PIX和ASA在7.x上默认是不检查穿越防火墙的icmp的状态的,这意味着从内向外做出的ping操作只能单向穿越防火墙,被ping设备回应的icmp echo-reply无法穿越防火墙——防火墙会认为这些数据包是来自安全级别低的外网的,不可以穿过。
默认情况下,PIX/ASA 7.x会监控下面这些协议的状态:
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
在PIX/ASA不做任何安全配置的情况下,内网用户是可以正常发起向外的TCP请求,也可以正常使用FTP等需要反向穿越防火墙的协议的(inspect FTP)。使用下面的命令可以实现让内网用户可以收到正常ping到外网的echo-reply回应:
pixfirewall(config)# policy-map global_policy
pixfirewall(config-pmap)# class inspection_default
pixfirewall(config-pmap-c)# inspect icmp
Leave a comment