Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender como usar filtros de firewall padrão

Usando filtros de firewall padrão para afetar pacotes locais

Em um roteador, você pode configurar uma interface física de loopback, e um ou mais endereços na interface.lo0 A interface de loopback é a interface para o Mecanismo de Roteamento, que executa e monitora todos os protocolos de controle. A interface de loopback transporta apenas pacotes locais. Os filtros de firewall padrão aplicados à interface de loopback afetam os pacotes locais destinados ou transmitidos do Mecanismo de Roteamento.

Nota:

Quando você cria uma interface de loopback adicional, é importante aplicar um filtro a ele para que o Mecanismo de Roteamento seja protegido. Recomendamos que, ao aplicar um filtro na interface de loopback, você inclua a declaração.apply-groups Isso garante que o filtro seja herdado automaticamente em todas as interfaces de loopback, incluindo e outras interfaces de loopback.lo0

Fontes confiáveis

O uso típico de um filtro de firewall sem estado padrão é para proteger os processos e recursos do Mecanismo de Roteamento contra pacotes maliciosos ou não confiáveis. Para proteger os processos e recursos de propriedade do Mecanismo de Roteamento, você pode usar um filtro de firewall sem estado padrão que especifica quais protocolos e serviços, ou aplicativos, podem chegar ao Mecanismo de Roteamento. Aplicar esse tipo de filtro na interface de loopback garante que os pacotes locais são de uma fonte confiável e protege os processos em execução no Mecanismo de Roteamento contra um ataque externo.

Prevenção contra enchentes

Você pode criar filtros de firewall sem estado padrão que limitam determinado tráfego TCP e ICMP destinados ao Mecanismo de Roteamento. Um roteador sem esse tipo de proteção é vulnerável a ataques de inundação de TCP e ICMP, que também são chamados de ataques de negação de serviço (DoS). Por exemplo:

  • Um ataque de inundação de TCP de pacotes SYN que iniciam solicitações de conexão pode sobrecarregar o dispositivo até que ele não possa mais processar solicitações de conexão legítimas, resultando em negação de serviço.

  • Uma inundação de ICMP pode sobrecarregar o dispositivo com tantas solicitações de eco (solicitações de ping) que gasta todos os seus recursos respondendo e não pode mais processar tráfego de rede válido, também resultando em negação de serviço.

A aplicação dos filtros de firewall apropriados ao Mecanismo de Roteamento protege contra esses tipos de ataques.

Usando filtros de firewall padrão para afetar pacotes de dados

Os filtros de firewall padrão que você aplica nas interfaces de trânsito do seu roteador avaliam apenas os pacotes de dados do usuário que transitam o roteador de uma interface diretamente para outra, pois estão sendo encaminhados de uma fonte para um destino. Para proteger a rede como um todo contra acesso não autorizado e outras ameaças em interfaces específicas, você pode aplicar interfaces de trânsito de roteador de filtros de firewall.