Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Comprendre comment utiliser les filtres de pare-feu standard

Utilisation de filtres de pare-feu standard pour affecter les paquets locaux

Sur un routeur, vous pouvez configurer une interface de bouclage physique et une ou plusieurs adresses sur l’interface lo0. L’interface de bouclage est l’interface avec le moteur de routage, qui exécute et surveille tous les protocoles de contrôle. L’interface de bouclage transporte uniquement les paquets locaux. Les filtres de pare-feu standard appliqués à l’interface de bouclage affectent les paquets locaux destinés au moteur de routage ou transmis à partir de celui-ci.

REMARQUE :

Lorsque vous créez une interface de bouclage supplémentaire, il est important de lui appliquer un filtre afin de protéger le moteur de routage. Lorsque vous appliquez un filtre à l’interface de bouclage, nous vous recommandons d’inclure l’instruction apply-groups . Cela garantit que le filtre est automatiquement hérité sur chaque interface de bouclage, y compris lo0 les autres interfaces de bouclage.

Sources fiables

Un filtre de pare-feu sans état standard sert généralement à protéger les processus et les ressources du moteur de routage contre les paquets malveillants ou non approuvés. Pour protéger les processus et les ressources appartenant au moteur de routage, vous pouvez utiliser un filtre de pare-feu sans état standard qui spécifie les protocoles et services, ou applications, autorisés à atteindre le moteur de routage. L’application de ce type de filtre à l’interface de bouclage garantit que les paquets locaux proviennent d’une source fiable et protège les processus exécutés sur le moteur de routage contre une attaque externe.

Prévention des inondations

Vous pouvez créer des filtres de pare-feu sans état standard qui limitent certains trafics TCP et ICMP destinés au moteur de routage. Un routeur sans ce type de protection est vulnérable aux attaques par saturation TCP et ICMP, également appelées attaques par déni de service (DoS). Par exemple :

  • Une attaque TCP flood de paquets SYN initiant des demandes de connexion peut submerger l’équipement jusqu’à ce qu’il ne puisse plus traiter les demandes de connexion légitimes, ce qui entraîne un déni de service.

  • Une inondation ICMP peut surcharger l’appareil avec un si grand nombre de requêtes d’écho (requêtes ping) qu’il dépense toutes ses ressources pour répondre et ne peut plus traiter le trafic réseau valide, ce qui entraîne également un déni de service.

L’application des filtres de pare-feu appropriés au moteur de routage protège contre ces types d’attaques.

Utilisation de filtres de pare-feu standard pour affecter les paquets de données

Les filtres de pare-feu standard que vous appliquez aux interfaces de transit de votre routeur évaluent uniquement les paquets de données utilisateur qui transitent le routeur d’une interface directement à une autre lorsqu’ils sont transférés d’une source à une destination. Pour protéger le réseau dans son ensemble contre les accès non autorisés et d’autres menaces au niveau d’interfaces spécifiques, vous pouvez appliquer des filtres de pare-feu, des interfaces de transit de routeur .

Rubriques connexes