CBAC:基于上下文的访问控制   配置ipinspect列表
    cbac通过严格审查源和目的地址，增强了使用众所周知端口(例如ftp和电子邮件通信)的tcp和udp应用程序的安全,包经过已配置检查的接口， 那么无论它们从那个方向通过都将被检查。进入的包只会在其第一次通过接口的入站ACL时才会被检察。如果数据包被ACL拒绝，数据包会被 简单的丢掉并且不会被CBAC检查。
      在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越
   CBAC只能用于IP数据流。只有TCP和UDP数据包能被检查，其他IP数据流(如ICMP)不能被CBAC检查，只能采用基本的访问控制列表对其进行 过滤。在不作应用层协议审查时，像自反访问控制列表一样，CBAc可以过滤所有的TCP和UDP会话。但CBAC也可以被配置来有效地处理多信道(多端 口)应用层协议：cu-SeeMe(仅对whitePine版本)、FTP、H.323(如NetMeeting和ProShare)、 HTTP(Java拦阻)、Java、MicrosftNetshow、UNIX的r系列命令(如rlogin、rexec和 rsh);RealAudio、RPC(SunRPc，非DCERPC)MircosoftRPC、SMTP、SQL.Net、StreamWorks、 TFTP、VDOLive、oracle数据库

        (config)#ip inspect name dao udp   监控某协议
Router(config)#int f0/0
Router(config-if)#ip inspect asha in 应用到CBAC相对应的进方向
Router(config-if)#exit
   CBAC使用超时值和阈值确定会话的状态及其持续的时间.可清除不完全会话和闲置会话,用以对Dos进行

检测和防护.
Router(config)#ip inspect max-incomplete high 500 当半开会话数超过500时开始删除
Router(config)#ip inspect max-incomplete low 400 当半开会话数低于400时停止删除
Router(config)#ip inspect one-minute high 500 设置当开始删除半开会话数时接受的会话数的速

率
  
   CBAC可提供如下服务 ：（1）状态包过滤：对企业内部网络、企业和合作伙伴互连以及企业连接

internet提供完备的安全性和强制政策。

                                         （2）Dos检测和抵御：CBAC通过检查数据报头、丢弃可疑数据包来预防和保护路由器受到攻击。

                                           （3）实时报警和跟踪：可配置基于应用层的连接，跟踪经过防火墙的数据包，提供详细过程信息并报告可疑行为。

一：告警
告警会显示CBAC的一些消息，如：路由器资源不够，DoS攻击和其他威胁。告警默认情况会开启，并自动

显示在console线程上。全局关闭CBAC告警：
   Router(config)# ip inspect alert-off

   二：审计
审计会追踪CBAC检Router(config)#ip inspect hashtable-size ?
<1024-8192> Hash table size allowed values: <1024/2048/4096/8192>查的连接，获取他们的统计

信息。默认情况下审计是关闭的。全局开启CBAC审计，默认情况会显示在console线程上：
   Router(config)# ip inspect audit-trail

   三：Router(config)#ip inspect dns-timeout <1-2147483>
       指定DNS超时时间

   四：Router(config)#ip inspect hashtable-size ?
<1024-8192> Hash table size allowed values: <1024/2048/4096/8192>