Листовка для Cisco Cisco ASA 5510 Adaptive Security Appliance
1-88
Cisco ASA Series 명령 참조 , S 명령
1장 same-security-traffic through shape 명령
set connection
명령 모드
다음 표에서 명령을 입력할 수 있는 모드를 확인할 수 있습니다.
명령 기록
사용 지침
모듈러 정책 프레임 워크를 사용하여 이 명령을 구성합니다. 먼저 class-map 명령(통과 트래픽의
경우) 또는 class-map type management 명령(관리 트래픽의 경우)을 사용하여 시간 제한을 적용할
트래픽을 정의합니다. 그런 다음 policy-map 명령을 입력하여 정책을 정의하고, class 명령을 입력
하여 클래스 맵을 참조합니다. 클래스 컨피그레이션 모드에서 set connection 명령을 입력할 수 있
습니다. 마지막으로 service-policy 명령을 사용하여 정책 맵을 인터페이스에 적용합니다. 모듈러
정책 프레임 워크의 작동 방식에 대한 자세한 내용은 CLI 컨피그레이션 가이드를 참고하십시오.
경우) 또는 class-map type management 명령(관리 트래픽의 경우)을 사용하여 시간 제한을 적용할
트래픽을 정의합니다. 그런 다음 policy-map 명령을 입력하여 정책을 정의하고, class 명령을 입력
하여 클래스 맵을 참조합니다. 클래스 컨피그레이션 모드에서 set connection 명령을 입력할 수 있
습니다. 마지막으로 service-policy 명령을 사용하여 정책 맵을 인터페이스에 적용합니다. 모듈러
정책 프레임 워크의 작동 방식에 대한 자세한 내용은 CLI 컨피그레이션 가이드를 참고하십시오.
참고
ASA 모델의 CPU 코어 수에 따라 각 코어에서 연결을 관리하는 방식으로 인해 최대 동시 및 원시
연결이 구성된 개수를 초과할 수도 있습니다. 최악의 경우 ASA는 최대 n-1개(여기서 n은 코어 수)
의 추가 연결 및 원시 연결을 허용합니다. 예를 들어 모델에 4개의 코어가 있는 경우 6개의 동시 연
결과 4개의 원시 연결을 구성하면 유형별로 3개가 추가될 수 있습니다. 모델의 코어 수를 확인하려
면 show cpu core 명령을 입력합니다.
연결이 구성된 개수를 초과할 수도 있습니다. 최악의 경우 ASA는 최대 n-1개(여기서 n은 코어 수)
의 추가 연결 및 원시 연결을 허용합니다. 예를 들어 모델에 4개의 코어가 있는 경우 6개의 동시 연
결과 4개의 원시 연결을 구성하면 유형별로 3개가 추가될 수 있습니다. 모델의 코어 수를 확인하려
면 show cpu core 명령을 입력합니다.
TCP Intercept 개요
원시 연결 수를 제한하면 DoS 공격으로부터 보호됩니다. ASA에서는 클라이언트별 제한 및 원시
연결 제한을 사용하여 TCP Intercept를 트리거합니다. 이는 TCP SYN 패킷과의 인터페이스를 플러
딩하여 실행되는 DoS 공격으로부터 내부 시스템을 보호합니다. 원시 연결은 소스와 대상 간에 필
요한 핸드셰이크를 완료하지 않은 연결 요청입니다. TCP Intercept에서는 SYN 쿠키 알고리즘을 사
용하여 TCP SYN 플러딩 공격을 방지합니다. SYN 플러딩 공격은 일반적으로 스푸핑된 IP 주소에
서 시작되는 일련의 SYN 패킷으로 구성됩니다. SYN 패킷에 대한 지속적인 플러딩은 서버 SYN 대
기열을 꽉 찬 상태로 유지하여 연결 요청에 대응하지 못하도록 합니다. 연결의 원시 연결 임계값에
도달하면 ASA는 서버의 프록시 역할을 하며 클라이언트 SYN 요청에 대한 SYN-ACK 응답을 생성
합니다. ASA는 클라이언트에서 ACK를 다시 받은 후 클라이언트를 인증하고 서버에 연결하도록
허용합니다.
연결 제한을 사용하여 TCP Intercept를 트리거합니다. 이는 TCP SYN 패킷과의 인터페이스를 플러
딩하여 실행되는 DoS 공격으로부터 내부 시스템을 보호합니다. 원시 연결은 소스와 대상 간에 필
요한 핸드셰이크를 완료하지 않은 연결 요청입니다. TCP Intercept에서는 SYN 쿠키 알고리즘을 사
용하여 TCP SYN 플러딩 공격을 방지합니다. SYN 플러딩 공격은 일반적으로 스푸핑된 IP 주소에
서 시작되는 일련의 SYN 패킷으로 구성됩니다. SYN 패킷에 대한 지속적인 플러딩은 서버 SYN 대
기열을 꽉 찬 상태로 유지하여 연결 요청에 대응하지 못하도록 합니다. 연결의 원시 연결 임계값에
도달하면 ASA는 서버의 프록시 역할을 하며 클라이언트 SYN 요청에 대한 SYN-ACK 응답을 생성
합니다. ASA는 클라이언트에서 ACK를 다시 받은 후 클라이언트를 인증하고 서버에 연결하도록
허용합니다.
TCP 시퀀스 임의 설정
각 TCP 연결에는 각각 클라이언트와 서버에서 생성된 두 개의 ISN이 있습니다. ASA는 인바운드
와 아웃바운드 두 방향 모두로 전달되는 TCP SYN의 ISN을 임의로 설정합니다.
와 아웃바운드 두 방향 모두로 전달되는 TCP SYN의 ISN을 임의로 설정합니다.
보호된 호스트의 ISN을 임의로 설정하면 공격자가 새 연결을 위한 다음 ISN을 예측하지 못하며 잠
재적으로 새 세션의 가로채기가 방지됩니다.
재적으로 새 세션의 가로채기가 방지됩니다.
명령 모드
방화벽 모드
보안 상황
라우팅 모드
투명 모드
단일 모드
다중 모드
상황
시스템
클래스 컨피그레이션
•
예
•
예
•
예
•
예
—
릴리스
수정 사항
7.0(1)
이 명령이 도입되었습니다.
7.1(1)
per-client-embryonic-max
및 per-client-max 키워드가 추가되었습니다.
8.0(2)
이제 계층 3/4 관리 클래스 맵의 to-the-ASA 관리 트래픽에 이 명령을 사용할 수
있습니다. conn-max 및 embryonic-conn-max 키워드만 사용할 수 있습니다.
있습니다. conn-max 및 embryonic-conn-max 키워드만 사용할 수 있습니다.
9.0(1)
최대 연결 수가 65535에서 2000000으로 증가되었습니다.