《Cisco防火墙》一8.7 通过NAT规则定义连接限制

8.7 通过NAT规则定义连接限制

Cisco防火墙
ASA设备支持通过地址转换语句来定义可以接受的连接限制规则。该特性的一大作用是防止有人针对某些特定的主机(尤其是服务器)发起拒绝服务攻击(DoS)。针对某些客户端地址的DoS缓解技术会在第11章中进行分析。

例8-27所示为针对某一台主机(其IP地址是通过static命令发布的)设置UDP并发连接数的限制。该示例显示出,当并发连接数达到了配置的25个时,ASA就不再接受新的请求。

在此之后,随着有些连接断开,新的连接就可以通过防火墙建立起来(但是永远不会超过配置的上限,即25个)。

对于TCP协议,有两个参数可以配置:第一个选项是指定并发连接的数量;第二个选项是定义可以接受的半开连接数(也就是那些没有完成TCP三次握手的连接,这类连接往往与网络攻击有关)。在例8-28中,ASA最多可以接受向发布的地址172.16.222.40建立20条并发的半开连接。

例8-27和例8-28的拓扑如图8-6所示,该图显示出访问控制条目(Access Control Entry)与发布的地址之间的关系。放行语句中应当包含发布的地址(而不是真实的地址)。

例8-27定义某台主机的UDP连接数量

例8-28对一个主机定义TCP半开连接的限制数

提示 如果将连接限制数设置为0,那就代表连接数没有限制。连接限制数可以设置的范围为1~65535。

时间: 2024-09-22 12:46:26

《Cisco防火墙》一8.7 通过NAT规则定义连接限制的相关文章

《Cisco防火墙》一导读

序 Cisco防火墙当今网络在规模和复杂程度上,已经经历了爆炸式的成长,它已经成为了一项包罗万象的技术,实现网络安全的难度亦随之增加.核心网络的设计蓝图需要以强大的物理设备作为基础,而这可以通过在系统的核心部分集成防火墙设施来实现.现今,防火墙已经成为网络中的核心设备,成为每个网络环境中不可或缺的组成部分. Alexandre M. S. P. Moraes的这本大作旨在补充一些常常为人们所忽视的基本概念,他通过本书为读者提供了一个Cisco全系列防火墙产品的资源宝库. Alexandre使用了

《Cisco防火墙》一8.8 总结

8.8 总结 Cisco防火墙本章对nat-control模型提供了大量的具体信息,同时也介绍了ASA设备所支持的各类NAT技术.其中,本书着重强调了NAT优先级规则的重要性,因为这个概念很容易误解,而误解这个概念则会使网络设计出现问题,也会降低实施该网络的效率. 在学习本章的内容之后,读者应该能够: 理解并配置ASA设备中定义的各类NAT: 定义连接是如何依赖于转换而建立的(或nat-control模型中,有条件绕过NAT转换[conditional NAT bypass]这一可选项):-通过

《Cisco防火墙》一8.2 出站NAT分析

8.2 出站NAT分析 Cisco防火墙在前面的章节中,本书已经反复讨论过入站访问和出站访问的概念,这一概念在本章中仍会反复使用.只不过在本章中,只要配置了 nat-control,连接就只允许通过转换(translations)的方式来建立(在ASA算法中,"转换"往往也称为xlates). 例8-2中的基本配置是参照图8-1中的拓扑执行的,同时例8-2也显示了ASA设备所支持的各类NAT. 注释 本书在第7章曾经介绍过,ICMP本质上是一个无状态协议,而(外部接口发来的)echo响

《Cisco防火墙》一8.5 双向NAT(Dual NAT)

8.5 双向NAT(Dual NAT) Cisco防火墙在8.3版本之前,ASA是通过将入站static规则和出站static规则结合起来使用,以实现双向NAT转换的. 例8-24所示为将两条static命令结合起来使用,以实现双向NAT的效果. dmz主机10.10.10.140在out接口上发布为172.16.16.140.out主机172.16.16.200在dmz接口上显示为10.10.10.200.这个示例还进一步显示了从172.16.16.200到172.16.16.140之间的Te

《Cisco防火墙》一8.4 入站NAT分析

8.4 入站NAT分析 Cisco防火墙前面一节不仅介绍了出站NAT的具体处理方式,而且也介绍了在较低安全级别的接口上发布地址的需求.早年间,ASA算法只支持出站方向的NAT(当时该算法是通过PIX防火墙来实现的).为了改变这种原有的模式,实现入站NAT,Cisco针对动态转换规则引入了关键字outside.本节中将要介绍的各类NAT技术均与相应的出站NAT类似. 8.4.1 入站方向的动态PAT 例8-20汇总了很多配置入站动态PAT规则的命令.在172.16.16.0/24范围内的主机在通过

《Cisco防火墙》一6.5 虚拟防火墙的管理访问

6.5 虚拟防火墙的管理访问 Cisco防火墙 在学习了如何将防火墙的操作模式从单防火墙模式修改为多防火墙模式,并介绍了虚拟防火墙的一些设置之后,在下面的内容中,本书会着重介绍虚拟防火墙的管理访问. 在前面的一节中,本书已经介绍了系统分区和admin-context对于访问物理成份的重要作用.那一节也介绍了命令changeto context可以让授权用户访问admin-context以查看(并修改)所有普通虚拟防火墙的配置信息.虽然这已经可以满足大多数环境的管理需求,但是在有些情况下,直接访问

《Cisco防火墙》一2.2 防火墙服务模块的概述

2.2 防火墙服务模块的概述 Cisco防火墙 Cisco的防火墙服务模块(Firewall Service Module,FWSM)是为其Catalyst 6500系列交换机量身打造的防火墙解决方案,它可以提供Cisco ASA的状态化监控技术.FWSM与ASA防火墙系列有着共同的祖先,那就是PIX防火墙.自然而然,这三款产品(命令行界面中)的配置命令和配置思路都是非常接近的. FWSM服务模块是专用于防火墙服务的模块.这款产品可以与Catalyst 6500系列的其他服务模块(如应用控制引擎

《Cisco防火墙》一6.4 超越数据平面—虚拟防火墙

6.4 超越数据平面-虚拟防火墙 Cisco防火墙前面两节对VLAN和VRF技术实现(2层及3层)数据平面虚拟化的方式进行了概述.尽管这些方法已经为当今的网络和安全设计带来了巨大的利好,但必须在这里说明的是,设备的配置文件是在所有虚拟成份之间共享的. 本节将会对虚拟防火墙的概念进行介绍,尤其会(尽可能直白地)介绍虚拟设备的工作方式.对于ASA和FWSM等设备,每个虚拟防火墙都有拥有多个接口.一个路由表.多个安全策略(ACL.NAT规则及监控策略)及管理设置(配置文件.管理用户等). ASA和FW

《Cisco防火墙》一8.3 入站访问的地址发布

8.3 入站访问的地址发布 Cisco防火墙地址发布(Address Publishing)这个概念适用于nat-control模型的环境中,只要一个内部地址需要能够在外部网络中唯一地标识出来,这个内部地址就需要对外部网络进行发布.为了满足这一需求,就必须拥有一种双向的转换技术.这时,需要配置一条明确的permit语句来实现通过全局地址发起入站访问的需求. 8.3.1 通过static命令进行发布 静态NAT是实现地址发布的经典方式.如例8-9所示,当管理员在CLI中输入static命令时,xl