Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
17-44
思科 ASA 系列命令参考,S 命令
第 17 章 subject-name 至 sysopt radius ignore-secret 命令
syn-data
syn-data
要允许或丢弃包含数据的
SYN 数据包,请在 tcp-map 配置模式下使用 syn-data 命令。要删除此指
定,请使用此命令的
no 形式。
syn-data
{allow | drop}
no syn-data
{allow | drop}
语法说明
默认值
默认情况下允许包含
SYN 数据的数据包。
命令模式
下表展示可输入此命令的模式:
命令历史
使用指南
将
tcp-map 命令与模块化策略框架基础设施结合使用。使用 class-map 命令定义流量类并使用
tcp-map
命令定制 TCP 检查。使用 policy-map 命令应用新 TCP 映射。使用 service-policy 命令激
活
TCP 检查。
使用
tcp-map 命令进入 TCP 映射配置模式。在 tcp-map 配置模式下使用 syn-data 命令可丢弃包含
数据的
SYN 数据包。
根据
TCP 规范,需要实施 TCP 才能接受 SYN 数据包包含的数据。由于此实施细微且隐晦,有些
实施可能无法正确处理此方面。要避免因终端系统实施不正确而造成任何漏洞继而引致嵌入式攻
击,可选择丢弃包含数据的
击,可选择丢弃包含数据的
SYN 数据包。
示例
以下示例展示如何在所有
TCP 数据流中丢弃包含数据的 SYN 数据包:
ciscoasa(config)# access-list TCP extended permit tcp any any
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# syn-data drop
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match access-list TCP
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
allow
允许包含数据的
SYN 数据包。
drop
丢弃包含数据的
SYN 数据包。
命令模式
防火墙模式
安全情景
路由
透明
单个
多个
情景
系统
TCP 映射配置
•
是
•
是
•
是
•
是
—
版本
修改
7.0(1)
引入了此命令。