Cisco ASA 5500 禁用连接跟踪

网络工程 思科 思科-ASA 防火墙
2022-02-02 13:06:08

我有 cisco ASA5500防火墙,好奇我可以禁用特定规则或协议的连接跟踪。

简而言之,我想禁用UDP流量的连接跟踪。因为 UDP 连接较少,它没有任何状态NEW, ESTABLISHED等。跟踪它们的目的是什么。我想将它们从我的 ASA 规则中排除。

更新

我快速检查了 ASA 并跟踪我们正在检查的流量。如果那里没有 UDP/SIP,那么谁在填写连接表?

policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect netbios
  inspect tftp
  inspect icmp

这是连接表输出,我可以看到 UDP 流量和我的 SIP 端口 6050。我怎么知道不要跟踪 UDP 连接?

fw1/act# show conn
366629 in use, 650039 most used
UDP outside 188.16.1.180:48145 inside 63.91.252.112:6065, idle 0:00:00, bytes 784, flags -
UDP outside 93.170.181.204:11862 inside 63.91.252.112:6065, idle 0:00:00, bytes 796, flags -
UDP outside 194.44.127.194:49526 inside 63.91.252.112:6065, idle 0:00:00, bytes 1226, flags -
UDP outside 5.166.44.120:46668 inside 63.91.252.112:6065, idle 0:00:00, bytes 814, flags -
1个回答

默认情况下,ASA 会检查 SIP 和许多其他协议,如下所示。

policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp

要删除不需要的检查,请进入策略映射并删除检查命令。

policy-map global_policy
 class inspection_default
  no inspect sip

请注意,这将终止现有连接,因此应在下班时间或维护窗口期间完成。

其它你可能感兴趣的问题
上一篇ISP使用的链路层协议? 下一篇如何从一端判断电缆是交叉的还是直的