資源描述:
《分析關(guān)于網(wǎng)絡(luò)安全之上下文訪(fǎng)問(wèn)控制技術(shù)》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)���。
1、分析關(guān)于網(wǎng)絡(luò)安全之上下文訪(fǎng)問(wèn)控制技術(shù)---隨著金融電子化應(yīng)用的普及和深入���,銀行中間業(yè)務(wù)���、代理業(yè)務(wù)等得到了充分的發(fā)展�����,銀行計(jì)算機(jī)業(yè)務(wù)系統(tǒng)與外單位的計(jì)算機(jī)應(yīng)用系統(tǒng)要通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)���,防護(hù)銀行計(jì)算機(jī)網(wǎng)絡(luò)免受外單位的侵害,保證銀行信息和資金的安全�,是銀行計(jì)算機(jī)安全建設(shè)的重要課題。對(duì)于規(guī)模較小而又分散的支行級(jí)網(wǎng)點(diǎn)��,做好與外單位的網(wǎng)絡(luò)安全隔離顯得尤為重要�,采用專(zhuān)用防火墻固然可以起到安全隔離的作用,但投入較大���,難以大規(guī)模地應(yīng)用于為數(shù)眾多的這一類(lèi)網(wǎng)點(diǎn)�����。在這種情況下�����,使用CiscoIOS防火墻特性集便是一種性?xún)r(jià)比非常高的
2���、選擇��。一�、CiscoIOS安全技術(shù)----CiscoIOS防火墻特性集作為CiscoIOS軟件的一個(gè)選項(xiàng)�,提供了一個(gè)先進(jìn)的安全解決方案,這種集成化路由器安全解決方案是CiscoSystems安全解決方案系統(tǒng)中的一個(gè)部件���。----CiscoIOS安全服務(wù)包括一系列特性��,能使管理人員將一臺(tái)Cisco路由器配置成為一個(gè)防火墻��,而CiscoIOS防火墻特性集則可以為現(xiàn)有的CiscoIOS安全解決方案增加更大的深度和靈活性。表1為CiscoIOS防火墻特性集相關(guān)新特性的概述����。二、基于上下文的訪(fǎng)問(wèn)控制----基于上下
3���、文的訪(fǎng)問(wèn)控制(CBAC)是CiscoIOS防火墻特性集最顯著的新增特性�。CBAC技術(shù)的重要性在于:使管理員能夠?qū)⒎阑饓ε渲脼橐粋€(gè)智能化���、集成化的單框解決方案的一部分�。CBAC通過(guò)嚴(yán)格審查源和目的地址,增強(qiáng)了使用眾所周知端口的TCP和UDP應(yīng)用程序的安全�。----1.CBAC工作原理----CBAC是一個(gè)適用于IP通信的、基于每一個(gè)應(yīng)用的控制機(jī)制�����,包括標(biāo)準(zhǔn)TCP和UDPInternet應(yīng)用程序��、多媒體應(yīng)用程序(包括H.323應(yīng)用程序�、CU-SeeME、VDOLive���、Streamworks及其他應(yīng)用程序)以
4�����、及Oracle數(shù)據(jù)庫(kù)�。CBAC檢查T(mén)CP和UDP包���,并跟蹤它們的“狀態(tài)”或連接狀態(tài)�。----TCP是一個(gè)面向連接的協(xié)議���。在傳輸數(shù)據(jù)之前����,源主機(jī)與一個(gè)目的主機(jī)洽談連接,通常被稱(chēng)為“三向握手”��。這種握手過(guò)程確保有效的TCP連接和無(wú)錯(cuò)的傳輸���。在連接建立期間���,TCP穿過(guò)幾個(gè)“狀態(tài)”或階段(由數(shù)據(jù)包頭標(biāo)識(shí)的)。標(biāo)準(zhǔn)和擴(kuò)展的訪(fǎng)問(wèn)控制列表(ACL)從包頭狀態(tài)來(lái)決定是否允許通信通過(guò)一個(gè)連接���。----CBAC通過(guò)檢查整個(gè)(數(shù)據(jù))包了解應(yīng)用程序狀態(tài)信息��,給ACL功能增加了檢查智能�。CBAC利用這種信息創(chuàng)建一個(gè)暫時(shí)的����、會(huì)話(huà)(S
5���、ession)特定的ACL入口�,從而允許回返通信進(jìn)入可靠網(wǎng)絡(luò)�����。這種暫時(shí)的ACL有效地在防火墻中打開(kāi)了一個(gè)大門(mén)。當(dāng)一個(gè)會(huì)話(huà)結(jié)束時(shí)����,ACL入口被刪除,大門(mén)關(guān)閉�����。標(biāo)準(zhǔn)和擴(kuò)展的ACL不能創(chuàng)建暫時(shí)的ACL入口�����,因此直至目前�����,管理員一直被迫針對(duì)信息訪(fǎng)問(wèn)要求衡量安全風(fēng)險(xiǎn)��。----CBAC比目前的ACL解決方案更加安全����,因?yàn)樗鶕?jù)應(yīng)用類(lèi)型決定是否允許一個(gè)會(huì)話(huà)通過(guò)防火墻,并決定是否為回返通信流量選擇某一通道�����。在CBAC之前,管理員僅通過(guò)編寫(xiě)基本上使防火墻大門(mén)洞開(kāi)的永久性ACL�����,就能夠許可先進(jìn)的應(yīng)用通信���,因此大多數(shù)管理員選擇
6����、否決所有這類(lèi)應(yīng)用通信?��,F(xiàn)在��,有了CBAC���,在需要時(shí)通過(guò)打開(kāi)防火墻大門(mén)和其他時(shí)候關(guān)閉大門(mén),安全地許可多媒體和其他應(yīng)用通信��。例如���,如果CBAC被配置成允許MicrosoftNetMeeting�,那么當(dāng)一個(gè)內(nèi)部用戶(hù)初始化一次連接時(shí)���,防火墻允許回返通信��。但是�����,如果一個(gè)外部NetMeeting來(lái)源于一個(gè)內(nèi)部用戶(hù)初始化連接時(shí)���,CBAC將否決進(jìn)入,并撤消數(shù)據(jù)包�。----2.CBAC使用的加強(qiáng)機(jī)制----數(shù)據(jù)包檢查監(jiān)視數(shù)據(jù)包控制通道,識(shí)別控制通道中的應(yīng)用專(zhuān)用指令��,檢測(cè)和預(yù)防應(yīng)用級(jí)攻擊�。----通過(guò)檢查,包將被轉(zhuǎn)發(fā)����,而CB
7、AC創(chuàng)建一個(gè)狀態(tài)表來(lái)維護(hù)會(huì)話(huà)狀態(tài)信息���。如果狀態(tài)表存在�����,表明(數(shù)據(jù))包屬于一個(gè)有效會(huì)話(huà)�,回返通信流量將僅被許可通過(guò)集成化的防火墻。這種可配置的特性負(fù)責(zé)監(jiān)視定義的會(huì)話(huà)�����。----當(dāng)會(huì)話(huà)結(jié)束時(shí)�����,狀態(tài)表被刪除���。在UDP(一種非連接的服務(wù))情況下����,CBAC通過(guò)根據(jù)地址/端口配對(duì)檢查包來(lái)決定UDP會(huì)話(huà)�����,相應(yīng)地中止UDP“會(huì)話(huà)”訪(fǎng)問(wèn)����。----CBAC根據(jù)狀態(tài)表中的信息,動(dòng)態(tài)地創(chuàng)建和刪除每一個(gè)路由器接口的訪(fǎng)問(wèn)控制列表入口��。這些入口在集成的防火墻中創(chuàng)建暫時(shí)的“開(kāi)口”��,允許有效的回返通信流量進(jìn)入網(wǎng)絡(luò)�。與狀態(tài)表相似,動(dòng)態(tài)ACL在
8��、會(huì)話(huà)結(jié)束時(shí)不被保存���。----3.CBAC適用于何處BT無(wú)線(xiàn)網(wǎng)絡(luò)破解教程----CBAC是針對(duì)每個(gè)接口進(jìn)行配置的�����,可以被用于控制源于防火墻另一方的通信(雙向);但是�����,大多數(shù)客戶(hù)將CBAC用于僅源于一方的通信(單向)���。----將CBAC配置為一個(gè)單向控制,其中客戶(hù)會(huì)話(huà)是在內(nèi)部網(wǎng)內(nèi)啟動(dòng)的����,必須穿過(guò)防火墻才能訪(fǎng)問(wèn)一個(gè)主機(jī)��。例如�����,一個(gè)分支辦事處可能需要跨一個(gè)廣域網(wǎng)連接或Internet訪(fǎng)問(wèn)企業(yè)服務(wù)器��。CBAC可根據(jù)需要打開(kāi)連接����,并監(jiān)視回
