標準ファイアウォールフィルターの使用方法について
標準ファイアウォールフィルターを使用してローカルパケットに影響を与える
ルーターでは、1つの物理ループバックインターフェイス、 lo0、およびインターフェイス上に1つ以上のアドレスを設定できます。ループバック インターフェイスは、すべての制御プロトコルを実行および監視するルーティング エンジンへのインターフェイスです。ループバックインターフェイスは、ローカルパケットのみを伝送します。ループバック インターフェイスに適用される標準ファイアウォール フィルターは、ルーティング エンジン宛てのローカル パケットまたはルーティング エンジンから送信されるローカル パケットに影響を与えます。
追加のループバック インターフェイスを作成する場合は、そのインターフェイスにフィルターを適用してルーティング エンジンを保護することが重要です。ループバックインターフェイスにフィルターを適用する場合は、 apply-groups ステートメントを含めることをお勧めします。これにより、 lo0 やその他のループバックインターフェイスを含むすべてのループバックインターフェイスでフィルターが自動的に継承されます。
信頼できる情報源
標準的なステートレス ファイアウォール フィルター の一般的な用途は、悪意のあるパケットや信頼できないパケットからルーティング エンジンのプロセスとリソースを保護することです。ルーティング エンジンが所有するプロセスとリソースを保護するには、標準のステートレス ファイアウォール フィルターを使用して、ルーティング エンジンへの到達を許可するプロトコルとサービス、またはアプリケーションを指定できます。このタイプのフィルターをループバック インターフェイスに適用することで、ローカル パケットが信頼できる送信元からのものであることが保証され、ルーティング エンジンで実行されているプロセスが外部からの攻撃から保護されます。
水防
標準のステートレス ファイアウォール フィルターを作成して、ルーティング エンジン宛ての特定の TCP および ICMP トラフィックを制限できます。このような保護機能を備えていないルーターは、サービス拒否(DoS)攻撃とも呼ばれる TCP 攻撃や ICMP フラッド攻撃に対して脆弱です。たとえば、以下のように表示されます。
接続要求を開始するSYNパケットのTCPフラッド攻撃は、正当な接続要求を処理できなくなるまでデバイスを圧倒し、サービス拒否を引き起こす可能性があります。
ICMPフラッドは、非常に多くのエコー要求(ping要求)でデバイスを過負荷にし、応答するすべてのリソースを消費し、有効なネットワークトラフィックを処理できなくなり、サービス拒否を引き起こす可能性があります。
ルーティング エンジンに適切なファイアウォール フィルターを適用することで、このような攻撃から防御できます。
標準ファイアウォールフィルターを使用してデータパケットに影響を与える
ルーターのトランジットインターフェイスに適用する標準ファイアウォールフィルターは、送信元から宛先に転送される際に、あるインターフェイスから別のインターフェイスにルーターを直接通過するユーザーデータパケットのみを評価します。特定のインターフェイスでの不正アクセスやその他の脅威からネットワーク全体を保護するために、ファイアウォールフィルターを適用できます ルータートランジットインターフェイス 。