《Cisco防火墙》一8.7 通过NAT规则定义连接限制

本节书摘来自异步社区《Cisco防火墙》一书中的第8章，第8.7节，作者 【巴西】Alexandre M.S.P. Moraes，更多章节内容可以访问云栖社区“异步社区”公众号查看

8.7 通过NAT规则定义连接限制

Cisco防火墙
ASA设备支持通过地址转换语句来定义可以接受的连接限制规则。该特性的一大作用是防止有人针对某些特定的主机（尤其是服务器）发起拒绝服务攻击（DoS）。针对某些客户端地址的DoS缓解技术会在第11章中进行分析。

例8-27所示为针对某一台主机（其IP地址是通过static命令发布的）设置UDP并发连接数的限制。该示例显示出，当并发连接数达到了配置的25个时，ASA就不再接受新的请求。

在此之后，随着有些连接断开，新的连接就可以通过防火墙建立起来（但是永远不会超过配置的上限，即25个）。

对于TCP协议，有两个参数可以配置：第一个选项是指定并发连接的数量；第二个选项是定义可以接受的半开连接数（也就是那些没有完成TCP三次握手的连接，这类连接往往与网络攻击有关）。在例8-28中，ASA最多可以接受向发布的地址172.16.222.40建立20条并发的半开连接。

例8-27和例8-28的拓扑如图8-6所示，该图显示出访问控制条目（Access Control Entry）与发布的地址之间的关系。放行语句中应当包含发布的地址（而不是真实的地址）。

例8-27定义某台主机的UDP连接数量

例8-28对一个主机定义TCP半开连接的限制数

提示 如果将连接限制数设置为0，那就代表连接数没有限制。连接限制数可以设置的范围为1~65535。