PC6下载站

分类分类

CBAC的合理配置提高升Cisco路由器安全

关注+2010-12-11作者:学学

3 页 配置外部接口的技巧

 三、配置接口的技巧
  1.配置外部接口的技巧
  如果在外部接口上有一个对外方向的IP访问控制列表,则该访问控制列表就可以是一个准则的或扩展的访问控制列表。该外出方向的访问控制列表应该允许想让CBAC检查的数据流通过。如果数据流不被允许,它就不能被CBAC检查,就会被简单地抛弃。
  在外部接口上的入方向访问控制列表必须是一个扩展的访问控制类表。  在Cisco路由器上创建ACL(访问控制列表)是管理员常用的数据过滤和网络安全防护措施,但是ACL的局限性是非常显着的,因为它只能检测到网络层和传输层的数据信息,而对于封装在IP包中的恶意信息它是无能为力的。CBAC将在该人方向控制列表中孕育发生适当的临时通口,只允许返回数据进入,这些数据流属于一个有效的已存在会话的一部分。
  2.配置内部接口的技巧
  如果在内部接口上有一个入方向的IP访问控制列表,或在外部接口上有一个对外出方向的IP访问控制列表,则这些访问控制列表可以是准则的或者扩展的访问控制类表。这些访问控制类表应该允许想让CBAC审查的数据流通过。如果数据流不被允许,它就不能被CBAC审查,就会被简单地抛弃掉。
  在内部接口上的外出方向的IP访问控制列表和在外部接口上的入方向的访问控制列表必须是扩展的访问控制列表。这些访问控制列表应该拒绝想要让CBAC审查的数据流通过CBAC将在这些访问控制列表中孕育发生适当的临时通道,只允许那些属于一个有效的、已存在会话的一部分的返回数据流进入。不需要在内部接口的外出方向和外部接口的入口向上都配置一个扩展访问控制列表,但至少需要配置一个,以限定数据流通过防火墙流进内部受保护的网络。四、总结
  只有连接的控制信道会被CBAC审查和监视,数据信道不会被审查。
  (4).当对防火墙的访问特权设置口令时,最好是用“enablesecret”命令而不是“enablepassword”命令CISCO路由器,cisco。
  CBAC审查辨认控制信道中与应用具体相干的命令,并检测和防止某些应用层攻击,如SYN-flooding(SYN包风暴攻击)等。从2003年Cisco考试的进展趋势来看,模拟实验题在考试中所占的比例越来越重。在该情况下,所谓“内部”是指会话必须主动提倡以让其数据流被允许通过防火墙的一侧;“外部”是指会话不能主动提倡的一侧(从外部提倡的会话被禁止)。无法访问网络设备的网络攻击被称为办事攻击(DoS)。
  CBAC审查还在其它方面有助于防止拒绝办事攻击。CBAC检查TCP连接中的包序列号码是否在所期望的范畴之内,并抛弃所有可疑的数据包CISCO路由器,cisco。同时,也可以配置CBAC来抛弃半开连接,这需要占用防火墙的处理资源和内存资源来进行维护。除此之外,CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越。

 Cisco在2002年新版的考试改革中,增加不少模拟实验题,大大提高考试难度。
  (5).将防火墙防在一个安全的地区内。为了配合Cisco考试范例的调整,国外不少专业认证考试公司推出林林总总的CISCO实验模拟器,比较出名的有思科网络学院FLASH版模拟实验器、Routersim和Boson实验模拟器。
35 Dynamic      210.12.114.61 :0010A40717EC Dynamic      210.12.114.62 :00E0B05A9AB5 Other  UDPServices     67:bootps     161:snmp  TCPConnections    MIBNotSupported

本文导航
展开全部

相关文章

更多+相同厂商

热门推荐

  • 最新排行
  • 最热排行
  • 评分最高
排行榜

    点击查看更多

      点击查看更多

        点击查看更多

        说两句网友评论

          我要评论...
          取消