简介
Cisco IOS.防火墙功能集的基于上下文的访问控制(CBAC)功能可主动检测防火墙后面的活动。CBAC 通过使用访问列表指定需要允许什么数据流进入和需要允许什么数据流流出(以 Cisco IOS 使用访问列表的相同方式)。但是,CBAC 访问列表包括 IP 检查语句,这些语句允许检查协议以确保协议在进入防火墙保护的系统之前不会被篡改。
本文档没有任何特定的要求。
使用的组件
本文档不限于特定的软件和硬件版本。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
背景信息
CBAC 还可以与网络地址转换 (NAT) 一起使用,但本文档中的配置主要处理纯检查。如果执行 NAT,则访问列表需要反映全局地址而不是实际地址。
在进行配置之前,请考虑以下问题。
希望什么数据流出?
您希望允许什么数据流流出取决于您的站点安全策略,但在此常规示例中,允许所有数据流出站。如果您的访问列表拒绝所有数据流,则任何数据流都不能流出。请使用以下扩展访问列表指定出站数据流:
access-list 101 permit ip [source-network] [source-mask] any
access-list 101 deny ip any any
希望什么数据流入?
您希望允许什么数据流进入取决于您的站点安全策略。但是,合乎逻辑的答案是任何不会损害您的网络的数据流。
在本示例中,有一个数据流的列表,其中的数据流似乎在逻辑上都可以进入。Internet 控制消息协议 (ICMP) 数据流通常是可接受的,但使用它可能会受到 DOS 攻击。以下是传入数据流的示例访问列表:
扩展IP访问列表101
permit tcp 10.10.10.0 0.0.0.255 any (84 matches)
permit udp 10.10.10.0 0.0.0.255 any
permit icmp 10.10.10.0 0.0.0.255 any (3 matches)
deny ip any any
扩展IP访问列表102
permit eigrp any any (486 matches)
permit icmp any 10.10.10.0 0.0.0.255 echo-reply (1 match)
permit icmp any 10.10.10.0 0.0.0.255 unreachable
permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
permit icmp any 10