扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
(5)如果FTP客户端/服务器认证失败,CBAC将不会打开一条数据通道。
(6)IPSec 和CBAC的兼容性:如果CBAC和IPSec配置于同一台路由器上,只要对数据包的检查是在内部网接口上进行的,而数据包加密是终止在外部网接口上的,那么I Psec和CBAC就能共存在该边界路由器上。在这种方式下,检查的是不加密的数据流。
4、CBAC所需的内存和性能
有一些参数会影响CBAC所需的内存和性能:
(1)CBAC对每条连接使用600 byte的内存;
(2)在检查数据包的过程中,CBAC使用额外的CPU资源;
(3)尽管CBAC通过对access lists的高效存储(对access list进行散列索引,然后评估该散列)来最小化其对资源的需求,它在access list检查过程中仍要使用一定的CPU资源。
5、配置CBAC
第一步,CBAC用timeout 和threshold值来管理会话,配置判断是否在会话还未完全建立的时候终止连接。这些参数全局性地应用于所有会话。具有firewall feature的cisco router12.0以上版本的IOS缺省是起了IP INSPECT 抵御DoS进攻的。当half-open会话数量大到一定的程度往往意味着正在有DOS攻击发生或某人正在做端口扫描,CBAC既监测half-open 会话总数也监测会话企图建立的速率。以下是缺省配置:
HpXg_1#sh ip inspect all
Session audit trail is disabled(相关命令是ip inspect audit trail,是用来打开自动跟踪审计功能并将信息传送到console口,缺省是disabled.)
Session alert is enabled
one-minute thresholds are [400:500] connections(相关命令是ip inspect one-minute high 500和ip inspect one-minute low 400,是将引起或导致路由器开始或停止删除half-open会话的新增未建立会话的速率,即每分钟500/400个half-open会话)
max-incomplete sessions thresholds are [400:500](相关命令是ip inspect max-incomplete high 500,表示将引起路由器开始删除half-open会话的已经存在的half-open会话数500个;ip inspect max-incomplete low 400表示将导致路由器开始停止删除half-open会话的已经存在的half-open会话数)
max-incomplete tcp connections per host is 50. Block-time 0 minute.(相关命令:ip inspect tcp max-incomplete host 50 block-time 0表示将引起路由器开始丢弃到同一目的主机地址的超过50个的half-open会话。如果block-time值为0表示到某个目的主机的每条连接请求,C BAC会删除到该主机的最老的已存在的half-open会话,并让该SYN包通过;如果block-time值大于0表示CBAC将删除到该目的主机的所有已存在的h alf-open连接,并阻拦所有新的连接请求直到block-time值超时)。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者