防火墻的接口安全選項

防火墻的接口安全選項有以下三個：

• 防IP碎片：這個選項主要是防御ip碎片攻擊，IP碎片攻擊指的是一種計算機程序重組的漏洞。鏈路層具有最大傳輸單元MTU這個特性，它限制了數據幀的最大長度，不同的網絡類型都有一個上限值。以太網的MTU是1500，你可以用 netstat -i 命令查看這個值。如果IP層有數據包要傳，而且數據包的長度超過了MTU，那么IP層就要對數據包進行分片(fragmentation)操作，使每一片的長度都小于或等于MTU。我們假設要傳輸一個UDP數據包，以太網的MTU為1500字節，一般IP首部為20字節，UDP首部為8字節，數據的凈荷(payload)部分預留是1500-20-8=1472字節。如果數據部分大于1472字節，就會出現分片現象。

• 防IP源路由：主要防止源路由被解析，達到保護內網安全的目的，源路由是一種基于源地址進行路由選擇的策略，可以實現根據多個不同子網或內網地址，有選擇性地將數據包發往不同目的地址的功能。設置后可以不被解析源路由；

• 防地址欺騙：開啟后可以防御地址欺騙攻擊，IP 欺騙是利用主機之間的正常信任關系，偽造他人的IP 地址達到欺騙某些主機的目的。IP 地址欺騙只適用于那些通過IP 地址實現訪問控制的系統。實施IP 欺騙攻擊就能夠有效地隱藏攻擊者的身份。IP 地址的盜用行為侵害了網絡正常用戶的合法權益，并且給網絡安全、網絡正常運行帶來了巨大的負面影響。

回答所涉及的環境：聯想天逸510S、Windows 10。