1、tracert+ip(ip非防火墙接口ip),当设备开启SG-6000(config-flow)#icmp-embedded-packet-deny后,经过防火墙后的ip跟踪路由不再回显,但是自身接口还是回显;
2、tracert+ip(ip防火墙接口ip),关闭防火墙接口 SG-6000(config-if-eth0/1)# no manage traceroute(交换机路由器等设备UDP封装的探测报文)、SG-6000(config-if-eth0/1)#no manage ping(windows电脑使用ICMP进行探测),跟踪自身地址可以不回显访问防火墙自身的接口。
3、tracert+ip(ip非防火墙接口ip)且不想防火墙接口地址回显出来,建议使用安全策略限制。
设备上开启app check icmp-traceroute、app check tcp-traceroute、app check udp-traceroute后,盒子上策略deny掉traceroute应用,盒子能识别出TRACEROUTE应用,但这样的结果是包括设备接口以及后续的tracert路径全部影藏。且因为偶尔存在应用识别异常问题,建议直接使用策略拒绝服务簿UDP33434-33534和ICMP服务。
4、tracert+ip(ip非防火墙接口ip),不想防火墙接口地址回显出来,后续回显正常,目前防火墙不支持相应开关,无法做到。
