1.配置外部接口的技巧

　　如果在外部接口上有一个对外方向的IP列表，则该列表就可以是一个标准的或扩展的访问控制列表。该外出方向的访问控制列表应该 允许想让CBAC检查的数据流通过。如果数据流不被允许，它就不能被CBAC检查，就会被简单地丢弃。

　　在外部接口上的入方向访问控制列表必须是一个扩展的访问控制类表。该入方访问控制列表应该拒绝想要让CBAC检查的数据流。CBAC将在该人方 向控制列表中产生适当的临时通口，只允许返回数据进入，这些数据流属于一个有效的已存在会话的一部分。

　　2.配置内部接口的技巧

　　如果在内部接口上有一个入方向的IP访问控制列表，或在外部接口上有一个对外出方向的IP访问控制列表，则这些访问控制列表可以是标准的或者扩 展的访问控制类表。这些访问控制类表应该允许想让CBAC审查的数据流通过。如果数据流不被允许，它就不能被CBAC审查，就会被简单地丢弃掉。

　　在内部接口上的外出方向的IP访问控制列表和在外部接口上的入方向的访问控制列表必须是扩展的访问控制列表。这些访问控制列表应该拒绝想要让 CBAC审查的数据流通过CBAC将在这些访问控制列表中产生适当的临时通道，只允许那些属于一个有效的、已存在会话的一部分的返回数据流进入。不需要在 内部接口的外出方向和外部接口的入口向上都配置一个扩展访问控制列表，但至少需要配置一个，以限制数据流通过防火墙流进内部受保护的网络。

四、总结

　　只有连接的控制信道会被CBAC审查和监视，数据信道不会被审查。如在FTP会话中，控制信道(通常是TCP端口21)和数据信道(通常是 TCP端口20)的状态变化都会被监视，但只有控制信道才会被审查。

　　CBAC审查识别控制信道中与应用具体相关的命令，并检测和防止某些应用层攻击，如SYN-flooding(SYN包风暴攻击)等。当网络攻 击者想一台服务器发起了SYN包风暴攻击。大量的半开连接会淹没服务器，导致它拒绝正常的请求提供服务。无法访问网络设备的网络攻击被称为服务攻击 (DoS)。

　　CBAC审查还在其它方面有助于防止拒绝服务攻击。CBAC检查TCP连接中的包序列号码是否在所期望的范围之内，并丢弃所有可疑的数据包。同 时，也可以配置CBAC来丢弃半开连接，这需要占用防火墙的处理资源和内存资源来进行维护。另外，CBAC也可以检测不寻常的新连接建立速率，并发出告警 消息。