本节书摘来自异步社区《Cisco防火墙》一书中的第8章,第8.7节,作者 【巴西】Alexandre M.S.P. Moraes,更多章节内容可以访问云栖社区“异步社区”公众号查看

8.7 通过NAT规则定义连接限制

Cisco防火墙
ASA设备支持通过地址转换语句来定义可以接受的连接限制规则。该特性的一大作用是防止有人针对某些特定的主机(尤其是服务器)发起拒绝服务攻击(DoS)。针对某些客户端地址的DoS缓解技术会在第11章中进行分析。

例8-27所示为针对某一台主机(其IP地址是通过static命令发布的)设置UDP并发连接数的限制。该示例显示出,当并发连接数达到了配置的25个时,ASA就不再接受新的请求。

在此之后,随着有些连接断开,新的连接就可以通过防火墙建立起来(但是永远不会超过配置的上限,即25个)。

对于TCP协议,有两个参数可以配置:第一个选项是指定并发连接的数量;第二个选项是定义可以接受的半开连接数(也就是那些没有完成TCP三次握手的连接,这类连接往往与网络攻击有关)。在例8-28中,ASA最多可以接受向发布的地址172.16.222.40建立20条并发的半开连接。

例8-27和例8-28的拓扑如图8-6所示,该图显示出访问控制条目(Access Control Entry)与发布的地址之间的关系。放行语句中应当包含发布的地址(而不是真实的地址)。

例8-27定义某台主机的UDP连接数量


例8-28对一个主机定义TCP半开连接的限制数


提示 如果将连接限制数设置为0,那就代表连接数没有限制。连接限制数可以设置的范围为1~65535。

《Cisco防火墙》一8.7 通过NAT规则定义连接限制相关推荐

  1. 《Cisco防火墙》一6.5 虚拟防火墙的管理访问

    本节书摘来自异步社区<Cisco防火墙>一书中的第6章,第6.5节,作者 [巴西]Alexandre M.S.P. Moraes,更多章节内容可以访问云栖社区"异步社区" ...

  2. iptables的nat规则骚操作

    水一枪 我对防火墙这块的认知是比较低的, 之前一直没怎么去用 最多的要么就是 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUT ...

  3. Cisco 防火墙 技术介绍

    我们知道防火墙有四种类型:集成防火墙功能的路由器,集成防火墙功能的代理服务器,专用的软件防火墙和专用的软硬件结合的防火墙.Cisco的防火墙解决方案中包含了四种类型中的第一种和第四种,即:集成防火墙功 ...

  4. 删除iptables nat 规则

    删除FORWARD 规则: iptables -nL FORWARD --line-number iptables -D FORWARD 1 删除一条nat 规则  删除SNAT规则 iptables ...

  5. cisco 防火墙问题

    背景 公司项目被安全厂商扫描到ssl漏洞,经分析排查是防火墙设备上的服务 第一次接触Cisco防火墙,经过查阅资源和分析,只需关闭外网访问该服务即可 但网上资料都是如何开启,并未说明如何关闭.查看命令 ...

  6. 使用ensp模拟器中的防火墙(USG6000V)配置NAT(网页版)

    使用ensp模拟器中的防火墙(USG6000V)配置NAT(网页版) 一.NAT介绍 NAT(Network Address Translation,网络地址转换): 简单来说就是将内部私有地址转换成 ...

  7. css txt-aline,CSS规则定义.doc

    CSS规则定义 CSS规则定义 一.类型 Font-family:字体 font-size:字体大小: xx-small 最小 x-small 较小 small 小 medium 正常(默认值) la ...

  8. api 规则定义_API有规则,而且功能强大

    api 规则定义 Disclaimer: I am an independent researcher @Taraaz with no affiliation with any of the comp ...

  9. 开源通用爬虫框架YayCrawler-页面的抽取规则定义

    本节我将向大家介绍一下YayCrawler的核心-页面的抽取规则定义,这也是YayCrawler能够做到通用的主要原因之一.如果我要爬去不同的网站的数据,尽管他们的网站采用的开发技术不同.页面的结构不 ...

最新文章

  1. crontab工具类 断给定的时间 是否 满足 crontab 表达式.md
  2. linux vi 批量修改某类字符串
  3. .xhr长轮询_使用Spring 3.2的DeferredResult进行长轮询
  4. SkyDNS2源码分析
  5. c语言输入成绩求不及格,输入一个学生信息,可以输出,不及格那个输出狗后会有程序停止运行...
  6. nacos 负载策略_Nacos(一):Nacos介绍
  7. 手把手玩转win8开发系列课程(9)
  8. 去除右键菜单中图形属性、图形选项
  9. abb变频器580系列改中文_ABBACS580一01变频器选择使用语言错误后怎么办?
  10. 结构设计——常用机械设计软件对比
  11. 这竟然是全世界最好的模式(商业大佬为之咂舌)
  12. Chrome快捷键整理
  13. springboot + vue + FastDFS实现文件上传(支持预览)
  14. ubuntu20.04 nvidia 460显卡安装
  15. 计算机拼歌曲,粤语歌曲填词法 (电脑软件 lyricsAID)
  16. java 模拟登录58同城,Java项目实战之同城信息网站(类似58同城)开发
  17. android 挂断 电话 反射,android  接听和挂断实现方式
  18. ym——Android酷炫实用的开源框架(UI框架)(终)
  19. 2017年1月6日 星期五 --出埃及记 Exodus 21:32
  20. 阿里字体图标(iconfont)使用

热门文章

  1. 【操作系统】输入输出系统(下)-思维导图
  2. 1020. 月饼 (25)-PAT乙级真题
  3. #论char数组结尾’\0’的必要性#
  4. 微信开发,自定义菜单不生效怎么办?重新关注也无效
  5. RHEL7.0手动安装
  6. 【EASYDOM系列教程】之属性操作
  7. PHP用socket连接SMTP服务器发送邮件
  8. Linux服务器被***不能上网
  9. win7家庭版更改桌面图标
  10. LeetCode:Validate Binary Search Tree