Cấu hình giới hạn kết nối trên tường lửa Firewall Cisco ASA - Bảo vệ chống DoS

Thảo luận trong 'Firewall Cisco' bắt đầu bởi huongvstar, 7/3/18.

Tags:
  1. huongvstar

    huongvstar Member

    Tường lửa Cisco ASA cung cấp khả năng bảo vệ tuyệt vời đối với các cuộc tấn công Từ chối Dịch vụ (DoS), chẳng hạn chống SYN floods, các cuộc tấn công kết nối quá mức TCP, v.v. Sử dụng chức năng Policy Framework mới, quản trị viên ASA có thể định cấu hình các điều khiển chi tiết cho các giới hạn và thời gian chờ của Kết nối TCP.
    Ví dụ: chúng ta có thể kiểm soát và giới hạn số lượng tối đa các kết nối TCP và UDP đồng thời được phép đối với một máy chủ cụ thể (hoặc mạng con), số lượng tối đa các kết nối đồng thời được phép (đối với các cuộc tấn công lũ lụt SYN), số lượng tối đa cho mỗi máy khách kết nối được phép, v.v.

    [​IMG]

    Configuration Example

    STEP1: Xác định lưu lượng để áp dụng giới hạn kết nối bằng bản đồ lớp (class map)

    ASA-TGM(config)# access list CONNS-ACL extended permit ip any 10.1.1.1 255.255.255.255
    ASA-TGM(config)# class-map CONNS-MAP
    ASA-TGM(config-cmap)# match access-list CONNS-ACL

    STEP2: Thêm policy map để đặt các hành động cần thực hiện đối với lưu lượng trên bản đồ lớp (class map traffic)

    ASA-TGM(config)# policy-map CONNS-POLICY
    ASA-TGM(config-pmap)# class CONNS-MAP

    ! Phần sau đặt giới hạn số kết nối

    ASA-TGM(config-pmap-c)# set connection {[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n] [per-client-max n] [random-sequence-number {enable | disable}]}

    Trong đó:

    Đối số conn-max n đặt số lượng tối đa các kết nối TCP và / hoặc UDP đồng thời được phép, trong khoảng từ 0 đến 65535.

    Đối số embryonic-conn-max n đặt số lượng tối đa các kết nối đồng thời được phép, trong khoảng từ 0 đến 65535.

    Đối số per-client-embryonic-max n đặt số lượng kết nối đồng thời tối đa được phép cho mỗi ứng dụng, trong khoảng từ 0 đến 65535.

    Đối số per-client-max n đặt số lượng kết nối đồng thời tối đa được phép cho mỗi ứng dụng khách, trong khoảng từ 0 đến 65535.

    ! Sau đây đặt thời gian chờ kết nối

    ASA-TGM(config-pmap-c)# set connection timeout {[embryonic hh:mm:ss] {tcp hh:mm:ss [reset]} [half-closed hh:mm:ss] [dcd hh:mm:ss [max_retries]]}

    STEP3: Áp dụng Chính sách trên một hoặc nhiều giao diện hoặc Globaly

    ASA-TGM(config)# service-policy CONNS-POLICY {global | interface interface_name}

    Cám ơn các bạn đã theo dõi! Chúc các bạn thành công.
     
    huongvstar, 7/3/18
    #1

trang này