安全Policy特定のものを許可/拒否するICMPタイプ
Resolution
概要
特定の Internet Control Message Protocol (ICMP )すべてを許可するのではなく、タイプを許可する必要がありますICMPタイプ。 ICMP ネットワーク診断ツールとして使用され、その機能に基づいて 2 つの主なカテゴリに分類されます。
- エラー報告メッセージ (タイプ 3、4、5、11、12) - エラー報告メッセージは、ルーターまたは宛先ホストがエラーを処理しようとしたときに発生する可能性のある問題を報告します。IPパケット。
- クエリ メッセージ (タイプ 0、8、13、14) - ペアで発生するクエリ メッセージは、ホストまたはネットワーク マネージャーがルーターまたは別のホストから特定の情報を取得するのに役立ちます。
管理者はこの情報に基づいてネットワークを診断できるため、エラー報告メッセージは管理者にとって有益です。 ただし、クエリ メッセージを使用すると、ハッカーでさえネットワークから潜在的な情報を取得できる可能性が高くなります。 許可する仕組みが必要ICMP有用なタイプを否定し、害を及ぼすタイプを否定します。 アプリケーション層では、識別はアプリケーションに基づいていますICMPコードに基づいていませんが、Palo Alto Networksfirewall特定の許可または拒否するメカニズムがあるICMPタイプ。
ノート :
このドキュメントは適用されませんICMPエラー報告メッセージとしてのエラー報告メッセージは、埋め込まれた元のパケットのセッションと一致し、許可されます。
ブロックする方法については、以下のドキュメントを参照してください。ICMPエラー報告メッセージ。
HOW TO ALLOW /BLOCK ICMP ERROR REPORTING PACKETS
解決
たとえば、ICMPリクエストをエコーしますが、残りのリクエストを拒否しますICMPトラフィック、カスタムを作成appのためにICMPに基づくトラフィックICMPパケットタイプ (8)。 この種のカスタム アプリケーションでは、アプリケーション オーバーライドを作成する必要はありません。policy tcp/udp トラフィックの場合と同様です。
特定をブロックするにはICMPメッセージを入力し、タイプごとにカスタム アプリケーションを作成します。
- [オブジェクト] > [アプリケーション] > [追加] に移動してカスタム名を作成し (このシナリオでは、ブロック タイプ 13 メッセージが使用されました)、カテゴリを指定します。
- 詳細に移動し、クリックしますICMP入力し、必要なタイプをコンマで区切って指定します。
- アプリケーションを保存し、deny という名前を付けますpolicy(例に示されています)、any-to-any ゾーンからのポリシーの一番上に配置されるため、すべてのトラフィックがこのアプリケーションを拒否します。
封鎖するICMPタイプ 8:
その後、カスタム アプリケーションを証券に適用できます。policy .
オーナー: ymiyashita