软考网工：CiscoIOS防火墙安全规则和配置方案

　　二、基于上下文的访问控制(Context-based access control--CBAC)

　　CISCO路由器的access-list只能检查网络层或者传输层的数据包，而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP 和UDP的sessi on;CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接，同时检查内外两个方向的sessions。

　　1、工作原理

　　比如当CBAC配置于连到internet的外部接口上，一个从内部发出的TCP数据包(telnet会话)经过该接口连出，同时CBAC的配置中已经包括了t cp inspection，将会经过以下几步：

　　(1)数据包到达防火墙的外部接口(设为s0);

　　(2)数据包由该接口outbound access-list检查是否允许通过(不通过的数据包在此被丢弃，不用经过以下步骤);

　　(3)通过access list检查的数据包由CBAC检查来决定和记录包连接状态信息，这个信息被记录于一个新产生的状态列表中为下一个连接提供快速通道;

　　(4)如果CBAC没有定义对telnet应用的检查，数据包可以直接从该接口送出;

　　(5)基于第三步所获得的状态信息，CBAC在s0的inbound access list中插入一个临时创建的access list入口，这个临时通道的定义是为了让从外部回来的数据包能够进入;

　　(6)数据包从s0送出;

　　(7)接下来一个外部的inbound数据包到达s0，这个数据包是先前送出的telnet会话连接的一部分，经过s0口的access list检查，然后从第五步建立的临时通道进入;

　　(8)被允许进入的数据包经过CBAC的检查，同时连接状态列表根据需要更新，基于更新的状态信息，inbound access list临时通道也进行修改只允许当前合法连接的数据包进入;

　　(9)所有属于当前连接的进出s0口数据包都被检查，用以更新状态列表和按需修改临时通道的access list，同时数据包被允许通过s0口;

　　(10)当前连接终止或超时，连接状态列表入口被删除，同时，临时打开的access list入口也被删除。

　　需要注意的是：对于配置到s0口outbound ip access list， accesslist必须允许所有需要的应用通过，包括希望被CBAC检查的应用;但是inbound ip access list必须禁止所有需要CBAC检查的应用，当CBAC被出去的数据包触发后，会在inbound access list中临时开放一个通道给合法的、正在传送的数据进入。

　　2、CBAC可提供如下服务

　　(1)状态包过滤：对企业内部网络、企业和合作伙伴互连以及企业连接internet提供完备的安全性和强制政策。

　　(2)Dos检测和抵御：CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。

　　(3)实时报警和跟踪：可配置基于应用层的连接，跟踪经过防火墙的数据包，提供详细过程信息并报告可疑行为。

　　(4)无缝兼容性：整和防火墙和其它cisco IOS软件于一体;优化广域网利用率;提供强大的、可升级的路由选择etc。

　　(5)支持VPN：利用封装了防火墙版本的cisco Ios 软件和Qos特性来保证在公共网络上传输数据的安全性，同时节省费用。

　　(6)可升级配置：适用于大部分路由器平台，cisco带防火墙版本的IOS可升级来满足网络带宽和性能的需要。

　　3、CBAC受到的限制

　　(1)仅适用于IP数据流：只有TCP和UDP包被检测，其它如ICMP等不能被CBAC检测，只能通过基本的access lists过滤。

　　(2)如果我们在配置CBAC时重新更改access lists，要注意：如果access lists禁止TFTP数据流进入一个接口，我们将不能通过那个接口从网络启动路由器(netboot)。

　　(3)CBAC忽略ICMP unreachable 信息。

　　(4)当CBAC检查FTP传输时，它只允许目的端口为1024—65535范围的数据通道。

　　(5)如果FTP客户端/服务器认证失败，CBAC将不会打开一条数据通道。

　　(6)IPSec 和CBAC的兼容性：如果CBAC和IPSec配置于同一台路由器上，只要对数据包的检查是在内部网接口上进行的，而数据包加密是终止在外部网接口上的，那么I Psec和CBAC就能共存在该边界路由器上。在这种方式下，检查的是不加密的数据流。

　　4、CBAC所需的内存和性能

　　有一些参数会影响CBAC所需的内存和性能：

　　(1)CBAC对每条连接使用600 byte的内存;

　　(2)在检查数据包的过程中，CBAC使用额外的CPU资源;

　　(3)尽管CBAC通过对access lists的高效存储(对access list进行散列索引，然后评估该散列)来最小化其对资源的需求，它在access list检查过程中仍要使用一定的CPU资源。

　　5、配置CBAC

　　第一步，CBAC用timeout 和threshold值来管理会话，配置判断是否在会话还未完全建立的时候终止连接。这些参数全局性地应用于所有会话。具有firewall feature的cisco router12.0以上版本的IOS缺省是起了IP INSPECT 抵御DoS进攻的。当half-open会话数量大到一定的程度往往意味着正在有DOS攻击发生或某人正在做端口扫描，CBAC既监测half-open 会话总数也监测会话企图建立的速率。以下是缺省配置：

　　HpXg_1#sh ip inspect all

　　Session audit trail is disabled(相关命令是ip inspect audit trail,是用来打开自动跟踪审计功能并将信息传送到console口，缺省是disabled.)

　　Session alert is enabled

　　one-minute thresholds are [400:500] connections(相关命令是ip inspect one-minute high 500和ip inspect one-minute low 400,是将引起或导致路由器开始或停止删除half-open会话的新增未建立会话的速率，即每分钟500/400个half-open会话)

　　max-incomplete sessions thresholds are [400:500](相关命令是ip inspect max-incomplete high 500,表示将引起路由器开始删除half-open会话的已经存在的half-open会话数500个;ip inspect max-incomplete low 400表示将导致路由器开始停止删除half-open会话的已经存在的half-open会话数)

　　max-incomplete tcp connections per host is 50. Block-time 0 minute.(相关命令：ip inspect tcp max-incomplete host 50 block-time 0表示将引起路由器开始丢弃到同一目的主机地址的超过50个的half-open会话。如果block-time值为0表示到某个目的主机的每条连接请求，C BAC会删除到该主机的最老的已存在的half-open会话，并让该SYN包通过;如果block-time值大于0表示CBAC将删除到该目的主机的所有已存在的h alf-open连接，并阻拦所有新的连接。