思科公司過(guò)去20多年，思科幾乎成為了“互聯(lián)網(wǎng)、網(wǎng)絡(luò)應(yīng)用、生產(chǎn)力”的同義詞，思科公司在其進(jìn)入的每一個(gè)領(lǐng)域都成為市場(chǎng)的領(lǐng)導(dǎo)者，那么你知道Cisco IOS防火墻CBAC如何配置嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于Cisco IOS防火墻CBAC如何配置的相關(guān)資料，供你參考。

　　CBAC是什么?

　　CBAC 是Cisco IOS防火墻特性集一個(gè)高級(jí)防火墻模塊：(context-based access control)即基于上下文的訪問(wèn)控制，它不同于ACL(訪問(wèn)控制列表),并不能用來(lái)過(guò)濾每一種TCP/IP協(xié)議，但它對(duì)于運(yùn)行TCP、UDP應(yīng)用或某些多媒體應(yīng)用(如Microsoft的NetShow或Real Audio)的網(wǎng)絡(luò)來(lái)說(shuō)是一個(gè)較好的安全解決方案。除此之外，CBAC在流量過(guò)濾、流量檢查、警告和審計(jì)蛛絲馬跡、入侵檢測(cè)等方面表現(xiàn)卓越。在大多數(shù)情況下，我們只需在單個(gè)接口的一個(gè)方向上配置CBAC，即可實(shí)現(xiàn)只允許屬于現(xiàn)有會(huì)話的數(shù)據(jù)流進(jìn)入內(nèi)部網(wǎng)絡(luò)。可以說(shuō)，ACL與CBAC是互補(bǔ)的，它們的組合可實(shí)現(xiàn)網(wǎng)絡(luò)安全的最大化。

　　CISCO路由器的 access-list只能檢查網(wǎng)絡(luò)層或者傳輸層的數(shù)據(jù)包，而CBAC能夠智能過(guò)濾基于應(yīng)用層的(如FTP連接信息)TCP和UDP的session;CBAC能夠在firewall access-list 打開(kāi)一個(gè)臨時(shí)的通道給起源于內(nèi)部網(wǎng)絡(luò)向外的連接，同時(shí)檢查內(nèi)外兩個(gè)方向的sessions。

　　CBAC可提供如下服務(wù) ：(1)狀態(tài)包過(guò)濾：對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)、企業(yè)和合作伙伴互連以及企業(yè)連接internet提供完備的安全性和強(qiáng)制政策。 (2)Dos檢測(cè)和抵御：CBAC通過(guò)檢查數(shù)據(jù)報(bào)頭、丟棄可疑數(shù)據(jù)包來(lái)預(yù)防和保護(hù)路由器受到攻擊。(3)實(shí)時(shí)報(bào)警和跟蹤：可配置基于應(yīng)用層的連接，跟蹤經(jīng)過(guò)防火墻的數(shù)據(jù)包，提供詳細(xì)過(guò)程信息并報(bào)告可疑行為。

　　Cisco IOS防火墻CBAC配置的方法：

　　先建立如圖1的拓?fù)洳⑹怪ハ嗫梢栽L問(wèn)通信

　　Router(config)#access-list 101 permit tcp any host 192.168.0.1 eq www 定義任何人都可以訪問(wèn)內(nèi)網(wǎng)web服務(wù)

　　Router(config)#access-list 101 deny ip any any 拒絕其他IP通信

　　Router(config)#int f0/0

　　Router(config-if)#ip access-group 101 out 應(yīng)用到F0/0端口相對(duì)于ACL來(lái)說(shuō) 是出方向

　　Router(config-if)#exit

　　CBAC的檢測(cè)規(guī)則可以指定所有網(wǎng)絡(luò)層以上的協(xié)議，通過(guò)ACL檢查的數(shù)據(jù)包由CBAC檢查來(lái)記錄包連接狀態(tài)信息，這個(gè)信息被記錄于一個(gè)新產(chǎn)生的狀態(tài)列表中

　　Router(config)#ip inspect name asha http

　　Router(config)#ip inspect name asha icmp

　　Router(config)#ip inspect name asha tcp

　　Router(config)#ip inspect name asha udp

　　Router(config)#int f0/0

　　Router(config-if)#ip inspect asha in 應(yīng)用到CBAC相對(duì)應(yīng)的進(jìn)方向

　　Router(config-if)#exit

　　CBAC使用超時(shí)值和閾值確定會(huì)話的狀態(tài)及其持續(xù)的時(shí)間.可清除不完全會(huì)話和閑置會(huì)話,用以對(duì)Dos進(jìn)行檢測(cè)和防護(hù).

　　Router(config)#ip inspect max-incomplete high 500 當(dāng)半開(kāi)會(huì)話數(shù)超過(guò)500時(shí)開(kāi)始刪除

　　Router(config)#ip inspect max-incomplete low 400 當(dāng)半開(kāi)會(huì)話數(shù)低于400時(shí)停止刪除

　　Router(config)#ip inspect one-minute high 500 設(shè)置當(dāng)開(kāi)始刪除半開(kāi)會(huì)話數(shù)時(shí)接受的會(huì)話數(shù)的速率

　　Router(config)#ip inspect one-minute low 400 設(shè)置當(dāng)停止開(kāi)始刪除半開(kāi)會(huì)話數(shù)時(shí)接受的會(huì)話數(shù)的速率

　　之后發(fā)現(xiàn)，外網(wǎng)的主機(jī)ping不同內(nèi)網(wǎng)主機(jī)(如圖2，3)，按理來(lái)說(shuō)就不可能-web服務(wù)器了，如圖4內(nèi)網(wǎng)主機(jī)依然可以訪問(wèn)-b服務(wù)器。

　　Router#show ip inspect sessions detail 用來(lái)查看連接狀態(tài)表的統(tǒng)計(jì)信息,包括所有會(huì)話

　　Established Sessions

　　Session 140798744 (192.168.0.2:1029)=>(192.168.1.2:http SIS_OPEN

　　Created 00:00:02, Last heard 00:00:02

　　Bytes sent (initiator:responder) [360:360]

　　Out SID 192.168.1.2[0:0]=>192.168.0.2[0:0] on ACL 101 (3 matches)

　　會(huì)發(fā)現(xiàn)CBAC維持具有連接信息的會(huì)話狀態(tài)表，只有當(dāng)狀態(tài)表中的一個(gè)條目表明此分組屬于某個(gè)被允許的會(huì)話，會(huì)在防火墻中制造一個(gè)動(dòng)態(tài)的通路，供返回流量使用。

　　看過(guò)文章“Cisco IOS防火墻CBAC如何配置"的人還看了：

　　1.思科路由器基本配置教程

　　2.cisco思科路由器設(shè)置

　　3.cisco思科怎么配置無(wú)線AP

　　4.如何查看Cisco路由器的配置信息

　　5.思科路由器怎么進(jìn)入 思科路由器怎么設(shè)置

　　6.如何利用腳本配置思科路由器

　　7.教你如何設(shè)置Cisco路由器安全

　　8.思科Cisco路由器的基礎(chǔ)配置知識(shí)

　　9.CISCO路由器的配置與調(diào)試

　　10.cisco2800如何設(shè)置