C就能共存在该边界路由器上。在这种方式下，检查的是不加密的数据流。

4、CBAC所需的内存和性能

有一些参数会影响CBAC所需的内存和性能：

（1）CBAC对每条连接使用600 byte的内存；

（2）在检查数据包的过程中，CBAC使用额外的CPU资源；

（3）尽管CBAC通过对access lists的高效存储（对access list进行散列索引，然后评估该散列）来最小化其对资源的需求，它在access list检查过程中仍要使用一定的CPU资源。

5、配置CBAC

第一步，CBAC用timeout 和threshold值来管理会话，配置判断是否在会话还未完全建立的时候终止连接。这些参数全局性地应用于所有会话。具有firewall feature的cisco router12.0以上版本的IOS缺省是起了IP INSPECT 抵御DoS进攻的。当half-open会话数量大到一定的程度往往意味着正在有DOS攻击发生或某人正在做端口扫描，CBAC既监测half-open会话总数也监测会话企图建立的速率。以下是缺省配置：

HpXg_1#sh ip inspect all

Session audit trail is disabled（相关命令是ip inspect audit trail,是用来打开自动跟踪审计功能并将信息传送到console口，缺省是disabled.）

Session alert is enabled

one-minute thresholds are [400:500] connections（相关命令是ip inspect one-minute high 500和ip inspect one-minute low 400,是将引起或导致路由器开始或停止

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页