Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Grundlegendes zur Verwendung von Standard-Firewall-Filtern

Verwenden von Standard-Firewall-Filtern zur Beeinflussung lokaler Pakete

Auf einem Router können Sie eine physische Loopback-Schnittstelle und eine oder mehrere Adressen auf der Schnittstelle konfigurieren.lo0 Die Loopback-Schnittstelle ist die Schnittstelle zur Routing-Engine, die alle Steuerprotokolle ausführt und überwacht. Die Loopback-Schnittstelle überträgt nur lokale Pakete. Standard-Firewall-Filter, die auf die Loopback-Schnittstelle angewendet werden, wirken sich auf die lokalen Pakete aus, die für die Routing-Engine bestimmt sind oder von ihr übertragen werden.

HINWEIS:

Wenn Sie eine zusätzliche Loopback-Schnittstelle erstellen, ist es wichtig, einen Filter darauf anzuwenden, damit die Routing-Engine geschützt ist. Es wird empfohlen, beim Anwenden eines Filters auf die Loopbackschnittstelle die Anweisung einzuschließen.apply-groups Dadurch wird sichergestellt, dass der Filter automatisch auf jeder Loopback-Schnittstelle vererbt wird, einschließlich und anderen Loopback-Schnittstellen.lo0

Vertrauenswürdige Quellen

Die typische Verwendung eines standardmäßigen zustandslosen Firewallfilters besteht darin, die Routing-Engine-Prozesse und -Ressourcen vor bösartigen oder nicht vertrauenswürdigen Paketen zu schützen. Um die Prozesse und Ressourcen zu schützen, die sich im Besitz der Routing-Engine befinden, können Sie einen standardmäßigen zustandslosen Firewallfilter verwenden, der angibt, welche Protokolle und Dienste oder Anwendungen die Routing-Engine erreichen dürfen. Durch das Anwenden dieses Filtertyps auf die Loopback-Schnittstelle wird sichergestellt, dass die lokalen Pakete aus einer vertrauenswürdigen Quelle stammen, und die auf der Routing-Engine ausgeführten Prozesse werden vor einem externen Angriff geschützt.

Hochwasserschutz

Sie können standardmäßige zustandslose Firewallfilter erstellen, die bestimmten TCP- und ICMP-Datenverkehr begrenzen, der für die Routing-Engine bestimmt ist. Ein Router ohne diese Art von Schutz ist anfällig für TCP- und ICMP-Flood-Angriffe, die auch als Denial-of-Service-Angriffe (DoS) bezeichnet werden. Hier einige Zahlen zum Generationswechsel:

  • Ein TCP-Flood-Angriff von SYN-Paketen, die Verbindungsanfragen initiieren, kann das Gerät überlasten, bis es keine legitimen Verbindungsanfragen mehr verarbeiten kann, was zu einem Denial-of-Service führt.

  • Eine ICMP-Flood kann das Gerät mit so vielen Echo-Anfragen (Ping-Anfragen) überlasten, dass es alle seine Ressourcen für die Beantwortung aufwendet und keinen gültigen Netzwerkverkehr mehr verarbeiten kann, was ebenfalls zu Denial-of-Service führt.

Das Anwenden der entsprechenden Firewall-Filter auf die Routing-Engine schützt vor dieser Art von Angriffen.

Verwendung von Standard-Firewall-Filtern zur Beeinflussung von Datenpaketen

Standard-Firewall-Filter, die Sie auf die Transitschnittstellen Ihres Routers anwenden, werten nur die Benutzerdatenpakete aus, die den Router direkt von einer Schnittstelle zur anderen übertragen, wenn sie von einer Quelle an ein Ziel weitergeleitet werden. Um das Netzwerk als Ganzes vor unbefugtem Zugriff und anderen Bedrohungen an bestimmten Schnittstellen zu schützen, können Sie Firewall-Filter anwenden Router Transit Interfaces .

Verwandte Themen