思科路由器访问控制列表(思科路由器文档)
本文为大家介绍思科路由器访问控制列表(思科路由器文档),下面和小编一起看看详细内容吧。
cisco路由器基于上下文的访问控制工作原理
基于上下文的访问控制(context-based access control--cbac)
cisco路由器的access-list只能检查网络层或传输层的数据包,而cbac可以根据应用层(如ftp连接信息)智能过滤tcp和udp会话; cbac 可以在防火墙访问列表中打开一个临时会话通道,提供来自内部网络的出站连接,同时检查两个方向的会话。
工作原理:www.ttep.cn
例如,当cbac配置在一个连接internet的外部接口上时,从内部发送的一个tcp数据包(telnet session)通过这个接口连接,同时在cbac配置中已经包含了t cp inspection ,它将经历以下步骤:
(1) 数据包到达防火墙的对外接口(设置为s0);
(2)数据包通过interface outbound access-list检查是否允许通过(不通过的数据包在这里丢弃,不经过后面的步骤);
(3) 访问列表检查的数据包由cbac检查,确定并记录数据包连接状态信息。这些信息被记录在一个新生成的状态列表中,为下一次连接提供快速通道;
(4) 如果cbac没有定义对telnet应用的检查,可以直接从该接口发送数据包;
(5) cbac根据第三步得到的状态信息,在s0的入站访问列表中插入一个临时创建的访问列表项。这个临时通道的定义是允许从外面回来的数据包进入;
(6) 数据包从s0发出;
(7) 接下来,外部入站数据包到达s0。此数据包是先前发送的telnet 会话连接的一部分。查看s0端口的访问列表后,从第五步建立的临时通道进入;
(8) 允许进入的数据包由cbac检查,并根据需要更新连接状态列表。基于更新后的状态信息,入站访问列表的临时通道也被修改为只允许当前合法连接的数据包进入;
(9)检查属于当前连接的所有进出s0端口的数据包,根据需要更新状态列表和修改临时通道的访问列表,允许数据包通过s0端口; www.ttep.cn
(10)当当前连接终止或超时时,连接状态列表项被删除,同时临时打开的访问列表项也被删除。
需要注意的是:对于s0端口配置的outbound ip access list,该访问列表必须允许所有需要的应用程序通过,包括要被cbac检查的应用程序;但入站ip访问列表必须禁止所有需要cbac检查的应用程序。当cbac out 数据包被触发后,会在入站访问列表中临时打开一个通道,供合法和正在传输的数据进入。
好了,思科路由器访问控制列表(思科路由器文档)的介绍到这里就结束了,想知道更多相关资料可以收藏我们的网站。
windows10下载路径更改(w10更改下载路径)
怎样选择适合自己的平板(想买平板,如何选择)
移动硬盘哪种牌子好
英雄联盟提示无法连接服务器是怎么回事(英雄联盟出现无法连接服务器怎么办)
硬盘序列号怎么看时间长短,电脑主机号及硬盘序列号怎么显示啊还有出厂日期 谢谢
思科路由器访问控制列表(思科路由器文档)
苹果 a8+m8协处理器(苹果a8加m8协处理器)
windows10打开设置闪退怎么办(打开设置闪退怎么回事-win 10)
4s gpu怎么关闭,苹果4S怎么关掉GPS
笔记本开机电脑屏幕黑屏怎么回事,为什么笔记本开机电脑屏幕黑屏
6s黑屏没有反应怎么办啊,iphone6s开不了屏按开屏键屏幕不亮怎么办那里出了问题
固态硬盘问世,SSD固态硬盘的发展史
mac怎么切换操作系统(macbook 怎么切换系统)
笔记本系统盘推荐
windows10 8g虚拟内存怎么设置最好(w10 8g内存虚拟设置)
新电脑ssd硬盘分区,新的固态硬盘怎么分区
会声会影2019序列号激活码安装教程(会声会影序列号分享)
小米play怎么自带流量(小米play怎么自带流量套餐)
win10电脑启动项怎么设置启动项(win10在哪设置启动项)
win7系统重装后无法正常启动(重装win7系统后无法安装软件)
cisco路由器基于上下文的访问控制工作原理
基于上下文的访问控制(context-based access control--cbac)
cisco路由器的access-list只能检查网络层或传输层的数据包,而cbac可以根据应用层(如ftp连接信息)智能过滤tcp和udp会话; cbac 可以在防火墙访问列表中打开一个临时会话通道,提供来自内部网络的出站连接,同时检查两个方向的会话。
工作原理:www.ttep.cn
例如,当cbac配置在一个连接internet的外部接口上时,从内部发送的一个tcp数据包(telnet session)通过这个接口连接,同时在cbac配置中已经包含了t cp inspection ,它将经历以下步骤:
(1) 数据包到达防火墙的对外接口(设置为s0);
(2)数据包通过interface outbound access-list检查是否允许通过(不通过的数据包在这里丢弃,不经过后面的步骤);
(3) 访问列表检查的数据包由cbac检查,确定并记录数据包连接状态信息。这些信息被记录在一个新生成的状态列表中,为下一次连接提供快速通道;
(4) 如果cbac没有定义对telnet应用的检查,可以直接从该接口发送数据包;
(5) cbac根据第三步得到的状态信息,在s0的入站访问列表中插入一个临时创建的访问列表项。这个临时通道的定义是允许从外面回来的数据包进入;
(6) 数据包从s0发出;
(7) 接下来,外部入站数据包到达s0。此数据包是先前发送的telnet 会话连接的一部分。查看s0端口的访问列表后,从第五步建立的临时通道进入;
(8) 允许进入的数据包由cbac检查,并根据需要更新连接状态列表。基于更新后的状态信息,入站访问列表的临时通道也被修改为只允许当前合法连接的数据包进入;
(9)检查属于当前连接的所有进出s0端口的数据包,根据需要更新状态列表和修改临时通道的访问列表,允许数据包通过s0端口; www.ttep.cn
(10)当当前连接终止或超时时,连接状态列表项被删除,同时临时打开的访问列表项也被删除。
需要注意的是:对于s0端口配置的outbound ip access list,该访问列表必须允许所有需要的应用程序通过,包括要被cbac检查的应用程序;但入站ip访问列表必须禁止所有需要cbac检查的应用程序。当cbac out 数据包被触发后,会在入站访问列表中临时打开一个通道,供合法和正在传输的数据进入。
好了,思科路由器访问控制列表(思科路由器文档)的介绍到这里就结束了,想知道更多相关资料可以收藏我们的网站。
windows10下载路径更改(w10更改下载路径)
怎样选择适合自己的平板(想买平板,如何选择)
移动硬盘哪种牌子好
英雄联盟提示无法连接服务器是怎么回事(英雄联盟出现无法连接服务器怎么办)
硬盘序列号怎么看时间长短,电脑主机号及硬盘序列号怎么显示啊还有出厂日期 谢谢
思科路由器访问控制列表(思科路由器文档)
苹果 a8+m8协处理器(苹果a8加m8协处理器)
windows10打开设置闪退怎么办(打开设置闪退怎么回事-win 10)
4s gpu怎么关闭,苹果4S怎么关掉GPS
笔记本开机电脑屏幕黑屏怎么回事,为什么笔记本开机电脑屏幕黑屏
6s黑屏没有反应怎么办啊,iphone6s开不了屏按开屏键屏幕不亮怎么办那里出了问题
固态硬盘问世,SSD固态硬盘的发展史
mac怎么切换操作系统(macbook 怎么切换系统)
笔记本系统盘推荐
windows10 8g虚拟内存怎么设置最好(w10 8g内存虚拟设置)
新电脑ssd硬盘分区,新的固态硬盘怎么分区
会声会影2019序列号激活码安装教程(会声会影序列号分享)
小米play怎么自带流量(小米play怎么自带流量套餐)
win10电脑启动项怎么设置启动项(win10在哪设置启动项)
win7系统重装后无法正常启动(重装win7系统后无法安装软件)