Internet通信协议（internetcommunicatio，ICMP）用于TCP/IP通信问题的报告，

也用于IP层连接问题的检测，这对于网络问题的检非常重要。然而，icmp协议也可以用来收集

关于网络拓扑和主机服务开放的重要信息。攻击者可以使用ping扫描可访问的网络来识别可用

的主机，而更强大的攻击者避免使用ping并使用更多的方法获取主机信息。icmp回放和回放恢

复功能也可以用于创建隐藏通道以绕过防火墙检查（通常icmp包不能包含其他信息）。因此

，icmp请求应该被禁止在边界网关上。

 

 

 

网段中的第一个和最后一个ip地址被认为是特殊地址，称为网络地址和广播地址。向这两个地

址发送数据包被认为是向网络中的所有主机发送数据包。因此，如果将ping消息发送到包含75

个主机的广播地址，则将收到75个响应。这个特性也是交通放大攻击的基础，通常是蓝精灵和

碎片攻击。在smurf攻击中，攻击者向大型网络的大量广播地址发送icmp信息，而源地址是攻

击者，因此所有icmp响应都被发送给攻击者而不是攻击者。在fraggle攻击中，攻击者还将消

息发送到大网络的广播地址，以引起大量响应，但与使udpecho数据包而不是icmpecho数据

包不同。但结果是一样的。这些udp数据包还将响应每个可以访问和响应的系统，并且对打开

udp服务的主机更加明显。

 

 

 

icmp转发可以用于向目标网络发送更有效的路由更新信息。这在一个有多个路由器出现在同

一个子网中的网络中很常见。但是，攻击者还可以使用这个特性进行路由路径更改。禁止将

路由器接口上的icmp数据包转发到不安全的网络或外部网络。网络中的另一种常见攻击方法

是在tcp/ip头中插入虚假或欺骗信息，以期控制主机。地址欺骗是试图将外部地址伪装成一

个更容易通过边界路由器条目的内部地址。放弃在入口处接收内部源代码ip的数据包将有助

于对抗此攻击。路由器可以记录与acl活动相关的日志，如与系统相关的信息。大多数路由

器本身没有大容量的磁盘记录网络和系统运行信息，但它们提供了远程发送日志到日志服

务器的能力。在安全行业中，有一种特殊的技术，即安全信息和事件管理（siem），主要

用于收集、分析和关联日志信息，然后推荐或实现基于事件信息的策略。

 

 

 

防火墙可以是一个软件，通常是一个专用设备。有时防火墙功能实际上是由多个不同的设

备提供的。防火墙平台的具体功能和防火墙网络的设计是网络保护的关键。为了发挥有效

的防护作用，防火墙必须部署在网络的适当位置并进行有效配置。最佳做法包括：

 

所有通信必须通过防火墙。防火墙只允许授权通信量通过，其角色不能区分授权和未授权

的网络通信量，或者配置为允许危险或不必要的网络通信，其角色将被削弱。如果出现故

障或过载，防火墙必须保持拒绝所有通信或关闭状态。

 

 

 

 

防火墙的设计和配置必须考虑其自身的防攻击能力。防火墙的优点，防火墙可以很好地执

行安全策略，应该将其配置为限制通信给管理层已经决定并允许的业务。防火墙可以用来

限制对特定服务的访问。防火墙在网络中是透明的，终端用户不需要安装客户端软件。

 

防火墙提供审计能力，并且只提供足够的磁盘空间或远程日志记录能力来记录我们感兴趣

的网络流量。防火墙可以提醒我们注意指定的事件。防火墙中的缺陷只有当防火墙配置的

规则被执行时才有效。防火墙不能防止社会工程攻击，并授权用户故意使用其恶意访问权

限。防火墙不能实现不存在或未定义的安全策略。