icmp(互联网控制报文协议一种多功能的)协议是协议,在网络上有很多用处,比如icmp 扫击,隧道攻击,以及我们最常用到的ping 程序。 描,拒绝服务(dos)攻而我们就是利用icmp 协议来为我们传送(tcp/udp)数据。而且icmp 报文可以在广域网上传送,这样我们就可以利用它来突破网关的种种限制。
先点击firewall,然后点击anti-probing 标签,可以打开以下界面。
图86 anti-probing
以下为界面相关描述。
表64 anti-probing
标识描述
respond to ping on 如果您选择disable,zywall 将不会回应任何从lan,wan 和dmz 端口上来的ping 请求。如果您选择lan,zywall 将只回应从lan口上来的ping 请求。如果您选择wan,zywall 将只回应从wan 口上来的ping 请求。如果您选择dmz, zywall 将只回应从dmz 口上来的ping 请求。如果您选择lan&wan&dmz,zywall 将回应从所有端口上来的ping 请求。
do not respond to request for unauthorized servers.
点选此框可以防止黑客通过探测未使用端口来查找zywall。如果您点选此框的时候,zywall 将不会响应对此未知端口的请求,这样这些未知端口和zywall 是不可见的。缺省情况下不选此框,对于未使用的udp 端口,zywall 将会对这个未使用端口的探测回应一个icmp 端口不可达的数据包,而对于未使用的 tcp 端口,zywall 将会对这个未使用端口的探测回应一个tcp 重置数据包。
这种探测数据包首先会经过zywall 的防火墙机制,然后才到达anti-probing 机制。因此,如果防火墙机制中如果已经阻挡了一个探测数据包,那么zywall 就会按照防火墙的策略做出反应。缺省情况下,对于被阻挡的tcp 数据包,它会发送一个tcp重置数据包。您可以使用命令“sys firewall tcprst rst [on|off]”指令来修改此策略。当防火墙机制阻挡住了一个udp 数据包,它就会不发送任何响应数据包就丢弃此数据包。
apply 点击apply 可以保存设置。
reset 点击reset 可以重新配置该界面。