DotW: 发送 icmp 无法访问

在本周的讨论中, 用户 ' PanIst ' 有一个问题: "发送 ICMP 无法访问" 复选框出现在泛 OS 7.0 的策略操作选项卡中的目的是什么。

为了突出显示此功能的用途, 我将显示几个在 PAN OS 7.0 中可用的新操作的功能。这些新添加的操作允许对帕洛阿尔托网络防火墙提供的响应进行更多的控制, 以达到 "负面" 操作安全策略的会话。

"Drop" 操作将在它确定会话不需要时悄悄丢弃所有数据包, 这将使客户端对会话发生的事情一无所知, 并可能导致一些用户的沮丧, 因为客户端可能会在超时之前保持一段好的时间加载。这是应用于所有隐含策略的默认操作, 并且是在泛 OS 7.0 阻止通信之前可用的唯一选项。

正如您在下面的数据包捕获输出中所看到的那样, 客户端发送数据包 (ping 和 web 浏览), 在我的示例中, 配置被丢弃。ICMP 永远不会得到响应, 当应用程序 ID 检测到它是真正的 web 通信时, 就会删除 web 浏览。web 浏览器不知道它被阻止, 并不断重新发送其最后一个数据包, 让用户等待。

"拒绝" 和 "复位" 操作可以向客户端发送重置数据包 (如果需要服务器)。可以显示一条错误消息, 或者可以慷慨地终止会话, 通知用户断开连接。但是, 此操作只能应用于 TCP 会话。

在下面的数据包捕获输出中, HTTP 会话以重置数据包结束, 浏览器将显示一条错误消息, 通知用户网站无法访问。

为了适应 UDP 或 icmp 会话, 可以发送一个 icmp 无法访问的消息 (icmp 类型3代码 13), 通知客户端不允许会话, 这可以大大提高用户体验。

通常, 这种类型的 "主动" 拒绝通信量只应用于来自内部用户网络或子网的已知通信量 (这是某些健谈协议驻留并可对用户体验有益的, 或防止连续从应用程序重试)。

对于源自不受信任网络的通信量, 总是建议尽可能地模糊和延迟, 因此 "丢弃" 是建议 (和默认) 操作。

要查看讨论, 请参考以下链接:发送 ICMP 无法访问 panos7

鼓励所有的意见或建议。

感谢阅读，

汤姆各地