Context-Based Access Control (CBAC) 基于上下文的访问控制 理论知识
CBAC即基于上下文的访问控制协议,通过检查防火墙的流量来发现管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量一个方向上配置ip inspect列表,放行其返回流量。被允许会话是指来源于受保护的内部网络会话。它不能用来过滤每一种TCP/IP协议,CISCO IOS支持检查的协议有:
Keyword Name | Protocol |
---|---|
cuseeme | CUSeeMe Protocol |
ftp | File Transfer Protocol |
h323 | H.323 Protocol (for example Microsoft NetMeeting or Intel Video Phone) |
http | HTTP Protocol |
rcmd | R commands (r-exec, r-login, r-sh) |
realaudio | Real Audio Protocol |
rpc | Remote Procedure Call Protocol |
smtp | Simple Mail Transfer Protocol |
sqlnet | SQL Net Protocol |
streamworks | StreamWorks Protocol |
tcp | Transmission Control Protocol |
tftp | TFTP Protocol |
udp | User Datagram Protocol |
vdolive | VDOLive Protocol |
有时我们需要为某些应用在一个方向上放行数据流,并只允许这些应用的返回流量制数据流通过,这时只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络,用户可以在一个或多个接口的2个方向上配置CBAC。
配置数据流过滤的第一步是决定是否在防火墙的一个内部接口或外部接口上配置CBAC。在该环境下,所谓“内部”是指会话必须主动发起以让其数据流被允许通过防火墙的一侧;“外部”是指会话不能主动发起的一侧(从外部发起的会话被禁止)。如果要在2个方向上配置CBAC,应该先在一个方向上使用适当的“Internal”和“External”接口指示配置CBAC。在另一个方向上配置CBAC时,则将该接口指示换成另一个。可以说,ACL与CBAC是互补的,把两者合理的组合起来可使网络更加安全。
特别要注意的是,CBAC只能用于IP数据流。只有TCP和UDP数据包能被检查,其他IP数据流 (如ICMP)不能被CBAC检查,只能采用访问控制列表对其进行过滤。在不做应用层协议审查时,像自反访问控制列表一样,CBAC可以过滤所有的TCP和UDP会话。只有连接的控制信道会被CBAC审查和监视,数据信道不会被审查。如在FTP会话中,控制信道(通常是TCP端口21)和数据信道(通常是TCP端口20)的状态变化都会被监视,但只有控制信道才会被审查。
CBAC提供高级的基于应用层的内容过滤功能包括:
- 流量过滤:CBAC能够基于应用层智能地过滤TCP/UDP包,甚至过滤的连接可以从被保护的网络发起.所以CBAC可以检测防火墙任意一边发起的流量.如果没有CBAC,流量过滤只能停留在网络层及以下(普通ACL),最多是传输层(自反列表)。CBAC不仅可以检测网络层、应用层的信息,而且能通过检测应用层信息(比如FTP连接信息、RPC和sql*net)来识别会话的状态。通过CBAC,可以防止普通的恶意的JAVA程序***网络.通过配置,可以允许用户只能运行内部JAVA脚本或者是外部的被信任的脚本。
- 流量检测:CBAC通过检查出口流量来建立临时会话表允许回包通过。通过检测应用层,维持TCP/UDP会话信息,CBAC可以防止一些网络***比如刚SYN-flooding.SYN-flooding是一种DoS***.***通过向服务器发送大量的不能建立全连接的连接请求导致服务器资源耗尽而崩溃而不能提供正常的服务。CBAC通过检测包的TCP连接序列号是否在合理的范围内来决定丢弃可疑的包.可以配置CBAC丢弃半连接状态的连接.而且CBAC可以检测到非正常的大量的连接并且产生警报。CBAC还可以防止一些分段IP包的DOS***.因为***可以通过发送许多非初试化的IP分段或者完整的分段包通过路由器,而这是被路由器ACL允许的,这样的包到达服务器或者主机后会导致注意花时间来试这重组不完整的包。
- 警报和审计:CBAC同时会产生实时的警报和审计信息.增强的审计信息通过使用SYSLOG来跟踪所有网络流量.你可以具体到只审计某个应用程序产生的信息。
- ***检测:CBAC为SMTP只提供有限的***检测.在中或高端路由器上,CBAC提供专门的IDS。能使路由器更安全地部署在边界上。
转载于:https://blog.51cto.com/haolun/992187
Context-Based Access Control (CBAC) 基于上下文的访问控制 理论知识相关推荐
- 基于上下文的访问控制与基于区域策略的防火墙
基于上下文的访问控制与基于区域策略的防火墙 拓扑图 地址表 Device Interface IP address R1 F 0/0 192.168.22.1 S 0/0/0 10.1.22.1 R2 ...
- [认证授权] 6.Permission Based Access Control
在前面5篇博客中介绍了OAuth2和OIDC(OpenId Connect),其作用是授权和认证.那么当我们得到OAuth2的Access Token或者OIDC的Id Token之后,我们的资源服务 ...
- (第一组_GNS3)基于上下文的访问控制
E:基于上下文的访问控制 拓扑图 IP地址规划 设备名 端口 IP地址 子网掩码 网关 R1 S0/1/0 10.29.3.2 24 F0/1 10.29.2.1 24 R2 S0/1/0 10.29 ...
- CBAC(基于内容的访问控制)
CBAC提供以下功能: *流量过滤 *流量检测 *警报和审计跟踪 ****阻断 就是过滤 CBAC基于应用层协议会话信息智能化地过滤TCP和UDP数据包.当CBAC被配置之后,仅当初始化了到相关的需要 ...
- 基于HMM的语音合成理论知识
title: 语音合成理论知识 tags: 深度学习,机器学习,数据挖掘, grammar_mindmap: true renderNumberedHeading: true grammar_code ...
- 基于上下文的访问控制——CBAC的配置
CBAC配置 环境:三台路由器由串口相连,连接地址如图所示 要求:在R2上进行CBAC访问控制,只允许R1 telnet R3及ping R3,但不允许R3访问R1. 步骤一:接口连通性配置 R1 ...
- RBAC 基于角色的访问控制
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成"用 ...
- J0ker的CISSP之路:复习Access Control(10)
本文同时发布在:[url]http://netsecurity.51cto.com/art/200806/77992.htm[/url] 在<J0ker的CISSP之路>的上一篇文章< ...
- 【access control】常用访问控制模型比较
目前主要的访问控制模型有**基于角色的访问控制 (RBAC,role-based access control).基于属性的访问控制(ABAC,attributes based access cont ...
最新文章
- php排除无效字查询,php删除无效的字符
- 2048游戏的python实现
- Hibernate核心配置文件cfg参数说明
- 一本很好的书LearnOpenGL
- 微信PC版近期更新的几个功能,你都会用吗?
- react项目_如何从零开始创建React项目(三种方式)
- linux mint视频,Linux Mint 20.1 beta 发布,新增免费视频播放器
- 我被面试官给虐懵了,竟然是因为我不懂Spring中的@Configuration
- webstorm两个文件比对_webstorm怎么更改文件名称?或者是重命名
- Python3 网络爬虫:下载小说的正确姿势
- c++去除图片上的文字_图片文字修改去除方法
- android 4.0 禁用系统home键
- 自动登录SAP系统(流星程序集之十八)
- c语言continuo语句例子,现在进行时语法资源Present Continuous Tense(附资源)
- 安卓期末作品小项目_《去月球》电影版今年上映;电子竞技入选亚室会正式比赛项目...
- 个人关于工作上的一点建议
- 精尽 Netty 原理与源码专栏( 已经完成 61+ 篇,预计总共 70+ 篇 )
- 2022年版中国制冷设备市场深度分析与投资调研评估报告报告
- python读取txt每一行按照正则匹配hon-正则表达式使用python从文件中过滤和删除特定的多行文本...
- bzoj 4398 福慧双修 题解
热门文章
- 接口是什么意思_程序员天天用却不懂得冷知识,这两句口诀,让你理解RESTful接口...
- SQL基础学习总结:2(表的创建、删除、更新和名称修改)
- 上海职称英语和计算机考试时间,上海职称英语考试时间
- java jdk 8u111_8u111-jdk-alpine在java开发中的NullPointerException错误解决方案
- Center OS 离线安装Mysql5.7
- LinkQueue的基本创建
- 终端主题_再见 XShell 和 ITerm 2,是时候拥抱全平台高颜值终端工具 Hyper 了!
- vconsole 调试 查看LOG VUE在手机上调试 手机查看h5的日志
- HTML封装AJAX请求,在请求里面写登录的逻辑 ajax 网络请求 post
- [微信小程序]组件化开发,以一个自定义模块框组件当做示例(附完整示例代码和效果图)