...ta, ce duce la circulatia traficului inapoi in reteaua interna numai in cazul in care el face parte dintr-o sesiune ce este permisa.Exista si cazuri mai rare cand se doreste configurarea CBAC in doua directii pentru o interfata sau mai multe, dar aceasta este o solutie mult mai complexa. CBAC este configurat in doua directii atunci cand se doreste protejarea retelei de ambele parti ale fireall-ului ca in cazul configuratiilor intranet sau extranet. Spre exemplu daca fireall-ul este situat intre doua retele ale unor companii partenere, s-ar dori restrictionarea traficului pentru anumite aplicatii intr-o directie, si pentru alte aplicatii in alta directie. 6. Procesul CBAC HYPERLINK tl TopiTops Aceasta sectiune descrie o secventa simpla de evenimente ce au loc atunci cand CBAC este configurat la o interfata externa ce se conecteaza la o retea externa asa cum este Internetul.In acest exemplu un pachet TCP paraseste reteaua interna prin interfata externa a fireall-ului. Pachetul TCP este primul pachet dintr-o sesiune Telnet, iar Telnet este configurat pentru verificarea CBAC. Pachetul ajunge la interfata externa a fireall-ului.Pachetul este evaluat in ciuda interfetei existente a listei de acces cu destinatie andepartata si este acceptat. Un pachet neacceptat este pur si simplu abandonat in acest moment.Pachetul este verificat de CBAC pentru a determina si inregistra informatii referitoare la starea conexiunii pachetului. Aceste informatii sunt inregistrate in noul tabel de stare creat pentru noua conexiune. Daca aplicatia pachetului Telnet nu este configurata pentru verificarea CBAC pachetul va fi pur si simplu trimis mai departe afara din interfata la acest moment fara a mai fi verificat de CBAC.Pe baza informatiilor de stare obtinute, CBAC creeaza o intrare in lista de acces care este introdusa la inceputul interfetei externe a listelor de acces legate extinse. Aceasta intrare temporara in lista de acces are scopul de a permite traficul pachetelor interne care fac parte din aceeasi sesiune ca si pachetul verificat.Pachetul extern este trimis mai departe afara din interfata.Peste un anumit timp un pachet intern ajunge la interfata. Acest pachet face parte din aceeasi conexiune Telnet stabilita anterior odata cu pachetul extern. Pachetul intern este evaluat netinandu-se cont de existenta listei de acces interne si este acceptat datorita intrarii in lista de acces creata anterior.Pachetul intern acceptat este verificat de CBAC si intrarea tabelului de stare este innoita conform noilor informatii. Pe baza acestor noi informatii intrarile in lista de acces extinsa legata pot fi modificate pentru a permite numai traficul pachetelor care sunt valabile pentru starea curenta a conexiunii.Orice alte pachete interne sau externe care apartin conexiunii sunt verificate pentru reinnoirea tabelului de stare si pentru modificarea corespunzatoare a intrarilor temporare din lista de acces legata si sunt trimise mai departe prin interfata.Cand conexiunea se incheie sau are time-out tabelul de stare este sters la fel ca si conexiunile intrarilor temporare din lista de acces legata .In procesul descris mai sus listele de acces ale fireall-ului sunt configurate dupa cum urmeaza O lista de acces IP cu destinatie indepartata simpla sau extinsa este aplicata interfetei externe. Aceasta lista de acces permite iesirea oricarui pachet dorit din retea inclusiv pachetele ce trebuiesc verificate de CBAC. In acest caz pachetele Telnet sunt acceptate. O lista de acces legata este aplicata interfetei externe. Aceasta lista de acces nu permite nici un fel de verificare CBAC a traficului - inclusiv a pachetelor Telnet. Atunci cand CBAC este declansat odata cu aparitia unui pachet extern el creeaza o fereastra temporara in lista de acces legata pentru a permite numai traficul ce face parte dint...
Download