Descripción general de filtros de firewall que manejan paquetes fragmentados

Puede crear filtros de firewall sin estado que manejen paquetes fragmentados destinados al motor de enrutamiento. Al aplicar estas políticas al motor de enrutamiento, se protege contra el uso de fragmentación de IP como un medio para disfrazar paquetes TCP desde un filtro de firewall.

Por ejemplo, considere un paquete IP fragmentado en el tamaño de fragmento más pequeño permitido de 8 bytes (un encabezado IP de 20 bytes más una carga de 8 bytes). Si este paquete IP lleva un paquete TCP, el primer fragmento (desplazamiento de fragmento de 0) que llega al dispositivo contiene solo los puertos TCP de origen y destino (primeros 4 bytes) y el número de secuencia (4 bytes siguientes). Las marcas TCP, contenidas en los 8 bytes siguientes del encabezado TCP, llegan al segundo fragmento (desplazamiento de fragmento de 1).

Consulte RFC 1858, Consideraciones de seguridad para el filtrado de fragmentos de IP.