Привет.
Это скорее всего в ru.cisco, вопрос слишком cisco specific ;)
2Basil: sorry, больше сюда отвечать не буду ..
tcp intercept нет в FW/IDS, для этого там есть CBAC
CBAC более гибок в настройке и поболее функциональности имеет, не только
защита от DoS
По поводу гибкой настройки касательно half-open sessions все написано вот
здесь
r_c/scprt3/scdcbac.htm#xtocid948027
----
Denis V. Schapov
IT Department
JSC "Electrosvyaz"
Irkutsk, Russia
schapov@esir.ru
+7 (3952) 256762
>
> тут такое дело - вожусь с настройками security features IOS'а (FW/IDS) и
> возник вопрос - что лучше использовать - TCP Intercept или CBAC для
> обработки half-opened соединений? Первый способ имеет два метода - watch
и
> intercept. В случае применения intercept _любой_ запрос (даже к
> неактивному адресу - если в tcp intercept list указывать маску для всей
> подсетки) приводит к тому, что соединение начинает устанавливаться.
> Нехорошо - вроде бы как совсем лишняя нагрузка на firewall получается. В
> случае применения метода watch не вижу принципиального отличия от CBAC (с
> точки зрения борьбы с half-opened соединениями). Может кто подскажет, что
> лучше использовать?
>
> И есть-ли способ бороться с "медленными" соединениями - т.е. клиент
> открывает соединение и понемногу, очень медленно, тянет чего-то (или не
> тянет вообще - но по крайней мере это можно контролировать). Нужно по
> истечении установленного времени рвать такое соединение, как
> неэффективное, но жрущее ресурсы сервера. Есть что-то такое?
>
> Спасибо.
>
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
