了解如何使用标准防火墙过滤器
使用标准防火墙过滤器影响本地数据包
在路由器上,您可以配置一个物理环路接口 ,并在接口上配置一个或多个地址。lo0 环路接口是路由引擎的接口,用于运行和监控所有控制协议。环路接口仅传输本地数据包。应用于环路接口的标准防火墙过滤器会影响发往路由引擎或从路由引擎传输的本地数据包。
注:
创建附加环路接口时,必须对其应用过滤器,以便保护路由引擎。建议在对环路接口应用过滤器时,包含 该语句。apply-groups 这样做可确保过滤器在每个环路接口(包括 和其他环路接口)上自动继承。lo0
可信来源
标准无状态 防火墙过滤器 的典型用途是保护路由引擎进程和资源免受恶意或不受信任数据包的侵害。为了保护路由引擎拥有的进程和资源,您可以使用标准无状态防火墙过滤器来指定允许哪些协议和服务或应用程序访问路由引擎。将此类型的过滤器应用于环路接口可确保本地数据包来自可信来源,并保护路由引擎上运行的进程免受外部攻击。
防洪
您可以创建标准无状态防火墙过滤器,以限制发往路由引擎的某些 TCP 和 ICMP 流量。没有这种保护的路由器容易受到 TCP 和 ICMP 泛滥攻击,也称为拒绝服务 (DoS) 攻击。例如:
发起连接请求的 SYN 数据包的 TCP 泛洪攻击可能会使设备不堪重负,直到它无法再处理合法的连接请求,从而导致拒绝服务。
ICMP 泛洪可能会使设备过载,因为太多的回显请求(ping 请求)会耗尽所有资源进行响应,无法再处理有效的网络流量,还会导致拒绝服务。
对路由引擎应用适当的防火墙过滤器可防止这些类型的攻击。
使用标准防火墙过滤器影响数据包
应用于路由器中转接口的标准防火墙过滤器仅评估在将路由器从一个接口直接传输到另一个接口的用户数据包,因为这些数据包从源转发到目标。要保护整个网络免受特定接口的未经授权的访问和其他威胁,可以应用防火墙过滤器 路由器传输接口 。