天天看点

《Cisco防火墙》一8.7 通过NAT规则定义连接限制

本节书摘来自异步社区《cisco防火墙》一书中的第8章,第8.7节,作者 【巴西】alexandre m.s.p. moraes,更多章节内容可以访问云栖社区“异步社区”公众号查看

cisco防火墙

asa设备支持通过地址转换语句来定义可以接受的连接限制规则。该特性的一大作用是防止有人针对某些特定的主机(尤其是服务器)发起拒绝服务攻击(dos)。针对某些客户端地址的dos缓解技术会在第11章中进行分析。

例8-27所示为针对某一台主机(其ip地址是通过static命令发布的)设置udp并发连接数的限制。该示例显示出,当并发连接数达到了配置的25个时,asa就不再接受新的请求。

在此之后,随着有些连接断开,新的连接就可以通过防火墙建立起来(但是永远不会超过配置的上限,即25个)。

对于tcp协议,有两个参数可以配置:第一个选项是指定并发连接的数量;第二个选项是定义可以接受的半开连接数(也就是那些没有完成tcp三次握手的连接,这类连接往往与网络攻击有关)。在例8-28中,asa最多可以接受向发布的地址172.16.222.40建立20条并发的半开连接。

例8-27和例8-28的拓扑如图8-6所示,该图显示出访问控制条目(access control entry)与发布的地址之间的关系。放行语句中应当包含发布的地址(而不是真实的地址)。

例8-27定义某台主机的udp连接数量

《Cisco防火墙》一8.7 通过NAT规则定义连接限制

例8-28对一个主机定义tcp半开连接的限制数

《Cisco防火墙》一8.7 通过NAT规则定义连接限制

提示 如果将连接限制数设置为0,那就代表连接数没有限制。连接限制数可以设置的范围为1~65535。

继续阅读