Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Kenntnisse zur Verwendung von Standard-Firewallfiltern

Einsatz von Standard-Firewall-Filtern zur Auswirkung auf lokale Pakete

Auf einem Router können Sie eine physische Loopback-Schnittstelle und eine oder mehrere Adressen an der lo0 Schnittstelle konfigurieren. Die Loopback-Schnittstelle ist die Schnittstelle zum Routing-Engine, auf dem alle Steuerungsprotokolle ausgeführt und überwacht werden. Die Loopback-Schnittstelle transportiert nur lokale Pakete. Standard-Firewall-Filter, die auf die Loopback-Schnittstelle angewendet werden, betreffen die lokalen Pakete, die für eine Übertragung vom Netzwerk oder von diesem übertragen Routing-Engine.

Anmerkung:

Wenn Sie eine zusätzliche Loopback-Schnittstelle erstellen, ist es wichtig, einen Filter darauf anzuwenden, damit der Routing-Engine geschützt ist. Wir empfehlen, dass Sie die Anweisung hinzufügen, wenn Sie einen Filter auf die Loopback-Schnittstelle apply-groups anwenden. Auf diese Weise wird sichergestellt, dass der Filter automatisch auf jeder Loopback-Schnittstelle (einschließlich und anderen lo0 Loopback-Schnittstellen) übernommen wird.

Vertrauenswürdige Quellen

Ein standardmäßiger, zustandsloser Firewall-Filter schützt die Malware, Routing-Engine Und-Ressourcen vor böswilligen oder nicht vertrauenswürdigen Paketen. Zum Schutz der Prozesse und Ressourcen des Routing-Engine können Sie einen standardmäßigen zustandslosen Firewall-Filter verwenden, der angibt, welche Protokolle und Dienste oder Anwendungen das Ziel erreichen Routing-Engine. Durch die Anwendung dieses Filtertyps auf die Loopbackschnittstelle wird sichergestellt, dass die lokalen Pakete von einer vertrauenswürdigen Quelle stammen, und die auf der Netzwerkschnittstelle ausgeführten Prozesse Routing-Engine vor einem externen Angriff.

Flood Prevention

Sie können statusfreie Standard-Firewall-Filter erstellen, die bestimmten TCP- und ICMP-Datenverkehr, der für den Bestimmten Datenverkehr bestimmt ist, Routing-Engine. Ein Router ohne diesen Schutz ist anfällig für TCP- und ICMP-Flooding-Angriffe, die auch als Denial-of-Service (DoS) bezeichnet werden. Zum Beispiel:

  • Eine TCP-Flooding-Attacke von SYN-Paketen, die Verbindungsanfragen einleiten, kann das Gerät überfordern, bis es legitime Verbindungsanfragen nicht mehr verarbeiten kann. Dies führt zu Denial of Service.

  • Eine ICMP-Überflutung kann das Gerät mit so vielen Echoanfragen (Ping-Anforderungen) überladen, dass alle seine Ressourcen reagieren und den gültigen Netzwerkdatenverkehr nicht mehr verarbeiten können. Dies führt ebenfalls zu Denial of Service.

Die Anwendung der entsprechenden Firewall-Filter auf den Routing-Engine schützt vor diesen Arten von Angriffen.

Nutzung standardmäßiger Firewall-Filter zur Auswirkung auf Datenpakete

Standardmäßige Firewall-Filter, die Sie auf die Transitschnittstellen Ihres Routers anwenden, bewerten nur die Benutzerdatenpakete, die den Router direkt an eine Schnittstelle übertragen, wenn sie von einer Quelle an ein Ziel weitergeleitet werden. Um das Netzwerk als Ganzes vor unautorisiertem Zugriff und anderen Bedrohungen an bestimmten Schnittstellen zu schützen, können Sie Firewall-Filter an Router-Transitschnittstellen anwenden.