Cisco CBAC: - Poor Mans Firewall

CBAC Przegląd

Cisco IOS Firewall Feature Set jest modułem, który może być dodawany do istniejącej IOS, tak aby zapewnić funkcjonalność zapory sieciowej, bez potrzeby uaktualniania sprzętu. Istnieją dwa składniki Cisco IOS Firewall Feature Set w Intrusion Detection (co jest fakultatywne Bolt-on) oraz Context-Based Access Control (CBAC). CBAC utrzymuje tabeli stanów dla wszystkich połączeń wychodzących na routerze Cisco poprzez kontrolę połączeń TCP i UDP w warstwie siedmiu modelu OSI i wypełniania tabeli odpowiednio. Po otrzymaniu zwrotu ruchu na interfejsie zewnętrznym jest porównywana z tabeli stanów, aby sprawdzić, czy połączenie zostało pierwotnie ustalony od wewnątrz sieci wewnętrznej, a następnie zezwala lub zablokowany. Chociaż podstawowym jest to bardzo skuteczny sposób przed nieautoryzowanym dostępem do sieci wewnętrznej z zewnętrznych źródeł, takich jak internet.

CBAC aplikacji szczególnego wsparcia

Cisco ma również wbudowane w kilka dodatkowych funkcjonalności w CBAC w zakresie stosowania poszczególnych inspekcji, które umożliwia routerowi rozpoznać i określić zastosowanie konkretnych przepływów danych, takich jak HTTP, SMTP, TFTP i FTP. Zrozumienie tych wniosków i ich przepływu danych upoważnia router do identyfikacji spreparowanych pakietów lub podejrzanych przepływów danych, aplikacji i odpowiednio zezwolić lub nie zezwolić. CBAC także zapewnia elastyczność pobierania kodu Javy z zaufanych witryn, ale odmawia niezaufanych witryn.

CBAC i Denial of Service (DoS) atak

Denial of Service (DoS) Ochrona przed atakami jest również zbudowany w czasie rzeczywistym rejestrowania wpisów, jak i aktywnej reakcji na ograniczenie zagrożenia. Aby to zrobić CBAC może być skonfigurowany do zarządzania pół-otwartych połączeń TCP, które są wykorzystywane w atakach TCP SYN flood na przeciążenie cele środków w wyniku ataku Denial of Service dla legalnych użytkowników. Aby to zrobić CBAC używa limity czasu i progi, które można konfigurować, aby określić, jak długo informacje o stanie dla każdego połączenia powinny być przechowywane w sesjach i kiedy upuść. Należy pamiętać, że UDP i ICMP wymagają bezczynności limit zegar jest używany do określenia, kiedy połączenie powinno zostać zakończone. Bardzo przydatne polecenia do określenia ataku DOS "OD kontroli ścieżki kontrolnej", który rejestruje wszystkie połączenia DOS tym źródłem i docelowego adresu IP i portu TCP lub UDP pozwala skupić uwagę dokładne źródło i cel ataku.

Konfiguracja CBAC

Istnieje pięć kroków w celu konfigurowania CBAC na routerze Cisco, aby mogła ona działać poprawnie. Są one następujące:

1. Wybierz interfejs, do którego kontroli będą stosowane. Może to być wewnętrzny lub zewnętrzny interfejs jak CBAC dotyczy jedynie kierunku pierwszy pakiet inicjujący połączenie, które jest identyfikowane przy stosowaniu CBAC do interfejsu.

2. Konfiguracja lista dostępu IP w odpowiednim kierunku na wybranym interfejsie, aby umożliwić ruch przechodzący przez CBAC do sprawdzenia.

3. Konfigurowanie globalnych limitów czasu i progi ustanowione połączenia lub sesji.

4. Określ zasady kontroli określając dokładnie jakich protokołów będzie kontrolowane przez CBAC.

5. Zastosuj regułę kontroli do interfejsu w odpowiednim kierunku.

Rate Article

Related Videos
Play Video Cisco Announces Web Collaboration	Play Video A "Fireside Chat" Concerning the New CCNA Concentrations	Play Video How to Use Linksys Media Hub	Play Video Padres Y Cheveres Graduados syna	Play Video Pięć Free Great Narzędzia sieciowe - FrugalTech

Poniżej wymienione są więcej artykułów związanych z powyższym artykule z "Computer and Technology" kategorii artykułów.

Osoby zainteresowane powyższym artykule "Cisco CBAC: - Poor Mans Firewall" są również zainteresowani powiązane artykuły wymienione poniżej: