Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解如何使用标准防火墙过滤器

使用标准防火墙过滤器来影响本地数据包

在路由器上,您可以在接口上配置一个物理环路接口以及 lo0 一个或多个地址。回传接口是路由引擎的接口,用于运行和监控所有控制协议。回传接口仅携带本地数据包。应用于回传接口的标准防火墙过滤器会影响路由引擎的目标或传输的本地数据包。

注:

创建额外的回传接口时,对其应用过滤器以使路由引擎受到保护至关重要。建议将过滤器应用于环路接口时,请包含 apply-groups 语句。这样做可确保在每个回传接口(包括lo0和其他回传接口)上自动继承过滤器。

可靠来源

标准无状态防火墙过滤器的典型使用是保护路由引擎进程和资源免遭恶意或不受信任的数据包的攻击。为了保护路由引擎所拥有的流程和资源,您可以使用标准无状态防火墙过滤器来指定允许哪些协议和服务(或哪些应用程序)到达路由引擎。将此类过滤器应用于回传接口可确保本地数据包来自可靠来源,并保护在路由引擎上运行的进程免遭外部攻击。

洪水防御

您可以创建标准的无状态防火墙过滤器,以限制目标为路由引擎的某些 TCP 和 ICMP 信息流。没有此类保护的路由器容易受到 TCP 和 ICMP 洪水攻击,也称为拒绝服务(DoS)攻击。例如:

  • 发起连接请求的 SYN 数据包的 TCP 洪水攻击可能会严重影响设备,直至无法处理合法的连接请求,从而导致拒绝服务。

  • ICMP 洪水可能会使设备过载,如此多的回显请求(ping 请求) expends 所有资源响应,无法再处理有效的网络流量,同时导致拒绝服务。

将合适的防火墙过滤器应用于路由引擎可抵御这些类型的攻击。

使用标准防火墙过滤器来影响数据包

应用于路由器过渡接口的标准防火墙过滤器仅评估从一个接口直接经过路由器到另一个接口的用户数据包,因为它们正从来源转发至目标。要保护整个网络免受未经授权的访问和特定接口上的其他威胁,您可以应用防火墙过滤器路由器传输接口。