配置CBAC，提升Cisco路由器安全2

配置CBAC，提升Cisco路由器安全2

2.选择配置接口

　　为了恰当地配置CBAc，首先必须确定在哪个接口上配置CBAC。下面描述了内部口和外部接口间的不同之处。

　　配置数据流过滤的第一步是决定是否在防火墙的一个内部接口或外部接口上配置CBAC。在该环境下，所谓“内部”是指会话必须主动发起以让其数据流被允许通过防火墙的一侧;“外部”是指会话不能主动发起的一侧(从外部发起的会话被禁止)。如果要在2个方向上配置CBAc，应该先在一个方向上使用适当的“Intemal”和“Extemal”接口指示配置CBAC。在另一个方向上配置CBAC时，则将该接口指示换成另一个。

　　CBAC常被用于2种基本的网络拓扑结构之一。确定哪种拓扑结构与用户自己的最吻合，可以帮助用户决定是否应在一个内部接口或是在一个外部接口上配置CBAC。

　　图l给出了第1种网络拓扑结构。在该简单的拓扑结构中，CBAC被配置在外部接口S0上。这可以防止指定的协议数据流进入该防火墙路由器和内部网络，除非这些数据是由内部网络所发起会话的一部分。

　　图1

　　图2给出了第2种网络拓扑结构。在该拓扑结构中，CBAC被配置在内部接口E0上，允许外部数据流访问DMZ(连接在接口E1上的停火区)中的服务(如DNS服务)，同时防止指定的协议数据流如内部网络，除非这些数据流是由内部网络所发起的会话的一部分。这两种拓扑结构之间的关键不同点是：第1种拓扑结构不允许外部数据流不经过CBAC过滤器就进入了路由器;第2中拓扑结构允许外部数据流入路由器，让他们能不经过CBAC过滤器就到达位于DMZ区中的公共服务器。