阻止 0.0.0.0 入站

网络工程 防火墙
2021-08-03 23:11:06

在我的防火墙中阻止源 IP 为 0.0.0.0/32 的入站流量是安全的。我知道这是一个不可路由的 IP,但它用于 DHCP 发现,因此除非指定,否则数据包不会与该源 IP 一起丢弃。我的目的是阻止 UDP 泛洪源 0.0.0.0 从 WAN 跨越到 LAN。

2个回答

默认情况下,防火墙应阻止所有从外部到内部的流量。它应该只允许您明确配置为允许的外部来源流量。

为什么你首先允许这样的流量?如果您没有从防火墙的一侧向另一侧提供 DHCP,则可以阻止该流量。

0.0.0.0 非常适合作为最后手段的出口和网关,但是您只能想象当任何流量被允许通过 FW 以寻找其“路径”类型的失败设备的目的时可能会发生的坏事。

其它你可能感兴趣的问题
上一篇Sourcefire IPS 如何了解哪个应用程序正在发送数据包? 下一篇从常规 IP 地址响应的任播服务