处理分段数据包的防火墙过滤器概述

您可以创建无状态防火墙过滤器来处理发往路由引擎的分段数据包。通过将这些策略应用于路由引擎，可以防止使用 IP 分段来伪装 来自防火墙过滤器的 TCP 数据包。

例如，考虑一个 IP 数据包，该数据包被分段为允许的最小分段大小（8 字节）（一个 20 字节的 IP 报头加上一个 8 字节的有效负载）。如果此 IP 数据包携带 TCP 数据包，则到达设备的第一个片段（片段偏移量为 0）仅包含 TCP 源端口和目标端口（前 4 个字节）以及序列号（接下来的 4 个字节）。TCP 标志包含在 TCP 标头接下来的 8 个字节中，到达第二个片段（片段偏移量为 1）。

请参阅 RFC 1858， IP 片段过滤的安全注意事项。