家学习java ... -
j2me 手机屏幕保护程序开发
2009-11-19 13:26 0import javax.microedition.midle ... -
浅谈系统从I386文件夹到longhorn封装
2010-10-17 12:19 0Windows XP是一个不错而且深受大家喜爱的个人系统。它是 ... -
以Longhorn形式重新包装“Windows XP“的安装(WIM系统封装)
2010-10-17 21:35 0以Longhorn形式重新包装“Windows XP“的安装( ... -
实现GNS的模拟路由器连接Internet
2010-10-20 15:58 1921实现GNS的模拟路由器连接Internet 1、环境: ... -
Vmware 虚拟机通过GNS的模拟路由器连接Internet
2010-10-20 18:11 1541Vmware 虚拟机通过GNS的模拟路由器连接Interne ... -
Windows磁盘管理工具Diskpart之一 管理基本磁盘
2010-10-22 15:49 0Windows磁盘管理工具Diskpa ... -
Windows磁盘管理工具Diskpart之二 管理动态磁盘
2010-10-25 13:59 0Windows磁盘管理工具Diskpart之二 管理动态磁盘 ... -
CCNA实验一 登陆设备控制台
2010-10-25 16:33 604CCNA实验一 登陆设备控制台 环境: Wind ... -
CCNA实验二 路由基本配置
2010-10-26 13:56 754CCNA实验二 路由基本配置 环境: Windos X ... -
CCNA实验三 把路由器配置成PC
2010-10-26 15:43 807CCNA实验三 把路由器配置成PC 环境:Wind ... -
实现GNS虚拟路由进行ADSL外网拨号
2010-10-26 19:06 978实现GNS虚拟路由进行ADSL外网拨号 环境:Wind ... -
CCNA实验四 开启路由器的WEB管理服务
2010-10-30 17:02 769CCNA实验四 开启路由器的WEB管理服务 ... -
CCNA实验五 配置路由器为DHCP服务器
2010-10-31 09:55 778CCNA实验五 配置路由器为DHCP服务器 环境: W ... -
CCNA实验六 创建和应用VLAN
2010-10-31 15:41 749CCNA实六 创建和应用VLAN 环境:Window ... -
CCNA实验七 跨交换机间的vlan
2010-11-01 15:00 768CCNA实验七 跨交换机间的vlan 环境:Window ... -
CCNA实验八 使用VTP管理vlan
2010-11-02 16:50 639CCNA实验八 使用VTP管理vlan 环境: Wind ... -
CCNA实验九 通过三层交换机实现vlan间路由
2010-11-02 18:22 937CCNA实验九 通过三层交换机实现vlan间路由 环 ... -
CCNA实验十 通过路由器实现vlan间路由(单臂路由)
2010-11-02 20:01 950CCNA实验十 通过路由器实现vlan间路由(单臂路由) ...
相关推荐
了解CBAC的基本原理而后基本配置,在CCNA阶段接触一些基本的防火墙安全配置的知识
CCNA实验报告 总共七个实验 有ppp、帧中继、单臂路由和三层交换机、vlan基本配置、stp等等
CCNA实验教程CCNA实验教程CCNA实验教程CCNA实验教程
70页详细版本CCNA实验手册
Cisco初学者必备的一本书<思科网络实验室CCNA实验指南.pdf>
CCNA实验大全,内容包括: 实验一 交换机基本配置 实验二 路由器基本配置 实验三 路由协议 ...实验五 访问控制列表及地址转换 实验六 DDR、ISDN原理及配置 实验七 备份中心原理 实验八 HSRP协议原理及配置
本实验手册共精心收集了16个CCNA实验,涵概了CCNA所有知识点,很不错的哦。
CCNA实验至访问控制列表,分为标准访问控制列表与扩展访问列表
红茶三杯ccna实验题红茶三杯ccna实验题红茶三杯ccna实验题红茶三杯ccna实验题红茶三杯ccna实验题
CCNA
CCNA实验(PDF).rar CCNA实验(PDF).rar CCNA实验(PDF).rar
红头发CCNA实验,里面有详细的CCNA实验配置步骤,次教程是根据红头发CCNA教程编写的。红头发CCNA实验,里面有详细的CCNA实验配置步骤,次教程是根据红头发CCNA教程编写的。
CCNA实验考试真题,包含EIGRP 和 ACL实验题。适合需要直接考试人员
ccna配置实验详解,不用再为实验题担心
CCNA实验教程(354页)
涵盖了最新的CCNA认证考试中所涉及的、与实验相关的全部内容,包括:IOS配置基础、局域网交换机配置、TCP/IP、路由选择协议(RIP、IGRP、EIGRP和OSPF)、ISDN、PPP、帧中继、IPX、访问控制列表、NAT和Cisco 2950...
CCNA的实验。有助于你配置路由器交换机
CCNA实验资料,CCNA实验资料,CCNA实验资料
CCNA实验手册 CCNA实验手册 CCNA实验手册 CCNA实验手册
CCNA实验手册超级详细版 从零开始学习cisco技术ccna的实验