1683731528,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

教育局有安全扫描，发现防火墙出口地址有ICMP_TIMESTAMP 漏洞 请问如何解决？

组网及组网描述：

8小时前提问

漏洞cve发一下

CVE-1999-0524:

 ICMP information such as netmask and timestamp is allowed from arbitrary hosts. 

ICMP网络掩码请求响应漏洞（CVE-1999-0524）: 

ICMP信息如netmask和timestamp允许任意主机访问。

其实这并算不上一个漏洞，V5/V7所有的分支都是默认能响应掩码请求，算是个正常功能 。

如果一定要解决掉，可以用下面这个acl配置来过滤接口入报文，硬转产品应该都有命令来过滤inbound报文 

acl number 3000

 rule 0 deny icmp icmp-type 17 

 或者用packet-filter来匹配 

MSR等软转设备

 可以全局配置

 traffic classifier aa operator and

 if-match acl 3000 

 #

 traffic behavior be_aa 

 filter deny 

 # 

 qos policy aa 

 classifier aa behavior be_aa 

 # 

 qos apply policy aa global inbound 

 # 

 acl advanced 3000

 rule 0 deny icmp icmp-type 17

8小时前回答

CVE-1999-0524

您好，防火墙出口地址禁ping就可以了

8小时前回答

你正在,SecPath F1000-AI-55 防火墙禁止ICMP_TIMESTAMP