过,而防火墙的缺省设置则倾向于阻止信息流通过。
从ISP的客户边缘路由器开始,ISP出口将限制那些超出预定阈值的次要信息流,以便减少DDoS攻击。同时在ISP路由器的入口处,RFC1918与RFC 2827过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。
在防火墙的入口,RFC1918与RFC2827将首先被用于验证ISP的过滤功能。此外,由于零散的分组带来了极大的安全隐患,因此防火墙将丢弃那些在互联网上不应被视作标准信息流的零散分组。这种过滤有可能导致某些合格信息流被丢弃,但考虑到允许以上不合格的信息流通过所带来的风险,上述情况是可以接受的。目的地为防火墙的信息流仅限于IPSec信息流和用于路由的任何必要协议。
防火墙为通过防火墙发起的会话提供了连接状态执行操作以及详细的过滤。拥有公共地址的服务器通过在防火墙上使用半开放连接限制能够防止TCP SYN洪水。从过滤的角度讲,除了将公共服务区域的信息流限定到相关地址和端口外,在相反的方向上也在进行过滤。如果某个攻击涉及到一个公共服务器(页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
