编程黑洞网
首页
编程
数据库
代码审查
网络应用
Android
wordpress
软件推荐
软件工程
逆向工程
信息安全
软件质量测试
地理信息
密码学
网站管理员
元堆栈交换
网络工程
操作系统
Ubuntu
计算机
Unix和Linux
服务器故障
Vi和Vim
运维
物联网
机器人
树莓派
计算机图形学
信号处理
是否应阻止来自不受信任接口的IPv4 ICMP?
网络工程
|
2021-01-02
|
编程黑洞网
|
0条评论
|
310 人阅读
到处搜索我无法确定防火墙上ICMP的最佳实践。例如,在Cisco ASA上,如果启用了ICMP检查,那么它是安全的并且建议允许使用ICMP。然后,这将允许类型3无法访问之类的东西返回给客户端。
#1 楼
不,不应该阻止ICMP。这是至关重要的信令协议。没有它,互联网将无法运行。
如果丢弃ICMP,PMTUD就会损坏。
没有ICMP,IPv6甚至无法开始工作,因为L3到L2地址解析(IPV4中的ARP)位于IPv6中的ICMP。
如果丢弃ICMP回声,则故障排除将花费更长的时间。 las,通常FW人士的思路似乎是“当有疑问时,就掉线”。 ICMP确实不是实际的攻击媒介。
评论
我同意在网络上丢弃所有ICMP不是一个好主意。只是说ICMPv6(协议58)与ICMP(协议1)不同。除非将ICMPv6也明确删除,否则在防火墙上删除ICMP不会影响IPv6功能。
–sdaffa23fdsf
2013年6月26日13:50
是的,ICMPv6是不同的。尽管“删除所有ICMP”是否包括ICMPv6,这将取决于您的防火墙。通常情况并非如此,ipv6规则与ipv4规则是分开的。
–user661
2013年6月26日15:21
您是否建议允许所有ICMP通过或仅允许诸如不可达,超时和跟踪路由之类的类型?
–generalnetworkerror
13年6月27日在2:54
我个人允许所有人使用,我还没有听说过ICMP攻击媒介(但我有偏见,我非常反对FW)。我建议的最小设置是:无法到达的目标,超出的时间,参数问题,回声,回声应答,时间戳,时间戳应答(用于以1ms的精度测量单向延迟)。
–ytti
13年6月27日在6:32
交换机如何学习交换机表?
我可以将Catalyst 2960-S用于iSCSI吗?
标签列表
java
(11)
r
(3)
r-faq
(3)
javascript
(17)
jquery
(3)
asynchronous
(2)
php
(17)
mysql
(7)
sql
(3)
html
(2)
regex
(2)
arrays
(2)
variables
(3)
warnings
(2)
language-agnostic
(2)
c++
(9)
c++-faq
(8)
parsing
(2)
debugging
(5)
c
(3)
error-handling
(3)
python
(10)
pandas
(3)
android
(3)
list
(3)
最近发表
IP地址错误的错误掩码
在Cisco IOS中自动进行配置备份(每分钟)
VRRP和HSRP有什么区别?
IP地址如何映射到MAC地址?
网站可以识别我的MAC地址吗?
在STP中如何选择根桥?
为什么要使用三根以太网电缆将交换机连接到路由器?
为什么10.1.255.255是无效的广播地址?
为什么将IP地址分配给每个接口而不是设备?这将意味着什么?
为什么Visual Studio 2013不愿意运行我的Web性能/负载测试?
对测试代码了解太多会不利吗?
如何隔离错误?
如何使用Selenium和WebDriver清除localStorage
评估测试项目
我如何说服管理层我们需要一个正式的质量保证部门?
FluentWait与WebDriverWait有何不同?
简历和求职建议-从开发到测试的职业转变
您如何等待Selenium 2中的jQuery Ajax调用完成
在持续开发下测试应用程序
Selenium的页面加载默认超时是多少?
IT项目中软件测试的真正商业价值是什么?
系统测试与系统集成测试(SIT)有何不同?
如何找到我们的“质量保证流程”的弱点?
测试人员应如何处理生产中发现的错误?
如果我不使用TDD但想过渡到敏捷,那我应该回去创建那些单元测试吗?
代码覆盖率和测试覆盖率有什么区别?
当团队想要忽略关键但难以重现的错误时,我应该如何应对
测试人员应该修复错误吗?
审核测试自动化代码的良好实践
质量检查人员应该能够编写测试代码吗?
随机文章
监视计算机使用情况以推荐硬件规格的软件
您如何管理QA团队会发现其自有功能中的所有错误的管理层期望?
如何解决MixColumns
是否有必要在WP_Query调用中使用wp_reset_query()?
Mac OS X终端提示显示外部主机名(或:终端中Stacey的iPhone在做什么?)
Raspberry Pi可以在没有USB集线器的情况下为该2.5英寸驱动器供电吗?
“Another company is trying to register some <company name> domain names with us” - legit?
为什么步进机上没有操作扭矩规范?
飞行模式是否允许GPS位置通过?
名称非常相似的SSID,这是黑客尝试吗?
评论
我同意在网络上丢弃所有ICMP不是一个好主意。只是说ICMPv6(协议58)与ICMP(协议1)不同。除非将ICMPv6也明确删除,否则在防火墙上删除ICMP不会影响IPv6功能。
–sdaffa23fdsf
2013年6月26日13:50
是的,ICMPv6是不同的。尽管“删除所有ICMP”是否包括ICMPv6,这将取决于您的防火墙。通常情况并非如此,ipv6规则与ipv4规则是分开的。
–user661
2013年6月26日15:21
您是否建议允许所有ICMP通过或仅允许诸如不可达,超时和跟踪路由之类的类型?
–generalnetworkerror
13年6月27日在2:54
我个人允许所有人使用,我还没有听说过ICMP攻击媒介(但我有偏见,我非常反对FW)。我建议的最小设置是:无法到达的目标,超出的时间,参数问题,回声,回声应答,时间戳,时间戳应答(用于以1ms的精度测量单向延迟)。
–ytti
13年6月27日在6:32