Cisco IOS防火墙的安全规则和配置(3)

　　（7）接下来一个外部的inbound数据包到达s0，这个数据包是先前送出的telnet会话连接的一部分，经过s0口的access list检查，然后从第五步建立的临时通道进入；

　　（8）被允许进入的数据包经过CBAC的检查，同时连接状态列表根据需要更新，基于更新的状态信息，inbound access list临时通道也进行修改只允许当前合法连接的数据包进入；

　　（9）所有属于当前连接的进出s0口数据包都被检查，用以更新状态列表和按需修改临时通道的access list，同时数据包被允许通过s0口；

　　（10）当前连接终止或超时，连接状态列表入口被删除，同时，临时打开的access list入口也被删除。

　　需要注意的是：对于配置到s0口outbound ip access list， accesslist必须允许所有需要的应用通过，包括希望被CBAC检查的应用；但是inbound ip access list必须禁止所有需要CBAC检查的应用，当CBAC被出去的数据包触发后，会在inbound access list中临时开放一个通道给合法的、正在传送的数据进入。

　　2、CBAC可提供如下服务

　　（1）状态包过滤：对企业内部网络、企业和合作伙伴互连以及企业连接internet提供完备的安全性和强制政策。

　　（2）Dos检测和抵御：CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。

　　（3）实时报警和跟踪：可配置基于应用层的连接，跟踪经过防火墙的数据包，提供详细过程信息并报告可疑行为。

　　（4）无缝兼容性：整和防火墙和其它cisco IOS软件于一体；优化广域网利用率；提供强大的、可升级的路由选择etc。

　　（5）支持VPN：利用封装了防火墙版本的cisco Ios 软件和Qos特性来保证在公共网络上传输数据的安全性，同时节省费用。

　　（6）可升级配置：适用于大部分路由器平台，cisco带防火墙版本的IOS可升级来满足网络带宽和性能的需要。

　　3、CBAC受到的限制

　　（1）仅适用于IP数据流：只有TCP和UDP包被检测，其它如ICMP等不能被CBAC检测，只能通过基本的access lists过滤。

　　（2）如果我们在配置CBAC时重新更改access lists，要注意：如果access lists禁止TFTP数据流进入一个接口，我们将不能通过那个接口从网络启动路由器（netboot）。

　　（3）CBAC忽略ICMP unreachable 信息。