解决了一个困扰已久的CBAC的问题

虽然以前在生产网上就用过CBAC,但是对于inspect http和inspect ftp某些具体的行为还是有些不清楚,夜里下定决心一定要做实验弄明白。
实验前提:inspect http或者inspect ftp如果用在边界路由器连接ISP的接口出向,并且同时有访问控制列表用在该接口的入向,并且该acl不包含明确允许返回流量的条目(如:permit tcp any any或者permit ip any any)
在netlab上实验的结果得到下面2个结论:
1. inspect http和inspect ftp等使用时不需要与inspect tcp同时使用:既一旦使用了inspect http或者inspect ftp,那么对应的协议的返回流量会自动被允许。当然,需要是标准的服务端口,如果不是的话,需要手动设置PAM映射。
2. inspect http后面的java-list如果不使用的话,则所有内部访问外部的流量中的java applet都会被过滤,但是同一个页面中的其他内容(文字、图片等)不会受到影响。
之前看到很多文档都没有明确说明这点,有些文档甚至说不写java-list就不会过滤java applet。我做实验的结论是如果只写ip inspect name 并且应用到接口的话,所有的java applet都会被过滤!
*使用debug ip inspect http和debug ip inspect ftp可以看到等详细的连接检查过程。
据说CBAC这种IOS防火墙的功能是靠纯软件完成的,开启了之后会影响设备的性能。我曾经在某个Cisco高端设备上尝试CBAC功能,流量在几百兆的时候CPU基本上被占满了,设备几乎不响应。因此上述实验不推荐在任何生产设备上做!

3 thoughts on “解决了一个困扰已久的CBAC的问题”

  1. 过滤P2P流量可以用nbar实现,但是仍然不推荐用,流量大了之后会影响设备性能。有很多种专用的硬件设备可以过滤P2P流量,做到限速。

  2. 无意在网上看到你的网站,看了你写的文章,很有启发,有机会可以交流下吗,请问你是哪几个方面的ie,你做的CBAC我也做过,实验做做可以,但有些技术在公司中不太实用,我的msn:[email protected]

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.