Cisco IOS 防火墙 CBAC IP inspect.docVIP

不要在核心层和分布层的Cisco路由器上应用大量防火墙特征. Cisco IOS防火墙可以提供一下对网络的保护功能: 基于上下文的访问控制 认证代理 入侵检测 CBAC具有以下特性: 如果数据包不被ACL特行拒绝,被CBAC审查后进入防火 墙 CBAC允许或拒绝特定的TCP和UDP流量 不要在核心层和分布层的Cisco路由器上应用大量防火墙特征. Cisco IOS防火墙可以提供一下对网络的保护功能: 基于上下文的访问控制 认证代理 入侵检测 CBAC具有以下特性: 如果数据包不被ACL特行拒绝,被CBAC审查后进入防火 墙 CBAC允许或拒绝特定的TCP和UDP流量通过防火墙 用会话信息维护一个状态表 ACL被动态的建立和删除 CBAC保护网络免受DoS攻击 Cisco IOS防火墙的认证代理特征能使网络管理员基于每用户应用特定的安全策略. 用CBAC保 护用户免受攻击 只有通过了接口的ACL后,才被CBAC审查;若数据包被ACL丢弃了,则不 被CBAC审查. CBAC仅审查和监控连接的 控制通道,数据通道不被审查. CBAC审查能识别控制通道 中应用程序特有的命令. CBAC审查跟踪所有TCP包中的序列号,丢弃不在期望范围内序列号的数据包. CBAC提供三种阈值抵御DoS攻击 1,半打开的TCP和UDP会话的总数 2,基于时间的半打开会话 的总数 3,基于每个主机的半打开TCP会话的总数. 配置CBAC 打开审计跟踪和报警 Ip inspect audit-trail:打开审计跟踪 No ip inspect alert-off:打开告警. 全局超时值和阈值 Ip inspect tcp synwait-time seconds :定义在丢弃会话之前软件将等待多长时间使TCP会话达到已建立状态. Ip inspect finwait-time seconds :定义在防火墙检测到FIN交换后还将管理这个TCP会 话多长时间. Ip inspect tcp idle-time seconds Ip inspect udp dile-time seconds Ip inspect dns-timeout seconds 全局半打开连接限制 Ip inspect max-incomplete high number Ip inspect max-incomplete low number Ip inspect one-minute high number Ip inspect one-minute low number 通过主机限制半打开连接 Ip inspect tcp max-incomplete host number block-time minutes Block-time minutes:如 果该值为0(默认值),每一个新连接到达这台主机,软件会删除已经存在的最老的半打开会话. Block-time minutes:如 果该值不为0,软件就删除所有的到这台主机的半打 开会话,并阻塞所有的到这台主机的新的连接请求.直到阻塞时间超时,恢复新的连接请求. 端口到应用的映射:PAM Ip port-map application-name port new-port-number [list acl-number] Show ip port-map [application-name | port port-number]:显示PAM配置 定义应用协议审查规则 1,定义一个 审查规则,指定接口上哪些IP流量将被审查. Ip inspect name inspection-name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds] 2,Java审 查规则:在防火墙上打开java小程序过滤. Ip inspect name inspection-name http java-list acl-number [alert {on | off}] [audit-trail {on | off}] [timeout seconds] CBAC不检测和阻塞被封装的Java小程序.比如在zip包,jar包中的java小程序,不 被防火墙阻塞过滤;CBAC也不检测和阻塞通过FTP 和 HTTP在非标准端口下载的java小 程序. 3,RPC应 用审查规则 Ip inspect name inspection-name rpc program-number number [wait-time minutes ][ale