|
|
| (1)对来自专用网络的包,只允许来自内部地址的包通过,因为其他的包包含不正确的包头信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。如果黑客对专用网络内部的机器具有了不知从何得来的访问权,这种过滤方式可以阻止黑客从网络内部发起攻击。
|
|
|
| (2)在公共网络,只允许目的地址为80端口的包通过。这条规则只允许传入的连接为Web连接。这条规则也允许了与Web连接使用相同端口的连接,所以它并不是十分安全。
|
|
|
| (3)丢弃从公共网络传入的包,而这些包都有用户网络内的源地址,从而减少IP欺骗性的攻击。
|
|
|
| (4)丢弃包含源路由信息的包,以减少源路由攻击。要记住在源路由攻击中,传入的包包含路由信息,它覆盖了包通过网络应采取的正常路由,可能会绕过已有的安全程序。通过忽略源路由信息,防火墙可以减少这种方式的攻击。
|
|
|
京公网安备 11010502032051号 | 营业执照