Configurarea CBAC la nivelul firewall-ului protejeaza retelele interne. Astfel de firewall-uri ar trebui sa fie rutere CISCO cu setul de caracteristici configurat corespunzator. CBAC ar trebui folosit pentru aceste aplicatii daca se vrea ca traficul acestor aplicatii sa treaca prin firewall numai in cazul in care sesiunea de trafic este initiata dintr-o anumita parte a firewall-ului (de obicei din reteaua interna protejata). In cele mai multe cazuri CBAC va fi configurat numai intr-o singura directie la o singura interfata, ce duce la circulatia traficului inapoi in reteaua interna numai in cazul in care el face parte dintr-o sesiune ce este permisa.
Exista si cazuri mai rare cand se doreste configurarea CBAC in doua directii pentru o interfata sau mai multe, dar aceasta este o solutie mult mai complexa. CBAC este configurat in doua directii atunci cand se doreste protejarea retelei de ambele parti ale firewall-ului ca in cazul configuratiilor intranet sau extranet. Spre exemplu daca firewall-ul este situat intre doua retele ale unor companii partenere, s-ar dori restrictionarea traficului pentru anumite aplicatii intr-o directie, si pentru alte aplicatii in alta directie.
Aceasta sectiune descrie o secventa simpla de evenimente ce au loc atunci cand CBAC este configurat la o interfata externa ce se conecteaza la o retea externa asa cum este Internetul.
In acest exemplu un pachet TCP paraseste reteaua interna prin interfata externa a firewall-ului. Pachetul TCP este primul pachet dintr-o sesiune Telnet, iar Telnet este configurat pentru verificarea CBAC. Pachetul ajunge la interfata externa a firewall-ului. Pachetul este evaluat in ciuda interfetei existente a listei de acces cu destinatie andepartata si este acceptat. (Un pachet neacceptat este pur si simplu abandonat in acest moment). Pachetul este verificat de CBAC pentru a determina si inregistra informatii referitoare la starea conexiunii pachetului. Aceste informatii sunt inregistrate in noul tabel de stare creat pentru noua conexiune. (Daca aplicatia pachetului Telnet nu este configurata pentru verificarea CBAC pachetul va fi pur si simplu trimis mai departe afara din interfata la acest moment fara a mai fi verificat de CBAC. ) Pe baza informatiilor de stare obtinute, CBAC creeaza o intrare in lista de acces care este introdusa la inceputul interfetei externe a listelor de acces legate extinse. Aceasta intrare temporara in lista de acces are scopul de a permite traficul pachetelor interne care fac parte din aceeasi sesiune ca si pachetul verificat.
Pachetul extern este trimis mai departe afara din interfata.
Peste un anumit timp un pachet intern ajunge la interfata.
Acest pachet face parte din aceeasi conexiune Telnet stabilita anterior odata cu pachetul extern. Pachetul intern este evaluat netinandu-se cont de existenta listei de acces interne si este acceptat datorita intrarii in lista de acces creata anterior.
Pachetul intern acceptat este ...
Documentul este oferit gratuit,
trebuie doar să te autentifici in contul tău.