安全 : Cisco IronPort Email 安全设备

如何能验证我的TCPREFUSE或拒绝访问规则工作?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

贡献用Jai鳃和恩里科沃纳, Cisco TAC工程师。

如何能验证我的TCPREFUSE或拒绝访问规则工作?

环境:思科电子邮件安全工具(ESA), AsyncOS所有版本

TCPREFUSE拒绝是通常关联与阻止邮件流量策略的两种连接行为。这些访问规则是否允许您选择阻塞从一远程主机的消息有通知的(硬跳动)或切连接。请参阅拒绝和TCPREFUSE有何区别?

如果希望确定远程主机是否丢弃的归结于TCPREFUSE拒绝,您能查看在邮件日志的条目。如果冗长的连接记录日志启用,邮件日志只将包含TCPREFUSE的条目。您能另外使用协议分析程序,例如tcpdump,监控会话在数据包级别。当使用协议分析程序时,您将注意TCPREFUSE的不同的会话与拒绝

在ESA和远程消息传输代理(MTA)之间的TCP连接流拒绝连接的是象这样:

                          SYN
Remote MTA -----------> ESA
                      SYN, ACK
ESA -----------> Remote MTA
                         ACK
Remote MTA -----------> ESA
                      5XX Code
ESA -----------> Remote MTA
                       FIN, ACK
ESA -----------> Remote MTA
                          ACK
Remote MTA -----------> ESA
                       FIN, ACK
Remote MTA -----------> ESA
                          ACK
ESA -----------> Remote MTA


在ESA和远程MTA之间的TCP连接流TCP废物连接的是象这样:

                           SYN
Remote MTA -----------> ESA
                       SYN, ACK
ESA -----------> Remote MTA
                            ACK
Remote MTA -----------> ESA
                        RST, ACK
ESA -----------> Remote MTA


Document ID: 118214