四处搜索我无法确定防火墙上 ICMP 的最佳实践。
例如,如果启用了 ICMP 检查,在 Cisco ASA 上是否安全并建议允许来自任何 ICMP 的 ICMP。这将允许诸如类型 3 不可达的事件返回给客户端。
是否应该阻止来自不受信任接口的 IPv4 ICMP?
网络工程
ipv4
防火墙
2021-07-29 14:03:19
1个回答
不,ICMP 不应被阻止。这是至关重要的信号协议。没有它,互联网就无法运行。
如果您删除 ICMP,PMTUD 将被破坏。
如果没有 ICMP,IPv6 甚至无法开始工作,因为 L3 到 L2 地址解析(IPV4 中的 ARP)是在 IPv6 中的 ICMP 之上的。
如果 ICMP 回声被丢弃,故障排除也会花费更长的时间。唉,经常FW人的思路似乎是'有疑问,就放弃'。
您使用 FW 是因为您的内部网络具有不需要身份验证的服务或运行易受攻击的软件的非托管主机。ICMP 确实不是一个实用的攻击媒介。