我们希望阻止从公共互联网向我们的网络发起的任何 ICMP 请求。我运行了icmp deny any outside
,但当我这样做时,它会破坏我们的互联网 - 没有人可以加载网页。通过运行删除它no icmp deny any outside
可以解决问题。我在这里遗漏了什么?
答案1
您忽略的是:首先,ICMP 至少在某种程度上是互联网正常运行所必需的。其次,阻止 ping 完全没有意义;它没有任何安全优势,并且当您决定需要能够从外部 ping 您的设备以进行故障排除或其他原因时,可能会给您带来麻烦。
如果您确实决心“阻止针对您的 ASA 的 ping”,那么您可以通过指定要阻止的 ICMP 类型(echo-request,Cisco 出于某种原因简单地称之为 echo)来实现。
icmp deny any echo outside