前言
互联网控制信息协议 (ICMP) ping在PIX 防火墙根据PIX代码版本不同处理。
使用的组件
本文的信息根 据以下的软件及硬件版本。
PIX软件 版本4.1(6)从5.0.1和以后
本文提供的信息在特定实验室环境里从设备被创建了。用于本文的所 有设备开始了以一个缺省(默认)配置。如果在一个真实网 络工作,保证您使用它以前了解所有命令的潜在影响。
网络图
Ping通过PIX
PIX软件版本5.0.1以上
默认情况下 INBOUND ICMP通过PIX被拒绝; 出局ICMP允许,默认情况下 但流入的应答被拒绝。
Ping Inbound
INBOUND ICMP可以允许带有 管道语句或 访问列 表语句,您在PIX使用。 请勿 混合输送管道和访问控制列表。 由所有设备超出允许设备的 ICMP 10.1.1.5里面(静态到200.1.1.5):
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0 |
Ping outbound
对出局ICMP的回应可以允许带有 管道语句或 访问列表语句,您在PIX使用。 请勿混合输送 管道和访问控制列表。 允许对设备10.1.1.5里面起动的ICMP 请求的回应(静态到200.1.1.5)从所有设备外面:
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0 |
PIX软件版本4.2(2)至 5.0.1
默认情况下 INBOUND ICMP通过PIX被拒绝; 出局ICMP允许,默认情况下 但流入的应答被拒绝。
Ping Inbound
INBOUND ICMP可以允许带有管道语句。 由所 有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5):
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0 |
Ping outbound
对出局ICMP的回应可以允许带有管道语句。允 许对设备10.1.1.5里面起动的ICMP 请求的回应(静态到200.1.1.5) 从所有设备外面:
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0 |
PIX软件版本4.1(6)至4.2(2)
默认情况下INBOUND ICMP通过PIX被 拒绝; 默认情况下出局ICMP允许。
Ping Inbound
INBOUND ICMP可以允许带有管道语句。 由所 有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5):
static (inside), outside) 200.1.1.5 10.1.1.5 !--- 8 is for echo request; these are from RFC 792. |
Ping outbound
默认情况下出局ICMP和回应允许。
Ping对PIX的自有接口
在PIX软件版本4.1(6)直 到5.2.1,ICMP 数据流对PIX的自有接口允许; 不可能配置 PIX 不回应。您不会能ping接口在"更边"的PIX 在任何版本 。在我们的网络图,您能到ping 10.1.1.1从10.1.1.5或 200.1.1.1从外面,但您不会能连接200.1.1.1从10.1.1.5,亦不您 能到ping 10.1.1.1 ,从外面。默认情况下开始在PIX软件版 本5.2.1,ICMP仍然允许,但PIX ping响应从其自有接口可以用icmp 命令 (即"stealth PIX"禁用):
icmp许可证|deny [ host ] src_addr [ src_mask ][ type ] int_name
例 如,下列防止我们的PIX发送ECHO回复以回应ECHO请求:
icmp拒绝所有响应外面
照同访问控制列表,在没有 许可证 语句时,有一 含蓄的也拒绝其他ICMP数据流。
此 命令允许ping从网络立即外面PIX:
icmp许可证200.1.1.0 255.255.255.0响应外面
照同访问控制列表,在没有 许可证 语句时,有一 含蓄的也拒绝其他ICMP数据流。
ICMP消息类型 (RFC 792)
|
消息号 |
消息 |
|---|---|
|
0 |
ECHO回复 |
|
3 |
目 的地不可得到 |
|
4 |
Source quench |
|
5 |
重定向 |
|
8 |
响 应 |
|
11 |
超出的时间 |
|
12 |
参数问题 |
|
13 |
时间戳 |
|
14 |
时间戳回复 |
|
15 |
信息请求 |
|
16 |
信息回复 |
|
· 教你使用Anti ARP Snif.. · 网络嗅探教程:使用Sni.. · 时代亿信企业级信息安.. · ISA Server、虚拟机、.. · Windows年底再现图片漏.. · MBSA本地审核策略建议 |
· 企业局域网安全访问控.. · 常见病毒手工清除方法.. · 网络技术经典基础教程 · Net screen 防火墙考证 · Eudemon防火墙基本配置 · 学防火墙必知的几个概念 |
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · Java基础教程 · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · SOA 面向服务架构 · SQL Server 2005全解 · Java编程开发手册 · RAID——磁盘阵列基础 |
· 三层交换技术专题 · SQL Server入门到精通 · Windows Server 2003企.. · Windows远程桌面应用 · C#技术开发指南 · VPN技术 · Solaris 10 配置管理 · C#技术开发指南 |
||
|
|||
| · ARP攻击防范与解决方案 · VPN技术 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · RAID——磁盘阵列基础 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| 张振伦 的博客 |
|
| ·拯救系统管理员 ·美国选民:我为什么选布什 |
·VMware公司中文命名挑战赛 ·我们真缺乏创新吗? |
| 梁林 的博客 |
|
| ·J0ker的CISSP之路:复习-.. ·J0ker的CISSP之路:复习-I.. |
·9月第3周安全回顾 内网安.. ·教你几招识别和防御Web网.. |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 教你使用Anti ARP Sniff.. · 网络嗅探教程:使用Snif.. · 常见病毒手工清除方法大.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门 |
· 费力不讨好 数据中心主.. · AMD Phenom三核处理器解.. · 51CTO主编推荐经典专题 |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
