Cisco IOS防火墙特性集(4)

　　CBAC根据状态表中的信息，动态地创建和删除每一个路由器接口的访问控制列入口。这些入口在集成的防火墙中创建暂时的"开口"，允许有效的回返通信流量进入网络。与状态表相似，动态ACL在对话结束时不被保存。

　　CBAC适用于何处

　　CBAC是根据每个接口配置的。CBAC可能被配置用于控制源于防火墙另一方的通信(双向)；但是，大多数客户将CBAC用于仅源于一方的通信(单向)。

　　将CBAC配置为一个单向控制，其中客户对话是在内部网内启动的，必须穿过防火墙才能访问一个主机。例如，一个分支办事处可能需要跨一个广域网连接或Internet访问企业服务器。CBAC根据需要打开连接，并监视回返通信流量。

　　当一个防火墙双方都需要保护时，CBAC适合作为一个双向解决方案。这种配置的一个例子是在两个合作伙伴公司的网络之间，其中某些应用程序通信被限制在一个方向，其他应用程序在另一个方向。

　　有关CBAC的其他说明

　　对于每一个连接，CBAC都为状态表和动态ACL跟踪及分配内存。如果只有一个ACL组被配置在某一给定的方向，那么CBAC的内存消耗少于每连接600字节(跨所有平台)。一个应用程序对话可能包括多个TCP/UDP连接。例如，一个NetMeeting对话包括多达7个TCP/UDP连接。

　　CBAC和加密可以在同一接口上使用。但是，CBAC不能检查加密的数据包的内容。当路由器也是加密点时，CBAC和加密可以协同工作－CBAC可以在加密以前检查数据包。

　　CBAC可以与快速交换和过程交换一同工作，在Cisco 1600和2500系列路由器平台上提供一流的性能。

　　Java阻断

　　随着大量Java小程序可用于Internet，保护网络免受恶意小程序的攻击已经成为网络管理人员的一个主要课题。可以配置Java阻断来过滤或完全拒绝对没有嵌入在一个文档或压缩文件中的Java小程序的访问。

　　服务拒绝检测和预防

　　新近增强的服务拒绝检测和预防针对syn泛滥、端口扫瞄和包注入提供网络防御。服务拒绝检测和预防检查TCP连接中的包顺序号。如果这些号码不在预期的范围内，路由器将撤消可疑的包。当路由器检测出新建，它就发出一条告警信息。它还撤消半开的TCP连接状态表，以防止系统资源耗尽。