添加ICMP到ASA检测引擎
添加ICMP到ASA检测引擎
专注于为中小企业提供成都网站设计、网站制作服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业元氏免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了上千余家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。
ASA默认的检测引擎的配置如下所示。
class-map inspection_default
match default-inspection-traffic
policy-map type inspect DNS preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h423 h325
inspect h423 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
默认情况下,不对ICMP进行检测,所以从低安全级别到高安全级别的ICMP echo reply将被拒绝,即使它是ICMP echo request的回应也是如此。
ICMP检测引擎允许ICMP流量象TCP和UDP流量一样被检测。确保每一个ICMP echo request都只能有一个回应,同时保证序列号是正确的。
如果没有ICMP检测引擎,通常不推荐使用ACL来允许ICMP穿越ASA,因为这样会存在网络***的风险。
以下配置将ICMP添加到检测引擎。
policy-map global_policy
class inspection_default
inspect icmp
配置完成后,从高安全级别接口就可以ping通低安全级别接口,同时对ICMP进行状态化检测。
标题名称:添加ICMP到ASA检测引擎
标题URL:http://azwzsj.com/article/pijpch.html