Cisco Cisco ASA 5580 Adaptive Security Appliance プリント
15-2
思科 ASA 系列命令参考,S 命令
第 15 章 shun 至 snmp-server user-list 命令
shun
shun
要阻止来自攻击主机的连接,请在特权
EXEC 模式下使用 shun 命令。要禁用回避,请使用此命
令的
no 形式。
shun source_ip
[dest_ip source_port dest_port [protocol]] [vlan vlan_id]
no shun source_ip
[vlan vlan_id]
语法说明
默认值
默认
protocol 是 0(任何协议)。
命令模式
下表展示可输入此命令的模式:
命令历史
使用指南
shun
命令可以阻止来自攻击主机的连接。后面来自源 IP 地址的所有连接都将被丢弃并记录,直
到手动或被思科
IPS 传感器取消阻止功能。无论使用指定主机地址的连接当前是否为活动状态,
shun
命令的阻止功能都适用。
如果您指定目标地址、来源和目标端口以及协议,则会丢弃匹配的连接以及在后面所有来自源
IP
地址的连接上放置
shun ;将会避开后面所有的连接,而不只是与这些特定连接参数匹配的连接。
对每个源
IP 地址只能使用一个 shun 命令。
dest_port
(可选)指定当您在源
IP 地址上放置 shun 时要丢弃的当前连接的目标
端口。
dest_ip
(可选)指定当您在源
IP 地址上放置 shun 时要丢弃的当前连接的目标
地址。
protocol
(可选)指定当您在源
IP 地址上放置 shun 时要丢弃的当前连接的 IP 协
议,例如
UDP 或 TCP。默认情况下,protocol 为 0(任何协议)。
source_ip
指定攻击主机的地址。如果仅指定源
IP 地址,则以后来自此地址的所
有连接都将被丢弃;当前连接保持不变。要丢弃当前连接并同时放置
shun,请指定连接的其他参数。请注意,shun 适用于后面所有来自源
IP 地址的连接,无论目标参数为何。
IP 地址的连接,无论目标参数为何。
source_port
(可选)指定当您在源
IP 地址上放置 shun 时要丢弃的当前连接的源
端口。
vlan_id
(可选)指定源主机所在的
VLAN ID。
命令模式
防火墙模式
安全情景
路由
透明
单个
多个
情景
系统
特权
EXEC
•
是
•
是
•
是
•
是
—
版本
修改
7.0(1)
引入了此命令。