|
Хоть мы с Вами ранее уже и познакомились с технологией ZFW, но ее предшественником был CBAC. Поскольку данная тема входит в трек CCIE Security v4.0, то надеюсь, что данная статья будет кому-то полезна. CBAC – фича Cisco IOS, которая позволяет маршрутизатору выступать в качестве сетевого фаирволла. Работает он примерно следующим образом: прилетает пакет на входной интерфейс (т.е. некий хост из внутренней сети пытается установить сессию с хостом из внешней сети), если на нем настроено правило фаирволла и пакет под это правило попадает, то маршрутизатор сохраняет подробную информацию о таком пакете (например – IP-адреса источника и пункта назначения, tcp/udp порты и пр.) и далее этот пакет вылетает во внешний мир. Через какое-то время приходит ответ на только что улетевший пакет и даже если на интерфейсе стоит правило типа deny any, то ответный пакет пропускается (т.к. запись о сессии хранится в памяти маршрутизатора). Читать продолжение записи » 
Метки: CBAC |