问题描述
防火墙服务对象ICMP报文类型说明
解决方法
我司防火墙预定义的ICMP协议报文类型如下,共18个。按如下说明,如果要禁止某个安全域的ping测试报文,则禁掉icmp-traceroute类型即可,无需添加所有IMCP报文。
|
ICMP协议报文类型 | ||||
|
|
防火墙定义对象名称 |
消息类型 |
消息码 |
说明 |
|
差错报文 |
icmp-dest-unreachable |
3 |
0 |
网络不可达 |
|
icmp-host-unreachable |
3 |
1 |
主机不可达 | |
|
icmp-protocol-unreach |
3 |
2 |
协议不可达 | |
|
icmp-port-unreachable |
3 |
3 |
端口不可达 | |
|
icmp-fragment-needed |
3 |
4 |
需要片段 | |
|
icmp-source-route-fail |
3 |
5 |
源路由失败 | |
|
icmp-source-quench |
4 |
0 |
源点抑制 | |
|
icmp-redirect |
5 |
0 |
改变路由(Redirect) | |
|
icmp-redirect-host |
5 |
1 | ||
|
icmp-redirect-tos-net |
5 |
2 | ||
|
icmp-redirect-tos-host |
5 |
3 | ||
|
icmp-fragment-reassembly |
11 |
1 |
重置分段超时 | |
|
icmp-time-exceeded |
11 |
0 |
传输超时 | |
|
icmp-parameter-problem |
12 |
0 |
参数错误问题 | |
|
询问报文 |
icmp-info |
15 |
0 |
信息请求(已作废) |
|
未定义 |
16 |
0 |
信息应答(已作废) | |
|
icmp-address-mask |
17 |
0 |
地址掩码请求 | |
|
未定义 |
18 |
0 |
地址掩码应答 | |
|
icmp-traceroute |
8 |
0 |
Echo-Request请求报文 | |
|
未定义 |
0 |
0 |
Echo-Reply应答报文 | |
|
icmp-timestamp |
13 |
0 |
时间戳请求报文 | |
|
未定义 |
14 |
0 |
时间戳应答报文 | |
|
|
|
|
|
|
从类型值来看ICMP报文可分为二大类。
第1 类是取值为1~127的差错报文,
第2类是取值128以上的是信息(informational)报文。
1不能到达信宿(Destination Unreachable)差错报文
2分组过大(Packet Too Big)差错报文
3超时(Time Exceeded)差错报文
4参数问题(Parameter Problem)差错报文
128返回请求(Echo Request)报文
129返回应答(Echo Reply)报文
130组成员查询(Group Membership Query)
131组成员报告(Group Membership Report)
132组成员结束(Group Membership Termination)
133路由器请求(Router Solicitation)
134路由器公告(Router Advertisement)
135邻机请求(Neighbor Solicitation)
136邻机公告(Neighbor Advertisement)
137 重定向(Redirect)
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作