CBAC-基于上下文的訪问控制协议.docVIP

一、CBAC技术介绍  CBAC是一种允许路由器审查经过自己的流量，并且根据已经建立起来的状态信息决定允许某些流量或者拒绝某些流量通过的机制。CBAC动态修改扩展的访问控制列表以允许从外部发起的返回流量，CBAC提供对应用层和传输层协议的检查，同时基于检查数据包收集到的信息来控制会话的数量，同时也生成警告和审计信息。  和ACL不同的是，普通的扩展ACL只能在第3，4层对流量进行过滤，RACL（自反射列表）能过滤第5层会话层的信息，CBAC支持应用服务的审查，能检查某些数据包的内容，如TELNET数据包内输入的命令；也能检查连接消息，确定连接的状态，CBAC能检查控制连接，确定数据连接正在建立，并将该连接添加到状态表中。CBAC也支持多个多媒体协议，以及其他的执行这种功能的应用。同样，CBAC也可以对HTTP做检查，发现JAVA程序，并进行过滤。  CBAC做为IOS的状态防火墙的工作如下:  为需要进行审查的协议维持传输和应用状态。每一个连接都会创建一个连接状态，对于TCP协议而言，TCP的连接初始化序列号用来创建TCP的连接状态。对于UDP协议来说，只要CBAC审查到UDP数据包有特殊的地址和端口组合就创建一个连接状态。当TCP和UDP携带我们想要进行审查的应用服务时，CBAC就会针对应用服务的端口号来对有效负载进行审查。  当连接终