Cisco CBAC: - Брандмауер Poor Mans

CBAC Огляд

Cisco IOS Firewall Feature Set являє собою модуль, який може бути доданий в існуючу IOS, щоб забезпечити функціональність брандмауера без необхідності оновлення устаткування. Є два компоненти Cisco IOS Firewall Feature Set у виявленні вторгнень (яка є факультативним Bolt-On) і контекстно-Based Access Control (CBAC). CBAC підтримує держава таблиці для всіх вихідних з'єднань на маршрутизатор Cisco інспекції TCP і UDP з'єднання на сім шарів моделі OSI і заповнення таблиці відповідно. Після повернення трафіку, отриманих на зовнішньому інтерфейсі вона порівнюється з державою, щоб побачити таблицю, якщо зв'язок був спочатку створена в рамках внутрішньої мережі, а потім або дозволений або заборонений. Хоча основні це дуже ефективний механізм для запобігання несанкціонованого доступу до внутрішньої мережі від зовнішніх джерел, таких, як Інтернет.

CBAC певних програм підтримки

Cisco також побудовані в деяку додаткову функціональність в CBAC з точки зору застосування конкретної інспекції, що дозволяє маршрутизатора для визнання і застосування визначити конкретні потоки даних таких як HTTP, SMTP, TFTP і FTP. Розуміння цих програм та їх потоків даних наділяє маршрутизатора для виявлення некоректних пакетів або підозрілих програм передачі даних та дозволяти або забороняти відповідно. CBAC також забезпечує гнучкість завантаження коду Java з надійних вузлів, але він заперечує ненадійних вузлів.

CBAC і відмова в обслуговуванні (DoS) Напади

"Відмова в обслуговуванні (DoS) атака захист також вбудовані в режимі реального часу реєстрації сигналів тривоги, а також активного реагування на зменшення загрози. Для цього CBAC може бути налаштований для управління напіввідкритих з'єднань TCP, які використовуються для нападів TCP SYN Flood перевантажувати цілі ресурсів призводить до відмови в обслуговуванні законних користувачів. Для цього CBAC використовує тайм-аути і пороги, які налаштовуються, щоб визначити, скільки часу інформацію про стан кожного з'єднання повинні зберігатися протягом сесії, а коли падіння їх. Зверніть увагу, що UDP і ICMP вимагати, щоб простий таймер ліміт використовується, щоб визначити, коли з'єднання повинно бути припинено. Дуже корисна команда для виявлення атак ОСН "IP перевірити Audit-Trail", який записує все зв'язку, включаючи DOS-адреси джерела і призначення IP і TCP або UDP портам що дозволяє точно визначити точний джерело і призначення напад.

Налаштування CBAC

Є п'ять кроків з настройки CBAC на маршрутизатор Cisco для того, щоб вона могла функціонувати коректно. До них відносяться наступні:

1. Вибір інтерфейсу, до якого інспекції будуть застосовуватися. Це може бути внутрішній або зовнішній інтерфейс, як CBAC займається тільки з направленням першого пакету почати ту зв'язок, яка визначається при застосуванні CBAC до інтерфейсу.

2. Налаштування список IP Access у правильному напрямку на обраний інтерфейс, який дозволяє для трафіку через CBAC інспектувати.

3. Налаштувати глобальні таймаут і порогові рівні для встановлених з'єднань або сеансами.

4. Визначити інспекцію правило зазначенням, які саме протоколи будуть перевірятися CBAC.

5. Застосувати правила інспекції на інтерфейс в правильному напрямку.

Rate Article

Related Videos
Play Video Cisco Announces Web Collaboration	Play Video A "Fireside Chat" Concerning the New CCNA Concentrations	Play Video How to Use Linksys Media Hub	Play Відео Padres Y Cheveres Graduados сина	Перегляд відео П'ять безкоштовних Великої Мережеві засоби - FrugalTech

Нижче перераховані інші статті, пов'язані з вищевказаною статтею з "Комп'ютери та технології" Стаття категорії.

Люди, які цікавляться в вищевказаної статті "Cisco CBAC: - Брандмауер Poor Ман" також зацікавлені у відповідних статтях, перерахованих нижче: