フラグメント化されたパケットは、IP セキュリティーの実装にとって問題となります。その理由は、トランスポート層のヘッダー (UDP、TCP、その他) が各フラグメントには必ずしもあるとは限らないためです。 パケットのフラグメントの中には、トランスポート層のセレクターの値 (例えば、UDP ポート、ICMP タイプおよびコード) が不確定なものがあり、それによって IP パケットのフィルタリングが複雑化します。IPv6 の場合は、フラグメントの IP プロトコル値も不確定な場合があります。
一部のパケット・フラグメントにはトランスポート層のヘッダーが含まれておらず、トランスポート層セレクターの値に基づいたフィルタリングができないため、z/OS Communications Server はルーティングされたトラフィックに対して、オプションで次の制限を実施します。
z/OS Communications Server は Opaque の指定をサポートして、パケット・フラグメント内の不確定な IPv6 プロトコル値をマッチングさせます。不確定な値をもつパケットがフィルター規則とマッチングされるのは、Opaque または Any が指定されている場合だけです。
z/OS Communications Server は、フラグメント化されたパケット上での明示的なマッチングもサポートしています。IpService ポリシー・オブジェクトのフラグメント指定を使用すればと、パケットのセレクター値が不明でも、どのフラグメント化されたパケットもマッチングさせることができます。明示的なマッチングを使用して、次の状態にあるフラグメント化された全パケットを拒否します。その状態とは、フラグメント化されたパケットが通常のトラフィック・パターンの一部でなく、かつ、セキュリティー・リスクがあると見なされている状態のパケットです。