包中的源IP地址,使外部不能看到内部的IP地址;
2.外部ICMP请求包一律抛弃;
3.对内部有请求时,才动态地接收外部主机的响应, 且抛弃一些ICMP威胁安全的响应,如改变路由的ICMP包。
TCP/UDP
TCP/UDP是TCP/IP协议最高层(除应用层外),它们存在如下安全隐患:
● 数据包伪装 (TCP/UDP);
● SYN Flood攻击,造成拒绝服务(TCP);
● TCP/UDP数据包是作为IP层数据发出,而IP数据包要在不同的网络中寻址转发,这就不能保证IP的有效性、正确性,因为仅凭一个IP地址验证其合法性是远远不够的。再说在广域中,我们也无法把MAC地址与IP地址绑定。
为避免上述情况,必须要增加一定的验证措施,TCP报文头部中,有两个元素可以用于验证TCP报文的有效性。一个是序号,另一个是确认号。序号指出发送者的TCP数据第一个字节序号,而确认号是指收方收到的最高字节序号加1,也就是下次希望收到的第一个字节序号。这两个序号基准一般是随机产生的,不易被伪造、猜测。我们利用这二个TCP的特征,设计了一种较有效的过滤手段,对TCP报文的有效性进行确认。
页码:[1] [2] [3] [4] [5] [6] [7] [8] 第7页、共8页 |
