Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
3-8
思科 ASA 系列防火墙 CLI 配置指南
第 3 章 访问规则
配置访问控制
配置 ICMP 访问规则
默认情况下,可使用 IPv4 或 IPv6 向任何 ASA 接口发送 ICMP 数据包,以下情况例外:
•
ASA 不响应定向至广播地址的 ICMP 回显请求。
•
ASA 仅响应发送至流量进入的接口的 ICMP 流量;不能通过某个接口将 ICMP 流量发送至远
端接口。
端接口。
要保护设备免受攻击,可使用 ICMP 规则将对 ASA 接口的 ICMP 访问限制为特定主机、网络或
ICMP 类型。ICMP 规则的工作原理与访问规则类似,将对规则进行排序,与数据包匹配的第一条
规则将定义操作。
ICMP 类型。ICMP 规则的工作原理与访问规则类似,将对规则进行排序,与数据包匹配的第一条
规则将定义操作。
如为某个接口配置任何 ICMP 规则,则将隐式拒绝 ICMP 规则添加至 ICMP 规则列表的末尾,从
而更改默认行为。因此,如果想要仅拒绝几种消息类型,则须在 ICMP 规则列表的末尾纳入一条
允许任何消息类型的规则,以便允许剩余的消息类型。
而更改默认行为。因此,如果想要仅拒绝几种消息类型,则须在 ICMP 规则列表的末尾纳入一条
允许任何消息类型的规则,以便允许剩余的消息类型。
我们建议,始终为 ICMP 不可到达消息类型(类型 3)授予权限。拒绝 ICMP 不可到达消息将禁
用 ICMP 路径 MTU 发现,这可能停止 IPsec 和 PPTP 流量。此外,IPv6 中的 ICMP 数据包用于
IPv6 邻居发现进程。请参阅 RFC 1195 和 RFC 1435,了解有关路径 MTU 发现的详细信息。
用 ICMP 路径 MTU 发现,这可能停止 IPsec 和 PPTP 流量。此外,IPv6 中的 ICMP 数据包用于
IPv6 邻居发现进程。请参阅 RFC 1195 和 RFC 1435,了解有关路径 MTU 发现的详细信息。
操作步骤
步骤 1
创建适用于 ICMP 流量的规则。
icmp
{permit | deny} {host ip_address | ip_address mask | any}
[icmp_type] interface_name
如未指定 icmp_type,则规则将应用于所有类型。可输入编号或名称。要控制 ping,请指定回显
回复 (0)(ASA 至主机)或回显 (8)(主机至 ASA)
回复 (0)(ASA 至主机)或回显 (8)(主机至 ASA)
对于地址,可将规则应用于 any 地址、单个 host 或某个网络 (ip_address mask)。
步骤 2
创建适用于 ICMPv6 (IPv6) 流量的规则。
ipv6 icmp
{permit | deny} {host ipv6_address | ipv6-network/prefix-length | any}
[icmp_type] interface_name
如未指定 icmp_type,则规则将应用于所有类型。
对于地址,可将规则应用于 any 地址、单个 host 或某个网络 (ipv6-network/prefix-length)。
步骤 3
(可选)对 ICMP 不可到达消息设置速率限制,以使 ASA 显示在跟踪路由输出上。
icmp unreachable rate-limit
rate burst-size size
示例
hostname(config)# icmp unreachable rate-limit 50 burst-size 1
速率限制可能为 1-100,1 为默认值。突发大小无意义,但必须为 1-10。
要允许将 ASA 显示为跃点之一的跟踪路由通过 ASA,需要在服务策略中提高速率限制,并启用
set connection decrement-ttl 命令。例如,以下策略将降低通过 ASA 的所有流量的生存时间
(TTL) 值。
set connection decrement-ttl 命令。例如,以下策略将降低通过 ASA 的所有流量的生存时间
(TTL) 值。
class-map global-class
match any
policy-map global_policy
class global-class
set connection decrement-ttl