CCNA实验三十七 CBAC(基于上下文的访问控制)

环境: Windows XP 、PacketTracert 5.3

目的:

了解CBAC的基本原理而后基本配置,在CCNA阶段接触一些基本的防火墙安全配置的知识

说明:

CBAC即基于上下文的访问控制协议,通过检查防火墙的流量来发现管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表,允许为受允许会话放回流量和附加数据连接,打开这些通路。受允许会话是指来源于受保护的内部网络会话。它不能用来过滤每一种TCP/IP协议,但它对于运行TCP、UDP应用或某些多媒体应用(如Real Audio)的网络来说是一个较好的安全解决方案。有时我们可能需要为某些应用在一个方向上限制数据流,并为其它应用在反方向上限制数据流,这时只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络,用户可以在一个或多个接口的2个方向上配置CBAC。配置数据流过滤的第一步是决定是否在防火墙的一个内部接口或外部接口上配置CBAC。在该环境下,所谓“内部”是指会话必须主动发起以让其数据流被允许通过防火墙的一侧;“外部”是指会话不能主动发起的一侧(从外部发起的会话被禁止)。如果要在2个方向上配置CBAC,应该先在一个方向上使用适当的“Internal”和“External”接口指示配置CBAC。在另一个方向上配置CBAC时,则将该接口指示换成另一个。 可以说,ACL与CBAC是互补的,把两者合理的组合起来可使网络更加安全。

特别要注意的是,CBAC只能用于IP数据流。只有TCP和UDP数据包能被检查,其他IP数据流 (如ICMP)不能被CBAC检查,只能采用基本的访问控制列表对其进行过滤。在不做应用层协议审查时,像自反访问控制列表一样,CBAC可以过滤所有的TCP和UDP会话。只有连接的控制信道会被CBAC审查和监视,数据信道不会被审查。如在FTP会话中,控制信道(通常是TCP端口21)和数据信道(通常是TCP端口20)的状态变化都会被监视,但只有控制信道才会被审查。

CBAC提供高级的基于应用层的内容过滤功能包括:
      1.流量过滤:CBAC能够基于应用层智能地过滤TCP/UDP包,甚至过滤的连接可以从被保护的网络发起.所以CBAC可以检测防火墙任意一边发起的流量.如果没有CBAC,流量过滤只能停留在网络层及以下(普通ACL),最多是传输层(自反列表).CBAC不仅可以检测网络层、应用层的信息,而且能通过检测应用层信息(比如FTP连接信息、RPC和sql*net)来识别会话的状态。通过CBAC,可以防止普通的恶意的JAVA程序入侵网络.通过配置,可以允许用户只能运行内部的JAVA脚本或者是外部的被信任的脚本。

2.流量检测:CBAC通过检查出口流量来建立临时会话表允许回包通过。通过检测应用层,维持TCP/UDP会话信息,CBAC可以防止一些网络攻击比如刚SYN-flooding.SYN-flooding是一种DoS攻击.黑客通过向服务器发送大量的不能建立全连接的连接请求导致服务器资源耗尽而崩溃而不能提供正常的服务。CBAC通过检测包的TCP连接序列号是否在合理的范围内来决定丢弃可疑的包.可以配置CBAC丢弃半连接状态的连接.而且CBAC可以检测到非正常的大量的连接并且产生警报.CBAC还可以防止一些分段IP包的DOS攻击.因为黑客可以通过发送许多非初试化的IP分段或者完整的分段包通过路由器,而这是被路由器ACL允许的,这样的包到达服务器或者主机后会导致注意花时间来试这重组不完整的包。

3.警报和审计:CBAC同时会产生实时的警报和审计信息.增强的审计信息通过使用SYSLOG来跟踪所有网络流量.你可以具体到只审计某个应用程序产生的信息。

4.入侵检测:CBAC为SMTP只提供有限的入侵检测.在中或高端路由器上,CBAC提供专门的IDS.能使路由器更安全地部署在边界上。

步骤:

使用PacketTracert创建如下拓扑:

配置Border路由器:

Router>en

Router#conf t

Router(config)#host Border

Border(config)#access-list 100 deny ip any 192.168.0.0 0.0.0.255

Border(config)#access-list 100 permit ip any any

Border(config)#access-list 101 deny ip any 192.168.0.0 0.0.0.255

Border(config)#access-list 101 permit ip any any

Border(config)#access-list 102 deny ip any 192.168.0.0 0.0.0.255

Border(config)#ip inspect name test tcp //创建规则test审查tcp连接

Border(config)#ip inspect name test udp //创建规则test审查udp连接

Border(config)#ip inspect name test icmp //创建规则test审查ICMP连接

Border(config)#ip inspect name test telnet //创建规则test审查telnet连接

Border(config)#ip inspect name test http ////创建规则test审查http连接

Border(config)#ip inspect audit-trail  //审计追踪

Border(config)#ip inspect dns-timeout 6//寻找dns的空闲时间默认5秒

Border(config)#ip inspect max-incomplete high 600 //CBAC关闭连接之前最大的半开连接数,默认为500个会话

Border(config)#ip inspect max-incomplete low 450 //CBAC停止关闭连接的半开连接数,默认400

Border(config)#ip inspect one-minute high 700  // BAC关闭连接之前每分钟的半开连接数,默认500

Border(config)#ip inspect one-minute low 500 // CBAC停止关闭连接的每分钟半开连接数,默认400

Border(config)#ip inspect tcp finwait-time 6 //等待TCP会话及那里的时间长度,默认为30秒

Border(config)#ip inspect tcp idle-time 600 //TCP空闲的超时长度默认3600秒

Border(config)#ip inspect tcp synwait-time 35 FIN(终止传送)交换之后管理TCP的时间默认5秒

Border(config)#ip inspect udp idle-time 600 //UDP空闲的超时长度,默认30秒

Border(config)#int fa0/0

Border(config-if)#ip add 192.168.0.254 255.255.255.0

Border(config-if)#ip access-group 102 out //把ACL应用到出方向

Border(config-if)#ip inspect test in //把CBAC规则应用到接口的入方向

Border(config-if)#no sh  //开启端口

Border(config-if)#exit

Border(config)#int fa0/1

Border(config-if)#ip add 192.168.1.254 255.255.255.0

Border(config-if)#ip access-group 101 in

Border(config-if)#no sh

Border(config-if)#int s0/0/0

Border(config-if)#ip add 1.1.1.1 255.255.255.0

Border(config-if)#ip access-group 100 in

Border(config-if)#no sh

Border(config-if)#exit

Border(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2

配置Internet路由器:

Router>en

Router#conf t

Router(config)#host Internet

Internet(config)#int s0/0/0

Internet(config-if)#ip add 1.1.1.2 255.255.255.0

Internet(config-if)#clock rate 64000

Internet(config-if)#no sh

Internet(config-if)#exit

Internet(config)#int fa0/0

Internet(config-if)#ip add 2.2.2.254 255.255.255.0

Internet(config-if)#no sh

Internet(config-if)#exit

Internet(config)#ip rou 0.0.0.0 0.0.0.0 1.1.1.1

测试网络:

通过上面的配置和测试,可以发现当前网络中私有网络是受到保护的,只有它主动连接别人,但别人不能对它发起连接。而且DMZ网络与私有网络隔开了,如果DMZ网络受到攻击那么私有网络也不会受到威胁。

时间: 2024-10-14 07:00:17

CCNA实验三十七 CBAC(基于上下文的访问控制)的相关文章

  CCNA实验三十八 ZFW(区域防火墙)

CCNA实验三十八 ZFW(区域防火墙) 环境:Windows XP .Packet Tracert5.3 目的:了解ZFW的原理与基本配置 说明: ZFW(Zone-Based Policy Firewall),是一种基于区域的防火墙,基于区域的防火墙配置的防火墙策略都是在数据从一个区域发到另外一个区域时才生效,在同一个区域内的数据是不会应用任何策略的,所以我们就可以将需要使用策略的接口划入不同的区域,这样就可以应用我们想要的策略.但是,有时某些接口之间可能不需要彼此使用策略,那么这样的接口只

        CCNA实验三 把路由器配置成PC

CCNA实验三 把路由器配置成PC 环境:Windows XP, GNS3.0.7 步骤: 1. 首先打开GNS创建下面的拓扑:      分别右键查看R1 和PC的console端口:R1:2000 , PC:2002   2.首先Telnet到R1进行路由基本配置:在cmd命令行输入:telnet  127.0.0.1  2000登陆然后配置 查看R1所有端口信息: 3.Telnet到PC路由器,把它配置成PC在进入cmd命令行输入:telnet  127.0.0.1  2002登陆然后配置

CCNA实验三十二 ISDN  

CCNA实验三十二 ISDN 环境:Windows XP .Boson NetSim7.02 目的:简单认识ISDN和并掌握基本配置 说明: ISDN综合业务数字网(Integrated Services Digital Network,ISDN)是一个数字电话网络国际标准,是一种典型的电路交换网络系统.它通过普通的铜缆以更高的速率和质量传输语音和数据.ISDN的承载业务类型按照业务的数据率分为两级. 1.基本速率接口(BRI:BasicRateInterface),该速率由两个承载信道和一个数

CCNA实验三十六 GRE(通用路由封装)  

CCNA实验三十六 GRE(通用路由封装) 环境:Windows XP .Packet Tracert5.3 目的:了解GRE的使用,掌握如何配置GRE. 说明: GRE(Generic Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IP 和IPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输.GRE采用了Tunnel(隧道)技术,是VPN(Virtual Private Network)的第三层隧道协议. Tunnel

CCNA实验三十九 再临无线现场  

CCNA实验三十九 再临无线现场 环境:Windows XP  . PacketTracert 5.3 目的: 再次加深对无线模块化使用的理解,还有掌握无线局域网中的WEP.WPA.WPA-PSK加密,了解如何使用加密保护无线网络. 步骤: 创建拓扑如下: 1.分别为三台无线设备添加无线网卡: 2.分别为三台路由器添加无线模块: 3.配置AAA服务器: 4.配置R1路由器: Router>en Router#conf t Router(config)#host R1 R1(config)#ip

CCNA实验二十五 实战多种ACL访问控制  

CCNA实验二十五 实战多种ACL访问控制 环境:Windows XP .Pracket Tracert 5.3 . GNS3.0.7.2 目的:了解ACL作用并熟练在不同环境中配置ACL 说明: ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包并且可以保护网络,ACL适用于所有的被路由协议,如IP.IPX.AppleTalk等.ACL种类:标准ACL.扩展ACL.命名式ACL.基于时间ACL.自反ACL.动态ACL. 标准的ACL使用 1 ~ 99 以及1300~1999之间的数

(第一组_GNS3)基于上下文的访问控制

E:基于上下文的访问控制 拓扑图 IP地址规划 设备名 端口 IP地址 子网掩码 网关 R1 S0/1/0 10.29.3.2 24 F0/1 10.29.2.1 24 R2 S0/1/0 10.29.3.1 24 S0/1/1 10.29.4.1 24 R3 S0/1/1 10.29.4.2 24 F0/1 10.29.1.1 24 PC-A F0/0 10.29.2.2 24 10.29.2.1 PC-C F0/0 10.29.1.2 24 10.29.1.1 配置步骤 1配置端口ip地址,

CCNA实验三十三 实战VoIP部署

环境:Windows XP .PacketTracert5.3 目的: 了解VoIP的使用和基本配置,为以后接触语音这一块有一点了解,而且有语音流量的地方应该配置QoS,但此处暂时不涉及.其实CCNA的路由与交换就是为其它Cisco认证打基础.所以在CCNA时基础一定要熟练并进行一定的扩展. 说明: VoIP(Voice over Internet Protocol)就是将模拟声音讯号(Voice)数字化,以数据封包(Data Packet)的型式在 IP 数据网络 (IP Network)上做

CCNA实验二十七 认识HDLC配置PPP

环境:Windows XP .Packet Tracert5.3 目的:认识HDLC,掌握如何配置PPP和认证 说明: HDLC 是点到点串行线路上(同步电路)的帧封装格式,其帧格式和以太网帧格式有很大的差别,HDLC 帧没有源MAC 地址和目的 MAC 地址. Cisco 公司对 HDLC 进行了专有化,Cisco的 HDLC 封装和标准的 HDLC 不兼容.如果链路的两端都是 Cisco 设备,使用 HDLC 封装没有问题,但如果 Cisco 设备与非 Cisco 设备进行连接,应使用 PP