据包控制通道,识别控制通道中的应用专用指令,检测和预防应用级攻击。
通过检查的包将被转发,而CBAC创建一个状态表来维护对话状态信息。如果状态表存在,表明(数据)包属于一个有效对话,回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的对话。
当对话结束时,状态表被删除。在UDP(一种非连接的服务)情况下,CBAC通过根据地址/端口配对检查包来决定UDP对话,相应地中止UDP“对话”访问。
CBAC根据状态表中的信息,动态地创建和删除每一个路由器接口的访问控制列入口。
这些入口在集成的防火墙中创建暂时的“开口”,允许有效的回返通信流量进入网络。与状态表相似,动态ACL在对话结束时不被保存。 CBAC适用于何处 CBAC是根据每个接口配置的。CBAC可能被配置用于控制源于防火墙另一方的通信(双向);但是,大多数客户将CBAC用于仅源于一方的通信(单向)。 将CBAC配置为一个单向控制,其中客户对话是在内部网内启动的,必须穿过防火墙才能访问一个主机。例如,一个分支办事处可能需要跨一个广域网连接或Internet访问企业服务器。CBAC根据需要打开连接,并监视回返通信流量。 当一个防火墙双方都需要保护时,CBAC适合作为一个双向解决方案。这种配置的一个例子是在两个合作伙伴公司的网络之间,其中某些应用程序通信被限制在一个方向页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
