本帖最后由 Matrix 于 2017-8-31 17:11 编辑
1.如下图:如果是单IP,注明一下,如果是全IP段,改为单IP(全部限制是动态的),因为内网的用户数不是恒定的,特别是流动性比较大的网络,会有很大问题。(限制是恒定的)
2.加入IP碎片(Fragment)的防御
3.加入对DNS攻击的防御(控制每个IP每秒最大允许发起的 DNS 请求数,超过部分自动丢弃。用以防止 大量DNS 请求造成系统崩溃 )
4.TCP Land 攻击防御:TCP Land 攻击会产生源端口和目的端口相同的ICMP echo 报文或TCP syn 请求报文,导致主机不断地向自己发送报文,最终导致崩溃。通过报文的源地址和目的地址是否相等来判断 TCP Land 攻击。
5.允许设置以下协议的穿透支持:PPTP_VPN NAT 穿透支持/GRE 协议穿透支持
6.自定义TCP MSS值
7.禁止WEB提交控制
8.后缀名过滤(禁止下载某些东西)
9.未完待续
| 
发表于 2017-8-31 16:29:49
