添加ICMP到ASA检测引擎

添加ICMP到ASA检测引擎

ASA默认的检测引擎的配置如下所示。

class-map inspection_default

match default-inspection-traffic

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h423 h325

inspect h423 ras

inspect rsh

inspect rtsp

inspect esmtp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

service-policy global_policy global

默认情况下，不对ICMP进行检测，所以从低安全级别到高安全级别的ICMP echo reply将被拒绝，即使它是ICMP echo request的回应也是如此。

ICMP检测引擎允许ICMP流量象TCP和UDP流量一样被检测。确保每一个ICMP echo request都只能有一个回应，同时保证序列号是正确的。

如果没有ICMP检测引擎，通常不推荐使用ACL来允许ICMP穿越ASA，因为这样会存在网络***的风险。

以下配置将ICMP添加到检测引擎。

policy-map global_policy

class inspection_default

inspect icmp

配置完成后，从高安全级别接口就可以ping通低安全级别接口，同时对ICMP进行状态化检测。