下载
第7章基于上下文的访问控制
第6章介绍了自反访问表。自反访问表允许在向内的访问表中创建动态开启表项,以响应
向外的数据连接。在此,向外的意思是指从可信网络到一个不可信网络的报文传输,例如从
用户的内部L A N到I n t e r n e t。该功能允许那些来自可信网络的通信报文,只有在报文是作为从
内部网发起的会话的一部分时,才能进入到内部网络。这种功能是对那些使用“ e s t a b l i s h e d”
关键字的传统扩展访问表的增强,而自反访问表又不能处理诸如F T P、C U - S e e M e及H . 3 2 3等
此类的多通道应用。多通道( m u l t i c h a n n e l)应用将一条链路用于在客户和服务器之间传送命
令,并且使用另一条链路—也可能是多条链路—用于在客户和服务器之间传送数据。用
做数据通道的连接经常是沿着服务器到客户端的方向发起的。如果不了解这些应用的行为,
路由器就不能知道从服务器到客户的数据通道是应该被允许,还是应该被拒绝访问。
如前面所讨论的那样,自反访问表只能安全地处理单通道应用,例如D N S和t e l n e t,从而
使得这些应用在许多企业网络应用中受限。基于上下文的访问控制( Context-Based Access
Control, CBAC)克服了这种不足,并且允许安全地处理多个多通道应用。C B A C从IOS 11 . 2
开始引入,并采用一种特别的发布方式,称为防火墙特征集( Firewall Feature Set),简称为
F F S。原来的版本只在1 6 0 0和2 5 0 0系列平台上才有。在版本1 2 . 0 T中, F F S可用于8 0 0、
U B R 9 0 0、1 6 0 0、1 7 0 0、2 5 0 0、2 6 0 0、3 6 0 0、7 1 0 0和7 2 0 0系列的路由器平台上。本章将集中
讨论其操作和使用。而后,使用C B A C来满足多个应用的安全需求。
7.1 概述
C B A C的工作方式类似于自反访问表。它会检查向外的会话,并且创建临时开启表项来允
许返回的通信报文。其不同之处在于C B A C可以基于上层信息进行检测,以及可以安全地处理
大量应用。自反访问表与传统的访问表一样,不能检测高于第4层的信息。换句话说,它们除
了正在使用的T C P / U D P端口和I P地址外不能检测到任何信息。它们也不能根据应用的行为作
出任何智能的操作。例如,自反访问表不能打开特定的附加端口用于F T P,而将另外一些端口
用于C U -&n
