认识CBAC

Cisco IOS防火墙是Cisco IOS的一个组件，它可以提供Cisco PIX防火墙上

的类似功能。它可以允许管理员在不购买单独防火墙的情况下，有效地对网络提供安全防护。

　　

大家以前使用比较多的是标准访问列表和扩展访问列表，但这两种形式的列表都是静态的，即不在人为参与的情况下，系统不能根据实际情况的变化动态调整列表中

的条目。但在实际工作中我们需要更灵活的方式，来提高系统的安全性，Cisco向提供了

高级访问列表来满足这种需求。高级访问列表的基本要素是：它可以在不需要管理员介入的情况下自动对访问列表中的条目进行创建和删除。例如反射访问列表、动

态访问列表、基于环境的访问控制CBAC(Context-based Access

Control)等，都是在不对任何配置进行修改的情况下实时创建通道来提供访问机制，这些通道通常是作为对内网到外部所发出的访问请求进行响应而创建

的。当启动通道的会话终止后，或当该通道闲置时间超过一个设定值后，则通道被关闭。

　　 Cisco

IOS防火墙的功能包括：加密、故障备份服务、认证、实时入侵检测和通过CBAC所实现的基于应用程序的过滤功能。由于标准和扩展访问列表工作于OSI模

型的网络层或传输层，因此，他们处理一些应用程序的能力是有限的，CBAC通过基于OSI模型的应用层来过滤数据包，从而增强其处理能力。

　　

　

　 实际需求：

　　某行的一台Router上的2个Ethernet口，分别连接到21(业务)

、22(OA)网段，他希望21能访问22，但22不能访问21。

　　在实际的工程中我们对于21、22的分网，主要是通过控制路由协议的分

发来实现在不同线路上的隔离。对于上面这个问题，大家往往想到使用扩展的访问控制列表，并且加上established关键字，我想会有一些问题，例

如：established只是针对基于TCP的应用有效，对基于UDP的应用无法控制；另外象视频会议等一些应用使用的是多端口协议，并且往往端口是动态变化的。因此，建议采用CBAC 的方式来做。

　　

CBAC的配置步骤：

　　 选择一个接口

　　 在接口上配置IP访问列表

　　

配置全局超时值和门限值

　　 定义检查规则并讲它应用到接口上

　　 配置记录和审核追踪

　　选择接口，一般要指定谁是OUTSIDE，谁是INSIDE，通常Serial为OUT，Ethernet为IN。在本例中可设21为

IN，22为OUT。

　　对于访问列表的设置也需注意。可参见下图的说明：

　配置参考：

　　sh run

　　Building configuration...

　　Current

configuration : 956 bytes

　　!

　　version 12.2

　　service

timestamps debug uptime

　　service timestamps log uptime

　　no

service password-encryption

　　hostname Router

　　boot

system flash c3660-io3-mz.122-5a.bin

　　!版本需 FW/IDS特性

　　ip

subnet-zero

　　ip inspect name test-acl tcp

ip inspect name test-acl udp

　　！通过此ip inspect定义需检查的应用层协议

　　ip audit notify log

　　ip audit po

max-events 100

　　interface FastEthernet0/0

ip address 70.0.3.12 255.255.0.0

　　ip inspect test-acl in

　　！把接口和定

义的检测规则关联

　　no keepalive

　　duplex auto

　　speed auto

interface FastEthernet0/1

　　ip address 71.0.3.12 255.255.0.0

access-group 101 in

　　！按图中的规则定义、部署ACL

　　speed

auto

　　ip classless

　　no ip http server

　　ip pim

bidir-enable

　　access-list 101 permit icmp any 70.0.0.0

0.0.255.255 echo-reply

　　access-list 101 deny ip any 70.0.0.0

0.255.255.255

　　access-list 101 permit ip any any

　　!定义ACL

line con 0

　　line aux 0

　　line vty 0 4

　　login

　测试结果：

　　 71地址 ping不通70地址，70地址可以ping

通71地址；

　　 70地址可以成功FTP到71段的FTP Server主机，反向不通。