相信每一個網管在設置路由器時,都會涉及到訪問控制的方面,今天我們就以磊科路由器來為大家介紹這方面的內容,這是重點介紹基於上下文的訪問控制。
通常路由只能檢查網絡層或者傳輸層的數據包,而CBAC能夠智能過濾基於應用層的TCP和UDP的sessi on,CBAC能夠在firewall access-list 打開一個臨時的通道給起源於內部網絡向外的連接,同時檢查內外兩個方向的sessions。
1、數據包到達防火牆的外部接口。
2、數據包由該接口outbound access-list檢查是否允許通過,不通過的數據包在此被丟棄,不用經過以下步驟。
3、通過access list檢查的數據包由CBAC檢查來決定和記錄包連接狀態信息,這個信息被記錄於一個新產生的狀態列表中為下一個連接提供快速通道。
4、如果CBAC沒有定義對telnet應用的檢查,數據包可以直接從該接口送出。
5、基於第三步所獲得的狀態信息,CBAC在s0的inbound access list中插入一個臨時創建的access list入口,這個臨時通道的定義是為了讓從外部回來的數據包能夠進入;
6、接下來一個外部的inbound數據包到達s0,這個數據包是先前送出的telnet會話連接的一部分,經過s0口的access list檢查,然後從第五步建立的臨時通道進入。
7、被允許進入的數據包經過CBAC的檢查,同時連接狀態列表根據需要更新,基於更新的狀態信息,inbound access list臨時通道也進行修改只允許當前合法連接的數據包進入。
8、所有屬於當前連接的進出s0口數據包都被檢查,用以更新狀態列表和按需修改臨時通道的access list,同時數據包被允許通過s0口。
9、當前連接終止或超時,連接狀態列表入口被刪除,同時,臨時打開的access list入口也被刪除。
對於配置到口必須允許所有需要的應用通過,包括希望被CBAC檢查的應用,但是必須禁止所有需要CBAC檢查的應用。