CISCO IOS里配置CBAC
CISCO路由器的access-list只能检查网络层或者传输层的数据包,而CBAC能够智能过滤基于应用层的(如FTP连接信息)TCP和UDP的sessi on;CBAC能够在firewall access-list 打开一个临时的通道给起源于内部网络向外的连接,同时检查内外两个方向的sessions。 第一步,CBAC用timeout 和threshold值来治理会话,配置判定是否在会话还未完全建立的时候终止连接。这些参数全局性地应用于所有会话。具有firewall feature的cisco router12.0以上版本的IOS缺省是起了IP INSPECT 抵御DoS进攻的。当half-open会话数目大到一定的程度往往意味着正在有DOS攻击发生或某人正在做端口扫描,CBAC既监测half-open会话总数也监测会话企图建立的速率。以下是缺省配置:HpXg_1#sh ip inspect allSession audit trail is disabled(相关命令是ip inspect audit trail,是用来打开自动跟踪审计功能并将信息传送到console口,缺省是disabled.)Session alert is enabledone-minute thresholds are connections(相关命令是ip inspect one-minute high 500和ip inspect one-minute low 400,是将引起或导致路由器开始或停止删除half-open会话的新增未建立会话的速率,即每分钟500/400个half-open会话)max-incomplete sessions thresholds are (相关命令是ip inspectmax-incomplete high 500,表示将引起路由器开始删除half-open会话的已经存在的half-open会话数500个;ip inspect max-incomplete low 400表示将导致路由器开始停止删除half-open会话的已经存在的half-open会话数)max-incomplete tcp connections per host is 50. Block-time 0 minute.(相关命令:ip inspect tcp max-incomplete host 50 block-time 0表示将引起路由器开始丢弃到同一目的主机地址的超过50个的half-open会话。假如block-time值为0表示到某个目的主机的每条连接请求,C BAC会删除到该主机的最老的已存在的half-open会话,并让该SYN包通过;假如block-time值大于0表示CBAC将删除到该目的主机的所有已存在的h alf-open连接,并阻拦所有新的连接请求直到block-time值超时)。tcp synwait-time is 30 sec(ip inspect tcp synwait-time 30:表示路由器在阻断会话前等待TCP会话达到连接建立状态的时间)tcp finwait-time is 5 sec(ip inspect tcp finwait-time 5:表示防火墙检测到一个FIN标志后仍继续治理TCP会话的时间长度)tcp idle-time is 3600 sec(ip inspect tcp idle-time 3600:在没有TCP连接后仍继续治理TCP会话的时间长度)udp idle-time is 30 sec(ip inspect udp idle-time 30:在UDP会话停止后仍继续治理UDP会话信息的时间长度)dns-timeout is 5 sec(ip inspect dns-timeout 5:DNS名字查询停止后仍继续被治理的时间)设置timeout值可以通过丢弃超过期限的会话来有效阻止DoS攻击开释系统资源,设置threshold值可以通过限制half-open会话的数目来阻止D oS攻击。 CBAC提供三种threshold值来抵御DOS攻击:(1)、最大half-open 的TCP或UDP会话的数目。(2)、基于时间的half-open会话数目。(3)、每个host可以打开的TCP half-open会话的数目。对于超过threshold值的连接,CBAC会初始化旧的half-open连接,开释资源接受新的要求同步的数据包。第二步:配置access listaccess-list 101 permit icmp any any echoaccess-list 101 permit icmp any any echo-replyaccess-list 101 permit icmp any any unreachableaccess-list 101 permit icmp any any time-exceededaccess-list 101 permit icmp any any packet-too-bigaccess-list 101 permit icmp any any traceroute(以上命令答应ping包通过,主要用来排错,假如没有必要上述命令可以不做)access-list 101 permit any any eq smtp(答应在邮件服务器上的安全验证)access-list 101 deny ip any any log(CBAC要求禁止其他所有进入的ip包)第三步:根据实际环境定义一个检查规则。 &nbs 1/2 12下一页尾页
页:
[1]