部网络、企业和合作伙伴互连以及企业连接internet提供完备的安全性和强制政策。

（2）Dos检测和抵御：CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。

（3）实时报警和跟踪：可配置基于应用层的连接，跟踪经过防火墙的数据包，提供详细过程信息并报告可疑行为。

（4）无缝兼容性：整和防火墙和其它cisco IOS软件于一体；优化广域网利用率；提供强大的、可升级的路由选择etc。

（5）支持VPN：利用封装了防火墙版本的cisco Ios 软件和Qos特性来保证在公共网络上传输数据的安全性，同时节省费用。

（6）可升级配置：适用于大部分路由器平台，cisco带防火墙版本的IOS可升级来满足网络带宽和性能的需要。

3、CBAC受到的限制

（1）仅适用于IP数据流：只有TCP和UDP包被检测，其它如ICMP等不能被CBAC检测，只能通过基本的access lists过滤。

（2）如果我们在配置CBAC时重新更改access lists，要注意：如果access lists禁止TFTP数据流进入一个接口，我们将不能通过那个接口从网络启动路由器（netboot）。

（3）CBAC忽略ICMP unreachable 信息。

（4）当CBAC检查FTP传输时，它只允许目的端口为1024—65535范围的数据通道。

（5）如果FTP客户端/服务器认证失败，CBAC将不会打开一条数据通道。

（6）IPSec 和CBAC的兼容性：如果CBAC和IPSec配置于同一台路由器上，只要对数据包的检查是在内部网接口上进行的，而数据包加密是终止在外部网接口上的，那么IPsec和CBA

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页