Cisco IOS防火墙：CBAC简单配

　　CBAC:是CiscoIOS防火墙特性集一个高级模块：(context-basedaccesscontrol)即基于上下文的访问控制，它不同于ACL(访问控制列表),并不能用来过滤每一种TCP/IP协议，但它对于运行TCP、UDP应用或某些多应用(如Microsoft的NetShow或RealAudio)的网络来说是一个较好的安全解决方案。除此之外，CBAC在流量过滤、流量检查、和审计蛛丝马迹、入侵检测等方面表现卓越。在大多数情况下，我们只需在单个接口的一个方向上配置CBAC，即可实现只允许属于现有会话的数据流进入内部网络。可以说，ACL与CBAC是互补的，它们的组合可实现网络安全的最大化。

　　CISCO由器的access-list只能检查网络层或者传输层的数据包，而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP和UDP的session;CBAC能够在firewallaccess-list打开一个临时的通道给起源于内部网络向外的连接，同时检查内外两个方向的sessions。

　　CBAC可提供如下服务：(1)状态包过滤：对企业内部网络、企业和合作伙伴互连以及企业连接internet提供完备的安全性和强制政策。(2)Dos检测和抵御：CBAC通过检查数据报头、丢弃可疑数据包来预防和由器受到。(3)实时报警和：可配置基于应用层的连接，经过防火墙的数据包，提供详细过程信息并报告可疑行为。

　　先建立如图1的拓扑并使之互相可以访问通信。在由器上做如下配置：

　　CBAC的检测规则可以指定所有网络层以上的协议，通过ACL检查的数据包由CBAC检查来记录包连接状态信息，这个信息被记录于一个新产生的状态列表中

　　ping 192.168.0.1CBAC使用超时值和阈值确定会话的状态及其持续的时间.可清除不完全会话和闲置会话,用以对Dos进行检测和防护.

　　之后发现，外网的主机ping不同内网主机(如图2，3)，按理来说就不可能访问外网web服务器了，如图4内网主机依然可以访问外网web服务器。

　　会发现CBAC维持具有连接信息的会话状态表，只有当状态表中的一个条目表明此分组属于某个被允许的会话，会在防火墙中制造一个动态的通，供返回流量使用。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。