|
|
|
|
|
|
|
|
有效的TCP连接和无错的传输。在连接建立期间,TCP穿过几个"状态"或阶段(由数据包头标识的)。
。。标准和扩展的访问控制列肯(ACL)从包头状态来决定是否允许通信通过一个连接。 CBAC通过检查整个(数据)包了解应用程序状态信息,给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、对话期特定的ACL入口,从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个对话期结束时,ACL入口被删除,大门关闭。标准和扩展的ACL不能创建暂时的ACL入口,因此直至目前,管理员一直被迫针对信息访问要求衡量安全风险。
。。利用标准或扩展的ACL,难以确保为回返通信流量选择通道的先进应用程序的安全。 CBAC比目前的ACL解决方案更加安全,因为它根据应用类型决定是否允许一个对话通过防火墙,并决定是否为回返通信流量从多个通道进行选择。在CBAC之前,管理员仅通过编写基本上使防火墙大门洞开的永久性ACL,就能够许可先进的应用通信,因此大多数管理员选择否决所有这类应用通信。现在,有了CBAC,通过在需要时打开防火墙大门和其他时候关闭大门,他们能够安全地许可多媒体和其他应用通信。例如,如果CBAC被配置成允许Microsoft NetMeeting,那么当一个内部用户初始化一次连接时,防火墙允许回返通信。但是,如果一个外部NetMeeting来源页码:[1] [2] [3] [4] [5] [6] [7] [8] 第6页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
