防御普通攻击 阻止源地址在您自己的地址范围内的所有入站通信
通常,来自您所在网络的通信不太可能出现在 Internet 上再试图返回您自己的网络。这表明可能有人在欺骗您。这种欺骗说明有人在假装使数据来自特定的计算机,而实际上不是这样。“特洛伊”病毒和拒绝服务 (DoS) 攻击常使用这种技术取得对网络未经授权的访问,因此您应格外小心以免遭受攻击。
阻止源地址不在您自己的地址范围内的所有出站通信
本规则与规则 1 类似。通常,来自其他网络的通信不太可能离开您自己的网络。这表明有人正在使用您的网络欺骗或攻击其他人。规则 1 保护您,而规则 2 则保护其他人。实施规则 1、2 同等重要。
阻止源或目的地址在私有地址范围内的所有入站和出站通信
阻止源或目的地址在私有地址范围(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 和 169.254.0.0/16)的所有入站和出站通信。按惯例这些地址不应出现在公共 Internet 上。它们被保留用于局域网内部。请勿让这些通信传出您的网络,也阻止其进入(这表明其他人未正确配置其路由)。
阻止源路由的所有入站和出站通信 Internet 协议 (IP) 允许使用一个称为“源路由”的特殊选项,来指定数据包到达目的地然后返回源地址应遵循的路由。指定的路由常常使用那些通常不用于向目的地转发数据包的路由器或主机。很多年前,对该选项的需要较为普遍,但因为现在已证明 Internet 的基础结构非常可靠,数据包只应通过下列标准 Internet 内部和外部路由路径传递。源路由通信表明,攻击者正试图通过指定您服务器的虚假受信任客户端,来绕过您的路由基础结构。
阻止所有入站和出站数据包片段 IP 协议允许数据包分成多个称为“片段”的 IP 数据包。片段缺少普通数据包应当有的传输控制协议 (TCP) 或用户数据报协议 (UDP) 头信息,因此将非法通过某些种类的“数据包过滤”设备(例如,许多防火墙设备)。数据包片段几乎总是表明有攻击发生:攻击者正在手动制造片段,尝试绕过安全设备。
注意: 基于 IPsec 的虚拟专用网 (VPN) 常常由于在验证过程中使用的密钥过长而创建数据包片段;如果允许 IPsec VPN 越过您网络边界,则应该将此规则视为可选,直到您已经决定是否允许它与 VPN 一同使用。 |
