Leaflet
14-51
思科 ASA 系列命令参考,A 至 H 命令
第 14 章 eigrp log-neighbor-changes 至 export webvpn webcontent 命令
established
注意事项 我们建议始终为 established 命令指定 permitto 和 permitfrom 关键字。不将这两个关键字与
established 命令结合使用将造成安全风险,因为连接到外部系统时,外部系统可能会与涉及连接
的内部主机进行不受限制的连接。攻击者可能会利用这种情况来攻击您的内部系统。
示例 以下一组示例展示如果不正确使用 established 命令可能会发生的潜在安全违规情况。
此示例展示如果内部系统与端口 4000 上的一个外部主机进行 TCP 连接,则该外部主机可使用任
何协议通过任何端口返回:
ciscoasa(config)# established tcp 4000 0
如果协议未指定使用了哪些端口,您可以将源端口和目标端口指定为 0。应仅在必要时使用通配
符端口 (0)。
ciscoasa(config)# established tcp 0 0
注意 要使 established 命令能够正常工作,客户端必须侦听使用 permitto 关键字指定的端口。
established 命令可与 nat 0 命令结合使用(在没有 global 命令的情况下)。
注意 established 命令不可与 PAT 结合使用。
有了 established 命令,ASA 可支持 XDMCP。
注意事项 通过 ASA 使用 XWindows 系统应用可能会造成安全风险。
XDMCP 默认情况下已启用,但它要等到您输入如下 established 命令后才会完成会话:
ciscoasa(config)# established tcp 6000 0 permitto tcp 6000 permitfrom tcp 1024-65535
输入 established 命令会使装有 XDMCP 的内部(UNIX 或 ReflectionX)主机访问装有 XDMCP 的
外部 XWindows 服务器。基于 UDP/177 的 XDMCP 会协商基于 TCP 的 XWindows 会话,且后续
TCP 返回连接将获允许。由于返回流量的源端口未知,因此,请将 source_port 字段指定为 0(通
配符)。dest_port 应为 6000 + n,其中,n 代表本地显示编号。使用以下 UNIX 命令可更改此值:
ciscoasa(config)# setenv DISPLAY hostname:displaynumber.screennumber
需要使用 established 命令,因为会(基于用户交互)生成很多 TCP 连接,且这些连接的源端口
是未知的。只有目标端口是静态端口。ASA 以透明方式执行 XDMCP 修复。无需任何配置,但必
须输入 established 命令以支持 TCP 会话。
以下示例展示两台主机之间使用协议 A 从源端口 C 发往端口 B 的连接。要允许返回连接通过
ASA 和协议 D(协议 D 可以不同于协议 A),源端口必须对应于端口 F,且目标端口必须对应于
端口 E。
ciscoasa(config)# established A B C permitto D E permitfrom D F
以下示例展示内部主机如何使用 TCP 目标端口 6060 和任何源端口向外部主机发起连接。ASA 允
许这两台主机之间的返回流量通过 TCP 目标端口 6061 和任何 TCP 源端口。
ciscoasa(config)# established tcp 6060 0 permitto tcp 6061 permitfrom tcp 0