Tweet
Đặc tính CBAC (Context Based Access Control) cung các điều khiển truy nhập cho từng ứng dụng trên biên giới mạng của hệ thống. CBAC giúp router quản lý được trạng thái cố định, dựa trên thông tin của các packet được xem xét, và ra quyết định traffic nào nên được cho phép hay từ chối. CBAC là trọng điểm của các đặc tính trong Cisco IOS firewall, có các đặc điểm sau:
- Nhận dạng và ngăn chặn các tấn công theo kiểu từ chối dịch vụ (DoS)
- Tạo ra được các cảnh báo thời gian thực và các dấu vết kiểm tra
- Cung cấp việc điều khiển truy nhập cho từng ứng dụng
- Cung cấp việc chặn trên các gói TCP và UDP thông thường
CBAC có thể được dùng cho intranet, extranet và Internet bởi khả năng chắt lọc các gói TCP và UDP dựa trên các thông tin trong các giao thức ứng dụng. Không giống như access-list chỉ giới hạn việc xem xét packet ở mức độ cơ bản ở tầng network, CBAC có khả năng xem xét không những ở tầng network và transport mà còn các thông tin giao thức của ở tầng ứng dụng để biết về các trạng thái của các kết nối TCP và UDP. Việc giám sát mở rộng này cho phép hỗ trợ các giao thức liên quan đến các kênh tạo ra trên các kênh điều khiển của ứng dụng ví dụ như FTP, Remote Procedure Call và SQL.
Khi NAT được áp dụng cho các traffic đi qua một router mà có sử dụng CBAC, firewall sẽ thực hiện các giám sát theo kiểu CBAC và che giấu các thông tin bên trong. Quá trình này cung cấp việc bảo vệ thêm cho các giao thức mà CBAC không hỗ trợ.
CBAC cũng hỗ trợ việc chặn JAVA, lọc các trafic HTTP. Java Applet có thể bị chặn dựa trên địa chỉ IP của server. CBAC cũng có khả năng chặn quyền truy nhập các Java applet không được nhúng vào file nén hoặc các file lưu trữ hoặc có thể chỉ cho phép người dùng download các applet này từ các nguồn đáng tin cậy.
- Nhận dạng và ngăn chặn các tấn công theo kiểu từ chối dịch vụ (DoS)
- Tạo ra được các cảnh báo thời gian thực và các dấu vết kiểm tra
- Cung cấp việc điều khiển truy nhập cho từng ứng dụng
- Cung cấp việc chặn trên các gói TCP và UDP thông thường
CBAC có thể được dùng cho intranet, extranet và Internet bởi khả năng chắt lọc các gói TCP và UDP dựa trên các thông tin trong các giao thức ứng dụng. Không giống như access-list chỉ giới hạn việc xem xét packet ở mức độ cơ bản ở tầng network, CBAC có khả năng xem xét không những ở tầng network và transport mà còn các thông tin giao thức của ở tầng ứng dụng để biết về các trạng thái của các kết nối TCP và UDP. Việc giám sát mở rộng này cho phép hỗ trợ các giao thức liên quan đến các kênh tạo ra trên các kênh điều khiển của ứng dụng ví dụ như FTP, Remote Procedure Call và SQL.
Khi NAT được áp dụng cho các traffic đi qua một router mà có sử dụng CBAC, firewall sẽ thực hiện các giám sát theo kiểu CBAC và che giấu các thông tin bên trong. Quá trình này cung cấp việc bảo vệ thêm cho các giao thức mà CBAC không hỗ trợ.
CBAC cũng hỗ trợ việc chặn JAVA, lọc các trafic HTTP. Java Applet có thể bị chặn dựa trên địa chỉ IP của server. CBAC cũng có khả năng chặn quyền truy nhập các Java applet không được nhúng vào file nén hoặc các file lưu trữ hoặc có thể chỉ cho phép người dùng download các applet này từ các nguồn đáng tin cậy.