为确保 VMware 虚拟设备和主机仅允许安全的必要通信,请检查和编辑它们的网络通信设置。 后续主题 设置 TCP 积压的队列大小作为最佳安全做法,请在 VMware 设备主机上配置默认 TCP 积压队列大小。为缓解 TCP 拒绝服务攻击,请为 TCP 积压队列大小设置适当的默认大小。建议的默认设置为 1280。 拒绝 ICMPv4 广播地址回显Internet 控制消息协议 (Internet Control Message Protocol, ICMP) 广播回显响应为放大攻击提供攻击途径,并且有利于恶意代理的网络映射。将系统配置为忽略 ICMPv4 回显可防止此类攻击。 配置主机系统以停用 IPv4 代理 ARPIPv4 代理 ARP 允许系统代表连接到某个接口的主机向另一个接口上的 ARP 请求发送响应。您必须停用 IPv4 代理 ARP 以防止未经授权的信息共享。停用该设置以防止连接的网络区段之间寻址信息泄露。 将主机系统配置为忽略 IPv4 ICMP 重定向消息作为安全最佳做法,请确认主机系统忽略 IPv4 Internet 控制消息协议 (Internet Control Message Protocol, ICMP) 重定向消息。恶意 ICMP 重定向消息可以允许中间人攻击发生。路由器使用 ICMP 重定向消息来通知服务器,某个目标存在更直接的路由。这些消息修改主机的路由表并且未经身份验证。 将主机系统配置为忽略 IPv6 ICMP 重定向消息作为安全最佳做法,请确认主机系统忽略 IPv6 Internet 控制消息协议 (Internet Control Message Protocol, ICMP) 重定向消息。恶意 ICMP 重定向消息可能允许中间人攻击发生。路由器使用 ICMP 重定向消息来告诉服务器,某个目标存在更直接的路由。这些消息修改主机的路由表并且未经身份验证。 将主机系统配置为拒绝 IPv4 ICMP 重定向作为安全最佳做法,请确认主机系统拒绝 IPv4 Internet 控制消息协议 (Internet Control Message Protocol, ICMP) 重定向。路由器使用 ICMP 重定向消息来通知服务器,某个特定目标存在直接路由。这些消息包含来自系统的路由表的信息,可能会透露网络拓扑的某些部分。 配置主机系统以记录 IPv4 Martian 数据包作为最佳安全做法,请确认主机系统可记录 IPv4 Martian 数据包。Martian 数据包包含系统知道无效的地址。配置主机系统以记录消息,以便您可以确定错误配置或正在进行的攻击。 将主机系统配置为使用 IPv4 反向路径过滤作为安全最佳做法,请将您的主机配置为使用 IPv4 反向路径过滤。反向路径过滤可防止仿冒源地址,如果数据包的源地址没有路由,或者路由没有指向原始接口,它会导致系统丢弃这些数据包。 将主机系统配置为拒绝 IPv4 转发作为安全最佳做法,请确认主机系统拒绝 IPv4 转发。如果系统配置为进行 IP 转发并且不是指定的路由器,它可用来绕过网络安全,因为它提供一条不会被网络设备过滤的通信路径。 配置主机系统以拒绝转发 IPv4 源路由数据包源路由数据包允许数据包的源建议路由器沿着与路由器上配置的路径不同的路径转发数据包,这可以用来绕过网络安全措施。 将主机系统配置为拒绝 IPv6 转发作为安全最佳做法,请确认主机系统拒绝 IPv6 转发。如果系统配置为进行 IP 转发并且不是指定的路由器,它可用来绕过网络安全,因为它提供一条不会被网络设备过滤的通信路径。 将主机系统配置为使用 IPv4 TCP SYN Cookie作为最佳安全做法,请确认主机系统使用 IPv4 传输控制协议 (TCP) SYN Cookie。通过占据系统的 TCP 连接表并使连接处于 SYN_RCVD 状态,TCP SYN 洪水攻击可能导致出现拒绝服务。通过使用 SYN Cookie 可以在收到后续 ACK 之后才跟踪连接,从而确认启动器正在尝试有效的连接,而不是洪水攻击源。 将主机系统配置为拒绝 IPv6 路由器播发作为安全最佳做法,请确认主机系统拒绝接受路由器播发和 Internet 控制消息协议 (Internet Control Message Protocol, ICMP) 重定向(除非必要)。IPv6 的一个功能是让系统可以自动使用来自网络的信息来配置其网络设备。从安全的角度来看,最好手动设置重要配置信息,而不是以未经身份验证的方式接受来自网络的信息。 将主机系统配置为拒绝 IPv6 路由器请求作为安全最佳做法,请确认主机系统拒绝 IPv6 路由器请求(除非必要)。路由器请求设置确定在启用接口时发送多少个路由器请求。如果地址是静态分配的,则不需要发送任何请求。 将主机系统配置为拒绝路由器请求中的 IPv6 路由器首选项作为安全最佳做法,请确认您的主机系统拒绝 IPv6 路由器请求(除非必要)。请求中的路由器首选项设置确定路由器首选项。如果地址是静态分配的,则不需要接收请求的路由器首选项。 将主机系统配置为拒绝 IPv6 路由器前缀作为安全最佳做法,请确认主机系统拒绝 IPv6 路由器前缀信息(除非必要)。accept ra pinfo 设置用于控制系统是否接受来自路由器的前缀信息。如果地址是静态分配的,则系统不接收任何路由器前缀信息。 将主机系统配置为拒绝 IPv6 路由器播发跃点限制设置作为最佳安全做法,请确认主机系统会在非必要的情况下拒绝来自路由器播发的 IPv6 路由器播发跃点限制设置。accept_ra_defrtr 设置可控制系统是否将接受来自路由器通告的跃点限制设置。将该设置设为 0 可防止路由器为后续的出站数据包更改默认 IPv6 跃点限制。 将主机系统配置为拒绝 IPv6 路由器播发 Autoconf 设置作为安全最佳做法,请确认主机系统拒绝 IPv6 路由器播发 autoconf 设置。autoconf 设置用于控制路由器播发是否可以导致系统为接口分配全局单播地址。 将主机系统配置为拒绝 IPv6 邻居请求作为安全最佳做法,请确认主机系统拒绝 IPv6 邻居请求(除非必要)。当您启用某个接口以确保所需地址在网络上唯一时,dad_transmits 设置确定每个地址要发送多少个邻居请求。 配置主机系统以限制 IPv6 地址最大数量作为最佳安全做法,确认主机能够限制可以分配的 IPv6 地址的最大数量。最大地址数量设置决定了多少个全局单播 IPv6 地址可以分配给每个接口。默认值为 16,但您必须将此数字设置为所需的静态配置全局地址数。 父主题: 网络安全和安全通信