Cisco IOS防火墙特性集(3)

　　TCP是一个面向连接的协议。在传输数据之前，源主机与一个目的主机洽谈连接，通常被称为"三向握手"。这种握手过程确保有效的TCP连接和无错的传输。在连接建立期间，TCP穿过几个"状态"或阶段(由数据包头标识的)。标准和扩展的访问控制列肯(ACL)从包头状态来决定是否允许通信通过一个连接。

　　CBAC通过检查整个(数据)包了解应用程序状态信息，给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、对话期特定的ACL入口，从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个对话期结束时，ACL入口被删除，大门关闭。标准和扩展的ACL不能创建暂时的ACL入口，因此直至目前，管理员一直被迫针对信息访问要求衡量安全风险。利用标准或扩展的ACL，难以确保为回返通信流量选择通道的先进应用程序的安全。

　　CBAC比目前的ACL解决方案更加安全，因为它根据应用类型决定是否允许一个对话通过防火墙，并决定是否为回返通信流量从多个通道进行选择。在CBAC之前，管理员仅通过编写基本上使防火墙大门洞开的永久性ACL，就能够许可先进的应用通信，因此大多数管理员选择否决所有这类应用通信。现在，有了CBAC，通过在需要时打开防火墙大门和其他时候关闭大门，他们能够安全地许可多媒体和其他应用通信。例如，如果CBAC被配置成允许Microsoft NetMeeting，那么当一个内部用户初始化一次连接时，防火墙允许回返通信。但是，如果一个外部NetMeeting来源与一个内部用户出始化连接时，CBAC将否决进入，并撤消数据包。

　　从一个更加技术的观点来看，CBAC使用几个加强机制：

　　数据包检查监视数据包控制通道，识别控制通道中的应用专用指令，检测和预防应用级攻击。

　　通过检查的包将被转发，而CBAC创建一个状态表来维护对话状态信息。如果状态表存在，表明(数据)包属于一个有效对话，回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的对话。

　　当对话结束时，状态表被删除。在UDP(一种非连接的服务)情况下，CBAC通过根据地址/端口配对检查包来决定UDP对话，相应地中止UDP"对话"访问。