Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
1-84
思科 ASA 系列命令参考,S 命令
第 1 章 same-security-traffic 至 shape 命令
set connection
命令历史
使用指南
使用模块化策略框架配置此命令。先使用
class-map 命令(用于通过流量)或 class-map type
management
命令(用于管理流量)定义要应用超时的流量。然后输入 policy-map 命令以定义策
略,输入
class 命令以引用类映射。在类配置模式下,可以输入 set connection 命令。最后,将政
策映射应用到接口使用服务策略的命令。有关模块化策略框架工作原理的详细信息,请参阅
CLI
配置指南。
注
根据
ASA 型号中 CPU 核心的数量,由于每个核心管理连接的方式不同,最大并发和初期连接数
可能超过配置的数量。在最糟糕的情况下,
ASA 最多允许 n-1 个额外连接和初期连接,其中 n 是
核心数。例如,如果您的型号有
4 个核心,而您配置 6 个并发连接和 4 个初期连接,那么每个类
型可能有
3 个额外连接。要确定您的型号的核心数,请输入 show cpu core 命令。
TCP 拦截概述
限制初期连接数可以保护您免受
DoS 攻击。ASA 使用每客户端限制和初期连接限制来触发 TCP
拦截,这可保护内部系统免受使用
TCP SYN 数据包对接口进行泛洪的 DoS 攻击。初期连接是源
与目标之间尚未完成必要握手的连接请求。
TCP 拦截使用 SYN cookie 算法防止 TCP SYN 泛洪攻
击。
SYN 泛洪攻击包括一系列 SYN 数据包,通常来自伪装的 IP 地址。SYN 数据包的持续泛滥将
使服务器
SYN 队列始终充满,而无法处理连接请求。超过连接的初期连接阈值时,ASA 将作为
服务器的代理,对客户端
SYN 请求生成 SYN-ACK 响应。当 ASA 收到来自客户端的 ACK 后,可
以对客户端进行身份验证,并且允许连接到服务器。
TCP 序列随机化
每个
TCP 连接都有两个 ISN:一个由客户端生成,一个由服务器生成。ASA 随机化入站和出站方
向的
TCP SYN 的 ISN。
随机化受保护主机的
ISN 可防止攻击者预测新连接的下一个 ISN 而潜在劫持新会话。
可根据需要禁用
TCP 初始序列号随机化。例如:
•
如果另一个在线防火墙也随机化初始序列号,则即使此操作不影响流量,两个防火墙也无需
执行此操作。
执行此操作。
•
如果您通过
ASA 使用 eBGP 多跳,并且 eBGP 对等设备在使用 MD5。随机化会中断 MD5 校
验和。
•
您可以使用要求
ASA 不随机化连接序列号的 WAAS 设备。
示例
以下示例使用
set connection 命令将最大并发连接数配置为 256,并且禁用 TCP 序列号随机化:
ciscoasa(config)# policy-map localpolicy1
ciscoasa(config-pmap)# class local_server
ciscoasa(config-pmap-c)# set connection conn-max 256 random-sequence-number disable
ciscoasa(config-pmap-c)#
版本
修改
7.0(1)
引入了此命令。
7.1(1)
添加了
per-client-embryonic-max 和 per-client-max 关键字。
8.0(2)
此命令现在适用于第
3/4 层管理类映射,用于到 ASA 的管理流量。只有
conn-max
和 embryonic-conn-max 关键字可用。
9.0(1)
最大连接数从
65535 增加至 2000000。