Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Informationen zur Verwendung von Standard-Firewall-Filtern

Verwendung von Standard-Firewall-Filtern, um lokale Pakete zu beeinflussen

Auf einem Router können Sie eine physische Loopback-Schnittstelle lo0und eine oder mehrere Adressen auf der Schnittstelle konfigurieren. Die Loopback-Schnittstelle ist die Schnittstelle zur Routing-Engine, die alle Steuerungsprotokolle ausführt und überwacht. Die Loopback-Schnittstelle transportiert nur lokale Pakete. Standard-Firewall-Filter, die auf die Loopback-Schnittstelle angewendet werden, wirken sich auf die lokalen Pakete aus, die für die Routing-Engine bestimmt sind oder von der Routing-Engine übertragen werden.

HINWEIS:

Wenn Sie eine zusätzliche Loopback-Schnittstelle erstellen, ist es wichtig, einen Filter darauf anzuwenden, damit die Routing-Engine geschützt ist. Wir empfehlen, dass Sie, wenn Sie einen Filter auf die Loopback-Schnittstelle anwenden, die apply-groups Anweisung einschließen. Dadurch wird sichergestellt, dass der Filter automatisch auf jeder Loopback-Schnittstelle, einschließlich lo0 und anderen Loopback-Schnittstellen, übernommen wird.

Vertrauenswürdige Quellen

Der typische Einsatz eines standardmäßigen, zustandslosen Firewall-Filters besteht darin, die Prozesse und Ressourcen der Routing-Engine vor bösartigen oder nicht vertrauenswürdigen Paketen zu schützen. Zum Schutz der Prozesse und Ressourcen, die der Routing-Engine gehören, können Sie einen standardmäßigen zustandslosen Firewall-Filter verwenden, der angibt, welche Protokolle und Services oder Anwendungen die Routing-Engine erreichen dürfen. Durch die Anwendung dieser Art von Filtern auf der Loopback-Schnittstelle wird sichergestellt, dass die lokalen Pakete von einer vertrauenswürdigen Quelle stammen, und schützt die Prozesse, die auf der Routing-Engine ausgeführt werden, vor einem externen Angriff.

Hochwasserschutz

Sie können Standardmäßige zustandslose Firewall-Filter erstellen, die bestimmte TCP- und ICMP-Datenverkehr einschränken, der für die Routing-Engine bestimmt ist. Ein Router ohne diese Art von Schutz ist anfällig für TCP- und ICMP-Flood-Angriffe, die auch als Denial-of-Service-Angriffe (DoS) bezeichnet werden. Zum Beispiel:

  • Ein TCP-Flood-Angriff von SYN-Paketen, die Verbindungsanfragen auslösen, kann das Gerät überlasten, bis es legitime Verbindungsanfragen nicht mehr verarbeiten kann, was zu Denial of Service führt.

  • Eine ICMP-Flut kann das Gerät mit so vielen Echo-Anfragen (Ping-Anforderungen) überlasten, dass alle antwortenden Ressourcen verbraucht werden und kein gültiger Netzwerkdatenverkehr mehr verarbeitet werden kann, was auch zu Denial of Service führt.

Die Anwendung der entsprechenden Firewall-Filter auf die Routing-Engine schützt vor diesen Angriffen.

Verwenden von Standard-Firewall-Filtern zur Auswirkung von Datenpaketen

Standard-Firewall-Filter, die Sie auf die Transitschnittstellen Ihres Routers anwenden, bewerten nur die Benutzerdatenpakete, die den Router direkt von einer Schnittstelle zur anderen übertragen, während sie von einer Quelle an ein Ziel weitergeleitet werden. Um das gesamte Netzwerk vor unbefugtem Zugriff und anderen Bedrohungen an bestimmten Schnittstellen zu schützen, können Sie Firewall-Filter für Router-Transitschnittstellen anwenden.

Verwandte Themen