4. Further capabilities for networking equipment (网络设备的进一步能力)

4. Further possible capabilities for networking equipment (网络设备的进一步可能能力)

应该考虑为未来的平台实现增加其他功能。以下功能值得注意:

• 在远程访问服务器上实施自动过滤。在大多数情况下, 拨入访问服务器的用户是单个 PC 上的个人用户。对于源自该 PC 的数据包, 唯一有效的源 IP 地址是 ISP 分配的地址 (无论是静态分配还是动态分配)。远程访问服务器可以在入口检查每个数据包, 以确保用户没有欺骗其发起的数据包上的源地址。显然, 在客户合法地通过远程路由器连接网络或子网的情况下, 也需要做出规定, 但这肯定可以作为可选参数实现。我们收到报告称一些供应商和一些 ISP 已经开始实施这种能力。

我们考虑过建议路由器也验证发送者的源 IP 地址, 如 [8] 中所建议的那样, 但该方法在当今的真实网络中运行效果不佳。建议的方法是查找源地址, 以确认到该地址的返回路径将从数据包到达的同一接口流出。由于互联网中存在大量不对称路由, 这显然会有问题。