cisco路由器基於上下文的訪問控制工作原理
基於上下文的訪問控制(context-based access control--cbac)
cisco路由器的access-list只能檢查網路層或者傳輸層的資料報,而cbac能夠智慧型過濾基於應用層的(如ftp連線資訊)tcp和udp的sessi on;cbac能夠在firewall access-list 開啟乙個臨時的通道給起源於內部網路向外的連線,同時檢查內外兩個方向的sessions。
工作原理: www.2cto.com
比如當cbac配置於連到internet的外部介面上,乙個從內部發出的tcp資料報(telnet會話)經過該介面連出,同時cbac的配置中已經包括了t cp inspection,將會經過以下幾步:
(1)資料報到達防火牆的外部介面(設為s0);
(2)資料報由該介面outbound access-list檢查是否允許通過(不通過的資料報在此被丟棄,不用經過以下步驟);
(3)通過access list檢查的資料報由cbac檢查來決定和記錄包連線狀態資訊,這個資訊被記錄於乙個新產生的狀態列表中為下乙個連線提供快速通道;
(4)如果cbac沒有定義對telnet應用的檢查,資料報可以直接從該介面送出;
(5)基於第三步所獲得的狀態資訊,cbac在s0的inbound access list中插入乙個臨時建立的access list入口,這個臨時通道的定義是為了讓從外部回來的資料報能夠進入;
(6)資料報從s0送出;
(7)接下來乙個外部的inbound資料報到達s0,這個資料報是先前送出的telnet會話連線的一部分,經過s0口的access list檢查,然後從第五步建立的臨時通道進入;
(8)被允許進入的資料報經過cbac的檢查,同時連線狀態列表根據需要更新,基於更新的狀態資訊,inbound access list臨時通道也進行修改只允許當前合法連線的資料報進入;
(9)所有屬於當前連線的進出s0口資料報都被檢查,用以更新狀態列表和按需修改臨時通道的access list,同時資料報被允許通過s0口; www.2cto.com
(10)當前連線終止或超時,連線狀態列表入口被刪除,同時,臨時開啟的access list入口也被刪除。
需要注意的是:對於配置到s0口outbound ip access list, accesslist必須允許所有需要的應用通過,包括希望被cbac檢查的應用;但是inbound ip access list必須禁止所有需要cbac檢查的應用,當cbac被出去的資料報觸發後,會在inbound access list中臨時開放乙個通道給合法的、正在傳送的資料進入。
配置基於上下文的ACL
實驗目的 學習基於上下文acl的配置方法,基於實驗理解其工作原理。知識點 基於上下文acl的作用,基於上下文acl的工作原理 實驗場景 三颱路由器串列埠相連,連線位址如圖所示。在r2上做cbac訪問控制,只允許r1 telnet r3及ping r3,但不允許r3訪問r1。實驗原理 acl只能檢測到...
Python的上下文管理器
class filemag def init self,filename self.filename filename self.f none def enter self self.f open self.filename,encoding utf 8 return self.f def exit...
Python的上下文管理器
經常在python 中看到with語句,仔細分析下,會發現這個with語句功能好強,可以自動關閉資源。這個在python中叫上下文管理器context manager。那我們要怎麼用它,什麼時候用它呢。這裡我們就來聊一聊。很多情況,當我們使用完乙個資源後,我們需要手動的關閉掉它,比如操作檔案,建立資...