世界500强企业的主机系统安全配置标准

net.ipv4.ip_forward=0

net.ipv4.conf.default.rp_filter=1

SOLARIS:在/etc/init.d/inetinit文件中添加如下配置来禁止转发相关的源站路由数据包，

/usr/sbin/ndd -set /dev/ip ip_forward_src_routed 0

AIX: 在/etc/文件中添加如下配置来丢弃所有的源站路由数据包， /usr/sbin/no -o ipsrcroutesend=0

下列配置用来禁止转发相关的源站路由数据包。

/usr/sbin/no -o ipsrcrouteforward=0

5.1.4 TIME_WAIT设置

对于繁忙的Web服务器，许多套接字会处于一个TIME_WAIT状态。这是由于客户端应用程序没有完全的关闭一个套接字连接所造成的。这个可以被攻击者所利用来进行DOS或DDOS攻击。故此建议对于任何停留在TIME_WAIT状态的套接字的等待时间不能超过60秒。

REDHAT 6.2: 在/etc/sysctl.conf文件中添加如下配置行

net.ipv4.vs.timeout_timewait=60

任何的套接字不会在TIME_WAIT状态等待超过60秒。

REDHAT 7或以上版本:在/etc/sysctl.conf文件中添加如下配置行

net.ipv4.tcp_fin_timeout=60

SOLARIS:在/etc/init.d/inetinit文件中添加如下配置行

/usr/sbin/ndd -set /dev/tcp tcp_time_wait_interval 60000

对于Solaris 7, 这个参数名为tcp_close_wait_interval.

AIX: 无

5.1.5 ECHO回应广播

攻击者可以通过一个伪造的IP地址来发送ICMP (ECHO REQUEST)信息，一些IP协议栈会对于这些信息进行回应。这将造成大量网络资源被无端消耗，因此要禁止对于直接的广播信息进行回应。

REDHAT: 在/etc/sysctl.conf文件中添加如下配置行：

net.ipv4.icmp_echo_ignore_broadcasts=1

对于直接的广播信息不作回应。

SOLARIS:在/etc/init.d/inetinit文件中添加如下配置行：

/usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 0

对于直接的广播信息不作回应。

/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0

不转发直接的广播信息。

AIX:在/etc/文件中添加如下配置行：