扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
TCP是一个面向连接的协议。在传输数据之前,源主机与一个目的主机洽谈连接,通常被称为"三向握手"。这种握手过程确保有效的TCP连接和无错的传输。在连接建立期间,TCP穿过几个"状态"或阶段(由数据包头标识的)。标准和扩展的访问控制列肯(ACL)从包头状态来决定是否允许通信通过一个连接。
CBAC通过检查整个(数据)包了解应用程序状态信息,给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、对话期特定的ACL入口,从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个对话期结束时,ACL入口被删除,大门关闭。标准和扩展的ACL不能创建暂时的ACL入口,因此直至目前,管理员一直被迫针对信息访问要求衡量安全风险。利用标准或扩展的ACL,难以确保为回返通信流量选择通道的先进应用程序的安全。
CBAC比目前的ACL解决方案更加安全,因为它根据应用类型决定是否允许一个对话通过防火墙,并决定是否为回返通信流量从多个通道进行选择。在CBAC之前,管理员仅通过编写基本上使防火墙大门洞开的永久性ACL,就能够许可先进的应用通信,因此大多数管理员选择否决所有这类应用通信。现在,有了CBAC,通过在需要时打开防火墙大门和其他时候关闭大门,他们能够安全地许可多媒体和其他应用通信。例如,如果CBAC被配置成允许Microsoft NetMeeting,那么当一个内部用户初始化一次连接时,防火墙允许回返通信。但是,如果一个外部NetMeeting来源与一个内部用户出始化连接时,CBAC将否决进入,并撤消数据包。
从一个更加技术的观点来看,CBAC使用几个加强机制:
数据包检查监视数据包控制通道,识别控制通道中的应用专用指令,检测和预防应用级攻击。
通过检查的包将被转发,而CBAC创建一个状态表来维护对话状态信息。如果状态表存在,表明(数据)包属于一个有效对话,回返通信流量将仅被许可通过集成化的防火墙。这种可配置的特性负责监视定义的对话。
当对话结束时,状态表被删除。在UDP(一种非连接的服务)情况下,CBAC通过根据地址/端口配对检查包来决定UDP对话,相应地中止UDP"对话"访问。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。