ASA 5510限制客户端并发连接数和流量

1、近期公司网站遭到大量攻击，内网ping网站ip丢包很严重。 查看asa状态如图：01.asdm上面看到的攻击状态:02.连接状态如下:- - - 一 口 - j-r-1 - ciscoasa(confishow perfmonPERFMON STATS：currentAveragexl at es口/5雄connections5 64/s口/5TCP conns562/S0/sudp conns口/5雄url Access0/s0/sURL server Fieq0/50/sT匚P FixupQ/50/sTCP intercept Established conns0/s0/sTCP Inte

2、rcept Attempts0/s0/sTCP Embryonl c conns Tlmeoui:2/50/5HTTP Fi xup0/s0/sFTP Flxup0/s0/sAAA Authen0/50/5AAA Author0/s0/sAAA Account0/s0/sVALID CONNS RATE in TCP INTERCEPT：currentN/AAverage 97.00%03.在服务器上 看到的出现大量time waite状态的连接(全是无效连接)，导致web服务 器很卡，严重丢包，cpu和内存正常。04.处理办法：检测是不是web服务器有没有大量的对外的连接(非80端口)是不是

3、中毒之类的。在asa防火墙上限制客户端的并发连接数和流量：第一种：hostname(config)# access-list allip permit ip any any设置需限制的访问列表hostname(config)# class-map c_all_ip设置类别图hostname(config-cmap)# match access-list allip 匹配访问列表 allip hostname(config)# policy-map p_all_ip 设置策略图 p_all_iphostname(config-pmap)# class c_all_ip 使用类别U c_all_i

4、phostname(config-pmap-c)# set connection per-client-max 50 (限制每客户端连接数最大 50) hostname(config-pmap-c)# police output 250000 限制此类别速率 bit/shostname(config)# service-policy p_all_ip interface outside ( 将策略应用到接口，每个接口只 能用一个策略图policy-map)注：在policy-map里面使用命令set connection conn-max 10现实最大连接数10个set connection

5、embryonic-conn-max 5限制最大的半打开连接时5 个set connection per-client-max 10 限制每用户最大连接数10个set connection per-client-embryonic-max 5 限制每用户最大半打开连接数 5 个police output 10000 20000 conform-action drop 出 口速率 10000B，允许爆发到 20000,违 反规则丢弃数据包例子：access-list 101 extended permit tcp any host 15 eq wwwclass-map c_all_ipmatch

6、 access-list 101policy-map p_call_ipclass c_all_ipset connection embryonic-conn-max 60 per-client-max 60service-policy p_call_ip interface outside超过60个连接，在asa日志上可以看到以下内容:U I lEQ iiarn:dUrU ILI uhBaM OLVlnm 商 x-hl 4ELTjalJ Lfc n,M tr i.i5H hivUKidiFit-lLiiH% -zukii tri Llvii UiIhbM OCUn:Tr ir. h-M ：1

7、Z1 124 241 -KUC- 5 TUraa i i!kna mIFiIbfriHBiOUEidihdl1： IEJtKrd DT CUMCid-OK,珈1wil*r i I S3 L?L2*|&3 I rtiU1 HIM. lU.4 I fcrd 1亍4 女勺 做？世由 D. LI W -m. imarr-KiI24.2U制 O. I lE/) h in*rrlKB J.ndirEili-HV；Fk-iLiEdcnwit Vi UkH &i!：Bah-i 4CMM fr Iidi psidc*1. hrM JZIk4jtb TEKKHrh传【翊施由4 ;hr 44aid1 约 14.2-

8、11咤堂L花*: 3ui4vL输 I#.门史0虹旬lrvJ 01 23 bft”翎知 JCf EUajHEnw，Ei嬷r总荷 皿,回1咛 血 1呻云上i：河曲1蜷*I竹颇kwif 1由 的 成”问凶unrhrw,E wi Lir* wn*4 WW fn- im* n?bt*;M AWW f-n- Inn* ”3; br-e 】E wwic-ti as Lm1 smaiiH RN、fr irfi1 piriM*; lirvi 1STAAi iKf U PbmM4. m.in 1Z4.7II W；PZ I HI 0. LI5IT； I O.LL$说明已经生效了。第二种：nat (inside) 1 tcp 50 50 udp 50 con enb限连接数 tcp50 , udp50备注：如果，只是需要将内网一个服务器映射到公网可以这样做：ciscoasa(config)#static (inside, outside) 21