フラグメントパケットを処理するファイアウォールフィルターの概要

ルーティングエンジン宛てのフラグメントパケットを処理するステートレスファイアウォールフィルターを作成できます。これらのポリシーをルーティングエンジンに適用することで、 ファイアウォールフィルターからのTCPパケットを偽装する手段としてのIPフラグメント化の使用から保護します。

例えば、許容可能な最小フラグメントサイズ である8バイト(20バイトのIPヘッダーと8バイトのペイロード)にフラグメント化されたIPパケットがあるとします。このIPパケットがTCPパケットを伝送する場合、デバイスに到着する最初のフラグメント(フラグメントオフセット0)には、TCP送信元ポートと宛先ポート(最初の4 バイト)とシーケンス番号(次の4 バイト)のみが含まれます。TCPヘッダーの次の8 バイトに含まれるTCPフラグは、2番目のフラグメント(フラグメントオフセット1 )に到着します。

RFC 1858、 IPフラグメントフィルタリングのセキュリティ上の考慮事項を参照してください。