ASA防火墙的TCP半开设置

ASA(config)# class-map CONNS        先定义一个类

ASA(config-cmap)# match any          匹配所有流量

ASA(config-cmap)# policy-map CONNS     再定义一个策略

ASA(config-pmap)# class CONNS       关联刚才定义的那个类

ASA(config-pmap-c)# set connection conn-max 100 embryonic-conn-max 30

对这个类定义行为 设置最大连接数100,半开连接最大30

ASA(config-pmap-c)# set connection timeout tcp 2:0:0 embryonic 0:40:0 half-closed 0:20:0 dcd

设置连接的时间半开连接相对时间40分钟默认是30秒,半开连接释放时间20分钟默认是10分钟,同时开启死连接监测

ASA(config-pmap-c)# service-policy CONNS interface outside

在outside接口应用刚才定义的CONNS策略。

原文地址:http://blog.51cto.com/11227668/2092550

时间: 2024-10-26 10:16:07

ASA防火墙的TCP半开设置的相关文章

unp第七章补充之TCP半开连接与半闭连接

半打开(Half-Open)连接和半关闭(Half-Close)连接.TCP是一个全双工(Full-Duplex)协议,因此这里的半连接"半"字就是相对于全双工的"全"来说的. 一.半开连接 从协议定义的角度来说,TCP的半开连接是指TCP连接的一端异常崩溃,或者在未通知对端的情况下关闭连接,这种情况下不可以正常收发数据,否则会产生RST(后面内容我们在介绍RST).比如一个常见的情况是TCP连接的一端异常断电,就会导致TCP的半开连接.如果没有数据传输,对端就不会

基于ASA防火墙做URL地址过滤

下面直接开始操作实验过程.SW1和SW2上面只需要关闭路由功能就行.下面是在ASA防火墙上的操作,启动ASA的startup-config配置文件. 然后配置ASA防火墙的IP地址,设置相应的区域,并且做了一个NAT地址转换. 此时配置完成就可以互相连通了.下面来检查客户机的IP地址配置,本地连接2回环网卡的配置如下所示. 下面再来检查linux服务器的IP地址配置,首先查看连接网卡VMnet1要和拓扑图衔接,宿主机上的VMnet1设置为自动获取就行. 编辑linux服务器的IP地址.子网掩码和

调整Win7中TCP/IP半开连接数限制

调整Win7中TCP/IP半开连接数限制 相信大家都有过这样的经历,普通的ADSL宽带下,打开下载工具下载资源时,再想浏览网页就会变得非常困难了,Windows7中也未能幸免. 究其原因,一方面是某些下载软件在下载时为了追求速度会不惜占用全部带宽,另一方面也是由于微软出于安全考虑,限制了系统中的TCP/IP半开连接数. 而去除限制的方法也很简单: * WIN R运行regedit * 找到 HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\T

ASA防火墙配置NAT

在ASA防火墙配置NAT分为4种类型:动态NAT.动态PAT.静态NAT.静态PAT.结合实验拓补来了解如何配置这四种NAT类型:基本配置已经配置完成动态PAT转换配置方法: ASA(config)# nat (inside) 1 10.1.1.0 255.255.255.0 #声明内部地址,nat-id为1 ASA(config)# global (outside) 1 30.1.1.100-30.1.1.200 #声明全局地址,nat-id与内部nat-id相对应 测试一下,查看ASA地址转

ASA防火墙穿越NAT设备与路由器做ipsecVPN

一. 实验任务及思路: 1.  使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec VPN,连接穿过NAT设备,配置实现两端对等体建立IPSec VPN连接. 2. C1与C2先后互ping,比较ipsecVPN连接情况 二.  实验拓扑: 三.  IP地址规划:    C1 192.168.10.10/24 ASA1 e0/1 192.168.10.1/24 e0/0 172.16.11.

ASA防火墙之三-屏蔽内网访问某些域名

在公司有时候老板可能不想让自己的员工,在上班时间上淘宝,QQ空间的之类的网站,影响工作的质量,所以,会叫技术员屏蔽掉这些域名.在这里,我采用思科ASA防火墙实现这个效果. 实验要求: 100.1.1.1作为外网WEB服务,内网的192.168.1.1用户能够获得"163.COM"的域名解析,但无法获得"taobao.com"的域名解析. conf t hostname ASA int e0/0 nameif inside ip add 192.168.1.5 255

基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址.然后客户端使用本地的一个回环网卡进行连接. 实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接. 首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了. 在R3路由器上需要做IP地址的配置,以及一条默认路由就OK了. 下面是设置启用防火墙的配置文件.

ASA防火墙基础

实验配置简单的ASA防火墙 实验步骤: 1.允许R1远程R2和ping通R2 首先配置R1,R2,的ip地址,在配置静态路由 ASA防火墙先要初始化一下,在配置ASA的接口的名称和ip地址, 远程访问R2必须设置远程密码和特权密码 在进入到R1上远程访问R2 能远程,但不能ping通,是因为没有开启入站连接 配置允许入站连接, 然后ping下 2.在这里我要在ASA防火墙上配置静态路由实验,我就不用路由,直接在R1和R2上添加loopback 首先在R1和R2上配置loopback地址 ASA配

ASA防火墙应用配置(NAT和PAT)

                                         实验配置ASA应用(NAT和PAT) inisde区域是内部,ip地址192.168.1.1网关,outside区域是外部,也就是公网12.0.0.0网段,DMZ区域是隔离区,ip地址192.168.10.1 C3是server2008服务器并且提供WEB网站,IP地址13.0.0.2,网关13.0.0.1,虚拟机网卡绑定VMnet1 C2是linux服务器并且提供APACHE服务,ip地址192.168.10.1