暂无评论
一、核心结论
完全可以禁止外网 ping 设备公网管理 IP,提供Web 图形界面(最简单)、命令行全局关闭 ICMP 应答、ACL 精准拦截外网 ICMP三种方式,按需选择。
方案 1:Web 界面一键禁 ping(推荐,可视化)
接口管理禁ping勾选框
登录 ACG Web → 【网络配置】→【接口】→找到公网出口接口(GE0/0 等)
编辑接口,下方管理服务区域,取消勾选 ping
保存应用;效果:外网任何地址无法 ping 通该接口公网 IP,内网不受影响
方案 2:命令行全局关闭设备 ICMP 应答(所有接口都不回 ping)
所有接口(含公网、内网)别人 ping 设备本身都无响应,适合彻底隐藏设备:
plaintext
system-view
# 关闭设备ICMP echo应答,收到ping请求不回复
undo icmp echo-reply enable
# 可选:关闭traceroute路径应答,隐藏公网路由跳数
undo ip ttl-expires enable
undo ip unreachables enable
save force
验证:display current-configuration | include icmp
方案 3:ACL 精准仅拦截外网 ping(精细化,内网仍可 ping 管理 IP)
只阻断互联网侧 ICMP 请求,运维内网可正常 ping 公网 IP 管理设备:
创建扩展 ACL,拒绝外网访问本机公网 IP 的 ping 报文
plaintext
system-view
acl ipv4 advanced 3000
rule deny icmp source any destination 203.XX.XX.XX 0 icmp-type echo-request
rule permit ip any any
将 ACL 应用在公网出口接口入方向
plaintext
interface GigabitEthernet 0/0
packet-filter ipv4 inbound 3000
save force
替换203.XX.XX.XX为 ACG 自身公网地址。
补充区分 2 种场景(别混淆)
禁 ping 设备本身公网 IP:上面三种方案都解决(你的需求);
禁止内网电脑 ping 外网服务器:需要在安全策略里拦截 ICMP,和本次无关。
关键注意点
方案 1 接口取消 ping 勾选,仅屏蔽访问设备自身的 ICMP,不影响内网终端 ping 外网;
全局undo icmp echo-reply enable后,内网运维也 ping 不通公网 IP,适合无人远程运维场景;
若后续需要临时远程排查,可重新勾选 Web 界面 ping、或执行icmp echo-reply enable恢复;
禁 ping 仅隐藏设备,无法阻挡端口扫描,建议同步限制公网 SSH/Web 管理 IP 白名单提升安全。
暂无评论
可以,H3C ACG1040 支持设置禁 Ping,主要可以通过两种方法实现:通过ACL(访问控制列表)精确控制或全局关闭ICMP响应。
这种方法可以只禁止对特定公网接口的Ping,不影响其他接口。
登录设备:通过 Web 或 Console 登录 ACG1040 的管理界面。
创建ACL规则:创建一个高级ACL(编号范围3000-3999),添加规则拒绝所有去往你公网IP的ICMP回显请求(也就是Ping请求)。
应用ACL到接口:将ACL应用到你的公网接口(例如 GigabitEthernet 0/0)的入方向(inbound)。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论