基于IP地址的防火墙限制有多可靠？

正如其他人所说的欺骗一个TCP连接是不容易的 – 但仍然有可能。 防火墙帮助 – 但不解决根本问题。 身份validation是好的，但只有在本质上是安全的 – 因此我build议你考虑一个VPN。 这就解决了你想要远程公开的访问（只有单个端口用于隧道VPN）的许多问题，通过它你可以有select性和安全地暴露，而不必担心实现不安全协议的服务。

成功发起欺骗性IP攻击相当困难。 防火墙的持续普及表明了它的持续适用性和相关性。 然而，我想指出的一个重点是指出两种不同的防火墙types： 有状态和无状态 。 有状态的防火墙通常提供更高的安全性，因为它能够跟踪会话。 无状态的防火墙虽然仍然提供了一些额外的控制措施，但可能更容易受挫。 攻击情形是，如果存在服务漏洞，可以在不build立完整连接的情况下利用该漏洞。 今天这种攻击不太常见，但可能仍然存在。

攻击者可能发起欺骗性IP攻击的唯一方法是如果他们访问您的提供商的networking或访问您和您的提供商之间的物理networking。 在这种情况下，攻击者可以轻易地欺骗他们的IP并接收返回的stream量。 很多人忽视了物质安全，因为只有更加坚定和有技能的攻击者才能进行这样的攻击，但是仍然有可能，而且有些组织，特别是小公司，也很容易受到攻击。

欺骗一个IP（取决于（攻击者）ISP和他们的过滤）是相对困难的，甚至很难用伪造的IP进行TCP握手。

有一个用户名/密码login屏幕是好的。 但它并不能防止暴力攻击等。它就像门锁 – 有足够的时间和意志/力量，可以分解成。 拥有防火墙只是另一层保护（在这种情况下是一个非常好的防护层），它不允许攻击者甚至开始蛮横攻击。

大多数随机目标攻击者先进行端口扫描，find开放的端口，检查易受攻击的服务，然后利用适当的漏洞进行攻击。 如果你的防火墙丢弃了所有的数据包，你的RDP端口对于攻击者来说是封闭的，所以即使你的RDP很脆弱，攻击者也不会知道它正在运行，也不会试图攻击它（即使他是这样做的，防火墙会阻止所有的尝试）。

所以我肯定会在你的情况下使用防火墙。

即使可能，攻击者也必须猜测正确的IP以及正确的用户名/密码组合。 而且只有当他/她能够findRDP时，它才会被隐藏在防火墙之后。

是的，它主要用于DOS攻击，欺骗一个真实的地址，实际得到答复并不那么容易。

维基百科 ：

IP欺骗也可以是networking入侵者使用的一种攻击手段，以打败networking安全措施，如基于IP地址的authentication。 这种在远程系统上进行攻击的方法可能非常困难，因为它涉及一次修改数千个数据包。 这种types的攻击在机器之间存在信任关系的情况下最为有效。 例如，在一些公司networking上，内部系统互相信任是很常见的，这样用户就可以在没有用户名或密码的情况下login，只要他们从内部networking上的另一台机器连接（并且必须已经login）。 通过欺骗来自受信任机器的连接，攻击者可能无需身份validation即可访问目标机器。

与授权IP位于同一子网的攻击者可以使用多种方法拦截和接pipe来自指定IP的stream量。 例如，通过充当非法DHCP服务器，攻击者可能会将IP地址重新分配给该子网上的各种设备。 类似的ARP欺骗攻击可以让攻击者通过在授权的IP和防火墙之间build立一个中间人攻击来接pipeIP。

从本地子网和路由器的范围之外，在授权主机和攻击者之间没有某种可信连接的情况下，IP欺骗变得不切实际。

你所做的实际上是一个正常的安全最佳实践，所以你没事。 如果你对公共互联网开放，我build议把它从默认端口移到不同的地方。 考虑将任何需要在DMZ（非军事区）中进行访问的服务器置于不受任何stream量限制的地方。 然后，您可以configurationACL，使您的局域网可以连接到DMZ，但DMZ无法启动到局域网的连接。 如果你不能把服务器放在一个DMZ中，可以考虑把一台服务器放到你可以连接的DMZ中，然后允许从那里连接到你networking上的其他服务器（在我工作的地方我们称之为跳转盒）。 像往常一样，使用用户名/密码的良好做法。

至于别人在说什么，你真的不能欺骗IP。 您可以代理IP，并且可以相对容易地隐藏起始点，但不能欺骗IP。 请参阅，互联网路由是根据您的IP地址完成的，所以如果您的“发件人”地址是假的，当数据包到达目的地并尝试发送回复时，它会将其发送到发件人地址。 如果它被欺骗了，那么它就不会得到你，因为它会被路由到其他地方。 尽可能靠近你正在使用TOR。