认识CBAC

Cisco IOS 防火墙是 Cisco IOS的一个组件，它可以提供Cisco PIX 防火墙上 的类似功能。它可以允许管理员在不购买单独防火墙的情况下，有效地对网络提供 安全防护。
　　 大家以前使用比较多的是标准访问列表和扩展访问列表，但这两种形式的列表都是静态的，即不在人为参与的情况下，系统不能根据实际情况的变化动态调整列表中 的条目。但在实际工作中我们需要更灵活的方式，来提高系统的 安全性，Cisco向提供了 高级访问列表来满足这种需求。高级访问列表的基本要素是：它可以在不需要管理员介入的情况下自动对访问列表中的条目进行创建和删除。例如反射访问列表、动 态访问列表、基于环境的访问控制CBAC(Context-based Access Control)等，都是在不对任何配置进行修改的情况下实时创建通道来提供访问机制，这些通道通常是作为对内网到外部所发出的访问请求进行响应而创建 的。当启动通道的会话终止后，或当该通道闲置时间超过一个设定值后，则通道被关闭。
　　 Cisco IOS防火墙的功能包括：加密、故障备份服务、认证、实时入侵检测和通过CBAC所实现的基于应用程序的过滤功能。由于标准和扩展访问列表工作于OSI模 型的网络层或传输层，因此，他们处理一些应用程序的能力是有限的，CBAC通过基于OSI模型的应用层来过滤数据包，从而增强其处理能力。
　　
　 　 实际需求：
　　某行的一台Router上的2个Ethernet口，分别连接到21(业务) 、22(OA)网段，他希望21能访问22，但22不能访问21。
　　在实际的工程中我们对于21、22的分网，主要是通过控制 路由 协议的分 发来实现在不同线路上的隔离。对于上面这个问题，大家往往想到使用扩展的访问控制列表，并且加上established关键字，我想会有一些问题，例 如：established只是针对基于TCP的应用有效，对基于UDP的应用无法控制；另外象视频会议等一些应用使用的是多端口 协议，并且往往端口是动态变化的。因此，建议采用CBAC 的方式来做。
　　
　　 CBAC的配置步骤：
　　 选择一个接口
　　 在接口上配置IP访问列表
　　 配置全局超时值和门限值
　　 定义检查规则并讲它应用到接口上
　　 配置记录和审核追踪
　 　
　　选择接口，一般要指定谁是OUTSIDE，谁是INSIDE，通常Serial为OUT，Ethernet为IN。在本例中可设21为 IN，22为OUT。
　　对于访问列表的设置也需注意。可参见下图的说明：
　　
　　
　　
　　
　　
　 　配置参考：
　　sh run
　　Building configuration...
　　
　　Current configuration : 956 bytes
　　!
　　version 12.2
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service password-encryption
　　!
　　hostname Router
　　!
　　boot system flash c3660-io3-mz.122-5a.bin
　　!版本需 FW/IDS特性
　　ip subnet-zero
　　!
　　!
　　!
　　ip inspect name test-acl tcp
　　 ip inspect name test-acl udp
　　！通过此ip inspect定义需检查的应用层 协议
　　ip audit notify log
　　ip audit po max-events 100
　　!
　　!
　　
　　interface FastEthernet0/0
　　 ip address 70.0.3.12 255.255.0.0
　　ip inspect test-acl in
　　！把接口和定 义的检测规则关联
　　no keepalive
　　duplex auto
　　speed auto
　　!
　　 interface FastEthernet0/1
　　ip address 71.0.3.12 255.255.0.0
　　ip access-group 101 in
　　！按图中的规则定义、部署ACL
　　duplex auto
　　speed auto
　　!
　　ip classless
　　no ip http server
　　ip pim bidir-enable
　　!
　　access-list 101 permit icmp any 70.0.0.0 0.0.255.255 echo-reply
　　access-list 101 deny ip any 70.0.0.0 0.255.255.255
　　access-list 101 permit ip any any
　　!定义ACL
　　 line con 0
　　line aux 0
　　line vty 0 4
　　login
　　!
　　
　 　 测试结果：
　　 71地址 ping不通70地址，70地址可以ping 通71地址；
　　 70地址可以成功FTP到71段的FTP Server主机，反向不通。