linux防火牆策略
① linux防火牆有什麼作用
linux防火牆作用一:
一、防火牆的基本模型
基於TCP/IP協議簇的Internet網際互聯完全依賴於網路層以上的協議棧(網路層的IP協議、傳輸控制協議TCP/UDP協議和應用層協議)。考慮到網路防火牆是為了保持網路連通性而設立的安全機制,因此防火牆技術就是通過分析、控制網路以上層協議特徵,實現被保護網路所需安全策略的技術。構建防火牆有三類基本模型:即應用代理網關、電路級網關(Circuit Level Gateway)和網路層防火牆。
二、不應該過濾的包
在開始過濾某些不想要的包之前要注意以下內容:
ICMP包
ICMP
包可用於檢測TCP/IP失敗的情形。如果阻擋這些包將導致不能得「Host unreachable」或「No route to host」等信息。ICMP包還用於MTU發現,某些TCP實現使用了MTU發現來決定是否進行分段。MTU發現通過發送設置了不進行分段的位的包探測,
當得到的ICMP應答表示需要分段時,再發送較小的包。如果得不到ICMP包(「destination unreachable」類型的包),則本地主機不減少MTU大小,這將導致測試無法停止或網路性能下降。 到DNS的TCP連接
如果要攔阻出去的TCP連接,那麼要記住DNS不總是使用UDP。如果從DNS伺服器過來的回答超過512位元組,客戶端將使用TCP連接,並仍使用埠53接收數據。若禁止了TCP連接,DNS大多數情況下會正常工作,但可能會有奇怪的延時故障出現。
如果內部網路的DNS查詢總是指向某個固定的外部DNS伺服器,可以允許本地域埠到該伺服器的域埠連接。
主動式FTP的TCP連接
FTP有兩種運作方式,即傳統的主動式(active)方式和目前流行的被動式(passive)方式。在主動式FTP模式下,FTP 伺服器發送文件或應答LS命令時,主動和客戶端建立TCP連接。如果這些TCP連接被過濾,則主動方式的FTP將被中斷。如果使用被動方式,則過濾遠地的TCP連接沒有問題。因為數據連接是從客戶端到伺服器進行的(包括雙向的數據)。
三、針對可能的網路攻擊
防火牆的性能是否優良關鍵在於其配置能否防護來自外界的各種網路攻擊。這要求網路管理者能針對可能的網路攻擊特點設定完善的安全策略。以網路常見的「ping of death」攻擊為例,「ping of death」攻擊通過發送一個非法的大ICMP包使接收者的TCP堆棧溢出從而引起混亂。針對這種攻擊可將防火牆配置為阻擋ICMP分段。因為普通的
ICMP包大都不需要到分段的程度,阻擋ICMP分段只攔阻大的「ping」包。 這種防護策略也可用於針對其他協議安全缺陷的網路攻擊。
linux防火牆作用二:
它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網路性能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備, 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯系, 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態,這有利於實施非法訪問和攻擊。
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的 鏈接, 由兩個終止代理伺服器上的 鏈接來實現,外部計算機的網路鏈路只能到達代理伺服器, 從而起到了隔離防火牆內外計算機系統的作用。
linux防火牆作用三:
windows防火牆是一項協助確保信息安全的設備,會依照特定的規則,允許或是限制傳輸的數據通過。
具體作用如下:
1、防止來自網路上的惡意攻擊;
2、阻止外來程序連接計算機埠;
3、對電腦進行防護,防止木馬入侵或其它黑客軟體、程序運行『
4、阻止本地程序通過計算機埠,向外並發信息;
② linux的防火牆有什麼作用
linux防火牆作用一:
一、防火牆的基本模型
基於TCP/IP協議簇的Internet網際互聯完全依賴於網路層以上的協議棧(網路層的IP協議、傳輸控制協議TCP/UDP協議和應用層協議)。考慮到網路防火牆是為了保持網路連通性而設立的安全機制,因此防火牆技術就是通過分析、控制網路以上層協議特徵,實現被保護網路所需安全策略的技術。構建防火牆有三類基本模型:即應用代理網關、電路級網關(Circuit Level Gateway)和網路層防火牆。
二、不應該過濾的包
在開始過濾某些不想要的包之前要注意以下內容:
ICMP包
ICMP
包可用於檢測TCP/IP失敗的情形。如果阻擋這些包將導致不能得「Host unreachable」或「No route to host」等信息。ICMP包還用於MTU發現,某些TCP實現使用了MTU發現來決定是否進行分段。MTU發現通過發送設置了不進行分段的位的包探測,
當得到的ICMP應答表示需要分段時,再發送較小的包。如果得不到ICMP包(「destination unreachable」類型的包),則本地主機不減少MTU大小,這將導致測試無法停止或網路性能下降。 到DNS的TCP連接
如果要攔阻出去的TCP連接,那麼要記住DNS不總是使用UDP。如果從DNS伺服器過來的回答超過512位元組,客戶端將使用TCP連接,並仍使用埠53接收數據。若禁止了TCP連接,DNS大多數情況下會正常工作,但可能會有奇怪的延時故障出現。
如果內部網路的DNS查詢總是指向某個固定的外部DNS伺服器,可以允許本地域埠到該伺服器的域埠連接。
主動式FTP的TCP連接
FTP有兩種運作方式,即傳統的主動式(active)方式和目前流行的被動式(passive)方式。在主動式FTP模式下,FTP 伺服器發送文件或應答LS命令時,主動和客戶端建立TCP連接。如果這些TCP連接被過濾,則主動方式的FTP將被中斷。如果使用被動方式,則過濾遠地的TCP連接沒有問題。因為數據連接是從客戶端到伺服器進行的(包括雙向的數據)。
三、針對可能的網路攻擊
防火牆的性能是否優良關鍵在於其配置能否防護來自外界的各種網路攻擊。這要求網路管理者能針對可能的網路攻擊特點設定完善的安全策略。以網路常見的「ping of death」攻擊為例,「ping of death」攻擊通過發送一個非法的大ICMP包使接收者的TCP堆棧溢出從而引起混亂。針對這種攻擊可將防火牆配置為阻擋ICMP分段。因為普通的
ICMP包大都不需要到分段的程度,阻擋ICMP分段只攔阻大的「ping」包。 這種防護策略也可用於針對其他協議安全缺陷的網路攻擊。
linux防火牆作用二:
它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。
在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動, 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網路系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。
數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網路性能和透明性好,它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備, 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二:一是非法訪問一旦突破防火牆,即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部,很有可能被竊聽或假冒。
應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯系, 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態,這有利於實施非法訪問和攻擊。
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的 鏈接, 由兩個終止代理伺服器上的 鏈接來實現,外部計算機的網路鏈路只能到達代理伺服器, 從而起到了隔離防火牆內外計算機系統的作用。
linux防火牆作用三:
windows防火牆是一項協助確保信息安全的設備,會依照特定的規則,允許或是限制傳輸的數據通過。
具體作用如下:
1、防止來自網路上的惡意攻擊;
2、阻止外來程序連接計算機埠;
3、對電腦進行防護,防止木馬入侵或其它黑客軟體、程序運行『
4、阻止本地程序通過計算機埠,向外並發信息;
③ linux防火牆 iptables
iptables命令用於管理防火牆的規則策略,格式為:「iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型]」。
表格為讀者總結了幾乎所有常用的iptables參數,如果記不住也沒關系,用時來查就行,看完後來學習下如何組合並使用吧:
參數 作用
-P 設置默認策略:iptables -P INPUT (DROP|ACCEPT)
-F 清空規則鏈
-L 查看規則鏈
-A 在規則鏈的末尾加入新規則
-I num 在規則鏈的頭部加入新規則
-D num 刪除某一條規則
-s 匹配來源地址IP/MASK,加嘆號"!"表示除這個IP外。
-d 匹配目標地址
-i 網卡名稱 匹配從這塊網卡流入的數據
-o 網卡名稱 匹配從這塊網卡流出的數據
-p 匹配協議,如tcp,udp,icmp
--dport num 匹配目標埠號
--sport num 匹配來源埠號
查看已有的規則:
[root@linuxprobe ~]# iptables -L
清空已有的規則:
[root@linuxprobe ~]# iptables -F
將INPUT鏈的默認策略設置為拒絕:
當INPUT鏈默認規則設置為拒絕時,我們需要寫入允許的規則策略。
這個動作的目地是當接收到數據包時,按順序匹配所有的允許規則策略,當全部規則都不匹配時,拒絕這個數據包。
[root@linuxprobe ~]# iptables -P INPUT DROP
允許所有的ping操作:
[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT
在INPUT鏈的末尾加入一條規則,允許所有未被其他規則匹配上的數據包:
因為默認規則表就是filter,所以其中的"-t filter"一般省略不寫,效果是一樣的。
[root@linuxprobe ~]# iptables -t filter -A INPUT -j ACCEPT
刪除上面的那條規則:
[root@linuxprobe ~]# iptables -D INPUT 2
既然讀者已經掌握了iptables命令的基本參數,那麼來嘗試解決模擬訓練吧:
模擬訓練A:僅允許來自於192.168.10.0/24域的用戶連接本機的ssh服務。
Iptables防火牆會按照順序匹配規則,請一定要保證「允許」規則是在「拒絕」規則的上面。
[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
模擬訓練B:不允許任何用戶訪問本機的12345埠。
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT
模擬實驗C(答案模式):拒絕其他用戶從"eno16777736"網卡訪問本機http服務的數據包。
答案:[rootlinuxprobe ~]# iptables -I INPUT -i eno16777736 -p tcp --dport 80 -j REJECT
模擬訓練D:禁止用戶訪問www.my133t.org。
[root@linuxprobe ~]# iptables -I FORWARD -d www.my133t.org -j DROP
模擬訓練E:禁止IP地址是192.168.10.10的用戶上網
[root@linuxprobe ~]# iptables -I FORWARD -s 192.168.10.10 -j DROP
iptables命令執行後的規則策略僅當前生效,若想重啟後依然保存規則需執行"service iptables save"。
參考《linux就該這么學》,第7章節 Iptables
④ linux系統關閉防火牆命令
Centos關閉防火牆直接可以使用iptables -F,這個命令是直接關閉所有策略。
如果需要關閉整個防火牆服務,可以直接使用service stop iptables.service或者最新的centos7用這個命令,sysremctl stop firewalld,然後再用這個命令禁用防火牆:systemctl mask firewalld。
Ubuntu和debian系統可以直接使用 ufw disable或者直接卸載防火牆即可:apt-get remove iptables
⑤ linux防火牆策略中 如何做到 內網可以訪問外網 外網無法訪問內網卻可以去內外的網頁
只要啟動防火牆,開啟內部的網頁伺服器埠如80 就可以了
防火牆模式都是 內部可以訪問外部任意埠
外部只能訪問防火牆中打開的指定埠
⑥ linux redhat6.4 怎麼樣更改iptables防火牆中filter以外的其他表的默認策略
linux的netfilter模塊除了filter表外,還有nat、mangle、raw表。
修改mangle表的默認策略
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING ACCEPT
修改mangle表的默認策略
iptables -t mangle -P PREROUTING DROP
iptables -t mangle -P POSTROUTING ACCEPT
linux的netfilter模塊有4個表,5個默認鏈。每個表都是掛在鏈上的。
filter表默認掛在OUTPUT/INPUT/FORWARD這三個鏈上。
nat表默認掛在PREROUTING/POSTROUTING/INPUT/OUTPUT這4個鏈上。
所以你修改某個表的默認策略,要求具體到這個表的哪個鏈上的默認策略,這就是為什麼-P後面都掛一個鏈名。
⑦ LINUX下設置的防火牆策略沒有生效,是什麼問題
service iptables status可以查看到iptables服務的當前狀態。
但是即使服務運行了,防火牆也不一定起作用,你還得看防火牆規則的設置 iptables -L
在此說一下關於啟動和關閉防火牆的命令:
1) 重啟後生效
開啟: chkconfig iptables on
關閉: chkconfig iptables off
2) 即時生效,重啟後失效
開啟: service iptables start
關閉: service iptables stop
⑧ linux透明代理防火牆策略怎麼做啊
摘要: 本文介紹了LINUX下常用的防火牆規則配置軟體Iptables;從實現原理、配置方法以及功能特點的角度描述了LINUX防火牆的功能 關鍵字: LINUX防火牆 Iptables Ipchains 包過濾一 前言:Linux 為增加系統安全性提供了防火牆保護。防火牆存在於你的計算機和網路之間,用來判定網路中的遠程用戶有權訪問你的計算機上的哪些資源。一個正確配置的防火牆可以極大地增加你的系統安全性。防火牆作為網路安全措施中的一個重要組成部分,一直受到人們的普遍關注。LINUX是這幾年一款異軍突起的操作系統,以其公開的源代碼、強大穩定的網路功能和大量的免費資源受到業界的普遍贊揚。LINUX防火牆其實是操作系統本身所自帶的一個功能模塊。通過安裝特定的防火牆內核,LINUX操作系統會對接收到的數據包按一定的策略進行處理。而用戶所要做的,就是使用特定的配置軟體(如iptables)去定製適合自己的「數據包處理策略」。 二 防火牆包過濾:對數據包進行過濾可以說是任何防火牆所具備的最基本的功能,而LINUX防火牆本身從某個角度也可以說是一種「包過濾防火牆」。在LINUX防火牆中,操作系統內核對到來的每一個數據包進行檢查,從它們的包頭中提取出所需要的信息,如源IP地址、目的IP地址、源埠號、目的埠號等,再與已建立的防火規則逐條進行比較,並執行所匹配規則的策略,或執行默認策略。 值得注意的是,在制定防火牆過濾規則時通常有兩個基本的策略方法可供選擇:一個是默認允許一切,即在接受所有數據包的基礎上明確地禁止那些特殊的、不希望收到的數據包;還有一個策略就是默認禁止一切,即首先禁止所有的數據包通過,然後再根據所希望提供的服務去一項項允許需要的數據包通過。一般說來,前者使啟動和運行防火牆變得更加容易,但卻更容易為自己留下安全隱患。 通過在防火牆外部介面處對進來的數據包進行過濾,可以有效地阻止絕大多數有意或無意地網路攻擊,同時,對發出的數據包進行限制,可以明確地指定內部網中哪些主機可以訪問互聯網,哪些主機只能享用哪些服務或登陸哪些站點,從而實現對內部主機的管理。可以說,在對一些小型內部區域網進行安全保護和網路管理時,包過濾確實是一種簡單而有效的手段。 代理:LINUX防火牆的代理功能是通過安裝相應的代理軟體實現的。它使那些不具備公共IP的內部主機也能訪問互聯網,並且很好地屏蔽了內部網,從而有效保障了內部主機的安全。 IP偽裝:IP偽裝(IP Masquerade)是LINUX操作系統自帶的又一個重要功能。通過在系統內核增添相應的偽裝模塊,內核可以自動地對經過的數據包進行「偽裝」,即修改包頭中的源目的IP信息,以使外部主機誤認為該包是由防火牆主機發出來的。
⑨ Linux防火牆有什麼作用
一、防火牆的基本模型
基於TCP/IP協議簇的Internet網際互聯完全依賴於網路層以上的協議棧(網路層的IP協議、傳輸控制協議TCP/UDP協議和應用層協議)。考慮到網路防火牆是為了保持網路連通性而設立的安全機制,因此防火牆技術就是通過分析、控制網路以上層協議特徵,實現被保護網路所需安全策略的技術。構建防火牆有三類基本模型:即應用代理網關、電路級網關(Circuit Level Gateway)和網路層防火牆。
二、不應該過濾的包
在開始過濾某些不想要的包之前要注意以下內容:
● ICMP包
ICMP
包可用於檢測TCP/IP失敗的情形。如果阻擋這些包將導致不能得「Host unreachable」或「No route to host」等信息。ICMP包還用於MTU發現,某些TCP實現使用了MTU發現來決定是否進行分段。MTU發現通過發送設置了不進行分段的位的包探測,
當得到的ICMP應答表示需要分段時,再發送較小的包。如果得不到ICMP包(「destination unreachable」類型的包),則本地主機不減少MTU大小,這將導致測試無法停止或網路性能下降。
● 到DNS的TCP連接
如果要攔阻出去的TCP連接,那麼要記住DNS不總是使用UDP。如果從DNS伺服器過來的回答超過512位元組,客戶端將使用TCP連接,並仍使用埠53接收數據。若禁止了TCP連接,DNS大多數情況下會正常工作,但可能會有奇怪的延時故障出現。如果內部網路的DNS查詢總是指向某個固定的外部DNS伺服器,可以允許本地域埠到該伺服器的域埠連接。
● 主動式FTP的TCP連接
FTP有兩種運作方式,即傳統的主動式(active)方式和目前流行的被動式(passive)方式。在主動式FTP模式下,FTP 伺服器發送文件或應答LS命令時,主動和客戶端建立TCP連接。如果這些TCP連接被過濾,則主動方式的FTP將被中斷。如果使用被動方式,則過濾遠地的TCP連接沒有問題。因為數據連接是從客戶端到伺服器進行的(包括雙向的數據)。
三、針對可能的網路攻擊
防火牆的性能是否優良關鍵在於其配置能否防護來自外界的各種網路攻擊。這要求網路管理者能針對可能的網路攻擊特點設定完善的安全策略。以網路常見的「ping of death」攻擊為例,「ping of death」攻擊通過發送一個非法的大ICMP包使接收者的TCP堆棧溢出從而引起混亂。針對這種攻擊可將防火牆配置為阻擋ICMP分段。因為普通的
ICMP包大都不需要到分段的程度,阻擋ICMP分段只攔阻大的「ping」包。 這種防護策略也可用於針對其他協議安全缺陷的網路攻擊。