Мы хотим заблокировать любые запросы ICMP, которые отправляются в нашу сеть из общедоступного Интернета. Я побежал icmp deny any outside, но когда я это делаю, наш Интернет ломается - никто не может загружать веб-страницы. Удаление его запуском no icmp deny any outside устраняет проблему. Что мне здесь не хватает?
Что вам не хватает: во-первых, ICMP, по крайней мере частично, необходим для правильного функционирования Интернета. Во-вторых, блокировать пинги совершенно бессмысленно; у него нет никаких преимуществ с точки зрения безопасности, и он может вызвать у вас проблемы позже, когда вы решите, что вам нужно иметь возможность пинговать свое устройство извне для устранения неполадок или по другим причинам.
Если вы действительно настроены «заблокировать эхо-запросы», направленные на ваш ASA, вы можете сделать это, указав тип ICMP (эхо-запрос, который Cisco по какой-то причине просто называет эхо), который вы хотите заблокировать.
icmp deny any echo outside