到处搜索我无法确定防火墙上ICMP的最佳实践。例如,在Cisco ASA上,如果启用了ICMP检查,那么它是安全的并且建议允许使用ICMP。然后,这将允许类型3无法访问之类的东西返回给客户端。

#1 楼

不,不应该阻止ICMP。这是至关重要的信令协议。没有它,互联网将无法运行。

如果丢弃ICMP,PMTUD就会损坏。

没有ICMP,IPv6甚至无法开始工作,因为L3到L2地址解析(IPV4中的ARP)位于IPv6中的ICMP。

如果丢弃ICMP回声,则故障排除将花费更长的时间。 las,通常FW人士的思路似乎是“当有疑问时,就掉线”。 ICMP确实不是实际的攻击媒介。

评论


我同意在网络上丢弃所有ICMP不是一个好主意。只是说ICMPv6(协议58)与ICMP(协议1)不同。除非将ICMPv6也明确删除,否则在防火墙上删除ICMP不会影响IPv6功能。

–sdaffa23fdsf
2013年6月26日13:50



是的,ICMPv6是不同的。尽管“删除所有ICMP”是否包括ICMPv6,这将取决于您的防火墙。通常情况并非如此,ipv6规则与ipv4规则是分开的。

–user661
2013年6月26日15:21

您是否建议允许所有ICMP通过或仅允许诸如不可达,超时和跟踪路由之类的类型?

–generalnetworkerror
13年6月27日在2:54

我个人允许所有人使用,我还没有听说过ICMP攻击媒介(但我有偏见,我非常反对FW)。我建议的最小设置是:无法到达的目标,超出的时间,参数问题,回声,回声应答,时间戳,时间戳应答(用于以1ms的精度测量单向延迟)。

–ytti
13年6月27日在6:32