|
|
|
|
|
|
|
|
中实施的主要安全策略包括三个规则:
与已建立的连接流匹配的任何数据包都将被转发。
如果发送的数据包与已建立的连接流不匹配,它将在连接流表中创建新条目,然后被转发。
如果收到的数据包与已建立的连接流不匹配,则将被丢弃
该策略允许客户端对 Internet 的正常访问 (如 Web 浏览),同时阻止与这些访问无关的数据包被发送到网络堆栈。为了打开特定端口 (创建静态过滤器) 以便能在防火墙之后运行服务 (比如 Web 服务器),该策略也确保用户可以对这些规则进行修改。
除安全策略外,ICF 还会对 TCP 数据包执行结构上的检查。这些检查包括快速丢弃具有不可能的标记组合的数据包 (比如在单个数据包中同时设置有 SYN 和 FIN 标记),以及实施 TCP 三路握手以打开端口。前者在面对基于大量随机数据包的攻击时能极大地降低处理开销,而后者可以防范各种扫描技术。
每个连接的状态和配置
您可以在多个网络连接上启用 ICF。每个 ICF 实例都有自己的端口映射和 ICMP 配置选项,并且相互间保持独立 (但日志设置是全局性的)。
阻止 IP 欺骗
IICF 可以阻止应用程序进行 IP 欺骗。有一些媒体已经注意到在 Windows XP 中包含了原始套接字以及这如何可能导致拒绝服务 (DoS) 攻击的增多。Windows XP 所包含的对 IP_HDRINCL 选项的支持允许套接字应用程序设置或修改数据包的源 IP 地址。这可能有助于 DoS 攻击,因为攻击者可以掩盖攻击源。
ICF 可以检查出站数据包是否含有欺骗性的 IP。这包括 TCP、UDP、ICMP页码:[1] [2] [3] [4] [5] [6] [7] 第5页、共7页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
