Cisco ASA5505-icmp 拒绝任何外部中断互联网-如何阻止外部 ping?

Cisco ASA5505-icmp 拒绝任何外部中断互联网-如何阻止外部 ping?

我们希望阻止从公共互联网向我们的网络发起的任何 ICMP 请求。我运行了icmp deny any outside,但当我这样做时,它会破坏我们的互联网 - 没有人可以加载网页。通过运行删除它no icmp deny any outside可以解决问题。我在这里遗漏了什么?

答案1

您忽略的是:首先,ICMP 至少在某种程度上是互联网正常运行所必需的。其次,阻止 ping 完全没有意义;它没有任何安全优势,并且当您决定需要能够从外部 ping 您的设备以进行故障排除或其他原因时,可能会给您带来麻烦。

如果您确实决心“阻止针对您的 ASA 的 ping”,那么您可以通过指定要阻止的 ICMP 类型(echo-r​​equest,Cisco 出于某种原因简单地称之为 echo)来实现。

icmp deny any echo outside

相关内容