若要確保您的 VMware 虛擬應用裝置及主機機器僅允許安全且必要的通訊,請檢閱並編輯其網路通訊設定。 設定 TCP 待處理項目的佇列大小最佳安全性做法是在 VMware 應用裝置主機機器上,設定預設的 TCP 待處理項目佇列大小。若要減緩 TCP 阻斷服務攻擊,請為 TCP 待處理項目佇列大小設定適當的預設大小。建議的預設設定是 1280。 拒絕 ICMPv4 廣播位址回應若對廣播網際網路控制訊息通訊協定 (Internet Control Message Protocol, ICMP) 回應傳送回應,就會為擴大攻擊提供攻擊媒介,並可能有助於惡意代理程式執行網路對應。將系統設定為忽略 ICMPv4 回應後,便能防衛此類攻擊。 設定主機系統以停用 IPv4 Proxy ARPIPv4 Proxy ARP 會允許系統代表已連線至某個介面的主機,針對另一個介面的 ARP 要求傳送回應。您必須停用 IPv4 Proxy ARP,以避免未經授權的資訊共用。停用此設定可避免在連接網路區段間洩漏位址資訊。 設定主機系統以忽略 IPv4 ICMP 重新導向訊息最佳安全性做法就是確認主機系統會忽略 IPv4 網際網路控制訊息通訊協定 (ICMP) 重新導向訊息。惡意的 ICMP 重新導向訊息可能會允許攔截式攻擊。路由器會使用 ICMP 重新導向訊息,通知主機目的地有更直接的路由。這些訊息會修改主機的路由表,而且未通過驗證。 設定主機系統以忽略 IPv6 ICMP 重新導向訊息最佳安全性做法就是確認主機系統會忽略 IPv6 網際網路控制訊息通訊協定 (ICMP) 重新導向訊息。惡意的 ICMP 重新導向訊息可能會允許攔截式攻擊。路由器會使用 ICMP 重新導向訊息,告知主機目的地有更直接的路由。這些訊息會修改主機的路由表,而且未通過驗證。 設定主機系統以拒絕 IPv4 ICMP 重新導向最佳安全性做法就是確認主機系統會拒絕 IPv4 網際網路控制訊息通訊協定 (ICMP) 重新導向。路由器會使用 ICMP 重新導向訊息,告知伺服器特定目的地有直接路由。這些訊息包含了來自於系統路由表的資訊,可能會透露部分網路拓撲。 設定主機系統以記錄 IPv4 Martian 封包最佳安全性做法就是確認主機系統記錄 IPv4 Martian 封包。Martian 封包內含系統已知無效的位址。請設定讓主機系統記錄訊息,好讓您找出組態錯誤或進行中的攻擊。 設定主機系統以使用 IPv4 反向路徑篩選最佳安全性做法就是設定主機機器,使其使用 IPv4 反向路徑篩選。反向路徑篩選可讓系統捨棄來源位址沒有路由的封包,或是路由未指向原始介面的封包,以保護系統不受詐騙來源位址的侵害。 設定主機系統以拒絕 IPv4 轉送最佳安全性做法就是確認主機系統會拒絕 IPv4 轉送。若系統設定成可進行 IP 轉送,而且不是指定的路由器,就可能會遭到利用,提供網路裝置不會篩選的通訊路徑來繞過網路安全性措施。 設定主機系統拒絕 IPv4 來源路由封包的轉送來源路由封包可允許封包來源指示路由器以異於路由器設定的路徑來轉送封包,而這可用來繞過網路安全性措施。 設定主機系統以拒絕 IPv6 轉送最佳安全性做法就是確認主機系統會拒絕 IPv6 轉送。若系統設定成可進行 IP 轉送,而且不是指定的路由器,就可能會遭到利用,提供網路裝置不會篩選的通訊路徑來繞過網路安全性措施。 設定主機系統使用 IPv4 TCP SYN Cookie安全性最佳做法是確認主機系統使用 IPv4 傳輸控制通訊協定 (TCP) SYN Cookie。TCP SYN 洪水攻擊可能會在系統的 TCP 連線表填入 SYN_RCVD 狀態的連線,導致阻斷服務。而使用 SYN Cookie 的目的是,在收到後續的 ACK、確認起始者嘗試發有效連線,而不是洪水來源前,不追蹤連線。 設定主機系統以拒絕 IPv6 路由器公告最佳安全性做法就是確認主機系統除非有必要,否則會拒絕接受路由器公告及網際網路控制訊息通訊協定 (ICMP) 重新導向。IPv6 的特色之一是系統能如何地自動使用網路資訊來設定其網路裝置。從安全性的觀點來看,建議手動設定重要的組態資訊,而非未經驗證便接受來自於網路的資訊。 設定主機系統以拒絕 IPv6 路由器邀請最佳安全性做法就是確認主機系統除非有必要,否則會拒絕 IPv6 路由器邀請。路由器邀請設定決定了在啟動介面時會傳送出多少路由器邀請。若位址為靜態指派,就不需要傳送任何邀請。 設定主機系統以拒絕路由器邀請中的 IPv6 路由器喜好設定最佳安全性做法就是確認主機系統除非有必要,否則會拒絕 IPv6 路由器邀請。邀請設定中的路由器喜好設定決定了路由器喜好設定。若位址為靜態指派,就不需要接收邀請的任何路由器喜好設定。 設定主機系統以拒絕 IPv6 路由器前置詞最佳安全性做法就是確認主機系統除非有必要,否則會拒絕 IPv6 路由器前置詞資訊。accept ra pinfo 設定控制了系統是否接受來自於路由器的前置詞資訊。若位址為靜態指派,系統就不接收任何路由器前置詞資訊。 設定主機系統以拒絕 IPv6 路由器公告躍點限制設定最佳安全性做法是除非有必要,否則確定主機系統會拒絕路由器公告中的 IPv6 路由器公告躍點限制設定。accept_ra_defrtr 設定可控制系統是否接受路由器公告中的躍點限制設定。若設定為 0,可防止路由器變更傳出封包的預設 IPv6 躍點限制。 設定主機系統以拒絕 IPv6 路由器公告 Autoconf 設定最佳安全性做法就是確認主機系統會拒絕 IPv6 路由器公告 autoconf 設定。autoconf 設定控制了路由器公告是否能使系統指派全域單點傳播位址至介面。 設定主機系統以拒絕 IPv6 芳鄰邀請最佳安全性做法就是確認主機系統除非有必要,否則會拒絕 IPv6 芳鄰邀請。dad_transmits 設定決定了在您啟動介面以確定所需位址在網路中都是唯一時,每一位址傳送出多少芳鄰邀請 (包括全域及 Link-local)。 設定主機系統來限制 IPv6 位址數上限最佳安全性做法是確認主機有限制可指派的 IPv6 位址數上限。位址數上限設定可決定能指派多少全域單點傳播 IPv6 位址給每個介面。預設值是 16,但是您必須將此數字設定為需要的靜態設定全域位址。 上層主題: 網路安全性與安全通訊