Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解如何使用标准防火墙过滤器

使用标准防火墙过滤器影响本地数据包

在路由器上,您可以在接口上配置一个物理回传接口 lo0和一个或多个地址。环路接口是路由引擎的接口,用于运行和监控所有控制协议。回传接口仅承载本地数据包。应用于环路接口的标准防火墙过滤器会影响从路由引擎发送或传输的本地数据包。

注:

创建附加环路接口时,必须将其应用过滤器,以便保护路由引擎。建议在将过滤器应用到环路接口时,请将语句包括在内 apply-groups 。这样可确保过滤器在每个回传接口(包括 lo0 和其他回传接口)上自动继承。

可信来源

标准无状态 防火墙过滤器 的典型用途是保护路由引擎进程和资源免受恶意或不受信任的数据包的影响。为了保护路由引擎拥有的进程和资源,您可以使用标准的无状态防火墙过滤器来指定哪些协议和服务或应用程序可以到达路由引擎。将这种类型的过滤器应用于环路接口可确保本地数据包来自可信源,并保护路由引擎上运行的进程免遭外部攻击。

防洪

您可以创建标准的无状态防火墙过滤器,以限制某些发往路由引擎的 TCP 和 ICMP 流量。没有这种保护的路由器容易受到 TCP 和 ICMP 泛滥攻击,这些攻击也称为拒绝服务 (DoS) 攻击。例如:

  • 启动连接请求的 SYN 数据包的 TCP 泛滥攻击会使设备不堪重负,直至其无法再处理合法连接请求,从而导致服务拒绝。

  • ICMP 泛洪会使设备因大量回应请求(ping 请求)而过载,以至于它消耗了所有资源来响应,无法再处理有效的网络流量,也导致拒绝服务。

将适当的防火墙过滤器应用于路由引擎可防止此类攻击。

使用标准防火墙过滤器影响数据包

适用于路由器传输接口的标准防火墙过滤器仅评估从一个接口直接传输到另一个接口的用户数据包,因为它们正从来源转发至目标。为了保护整个网络免受特定接口的未经授权访问和其他威胁,您可以应用防火墙过滤器路由器中转接口。