添加ICMP到ASA检测引擎
成都创新互联来电联系:18982081108,为您提供成都网站建设网页设计及定制高端网站建设服务,成都创新互联网页制作领域十年,包括混凝土搅拌机等多个领域拥有多年的网站制作经验,选择成都创新互联,为企业保驾护航!ASA默认的检测引擎的配置如下所示。
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h423 h325
inspect h423 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
默认情况下,不对ICMP进行检测,所以从低安全级别到高安全级别的ICMP echo reply将被拒绝,即使它是ICMP echo request的回应也是如此。
ICMP检测引擎允许ICMP流量象TCP和UDP流量一样被检测。确保每一个ICMP echo request都只能有一个回应,同时保证序列号是正确的。
如果没有ICMP检测引擎,通常不推荐使用ACL来允许ICMP穿越ASA,因为这样会存在网络***的风险。
以下配置将ICMP添加到检测引擎。
policy-map global_policy
class inspection_default
inspect icmp
配置完成后,从高安全级别接口就可以ping通低安全级别接口,同时对ICMP进行状态化检测。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。