添加ICMP到ASA检测引擎

添加ICMP到ASA检测引擎

专注于为中小企业提供成都网站设计、网站制作服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业元氏免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了上千余家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。

ASA默认的检测引擎的配置如下所示。

class-map inspection_default

match default-inspection-traffic

policy-map type inspect DNS preset_dns_map

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h423 h325

inspect h423 ras

inspect rsh

inspect rtsp

inspect esmtp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

service-policy global_policy global

默认情况下,不对ICMP进行检测,所以从低安全级别到高安全级别的ICMP echo reply将被拒绝,即使它是ICMP echo request的回应也是如此。

ICMP检测引擎允许ICMP流量象TCP和UDP流量一样被检测。确保每一个ICMP echo request都只能有一个回应,同时保证序列号是正确的。

如果没有ICMP检测引擎,通常不推荐使用ACL来允许ICMP穿越ASA,因为这样会存在网络***的风险。

以下配置将ICMP添加到检测引擎。

policy-map global_policy

class inspection_default

inspect icmp

配置完成后,从高安全级别接口就可以ping通低安全级别接口,同时对ICMP进行状态化检测。


标题名称:添加ICMP到ASA检测引擎
标题URL:http://azwzsj.com/article/pijpch.html