Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre comment utiliser les filtres de pare-feu standard

Utilisation de filtres de pare-feu standard pour affecter les paquets locaux

Sur un routeur, vous pouvez configurer une interface de bouclage physique, lo0et une ou plusieurs adresses sur l’interface. L’interface de bouclage est l’interface du moteur de routage, qui exécute et surveille tous les protocoles de contrôle. L’interface de bouclage ne transporte que les paquets locaux. Les filtres de pare-feu standard appliqués à l’interface de bouclage affectent les paquets locaux destinés au moteur de routage ou transmis depuis celui-ci.

REMARQUE :

Lorsque vous créez une interface de bouclage supplémentaire, il est important de lui appliquer un filtre afin de protéger le moteur de routage. Nous vous recommandons d’inclure l’instruction lorsque vous appliquez un filtre à l’interface de apply-groups bouclage. Cela garantit que le filtre est automatiquement hérité sur chaque interface de bouclage, y compris lo0 les autres interfaces de bouclage.

Sources fiables

Un filtre standard de pare-feu sans état est généralement utilisé pour protéger les processus et les ressources du moteur de routage contre les paquets malveillants ou non fiables. Pour protéger les processus et les ressources appartenant au moteur de routage, vous pouvez utiliser un filtre de pare-feu standard sans état qui spécifie quels protocoles et services, ou applications, sont autorisés à atteindre le moteur de routage. L’application de ce type de filtre à l’interface de bouclage garantit que les paquets locaux proviennent d’une source fiable et protège les processus s’exécutant sur le moteur de routage contre une attaque externe.

Prévention des inondations

Vous pouvez créer des filtres de pare-feu sans état standard qui limitent certains trafics TCP et ICMP destinés au moteur de routage. Un routeur sans ce type de protection est vulnérable aux attaques TCP et ICMP, également appelées attaques par déni de service (DoS). Par exemple :

  • Une attaque TCP flood de paquets SYN à l’origine de demandes de connexion peut submerger l’équipement jusqu’à ce qu’il ne puisse plus traiter les demandes de connexion légitimes, ce qui entraîne un déni de service.

  • Un flux ICMP peut surcharger l’équipement avec tellement de requêtes d’écho (requêtes ping) qu’il dépense toutes ses ressources pour répondre et ne peut plus traiter le trafic réseau valide, ce qui entraîne également un déni de service.

L’application des filtres de pare-feu appropriés au moteur de routage protège contre ce type d’attaques.

Utilisation de filtres de pare-feu standard pour affecter les paquets de données

Les filtres de pare-feu standard que vous appliquez aux interfaces de transit de votre routeur n’évaluent que les paquets de données utilisateur qui transitent directement d’une interface à une autre au fur et à mesure qu’ils sont transférés d’une source à une destination. Pour protéger le réseau dans son ensemble contre les accès non autorisés et d’autres menaces au niveau d’interfaces spécifiques, vous pouvez appliquer des filtres de pare-feu aux interfaces de transit de routeur .