毕业论文（设计）基于上下文的访问控制列表说明书.docVIP

石河子大学 信息科学与技术学院 网络工程与技术课程设计成果 2014—2015学年第二学期 题目名称： 基于上下文的访问控制列表CBAC 专 业： 计科12 班 级： 计科2班 学 号： 2012508062 学生姓名： 滕 青 青 指导教师： 曹 传 东 完成日期：二○一五 年 七 月 十四 日 目 录 1. 课题任务名称 - 2 - 1.1课题题目： - 2 - 1.2课题任务： - 3 - 2.理论背景/基础知识概述 - 3 - 2.1 CBAC概述 - 3 - 2.2 CBAC原理 - 3 - 2.3 帧中继的四个主要功能 - 3 - 2.4 CBAC的处理步骤 - 4 - 2.5 CBAC相比与RACL的改进 - 4 - 3. 实践环境/条件及资源说明 - 5 - 4. 实践任务内容 - 6 - 5. 过程步骤说明 - 6 - 6. 结论 - 17 - 7.总结与体会 - 18 - 附录A　　参考文献 - 20 - 1. 课题任务名称 1.1课题题目： 配置思科路由器实现基于上下文的访问控制列表（CBAC防火墙） 1.2课题任务： 要求使用Dynamips模拟配置软件，在本任务中，要求首先搭建好所需的安全实验机架拓扑，然后演示通过在企业出口路由器上定义基于上下文的协议报文审查规则，实现只能让内网用户发起的流量才能被允许通过路由器并返回，对特定的网络所产生的网络流量产生警告和进行跟踪，本题还要求实现跟踪并分析FTP的主动和被动模式的区别。 2.理论背景/基础知识概述 2.1 CBAC概述 Context-Based Access Control（CBAC）基于上下文的访问控制协议通过检查防火墙的流量来发现管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表，允许为受允许会话放回流量和附加数据连接，打开这些通路。受允许会话是指来源于受保护的内部网络会话。 CBAC不用于ACL(访问控制列表)并不能用来过滤每一种TCP/IP协议，但它对于运行TCP、UDP应用或某些多媒体应用(如Microsoft的NetShow或Real Audio)的网络来说是一个较好的安全解决方案。除此之外，CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越。在大多数情况下，我们只需在单个接口的一个方向上配置CBAC，即可实现只允许属于现有会话的数据流进入内部网络。可以说，ACL与CBAC是互补的，它们的组合可实现网络安全的最大化。 2.2 CBAC原理 CBAC指定了哪些协议及接口、接口方向（流入和流出）需要被检查，同指定了检查的起始。CBAC只对指定的协议进行检查。对于这些协议，只要数据包经过已配置检查策略的接口，那么无论它们从哪个方向通过防火墙都将被检查。进入防火墙的数据包只会在其第一次通过接口的入站ACL时才会被检察。如果数据包被ACL拒绝，数据包会被简单的丢掉并且不会被CBAC检查。CBAC会追踪它监视的连接，创建包括每个连接信息的状态表。这个表和PIX使用的状态表很相似。CBAC监视TCP，UDP，和ICMP的连接并记录到状态表，并为返回的流量创建动态ACL条目，这点和RACL很相似。但是CBAC能够检测应用层的流量，这点是RACL不能实现的。CBAC使用状态表和动态ACL条目来检测和防止某些DoS攻击，尤其是TCP洪水攻击。 2.3 帧中继的四个主要功能 帧中继具有如下四个主要功能： ( 流量过滤 扩展ACL只能过滤3层和4层的流量，RACL能够过滤5层的流量，而CBAC支持应用层的检测，即查看某些数据包的内容，如FTP，他能够分别查看控制连接或者数据连接，由于控制和数据使用的端口是分开的，所以这点对于CBAC来说是做不到的。CBAC甚至能够检测HTTP连接中使用的Java程序，并过滤他们。 ( 流量检测 CBAC不仅能像RACL那样检查返回到网络的流量，同时还能够防止TCP SYN 洪水攻击：CBAC能够检测客户端到服务器连接的频率，如果到达一个限度，就会关闭这些连接。也可用来防止DoS分片攻击。 ( 入侵检测 CBAC是一个基于状态的防火墙机制，他也能够检测某些DoS攻击。提供对于某些SMTP e-mail攻击的保护，限制某些SMTP