4或更大,因此有效D N S的应答就应
发送到此1 0 2 4或更高的端口。如果我们不指定目的端口大于1 0 2 3,则攻击者可以
从源端口5 3发送U D P报文到达我们的网络,从而导致对内部服务器的拒绝服务(denia
l-of-service, DOS)攻击。大量的服务器端口都处于小于1 0 2 4的保留区间内,所以
我们应阻塞目的端口小于1 0 2 4的报文,以关闭潜在的安全漏洞。
第三和第四个表项允许具有如下特征的报文进入:源端口为W W W(TCP 80 )或F T P(
TCP 21),目标位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4网络,目标端口大于1 0 2 3,
且T C P头中设置了A C K和R S T位。这两个表项允许由内部主机发起的W W W和F T P会
话的返回报文。指定源端口和目的端口的原因与第二个表项相同。使用e s t a b l i
s h e d意味着只有设置了应答位( A C K)和复位位(R S T)的报文才能够匹配并允
许通过访问表项。只有那些已经建立了T C P会话的报文才会设置这些位,这样增加了访
问表的安全层次。值得注意的是,攻击者很容易在向内的报文中手工设置这些位,所以
页码:[1] [2] [3] [4] [5] [6] [7] 第4页、共7页 |
