Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

標準のファイアウォール フィルターの使用方法について

標準のファイアウォール フィルターを使用してローカル パケットに影響を与える

ルーターでは、1 つの物理ループバック インターフェイス、 lo0およびインターフェイス上に 1 つ以上のアドレスを設定できます。ループバック インターフェイスはルーティング エンジンへのインターフェイスで、すべての制御プロトコルを実行して監視します。ループバック インターフェイスはローカル パケットのみを伝送します。ループバック インターフェイスに適用される標準のファイアウォール フィルターは、ルーティング エンジン宛てまたはルーティング エンジンから送信されるローカル パケットに影響を与えます。

注:

追加のループバック インターフェイスを作成するときは、ルーティング エンジンが保護されるようにフィルタを適用することが重要です。ループバック インターフェイスにフィルターを適用するときは、ステートメントを含 apply-groups めるようお勧めします。そうすることで、すべてのループバック インターフェイス(およびその他のループバック インターフェイスを含む lo0 )でフィルターが自動的に継承されます。

信頼できるソース

標準のステートレス ファイアウォール フィルタ の一般的な用途は、ルーティング エンジンのプロセスとリソースを、悪意のあるパケットまたは信頼できないパケットから保護することです。ルーティング エンジンが所有するプロセスとリソースを保護するために、ルーティング エンジンへのアクセスを許可するプロトコルとサービス、またはアプリケーションを指定する標準のステートレス ファイアウォール フィルターを使用できます。このタイプのフィルターをループバック インターフェイスに適用すると、ローカル パケットが信頼できるソースから確実に送信され、ルーティング エンジンで実行されているプロセスが外部攻撃から保護されます。

フラッド防御

ルーティング エンジンを宛先とする特定の TCP および ICMP トラフィックを制限する、標準のステートレス ファイアウォール フィルターを作成できます。このような保護を備えたルーターは、サービス拒否(DoS)攻撃とも呼ばれる TCP および ICMP フラッド攻撃に対して脆弱です。例えば、

  • 接続要求を開始する SYN パケットの TCP フラッド攻撃は、正規の接続要求を処理できなくなるまでデバイスを圧倒する可能性があり、その結果、サービス拒否が発生します。

  • ICMP フラッドは非常に多くのエコーリクエスト(ping リクエスト)でデバイスに過負荷をかけることができます。そのため、すべてのリソースが応答して消費され、有効なネットワーク トラフィックを処理できなくなり、サービス拒否が発生します。

適切なファイアウォール フィルターをルーティング エンジンに適用することで、このような攻撃から保護します。

標準のファイアウォール フィルターを使用してデータ パケットに影響を与える

ルーターのトランジット インターフェイスに適用する標準のファイアウォール フィルターは、ルーターが送信元から宛先に転送される際に、ルーターを 1 つのインターフェイスから別のインターフェイスに直接転送するユーザー データ パケットのみを評価します。特定のインターフェイスで不正アクセスやその他の脅威からネットワーク全体を保護するには、ファイアウォール フィルター ルータートランジット インターフェイスを適用します。