安全Policy允许/拒绝某个ICMP类型

概述

在某些情况下，只有特定的 Internet 控制消息协议 (ICMP ) 类型应该被允许，而不是允许所有ICMP类型。 ICMP 用作网络诊断工具，根据其功能分为两大类：

• 错误报告消息（类型 3、4、5、11、12）- 错误报告消息报告路由器或目标主机在尝试处理IP包。
• 查询消息（类型 0、8、13、14）- 成对出现的查询消息帮助主机或网络管理员从路由器或另一台主机获取特定信息。

错误报告消息对管理员很有用，因为他们可以根据此信息诊断网络。 然而，在查询消息的帮助下，即使是黑客也很有可能从网络中获取潜在信息。 必须有一种机制允许ICMP有用的类型，并拒绝造成伤害的类型。 在应用层，识别是基于ApplicationICMP并且不是基于代码，然而，Palo Alto Networksfirewall具有允许或拒绝特定的机制ICMP类型。

笔记 ：
本文件不适用于ICMP错误报告消息，因为错误报告消息将匹配嵌入的原始数据包的会话，并且将被允许。
请参阅以下文档以了解如何阻止ICMP错误报告消息。
HOW TO ALLOW /BLOCK ICMP ERROR REPORTING PACKETS

解析度

例如，只允许ICMP回应请求但拒绝其余的ICMP流量，打造定制app为了ICMP流量基于ICMP数据包类型 (8)。 对于这种自定义应用程序，没有必要创建应用程序覆盖policy与 tcp/udp 流量的情况一样。

阻止特定的ICMP键入消息，为每种类型创建一个自定义应用程序：

1. 转到 Objects > Applications > Add 并创建一个自定义名称（对于这个场景，使用了 Block Type 13 Messages）并指定一个类别：
   
2. 转到高级，单击ICMP类型，并指定以逗号分隔的所需类型：
   
3. 保存应用程序并将其命名为 denypolicy （如示例所示），放置在从任何到任何区域的策略顶部，因此所有流量都拒绝此应用程序：
   
   阻止ICMP类型 8：
   
   然后可以将自定义应用程序应用于证券policy.
   

所有者： ymiyashita