Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Compréhension de l’utilisation des filtres de pare-feu standard

Utilisation de filtres de pare-feu standard pour affecter les paquets locaux

Sur un routeur, vous pouvez configurer une interface de loopback physique et une ou plusieurs lo0 adresses sur l’interface. L’interface de bouclation constitue l’interface du moteur de routage, qui exécute et surveille tous les protocoles de contrôle. L’interface de bouclation transporte uniquement des paquets locaux. Les filtres de pare-feu standard appliqués à l’interface de bouclisation affectent les paquets locaux à destination ou transmis à partir du moteur de routage.

Remarque :

Lorsque vous créez une interface de bouclation supplémentaire, il est important d’y appliquer un filtre afin de moteur de routage la sécurité. Nous recommandons d’inclure l’instruction lorsque vous appliquez un filtre à l’interface de apply-groups bouclation. Cela permet de s’assurer que le filtre est automatiquement hérité sur chaque interface de loopback, y compris sur d’autres lo0 interfaces.

Sources fiables

L’utilisation typique d’un filtre de pare-feu sans état standard consiste à protéger les processus et moteur de routage ressources contre les paquets malveillants ou non malveillants. Pour protéger les processus et les ressources du moteur de routage, vous pouvez utiliser un filtre de pare-feu sans état standard qui spécifie quels protocoles et services, ou applications, sont autorisés à atteindre le réseau moteur de routage. L’application de ce type de filtre à l’interface de bouclisation garantit que les paquets locaux sont issus d’une source fiable et protège les processus qui s’exécutent moteur de routage contre une attaque externe.

Prévention des floods

Vous pouvez créer des filtres de pare-feu sans état standard qui limitent certains trafics TCP et ICMP à destination du moteur de routage. Un routeur sans ce type de protection est vulnérable aux attaques de type « flood » TCP et ICMP, également appelées attaques par déni de service (DoS). Quelques chiffres clés :

  • Une attaque inondable TCP de paquets SYN qui lancent des requêtes de connexion peut écraser l’équipement jusqu’à ce qu’il ne puisse plus traiter les demandes de connexion légitimes, ce qui entraîne une déni de service.

  • Une saturation ICMP peut surcharger l’équipement d’un tel nombre de requêtes d’écho (requêtes ping) qu’elle dépense toutes ses ressources en réponse et ne peut plus traiter de trafic réseau valide, ce qui entraîne également des déni de service.

L’application des filtres de pare-feu appropriés moteur de routage protège contre ces types d’attaques.

Utilisation de filtres de pare-feu standard pour affecter les paquets de données

Les filtres de pare-feu standard que vous appliquez aux interfaces de transit de votre routeur n’évaluent que les paquets de données utilisateur qui transitent directement d’une interface à une autre lors de leur transfert d’une source à une destination. Pour protéger l’ensemble du réseau des accès non autorisés et d’autres menaces sur des interfaces spécifiques, vous pouvez appliquer des filtres de pare-feu des interfaces de transit des routeurs.