不通过的数据包在此被丢弃，不用经过以下步骤）；

（3）通过access list检查的数据包由CBAC检查来决定和记录包连接状态信息，这个信息被记录于一个新产生的状态列表中为下一个连接提供快速通道；

（4）如果CBAC没有定义对telnet应用的检查，数据包可以直接从该接口送出；

（5）基于第三步所获得的状态信息，CBAC在s0的inbound access list中插入一个临时创建的access list入口，这个临时通道的定义是为了让从外部回来的数据包能够进入；

（6）数据包从s0送出；

（7）接下来一个外部的inbound数据包到达s0，这个数据包是先前送出的telnet会话连接的一部分，经过s0口的access list检查，然后从第五步建立的临时通道进入；

（8）被允许进入的数据包经过CBAC的检查，同时连接状态列表根据需要更新，基于更新的状态信息，inbound access list临时通道也进行修改只允许当前合法连接的数据包进入；

（9）所有属于当前连接的进出s0口数据包都被检查，用以更新状态列表和按需修改临时通道的access list，同时数据包被允许通过s0口；

（10）当前连接终止或超时，连接状态列表入口被删除，同时，临时打开的access list入口也被删除。

需要注意的是：对于配置到s0口outbound ip access list， accesslist必须允许所有需要的应用通过，包括希望被CBAC检查的应用；但是inbound ip access list必须禁止所有需要CBAC检查的应用，当CBAC被出去的数据包触发后，会在inbound access list中临时开放一个通道给合法的、正在传送的数据进入。

2、CBAC可提供如下服务

（1）状态包过滤：对企业内

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页