@
2年前 提问
1个回答

防火墙的接口安全选项

Ann
2年前

防火墙的接口安全选项有以下三个:

  • 防IP碎片:这个选项主要是防御ip碎片攻击,IP碎片攻击指的是一种计算机程序重组的漏洞。链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值。以太网的MTU是1500,你可以用 netstat -i 命令查看这个值。如果IP层有数据包要传,而且数据包的长度超过了MTU,那么IP层就要对数据包进行分片(fragmentation)操作,使每一片的长度都小于或等于MTU。我们假设要传输一个UDP数据包,以太网的MTU为1500字节,一般IP首部为20字节,UDP首部为8字节,数据的净荷(payload)部分预留是1500-20-8=1472字节。如果数据部分大于1472字节,就会出现分片现象。

  • 防IP源路由:主要防止源路由被解析,达到保护内网安全的目的,源路由是一种基于源地址进行路由选择的策略,可以实现根据多个不同子网或内网地址,有选择性地将数据包发往不同目的地址的功能。设置后可以不被解析源路由;

  • 防地址欺骗:开启后可以防御地址欺骗攻击,IP 欺骗是利用主机之间的正常信任关系,伪造他人的IP 地址达到欺骗某些主机的目的。IP 地址欺骗只适用于那些通过IP 地址实现访问控制的系统。实施IP 欺骗攻击就能够有效地隐藏攻击者的身份。IP 地址的盗用行为侵害了网络正常用户的合法权益,并且给网络安全、网络正常运行带来了巨大的负面影响。