Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender como usar filtros de firewall padrão

Usando filtros de firewall padrão para afetar pacotes locais

Em um roteador, você pode configurar uma interface física de loopback, lo0e um ou mais endereços na interface. A interface de loopback é a interface do Mecanismo de Roteamento, que executa e monitora todos os protocolos de controle. A interface de loopback transporta apenas pacotes locais. Os filtros de firewall padrão aplicados à interface de loopback afetam os pacotes locais destinados ou transmitidos do Mecanismo de Roteamento.

Nota:

Quando você cria uma interface de loopback adicional, é importante aplicar um filtro a ele para que o Mecanismo de Roteamento seja protegido. Recomendamos que, ao aplicar um filtro na interface de loopback, você inclua a apply-groups declaração. Isso garante que o filtro seja herdado automaticamente em todas as interfaces de loopback, incluindo lo0 e outras interfaces de loopback.

Fontes confiáveis

O uso típico de um filtro de firewall stateless padrão é para proteger os processos e recursos do Mecanismo de Roteamento contra pacotes maliciosos ou não confiáveis. Para proteger os processos e recursos de propriedade do Mecanismo de Roteamento, você pode usar um filtro de firewall stateless padrão que especifica quais protocolos e serviços, ou aplicativos, podem chegar ao Mecanismo de Roteamento. A aplicação desse tipo de filtro na interface de loopback garante que os pacotes locais sejam de uma fonte confiável e protege os processos em execução no Mecanismo de Roteamento contra um ataque externo.

Prevenção contra inundações

Você pode criar filtros de firewall stateless padrão que limitam determinado tráfego TCP e ICMP destinados ao Mecanismo de Roteamento. Um roteador sem esse tipo de proteção é vulnerável a ataques de inundação de TCP e ICMP, que também são chamados de ataques de negação de serviço (DoS). Por exemplo:

  • Um ataque de inundação TCP de pacotes SYN iniciando solicitações de conexão pode sobrecarregar o dispositivo até que ele não possa mais processar solicitações de conexão legítimas, resultando em negação de serviço.

  • Uma inundação de ICMP pode sobrecarregar o dispositivo com tantas solicitações de eco (solicitações de ping) que gasta todos os seus recursos respondendo e não pode mais processar o tráfego de rede válido, resultando também em negação de serviço.

Aplicar os filtros de firewall apropriados ao Mecanismo de Roteamento protege contra esses tipos de ataques.

Usando filtros de firewall padrão para afetar pacotes de dados

Os filtros de firewall padrão que você aplica às interfaces de trânsito do roteador avaliam apenas os pacotes de dados do usuário que transitam o roteador de uma interface diretamente para outra enquanto são encaminhados de uma fonte para um destino. Para proteger a rede como um todo contra acesso não autorizado e outras ameaças em interfaces específicas, você pode aplicar interfaces de trânsito de roteador de filtros de firewall.