11.3 思科ASA：地址转换中的安全保护机制

11.3 思科ASA：地址转换中的安全保护机制

安全设备提供了大量安全特性，可以保护穿越安全设备的流量。

随机生成序列号

地址转换功能不仅能够隐藏源IP地址，还可以保护那些弱SYN主机不受TCP连接劫持的影响。在TCP三次握手阶段，当数据包从较高安全级别接口进入设备进入设备并去往较低安全级别的接口时，安全设备就会随机修改主机使用的原始序列号。

主机192.168.10.10向主机209.165.201.1发送了一条TCP SYN HTTP数据包，其初始序列号ISN为12345678，Cisco ASA将源IP地址转换为209.165.200.226，同时将其ISN修改为随机创建的值95632547。

在有些部署方案中（如边界网关协议BGP通过MD5认证邻接关系），建议管理员关闭随机创建TCP数据包功能。因为当两台路由器相互建立BGP邻接关系时，TCP头部及数据负载都是使用BGP密码的128比特散列值。若修改序列号，那么设备在建立邻接关系时就会因为认证失败而无法继续，这是因为散列值不匹配的缘故。要了解更多关于BGP MD5认证的知识，可能查询RFC2385。管理员也可以通过MPF（模块化策略框架）来禁用随机生成序列号的特性。

TCP拦截（TCP Intercept）

TCP拦截这种特性可以过滤恶意的DoS拒绝服务流量，以此来保护基于TCP的服务器不受TCP SYN攻击的影响。TCP拦截特性需要通过MPF进行配置，来设置连接限制。安全设备也可以通过设置连接最大限制来保护网络资源，防止网络连接数量意外暴增。这种方式即适用于TCP连接，也适用于UDP连接。

下面的实例中，管理员使用MPF将最大连接显示设置为1500条，并将关开连接数设置为200，上述限制适用于所有穿越外部接口的流量。

注释：部署TCP拦截时一定要小心。当主机或者网络受到攻击时，TCP拦截特性有可能会耗尽安全设备的CPU和内存资源。换句话说，在这类环境中，安全设备就有可能成为瓶颈。

思科Cisco ASA防火墙（列表、list、全）asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html