本节书摘来自异步社区《Cisco防火墙》一书中的第8章,第8.7节,作者 【巴西】Alexandre M.S.P. Moraes,更多章节内容可以访问云栖社区“异步社区”公众号查看
8.7 通过NAT规则定义连接限制
Cisco防火墙
ASA设备支持通过地址转换语句来定义可以接受的连接限制规则。该特性的一大作用是防止有人针对某些特定的主机(尤其是服务器)发起拒绝服务攻击(DoS)。针对某些客户端地址的DoS缓解技术会在第11章中进行分析。
例8-27所示为针对某一台主机(其IP地址是通过static命令发布的)设置UDP并发连接数的限制。该示例显示出,当并发连接数达到了配置的25个时,ASA就不再接受新的请求。
在此之后,随着有些连接断开,新的连接就可以通过防火墙建立起来(但是永远不会超过配置的上限,即25个)。
对于TCP协议,有两个参数可以配置:第一个选项是指定并发连接的数量;第二个选项是定义可以接受的半开连接数(也就是那些没有完成TCP三次握手的连接,这类连接往往与网络攻击有关)。在例8-28中,ASA最多可以接受向发布的地址172.16.222.40建立20条并发的半开连接。
例8-27和例8-28的拓扑如图8-6所示,该图显示出访问控制条目(Access Control Entry)与发布的地址之间的关系。放行语句中应当包含发布的地址(而不是真实的地址)。
例8-27定义某台主机的UDP连接数量
例8-28对一个主机定义TCP半开连接的限制数
提示 如果将连接限制数设置为0,那就代表连接数没有限制。连接限制数可以设置的范围为1~65535。
