フラグメント化されたパケットを処理するファイアウォールフィルターの概要

ルーティング エンジン宛てのフラグメント パケットを処理するステートレス ファイアウォール フィルターを作成できます。これらのポリシーをルーティング エンジンに適用することで、 ファイアウォール フィルターから TCP パケットを偽装する手段としての IP フラグメンテーションの使用を防止します。

例えば、最小許容フラグメント サイズである 8 バイト(20 バイトの IP ヘッダーと 8 バイトのペイロード)にフラグメント化された IP パケットがあるとします。この IP パケットが TCP パケットを伝送する場合、デバイスに到着する最初のフラグメント(フラグメント オフセット 0)には、TCP 送信元ポートと宛先ポート(最初の 4 バイト)、およびシーケンス番号(次の 4 バイト)のみが含まれます。TCPヘッダーの次の8バイトに含まれるTCPフラグは、2番目のフラグメント(フラグメントオフセット1)に到着します。

RFC 1858 , IPフラグメントフィルタリングのセキュリティに関する考慮事項を参照してください。