資源描述:
《幀中繼上實(shí)現(xiàn)點(diǎn)對(duì)多點(diǎn)的配置(ospf)邏輯子接口.》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�。
1��、石河子大學(xué)信息科學(xué)與技術(shù)學(xué)院<網(wǎng)絡(luò)工程與技術(shù)>課程設(shè)計(jì)成果2014—2015學(xué)年第二學(xué)期題目名稱:基于上下文的訪問控制列表CBAC專業(yè):計(jì)科12班級(jí):計(jì)科2班學(xué)號(hào):2012508062學(xué)生姓名:滕青青指導(dǎo)教師:曹傳東完成日期:二○一五年七月十四日目錄1.課題任務(wù)名稱-2-1.1課題題目:-2-1.2課題任務(wù):-2-2.理論背景/基礎(chǔ)知識(shí)概述-2-2.1.2幀中繼的四個(gè)主要功能-3-3.實(shí)踐環(huán)境/條件及資源說(shuō)明-5-4.實(shí)踐任務(wù)內(nèi)容-5-5.過(guò)程步驟說(shuō)明-5-6.結(jié)論-17-7.總結(jié)與體會(huì)-18-附錄A 參考文獻(xiàn)-19-1
2�����、.課題任務(wù)名稱1.1課題題目:配置思科路由器實(shí)現(xiàn)基于上下文的訪問控制列表(CBAC防火墻)1.2課題任務(wù):要求使用Dynamips模擬配置軟件��,在本任務(wù)中�����,要求首先搭建好所需的安全實(shí)驗(yàn)機(jī)架拓?fù)?,然后演示通過(guò)在企業(yè)出口路由器上定義基于上下文的協(xié)議報(bào)文審查規(guī)則����,實(shí)現(xiàn)只能讓內(nèi)網(wǎng)用戶發(fā)起的流量才能被允許通過(guò)路由器并返回�,對(duì)特定的網(wǎng)絡(luò)所產(chǎn)生的網(wǎng)絡(luò)流量產(chǎn)生警告和進(jìn)行跟蹤���,本題還要求實(shí)現(xiàn)跟蹤并分析FTP的主動(dòng)和被動(dòng)模式的區(qū)別。2.理論背景/基礎(chǔ)知識(shí)概述2.1CBAC概述Context-BasedAccessControl(CBAC)基于
3�、上下文的訪問控制協(xié)議通過(guò)檢查防火墻的流量來(lái)發(fā)現(xiàn)&管理TCP和UDP的會(huì)話狀態(tài)信息���。這些狀態(tài)信息被用來(lái)在防火墻訪問列表創(chuàng)建臨時(shí)通道。通過(guò)在流量向上配置ipinspect列表��,允許為受允許會(huì)話放回流量和附加數(shù)據(jù)連接���,打開這些通路��。受允許會(huì)話是指來(lái)源于受保護(hù)的內(nèi)部網(wǎng)絡(luò)會(huì)話。CBAC不用于ACL(訪問控制列表)并不能用來(lái)過(guò)濾每一種TCP/IP協(xié)議����,但它對(duì)于運(yùn)行TCP�����、UDP應(yīng)用或某些多媒體應(yīng)用(如Microsoft的NetShow或RealAudio)的網(wǎng)絡(luò)來(lái)說(shuō)是一個(gè)較好的安全解決方案。除此之外���,CBAC在流量過(guò)濾、流量檢查�、警告
4��、和審計(jì)蛛絲馬跡�����、入侵檢測(cè)等方面表現(xiàn)卓越��。在大多數(shù)情況下����,我們只需在單個(gè)接口的一個(gè)方向上配置CBAC���,即可實(shí)現(xiàn)只允許屬于現(xiàn)有會(huì)話的數(shù)據(jù)流進(jìn)入內(nèi)部網(wǎng)絡(luò)??梢哉f(shuō)����,ACL與CBAC是互補(bǔ)的�����,它們的組合可實(shí)現(xiàn)網(wǎng)絡(luò)安全的最大化�����。2.1.1CBAC原理CBAC指定了哪些協(xié)議及接口���、接口方向(流入和流出)需要被檢查�,同指定了檢查的起始。CBAC只對(duì)指定的協(xié)議進(jìn)行檢查���。對(duì)于這些協(xié)議,只要數(shù)據(jù)包經(jīng)過(guò)已配置檢查策略的接口����,那么無(wú)論它們從哪個(gè)方向通過(guò)防火墻都將被檢查�。進(jìn)入防火墻的數(shù)據(jù)包只會(huì)在其第一次通過(guò)接口的入站ACL時(shí)才會(huì)被檢察���。如果數(shù)據(jù)包被A
5、CL拒絕�,數(shù)據(jù)包會(huì)被簡(jiǎn)單的丟掉并且不會(huì)被CBAC檢查����。CBAC會(huì)追蹤它監(jiān)視的連接,創(chuàng)建包括每個(gè)連接信息的狀態(tài)表�。這個(gè)表和PIX使用的狀態(tài)表很相似�。CBAC監(jiān)視TCP��,UDP����,和ICMP的連接并記錄到狀態(tài)表���,并為返回的流量創(chuàng)建動(dòng)態(tài)ACL條目,這點(diǎn)和RACL很相似����。但是CBAC能夠檢測(cè)應(yīng)用層的流量�,這點(diǎn)是RACL不能實(shí)現(xiàn)的。CBAC使用狀態(tài)表和動(dòng)態(tài)ACL條目來(lái)檢測(cè)和防止某些DoS攻擊�����,尤其是TCP洪水攻擊�。2.1.2幀中繼的四個(gè)主要功能幀中繼具有如下四個(gè)主要功能:l流量過(guò)濾擴(kuò)展ACL只能過(guò)濾3層和4層的流量�����,RACL能夠過(guò)濾5
6�、層的流量����,而CBAC支持應(yīng)用層的檢測(cè)�,即查看某些數(shù)據(jù)包的內(nèi)容,如FTP��,他能夠分別查看控制連接或者數(shù)據(jù)連接�,由于控制和數(shù)據(jù)使用的端口是分開的��,所以這點(diǎn)對(duì)于CBAC來(lái)說(shuō)是做不到的����。CBAC甚至能夠檢測(cè)HTTP連接中使用的Java程序,并過(guò)濾他們����。l流量檢測(cè)CBAC不僅能像RACL那樣檢查返回到網(wǎng)絡(luò)的流量����,同時(shí)還能夠防止TCPSYN洪水攻擊:CBAC能夠檢測(cè)客戶端到服務(wù)器連接的頻率��,如果到達(dá)一個(gè)限度����,就會(huì)關(guān)閉這些連接���。也可用來(lái)防止DoS分片攻擊��。l入侵檢測(cè)CBAC是一個(gè)基于狀態(tài)的防火墻機(jī)制��,他也能夠檢測(cè)某些DoS攻擊。提供對(duì)于
7�����、某些SMTPe-mail攻擊的保護(hù)���,限制某些SMTP命令發(fā)送到你內(nèi)部網(wǎng)絡(luò)的e-mail服務(wù)器�����。所有這些攻擊都使CBAC產(chǎn)生日志信息���,并且會(huì)選擇性的重置TCP連接或者丟棄這些欺騙數(shù)據(jù)包��。l一般的告警和審計(jì)CBAC對(duì)于檢測(cè)到的問題或攻擊能夠產(chǎn)生實(shí)時(shí)的告警����,對(duì)于連接請(qǐng)求提供詳細(xì)的審計(jì)信息����。例如���,記錄所有的網(wǎng)絡(luò)連接請(qǐng)求,包括源和目的的IP地址���,連接使用的端口��,發(fā)送的數(shù)據(jù)大小��,連接開始和結(jié)束的時(shí)間2.1.3CBAC的處理步驟1.用戶發(fā)起一個(gè)到外部的連接����,如Telnet���。如果配置了進(jìn)站ACL�����,則在CBAC檢測(cè)之前先處理進(jìn)站ACL���。接著
8、根據(jù)CBAC的檢測(cè)規(guī)則�,CiscoIOS來(lái)檢測(cè)或忽略這些連接�。如果沒有要檢測(cè)的連接�,CiscoIOS允許數(shù)據(jù)包的通過(guò)�����,否則跳入步驟2��。2.CiscoIOS比較當(dāng)前連接和狀態(tài)表中的條目:如果條目不存在,則添加一條到狀態(tài)表中�����,否則,CiscoIOS重置這個(gè)連接的空閑計(jì)時(shí)器(idletimer)3.如果這是一
