相信每一個網管在設定路由器時,都會涉及到訪問控制的方面,今天我們就以磊科路由器來為大家介紹這方面的內容,這是重點介紹基於上下文的訪問控制。
通常路由只能檢查網路層或者傳輸層的資料包,而CBAC能夠智慧過濾基於應用層的TCP和UDP的sessi on,CBAC能夠在firewall access-list 開啟一個臨時的通道給起源於內部網路向外的連線,同時檢查內外兩個方向的sessions。
1、資料包到達防火牆的`外部介面。
2、資料包由該介面outbound access-list檢查是否允許通過,不通過的資料包在此被丟棄,不用經過以下步驟。
3、通過access list檢查的資料包由CBAC檢查來決定和記錄包連線狀態資訊,這個資訊被記錄於一個新產生的狀態列表中為下一個連線提供快速通道。
4、如果CBAC沒有定義對telnet應用的檢查,資料包可以直接從該介面送出。
5、基於第三步所獲得的狀態資訊,CBAC在s0的inbound access list中插入一個臨時建立的access list入口,這個臨時通道的定義是為了讓從外部回來的資料包能夠進入;
6、接下來一個外部的inbound資料包到達s0,這個資料包是先前送出的telnet會話連線的一部分,經過s0口的access list檢查,然後從第五步建立的臨時通道進入。
7、被允許進入的資料包經過CBAC的檢查,同時連線狀態列表根據需要更新,基於更新的狀態資訊,inbound access list臨時通道也進行修改只允許當前合法連線的資料包進入。
8、所有屬於當前連線的進出s0口資料包都被檢查,用以更新狀態列表和按需修改臨時通道的access list,同時資料包被允許通過s0口。
9、當前連線終止或超時,連線狀態列表入口被刪除,同時,臨時開啟的access list入口也被刪除。
對於配置到口必須允許所有需要的應用通過,包括希望被CBAC檢查的應用,但是必須禁止所有需要CBAC檢查的應用。
